1. No category

Informe de Symantec sobre las amenazas para
la seguridad de los sitios web I 2015
Primera parte
ÍNDICE
Introducción
3
Resumen ejecutivo
4
Amenazas en Internet
5
Ciberdelincuencia y malware
21
Consejos y prácticas recomendadas
36
Perfil de Symantec
40
2
I Symantec Website Security Solutions
INTRODUCCIÓN
Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas
en Internet: Symantec ™ Global Intelligence Network, un sistema compuesto por más
de 41,5 millones de sensores de ataque que registra miles de incidencias por segundo.
Esta red supervisa las amenazas existentes en más de
157 países y regiones mediante una combinación de
productos y servicios de Symantec, como:
157
• Symantec DeepSight™ Threat ManagementSystem
• Symantec™ Managed Security Services
• Productos de Norton™
• Symantec Website Security Solutions
• Otras fuentes de datos externas
Symantec también mantiene una de las bases de
datos sobre vulnerabilidades más completas del
mundo. En este momento, hay registradas más de
60 000 vulnerabilidades que afectan a más de
54 000 productos de más de 19 000 proveedores.
Los datos sobre spam (envío de correo no deseado),
phishing (suplantación de la identidad) y malware
(código dañino) se registran a través de distintos
recursos, como :
•Symantec Probe Network, un sistema que abarca
más de cinco millones de cuentas señuelo
•Symantec.cloud
Symantec mantiene una de
las bases de datos sobre
vulnerabilidades más completas
del mundo
19 000
proveedores
54 000
60 000
vulnerabilidades
registradas
productos
Skeptic™, la tecnología heurística
patentada de Symantec.cloud
•Symantec Website Security Solutions y los
productos de protección frente al malware y las
vulnerabilidades
14 centros de datos
1700 MILLONES
de
solicitudes
• Otras tecnologías de seguridad de Symantec
8400 MILLONES
de correos
electrónicos
La tecnología heurística patentada de Symantec.
cloud, denominada Skeptic™, detecta los ataques
dirigidos más nuevos y avanzados antes de que
lleguen a la red del cliente. 14 centros de datos procesan más de 8400 millones de mensajes de correo
electrónico al mes y filtran más de 1 700 millones
de solicitudes por Internet al día. Symantec también
recopila información sobre phishing a través de
una amplia comunidad antifraude de empresas,
proveedores de seguridad y más de 50 millones
de consumidores.
Symantec Website Security Solutions funciona sin
interrupción, permite comprobar si un certificado digital
X.509 se ha revocado o no mediante el protocolo de estado
de certificados en línea (OCSP) y procesa a diario más de
6000 millones de consultas de este tipo en todo el mundo.
Gracias a estos recursos, los analistas de Symantec cuentan
con fuentes de información insuperables para detectar,
analizar e interpretar las nuevas tendencias en materia de
ataques, malware, phishing y spam.
Todos estos datos nos han servido para elaborar el informe sobre amenazas para la seguridad de los
sitios web de Symantec, que ofrece a empresas y consumidores información esencial para proteger
sus sistemas de forma eficaz tanto ahora como en el futuro.
3
I Symantec Website Security Solutions
RESUMEN EJECUTIVO
El incidente más sonado de 2014 fue, sin duda, la vulnerabilidad Heartbleed, que
sacudió los cimientos de la seguridad en Internet. En este caso, el quid del problema
no era la sagacidad de los ciberdelincuentes, sino otra verdad incómoda: que
ningún programa es infalible y, por lo tanto, hay que cuidar al máximo la seguridad
de los sitios web con sistemas más avanzados y eficaces.
Por supuesto, mientras Heartbleed acaparaba titulares,
los ciberdelincuentes seguían buscando nuevas maneras
de atacar, robar y perjudicar a sus víctimas. En 2014,
recurrieron a tácticas más profesionales, avanzadas
y agresivas que afectaron tanto a empresas como a
consumidores.
Las vulnerabilidades, un riesgo que pone en peligro
a todos
Heartbleed no fue la única vulnerabilidad descubierta
en 2014. Los ciberdelincuentes también se sirvieron de
Poodle y Shellshock para infiltrarse en servidores, robar
datos e instalar malware.
Curiosamente, el número de sitios web con malware
se redujo a la mitad (uno de cada 1 126), pese a que el
porcentaje con vulnerabilidades fue el mismo que en
2013: tres cuartos del total analizado. No está claro si
esta tendencia se debe en parte a que los sitios web
están mejor protegidos o si, por el contrario, podría indicar
el avance de otras vías de distribución de malware, como
las redes sociales y la publicidad dañina (malvertising).
Por desgracia, quienes quisieron aprovechar las
vulnerabilidades lo tuvieron muy fácil porque muchísima
gente no se molestó en actualizar el software. Sin los
parches pertinentes, un dispositivo o servidor están
desprotegidos frente a los droppers, herramientas de
ataque habituales que buscan vulnerabilidades sin
resolver y, si las encuentran, provocan una infección
con descargas no autorizadas u otras técnicas, como las
estafas en las redes sociales.
De profesión, ciberdelincuente
En 2014, los atacantes perfeccionaron sus métodos y
siguieron «profesionalizándose». La ciberdelincuencia
ya es un negocio con mercados paralelos a los del sector
tecnológico y con sus correspondientes especialidades y
proveedores de servicios.
1.
2
Por ejemplo, alquilar un kit de herramientas web que
infecte a las víctimas con descargas no autorizadas
cuesta entre 100 y 700 dólares estadounidenses por
semana, con derecho a actualizaciones y asistencia a
todas horas. El precio de los ataques distribuidos de
denegación de servicio (DDoS) oscila entre los diez y
los mil dólares al día1; los datos de tarjetas de crédito
se venden a entre 0,50 y 20 dólares por tarjeta; y mil
seguidores en una red social cuestan entre dos y doce
dólares solamente.
Los métodos de ataque, cada vez más amorales y
agresivos
Los ciberdelincuentes nunca han mostrado especial
compasión por sus víctimas, pero en 2014 fueron aún más
implacables.
Según lo observado por Symantec, la incidencia del
cryptoware se multiplicó por catorce de mayo a
septiembre2. Esta variante del ransomware cifra los
archivos de la víctima —fotos, contratos, facturas o lo
que se tercie—y pide un rescate a cambio de las claves
privadas necesarias para descodificarlos. Normalmente,
el pago debe realizarse en bitcoins a través de una página
web de la red Tor, lo que impide seguir la pista de los
atacantes y les permite continuar con sus fechorías.
Las redes sociales y el phishing también se usaron para
explotar los miedos de la gente, como el temor al hacking y
a ciertas situaciones de alarma sanitaria. En algunos casos,
los delincuentes se sirvieron de enlaces relacionados con
estos temas para obtener clics y registros (y luego sacarles
partido económico mediante programas de afiliación).
En otros, recurrieron a las descargas de malware para
infectar a las víctimas o crearon sitios web de phishing con
formularios diseñados para el robo de datos.
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
Symantec Website Security Solutions I
4
AMENAZAS EN INTERNET
5
I Symantec Website Security Solutions
RESUMEN
1
considerados fiables corrieron peligro a consecuencia de la vulnerabilidad
Heartbleed3.
2
A raíz de lo sucedido con Heartbleed, muchos aprendieron la lección y
3
Los ciberdelincuentes aprovechan la tecnología y la infraestructura de las
4
5
3
En abril, los datos de aproximadamente un millón de sitios web
tomaron medidas para que las tecnologías SSL y TLS fueran más seguras.
redes publicitarias legítimas para sus estafas y ataques.
En 2014, las páginas de navegación anónima pasaron a representar el
5 % del total de sitios web infectados, un salto que las sitúa entre las diez
categorías con mayor número de infecciones.
Desde 2013, el total de sitios web con malware se ha reducido prácticamente a la mitad.
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
Symantec Website Security Solutions I
6
INTRODUCCIÓN
En 2014, Internet se llenó de amenazas de mayor envergadura y peligrosidad.
Se descubrió que algunas herramientas y protocolos de cifrado de uso corriente
no eran tan seguros como se creía, y las víctimas tuvieron más dificultades para
zafarse de las garras de sus atacantes.
Todo esto convirtió a Internet en un auténtico campo de
minas, y no hay razón para pensar que esta tendencia
vaya a invertirse en 2015. Tanto las vulnerabilidades
como los nuevos tipos de malware dejaron claro que las
empresas deben volcarse por completo en mejorar la
seguridad de los sitios web.
4
En el momento en que se redactó este documento
en 2015, varios investigadores de seguridad habían
identificado una nueva vulnerabilidad en la tecnología
SSL/TLS, denominada «FREAK»4, que permitía hacer
ataques de interposición «Man-in-the-Middle» para
interceptar y descifrar las comunicaciones entre un sitio
web y sus visitantes, robar contraseñas e información
personal y, en ciertos casos, volver a atacar el sitio web
afectado posteriormente.
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
7
I Symantec Website Security Solutions
LAS VULNERABILIDADES MÁS SONADAS
Heartbleed
Heartbleed se hizo noticia en abril, fecha en la que se
descubrió que, en caso de ataque, esta vulnerabilidad en
la biblioteca de software criptográfico OpenSSL permitía
acceder a los datos almacenados en la memoria de un
servidor web y descodificar la información transmitida
durante una sesión cifrada. Esto ponía en peligro datos
confidenciales de gran valor, como contraseñas, información de tarjetas de crédito e incluso claves privadas.5
En su día, se calculó que Heartbleed podría haber
afectado al 17 % de los servidores web SSL, que utilizan certificados SSL y TSL emitidos por autoridades
de certificación de confianza.6 Ni que decir tiene
que el incidente fue un duro golpe para empresas y
consumidores.
No solo quedó desprotegida una gran cantidad de datos
confidenciales, sino que las empresas tuvieron que pasar
por el mal trago de pedir a los clientes que cambiaran
sus contraseñas, no sin antes tomar otras medidas:
actualizar los servidores de sus sitios web con la versión
más reciente de OpenSSL, instalar certificados SSL
nuevos y revocar los antiguos.
Por suerte, la respuesta fue rápida. A los cinco días,
ninguno de los mil sitios web más visitados según Alexa
seguía siendo vulnerable a Heartbleed (y de los 50 000
con más visitas, solo el 1,8 % aún no había resuelto el
problema).7
ShellShock y Poodle
Heartbleed no fue la única vulnerabilidad que salió
a la luz en 2014. En septiembre se descubrió «Bash
Bug» (también llamada «ShellShock»), que afectaba a
la mayoría de las versiones de Linux y Unix, incluido
Mac OS X. ShellShock es un buen ejemplo de lo rápido
que puede cambiar todo cuando se tiene un sitio web.
5
6
Aunque se instalen todas las revisiones, si se descubre
que son insuficientes, los servidores dejarán de estar
protegidos de un día para otro y habrá que instalar otras.
En este caso, los atacantes podían usar la interfaz de
entrada común (CGI, por sus siglas en inglés), con la
que se genera contenido web dinámico, para infiltrarse
en los servidores y añadir un comando malicioso a
una variable de entorno. Con esta técnica se consigue
que Bash —el componente del servidor afectado por
la vulnerabilidad— interprete y ejecute la variable en
cuestión.8
Pronto surgieron multitud de amenazas diseñadas para
explotar esta vulnerabilidad. Los servidores (y las redes a
las que se conectaban) quedaron a merced del malware,
y aumentó el riesgo de espionaje e infección en un gran
número de dispositivos.
En octubre, Google descubrió Poodle, que volvió a poner
en entredicho el cifrado. Esta vulnerabilidad dejaba
desprotegidos los servidores compatibles con la versión
3.0 de SSL, interfiriendo con el handshake (el proceso
que comprueba qué protocolo admite el servidor) y
obligando a los navegadores web a establecer una
conexión mediante el protocolo SSL 3.0 en vez de usar
una versión más reciente.9
Un ataque de interposición «Man-in-the-Middle»
realizado en estas condiciones permite descifrar las
cookies HTTP seguras y, de este modo, robar datos o
apropiarse de cuentas de servicios en Internet. Por
suerte, Poodle no era tan grave como Heartbleed, ya
que, para explotarla, el atacante debía tener acceso a la
red entre el cliente y el servidor (como ocurre cuando se
utiliza un punto de acceso Wi-Fi público).
http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
7
http://www.symantec.com/connect/blogs/heartbleed-reports-field
8
http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability
9
http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat
Symantec Website Security Solutions I
8
LAS VULNERABILIDADES MÁS SONADAS
La importancia de aplicar pronto las revisiones cuando se
detectan vulnerabilidades de gran repercusión mediática
Tras el anuncio de estas vulnerabilidades, no tardaron
en sucederse los ataques —lo que, por supuesto,
también fue noticia, aunque no por el mismo motivo
que las vulnerabilidades de día cero—. Al no poner en
peligro los dispositivos de acceso, sino los servidores,
Heartbleed y ShellShock se consideraron un nuevo tipo
de vulnerabilidad. El software al que afectaban estaba
instalado en un gran número de sistemas y dispositivos, lo
que les dio notoriedad e hizo que los ataques empezaran
a arreciar apenas unas horas después de hacerse
público el problema.
Los certificados SSL y TLS no han perdido vigencia
Cabe destacar que, aunque la seguridad web pasó por
horas bajas en 2014, los certificados SSL y TLS (sus
equivalentes más modernos) siguen siendo esenciales
y ofrecen la misma protección que antes. De hecho,
Heartbleed demostró lo rápido que se puede responder
a los ataques.
Gracias al esfuerzo y la vigilancia de organizaciones
como el CA/Browser Forum, al que pertenece Symantec,
los estándares del sector mejoran constantemente. Los
mecanismos básicos que garantizan la protección de un
sitio web y sus visitantes no solo siguen siendo válidos,
sino que cada vez son más eficaces.
Los picos del gráfico indican que, poco después de
anunciarse las vulnerabilidades, el número de ataques
ya era muy elevado, si bien las firmas de Symantec los
detectaron y bloquearon casi de inmediato. A las cuatro
horas de conocerse la vulnerabilidad Heartbleed, los
ciberdelincuentes ya la habían aprovechado para atacar.
NÚMERO DE ATAQUES HEARTBLEED Y SHELLSHOCK EN EL MUNDO, DE ABRIL A
NOVIEMBRE DE 2014
40
Ataques
Heart Bleed
35
30
Ataques
Shellshock
MILES
25
20
15
5
0
M
J
J
Fuente: Symantec
9
I Symantec Website Security Solutions
A
S
O
N
VULNERABILIDADES: PANORAMA GENERAL
El número de vulnerabilidades varía ligeramente de un
año a otro, pero sigue observándose una tendencia al
alza. La mayoría de las vulnerabilidades conocidas tienen
solución si se instalan revisiones o se toman otras medidas, pero los creadores de malware saben que vale la
pena tratar de aprovecharlas porque mucha gente no
hace nada por remediarlas. En muchos casos, se utiliza
un dropper que busca vulnerabilidades conocidas sin
resolver para usarlas como puerta trasera y propagar el
malware. Instalar las actualizaciones resulta, por tanto,
trascendental.
Esta es la razón por la que, con la ayuda de kits de ataque
web como Sakura y Blackhole, es tan fácil aprovechar
vulnerabilidades que se hicieron públicas meses o años
atrás. Lo primero que hacen estos kits es analizar el
navegador por si hubiera algún complemento vulnerable.
En caso de detectar alguno, pasan a determinar el mejor
método de ataque, ya que puede que existan varios
para cada vulnerabilidad. Muchos kits de herramientas
no emplean el método de ataque más reciente si basta
con utilizar otro anterior. Además, la mayoría de los
ataques no pretenden aprovechar las vulnerabilidades
de día cero, aunque estas tienen especial interés para los
ciberdelincuentes porque permiten realizar ataques de
abrevadero o watering hole.
VULNERABILIDADES NUEVAS
2014
2013
2012
6 549
6 787
5 291
-3,6 %
+28 %
Fuente: Symantec | Deepsight
Symantec Website Security Solutions I 10
2010
6 253
2011
4 989
5 291
6 787
2011
2009
4 814
2012
2008
5 562
891
2013
2007
4 644
351
591
2014
2006
4 842
2012
Vulnerabilidades
por buscador,
2011 – 2014
2013
Número total de
vulnerabilidades,
2006 – 2014
639
Opera
2014
Mozilla Firefox
Microsoft Internet
Explorer
Google Chrome
6 549
Apple Safari
Fuente: Symantec I Deepsight
Fuente: Symantec I Deepsight
Vulnerabilidades de los complementos por mes, 2013-2014
Java
80
Apple
71
70
Adobe
60
54 54
50
40
ActiveX
53
48
48
45
30
31
29
27
20
10
5
F
M
Fuente: Symantec I Deepsight
A
M
J
J
11
8
A
2013
4
S
30
23
29
17
E
37
36
35
O
N
13
8
2
D
E
F
M
A
M
J
J
A
S
O
N
D
2014
Las vulnerabilidades de día cero —aquellas que solo se descubren tras haberse explotado— son mucho más peligrosas
que las ya conocidas. En el capítulo sobre los ataques dirigidos se profundiza más en este tema.
11 I Symantec Website Security Solutions
Plug-in Vulnerabilities by Month
SITIOS WEB INFECTADOS
En 2014, unos tres cuartos de los sitios web analizados
por Symantec presentaban vulnerabilidades, una cifra
muy similar a la del año anterior. Sin embargo, el porcentaje
clasificado como «crítico» pasó del 16 al 20 %.
La proporción de sitios con malware se redujo a uno de
cada 1 126 (en 2013, eran uno de cada 566). También
disminuyó el total de ataques web bloqueados al día,
pero solo en un 12,7 %, de lo que se deduce que el
número de ataques por cada sitio web infectado fue
mayor en 2014. Estas cifras se deben en parte a que
algunos kits de herramientas de ataque web se utilizan
en la nube con un modelo de software como servicio
(SaaS). Los ataques ya no siempre provienen del
malware de un sitio web infectado, sino que pueden
realizarse con un kit de herramientas de ataque basado
en SaaS que inyecte el código dañino con una etiqueta
iframe de HTML o código JavaScript camuflado. La
generalización de estos kits también explica que el
número de nuevos dominios web con malware se haya
reducido en un 47 % (de 56 158 en 2013 a 29 927
en 2014).
Los kits de herramientas de ataque web analizan los
equipos de las víctimas para buscar complementos
vulnerables y, en caso de hallarlos, determinar el
mejor método de ataque. Los basados en SaaS suelen
encontrarse en servicios de alojamiento muy difíciles
de identificar y desmantelar, con direcciones IP que
cambian con rapidez y nombres de dominio que se
generan de forma dinámica. Además, permiten controlar
cuándo y cómo se llevará a cabo el ataque. Por ejemplo,
para que ni los motores de búsqueda ni los analistas
detecten el código dañino, puede especificarse como
condición de ataque que se haya definido una cookie
para el sitio web infectado. Los kits de herramientas
de ataque web se analizan más detenidamente en otro
apartado de este capítulo.
Entre las diez categorías de sitios web más atacados
destacan los sitios web de navegación anónima, que no
aparecían en años anteriores. Como en otras ocasiones,
los delincuentes se limitan a seguir la corriente. Hoy
en día, cada vez más consumidores quieren navegar de
forma confidencial sin que su proveedor de servicios de
Internet controle lo que hacen.
PRINCIPALES VULNERABILIDADES SIN RESOLVER DETECTADAS EN LOS SERVIDORES
WEB ANALIZADOS
Puesto
Nombre
1
Vulnerabilidad POODLE (protocolos SSL y TLS)
2
Ataques de secuencias de comandos entre sitios
3
Compatibilidad con SSL v2
4
Compatibilidad con conjuntos de cifrado SSL poco seguros
5
Cadena de certificados SSL no válida
6
Detección de una cookie de sesión SSL cifrada sin el atributo «Secure»
7
Vulnerabilidad en el proceso de renegociación de los protocolos SSL y TLS
8
Vulnerabilidad relacionada con la divulgación de información por medio de la
función PHP ‘strrchr()’
9
Ataque http TRACE XSS
10
Tratamiento del error de OpenSSL ‘bn_wexpend()’ (vulnerabilidad sin especificar)
Fuente: Symantec I Website Security Solutions
Symantec Website Security Solutions I 12
SITIOS WEB ANALIZADOS
QUE PRESENTABAN
VULNERABILIDADES
PORCENTAJE DE
VULNERABILIDADES
CRÍTICAS
76 %
20 %
-1 %
+4 %
77 %
16 %
+25 %
+8 %
55 %
24 %
Fuente: Symantec I Website Security Solutions
Fuente: Symantec I Website Security Solutions
2014
2014
2013
2013
2012
2012
En
2014, 20
el 20
% de (1
lasinvulnerabilidades
detectadas
(una deoncada
cinco) se
consideraron
críticas porque,
caso
de ser
descubierIn 2014,
percent
5) of all vulnerabilities
discovered
legitimate
websites
were considered
critical,enthat
could
allow
attackers
tas,
habrían
permitido
a
un
atacante
acceder
a
datos
confidenciales,
alterar
el
contenido
del
sitio
web
o
infectar
los
equipos
de
access to sensitive data, alter the website’s content, or compromise visitors’ computers.
quienes visitaran sus páginas.
SITIOS WEB EN LOS QUE SE DETECTÓ MALWARE
1 250
1 de cada
1 000
1 126
750
500
532
566
250
2012
Fuente: Symantec I Website Security Solutions
13 I Symantec Website Security Solutions
Plug-in Vulnerabilities by Month
2013
2014
TIPOS DE SITIOS WEB MÁS ATACADOS
EN 2013 Y 2014
Categorías atacadas
con más frecuencia
en 2014
Porcentaje del
total de sitios
web infectados
en 2014
Categorías
de 2013
Porcentaje
en 2013
1
Tecnología
21,5 %
Tecnología
9,9 %
2
Alojamiento
7,3 %
Empresas
6,7 %
3
Blogs
7,1 %
Alojamiento
5,3 %
4
Empresas
6,0 %
Blogs
5,0 %
5
Sitios web de
navegación anónima
5,0 %
Sitios web ilegales
3,8 %
6
Ocio
2,6 %
Comercio electrónico
3,3 %
7
Comercio electrónico
2,5 %
Ocio
2,9 %
8
Sitios web ilegales
2,4 %
Automoción
1,8 %
9
Sitios web temporales
2,2 %
Educación
1,7 %
10
Comunidades virtuales
1,8 %
Comunidades virtuales
1,7 %
Puesto
Fuente: Symantec | SDAP, Safe Web, Rulespace
ATAQUES WEB BLOQUEADOS AL MES, 2013-2014
900
Línea de tendencia (2013)
800
Línea de tendencia (2014)
700
600
Miles
500
400
300
200
100
E
F
Fuente: Symantec | SDAP
M
A
M
J
J
2013
A
S
O
N
D
E
F
M
A
M
J
J
A
S
O
N
D
2014
Symantec Website Security Solutions I 14
Plug-in Vulnerabilities by Month
NUEVOS DOMINIOS WEB CON MALWARE
2014
2013
2012
2011
29 927
56 158
74 001
55 000
-47 %
-24 %
+34 %
Fuente: Symantec | .cloud
En 2014, se detectó un 47 % menos de dominios web con código dañino, lo que indica que se usan más kits de
herramientas con un modelo de software como servicio (SaaS) basado en la nube.
ATAQUES WEB BLOQUEADOS AL DÍA
2014
2013
2012
2011
496 657
568 734
464 100
190 000
-12.7 %
+23 %
+144 %
Fuente: Symantec | SDAP
El descenso del 12,7 % en la media de ataques bloqueados a diario se concentró principalmente en la segunda mitad de
2013. En 2014, el ritmo de disminución fue mucho menor.
Aunque la mayoría de los sitios web siguen presentando
vulnerabilidades, muchos de sus propietarios prestan
menos atención a las evaluaciones de vulnerabilidad que
a los análisis contra software malicioso. Sin embargo,
prevenir es mejor que curar y, por lo general, quien
infecta con malware un sitio web ha encontrado antes
una vulnerabilidad que explotar.
15 I Symantec Website Security Solutions
Los sitios web presentan tantas vulnerabilidades que
resulta muy fácil atacarlos. En 2014, los delincuentes
hicieron su agosto gracias a las vulnerabilidades
relacionadas con la tecnología SSL y TLS, pero también
empezaron a utilizar otras técnicas de distribución de
malware, como las estafas en las redes sociales y el uso
de publicidad dañina (malvertising), cuya incidencia va
en aumento.
CINCO PRINCIPALES
HERRAMIENTAS DE
ATAQUE, 2012
CINCO PRINCIPALES
HERRAMIENTAS DE
ATAQUE, 2013
8%
17 %
3%
7%
10 %
5
10 %
41 %
5
14 %
26 %
23 %
19 %
22 %
Blackhole
Otros
Sakura
G01 Pack
Phoenix
Blackhole
Redkit
Sakura
Nuclear
Styx
Otros
Coolkit
Fuente: Symantec I SDAP, Wiki
Fuente: Symantec I SDAP, Wiki
CINCO PRINCIPALES
HERRAMIENTAS
DE ATAQUE, 2014
Cronología del uso de
los cinco principales kits de
herramientas de ataque, 2014
100 %
50 %
5
23 %
10 %
7%
5 %5 %
0%
E
Sakura
Nuclear
Styx
Orange Kit
Blackhole
Otros
Fuente: Symantec I SDAP, Wiki
F
M
A
M
J
J
A
S
O
N
D
Otros
Blackhole
Orange Kit
Styx
Nuclear
Sakura
Fuente: Symantec I SDAP, Wiki
Symantec Website Security Solutions I 16
Plug-in Vulnerabilities by Month
PUBLICIDAD DAÑINA (MALVERTISING)
En 2014, el ransomware y el malvertising cruzaron sus
caminos. A lo largo del año, el número de internautas
a los que se redirigió al sitio web de Browlock alcanzó
cifras récord.
Browlock es uno de los tipos de ransomware menos
agresivos que existen. En lugar de infectar con malware
el equipo de la víctima, utiliza JavaScript para impedir
que cierre una pestaña del navegador. El sitio web
determina la localización geográfica del internauta y lo
redirige a una página en la que se solicita el pago de
una multa a la policía local por visitar sitios pornográficos ilegales.
Quienes usan esta técnica suelen comprar publicidad
en redes legítimas con la intención de atraer visitas a
su sitio web. El anuncio conduce a una página web
pornográfica que, a su vez, lleva al sitio web de Browlock.
El tráfico comprado con este sistema proviene de
distintas fuentes, pero sobre todo de redes publicitarias
de contenido pornográfico10.
En realidad, para salir indemne de esta trampa basta
con cerrar el navegador, pero si los delincuentes
hacen un desembolso a cambio de este tipo de tráfico
es porque hay gente que paga. Quizá se deba al
sentimiento de culpabilidad, ya que para llegar a la
página de Browlock hay que haber hecho clic en el
anuncio de un sitio web pornográfico.
Otros usos de la publicidad dañina
La publicidad dañina no solo sirve para propagar
ransomware. También puede conducir a las víctimas
a sitios web desde los que se instalan troyanos. En
algunos casos, los dispositivos se infectan mediante
una descarga no autorizada, sin que sea necesario
hacer clic en los anuncios.
El malvertising tiene un gran atractivo para los
ciberdelincuentes porque, si los anuncios se muestran
en sitios web legítimos muy conocidos, puede atraer una
gran cantidad de tráfico. Además, las redes publicitarias
utilizan técnicas de segmentación muy precisas, lo
que permite dirigir el engaño a víctimas concretas (por
ejemplo, personas que hagan búsquedas relacionadas
con servicios financieros). En ocasiones, las redes
publicitarias legítimas se convierten en un medio al
servicio de los delincuentes, cuya actividad no es fácil de
detectar porque sus tácticas cambian con frecuencia.
Por ejemplo, un anuncio inofensivo que lleve semanas
publicándose para parecer fiable puede volverse
dañino de repente. Por eso es importante que las redes
publicitarias hagan análisis con regularidad, y no solo
cuando se publica un anuncio nuevo.
Para los propietarios de sitios web no es fácil protegerse del malvertising, ya que las redes publicitarias y
sus clientes son ajenos a su control. Sin embargo, los
administradores pueden elegir redes que, al restringir
determinadas funciones, impidan que los anunciantes
incluyan código dañino en sus promociones. Hay que
documentarse y estudiar a fondo las características de
cada red.
Página web de Browlock en la
que se exige el pago de una multa
por haber visitado sitios web de
pornografía ilegal10
10
11
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
Ibid
17 I Symantec Website Security Solutions
ATAQUES DE DENEGACIÓN DE SERVICIO
Los ataques distribuidos de denegación de servicio (DDoS) existen desde hace
tiempo, pero ahora son más intensos y frecuentes.12 Se dirigen a empresas u
organizaciones concretas en las que bloquean el acceso al correo electrónico, al
sitio web o a otros sistemas esenciales, lo que interrumpe las operaciones y puede
suponer grandes pérdidas.
Por ejemplo, de enero a agosto de 2014, Symantec
observó un aumento del 183 % en el número de ataques
de amplificación DNS13. Según una encuesta de Neustar,
el 60 % de las empresas fueron víctimas de un ataque
DDoS en 2013, y el 87 % sufrieron varios . En algunos
casos, se trata de una forma de extorsión, pero a veces
los motivos son otros, como el hacktivismo, la venganza
o el deseo de desviar la atención de otros ataques.
Además, los interesados en realizar ataques DDoS
recurren cada vez más al mercado negro de Internet,
donde se pueden alquilar servicios de ataque de distinta
duración e intensidad por entre 10 y 20 dólares.
TRÁFICO DE ATAQUES DDOS OBSERVADO POR SYMANTEC GLOBAL INTELLIGENCE NETWORK
Total de ataques DDoS
Ataque de amplificación DNS
8
Ataque genérico de
inundación de ICMP
7
MILLONES
6
Ataque genérico de
denegación de servicio a
través de inundación de
SYN del TCP
5
4
3
2
1
0
E
F
M
A
M
J
J
A
S
O
N
D
Fuente: Symantec I DeepSight Symantec Global Intelligence Network
12
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
13
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
14
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf
Symantec Website Security Solutions I 18
EL AUMENTO DE LAS VULNERABILIDADES
Tim Gallo
En los últimos años, se ha hablado mucho de la gestión de vulnerabilidades.
Sin embargo, hay una cierta tendencia a considerarla como una incomodidad o
como un proceso menos interesante que la respuesta a incidentes o la necesidad
de seguir la pista de los posibles atacantes. En 2014, quedó claro que las
vulnerabilidades debían pasar a un primer plano. Poodle, ShellShock y Heartbleed
no solo fueron noticia en la prensa especializada, sino también en los medios de
comunicación de masas.
En todos estos casos, los procesos de gestión de
vulnerabilidades resultaron insuficientes porque el
origen del problema no era el acostumbrado. Últimamente, los ordenadores portátiles y los servidores
están bien controlados porque empresas como Adobe y
Microsoft notifican las vulnerabilidades más recientes
con regularidad y tardan muy poco en sacar revisiones.
Aunque seguirá habiendo vulnerabilidades que afecten
a equipos y servidores, los procesos de notificación de
incidencias y aplicación y gestión de revisiones han
mejorado mucho.
Con frecuencia, los sistemas operativos y los proveedores de aplicaciones aplican las revisiones de forma
automática, así que es natural que los atacantes hayan
cambiado de tácticas. Ahora, están volviendo a centrarse
en buscar nuevas vulnerabilidades, y sus exhaustivas
técnicas de análisis ya les han servido para encontrarlas
en lugares que antes se consideraban seguros.
Para ver lo que nos depara el futuro, detengámonos
un momento en otra de estas vulnerabilidades,
ShellShock. Durante más de 25 años, nadie reparó en
esta función fallida (o error de diseño) del shell Bourne
Again (BASH)15. Y, de repente, se descubrió que podría
explotarse y se hizo pública su existencia. Shellshock
ha formado parte de Internet durante una buena parte
de la historia de esta. De hecho, no solo ha permitido
atacar routers o servidores web de Linux, sino también
Heartbleed incluso
tiene su propio
logotipo
servidores de correo electrónico e incluso bots DDoS que
utilizan el shell (es decir, cualquier componente basado
en Unix que utilice BASH).
Un shell de Unix —para quienes no conozcan la terminología— es una interfaz de usuario de la línea de comandos a través de la cual
se interactúa con el sistema operativo. BASH es uno de los shells más usados en UNIX y LINUX.
15
19 I Symantec Website Security Solutions
En los próximos años, posiblemente sigan apareciendo
vulnerabilidades de este tipo por varias razones.
En primer lugar, ya se ha visto que los atacantes no
tienen pensado usar eternamente sus viejos trucos;
ahora les interesa buscar nuevas vulnerabilidades en
infraestructuras más antiguas que estén muy extendidas
y les permitan ampliar el radio de ataque.
Poodle, ShellShock y Heartbleed demostraron que
algunos de los componentes básicos de la infraestructura de Internet no eran seguros, pero también que
los desarrolladores emplean prácticas dudosas, como
la reutilización del código. A veces, parte del código de
una aplicación nueva se copia de otras aplicaciones
existentes. Es algo que los desarrolladores han hecho
desde siempre, pero también la causa de que existan
vulnerabilidades en sistemas que, aparentemente, no
tienen relación entre sí.
Heartbleed es un perfecto ejemplo de lo que puede
ocurrir cuando se reutiliza el código, aunque sea de
manera legítima. El código de la biblioteca OpenSSL se
consideraba fiable desde hacía mucho y no se analizaba
con frecuencia porque se pensaba que era «un problema
resuelto». Sin embargo, cuando se descubrió que no era
así, los desarrolladores de todo el mundo tuvieron que
arreglárselas para determinar si el código que habían
reutilizado era vulnerable.
acuse de querer lucrarse o de divulgar información de
forma irresponsable.
Sin embargo, es de esperar que también mejoren las
medidas de seguridad y los métodos de resolución de
problemas. Cualquier informático que se pase unas
cuantas semanas sin dormir comprobará en sus propias
carnes la importancia de ser previsor. Es vital que en
toda la infraestructura se sigan las mismas directrices y
los mismos procedimientos de configuración y aplicación
de revisiones. Trasladar la infraestructura a la nube
también ahorra tiempo al personal informático, que a
menudo está desbordado con otras tareas.
Ahora que las vulnerabilidades han vuelto con fuerzas
renovadas, se está viendo que «detectar y solucionar»
no es un buen enfoque. Para ser mejores profesionales
de la seguridad, también hemos de pensar en cómo
«proteger y responder» e «informar y evaluar». Tenemos
que planificar mejor, optimizar los procedimientos de
prueba, estar al tanto de lo que ocurre y conocer el
entorno lo suficiente como para saber si la información
es aprovechable.
En Internet quedan muchos fallos por descubrir y, si
queremos un futuro mejor, es nuestra responsabilidad
estar atentos para responder a las vulnerabilidades más
recientes de forma sistemática y programada.
Por otro lado, han aumentado los programas de recompensas
por la detección de errores, y los gobiernos han dejado
de amenazar con penas de cárcel a quienes se dedican
a destapar vulnerabilidades.16 Así pues, no solo hay
mayores incentivos para buscar vulnerabilidades, sino
que quienes las encuentran ya no temen que se les
16
http://www.wired.com/2013/03/att-hacker-gets-3-years
Symantec Website Security Solutions I 20
CIBERDELINCUENCIA Y
MALWARE
21 I Symantec Website Security Solutions
RESUMEN
1
A juzgar por los precios del mercado negro, que se mantienen estables, la
demanda de identidades robadas, malware y servicios relacionados con la
ciberdelincuencia sigue siendo muy alta.
2
Aunque las vulnerabilidades se han reducido con respecto a 2013, su
3
En 2014 aparecieron 317 256 956 nuevos tipos de malware, un aumento
4
El ransomware se volvió más frecuente y peligroso, y hubo 45 veces más
5
número sigue aumentando.
del 26 % respecto al índice de crecimiento del año anterior.
casos de crypto-ransomware que en 2013.
El número de bots fue un 18 % más bajo.
Symantec Website Security Solutions I 22
INTRODUCCIÓN
Todos los días, los phishers roban datos bancarios sirviéndose de mensajes de
correo electrónico o sitios web falsos. Las redes de ordenadores infectados envían
spam sin cesar y realizan ataques distribuidos de denegación de servicio. Y quienes
son víctimas del ransomware —la peor de las suertes— no tienen manera de usar
sus equipos porque alguien les ha cifrado los archivos.
El correo electrónico sigue siendo eficaz para la práctica
del phishing y para hacer envíos masivos de malware y
spam, y cada vez más mensajes contienen código dañino.
Además, en Internet existe una economía sumergida de
compraventa de servicios, malware, tarjetas de créditos
robadas y botnets.
Las autoridades, en colaboración con empresas de seguridad como Symantec, hacen lo posible por desmantelar
las botnets y arrestar a los culpables. Estos esfuerzos
han reducido bastante los niveles de ciberdelincuencia,
aunque tal vez no de forma duradera.
La economía sumergida
En los rincones más oscuros de Internet hay un mercado
negro floreciente en el que se comercia con datos robados, malware y servicios de ataque17. Además, estos
mercados ilegales son cada vez más clandestinos (por
ejemplo, solo permiten el acceso con invitación o utilizan
la red de navegación anónima Tor18). Los precios fluctúan
según la oferta y la demanda. En general, el correo
electrónico se ha abaratado de forma considerable,
la información de tarjetas de crédito se vende a un
precio algo más bajo y los datos de cuentas de banca
electrónica cuestan igual que antes.
pero Symantec ha observado que cada vez están más
profesionalizados. Todos los productos o servicios que
dan un beneficio económico al comprador se cotizan a
buen precio19.
Alquilar un kit de herramientas web que infecte a las
víctimas con descargas no autorizadas supone un
desembolso de entre 100 y 700 dólares estadounidenses
por semana, con derecho a actualizaciones y asistencia
a todas horas. El malware SpyEye, detectado con
el nombre de Trojan.Spyeye y utilizado para atacar
servicios de banca online, puede alquilarse seis meses
a un precio de entre 150 y 1250 dólares, y los ataques
distribuidos de denegación de servicio (DDoS) cuestan
entre 10 y 1000 dólares al día20.
También se puede comprar malware, kits de ataque,
información sobre vulnerabilidades y hasta lo que en
inglés se denomina crimeware-as-a-service (toda la
infraestructura necesaria para «ejercer» la
ciberdelincuencia).
Los delincuentes se reparten el trabajo y cada cual tiene
sus especialidades. Hay quien crea virus y troyanos,
quien distribuye malware, quien ofrece botnets y quien
vende datos de tarjetas de crédito robadas. Algunos de
estos mercados existen desde hace una década o más,
Precios de los datos de tarjetas de crédito
en el mercado negro de distintos países.
17
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
18
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
19
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
20
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
23 I Symantec Website Security Solutions
VALOR DE LA INFORMACIÓN VENDIDA EN EL MERCADO NEGRO
Mil direcciones de
correo electrónico
robadas
0,50-10 USD
Spam y phishing
Datos de tarjetas
de crédito
0,50-20 USD
Compras fraudulentas
Pasaportes
escaneados
1-2 USD
Robo de identidad
Cuentas de
servicios de
videojuegos
robadas
10-15 USD
Adquisición de objetos virtuales valiosos
Malware
personalizado
12-3500 USD
Desvío de fondos y robo de bitcoins
Mil seguidores en
una red social
2-12 USD
El interés de los usuarios de la red en cuestión
Cuentas de servicios
en la nube robadas
7-8 USD
Alojamiento de un servidor de comando y control
(C&C)
Envío de un millón
de mensajes de
spam a cuentas de
correo electrónico
verificadas
70-150 USD
Spam y phishing
Tarjeta SIM para
móvil registrada y
activada en Rusia
100 USD
Fraudes
Fuente: Symantec
Symantec Website Security Solutions I 24
MALWARE
A finales de 2013, se logró una pequeña victoria en la larga lucha contra el malware.
Las autoridades rusas arrestaron a «Paunch», presunto creador del kit de ataque
Blackhole y responsable de un gran número de infecciones en todo el mundo22,23.
Inevitablemente, desde entonces han surgido otros kits
de ataque que han llenado el hueco de Blackhole. Como
antes, gran parte del malware sigue estando diseñado
para robar datos bancarios, pero en 2014 se atacaron
nuevos mercados. Varias instituciones financieras
japonesas fueron víctimas del troyano Snifula, dirigido al
sector bancario , y el malware njRAT, surgido en Oriente
Medio, golpeó los países de la zona24.
En octubre, solo el 7 % de los mensajes de correo
electrónico con malware contenían enlaces dañinos,
pero en noviembre eran ya el 41 % y el porcentaje
siguió aumentando a principios de diciembre. En estas
fechas, aumentó el número de mensajes basados en la
ingeniería social (algunos de los cuales simulaban ser
avisos de fax o mensajes de voz) con enlaces a dominios
secuestrados y direcciones URL que llevaban a una
página de destino con código PHP.
Si el destinatario hacía clic en los enlaces, se abría un archivo
dañino como Downloader.Ponik y Downloader.Upatre,
dos de los más usados en este tipo de engaño. Ambos
troyanos descargan malware en los equipos afectados,
como el troyano Trojan.Zbot (también llamado Zeus),
que se utiliza para robar información.25
En general, en 2014 el volumen de mensajes de correo
electrónico utilizados para distribuir malware estuvo
muy por debajo de las cifras récord alcanzadas en 2013.
NUEVOS TIPOS DE MALWARE (DIFERENCIA CON RESPECTO AL AÑO ANTERIOR)
Fuente: Symantec I .cloud
317 256 956
251 789 458
2014
2013
+26 %
En 2014 se crearon más de 317 millones de tipos de malware nuevos, un aumento de casi un millón al día. Pronto habrá en circulación
2000 millones de clases distintas (la cifra actual es de 1700 millones).
PORCENTAJE DE MENSAJES DE CORREO ELECTRÓNICO CON MALWARE
Fuente: Symantec I .cloud
12 % -13 % 25 % +2 % 23 %
2014
2013
21
http://en.wikipedia.org/wiki/Blackhole_exploit_kit
22
http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/
23
http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions
24
http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene
25
http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics
25 I Symantec Website Security Solutions
2012
PORCENTAJE DE MENSAJES DE CORREO
ELECTRÓNICO CON MALWARE
1
de cada
244 1
de cada
2014
196 1
de cada
2013
291
2012
Fuente: Symantec I .cloud
MENSAJES DE CORREO ELECTRÓNICO CON MALWARE QUE SE
VALIERON DE ENLACES EN LUGAR DE ARCHIVOS ADJUNTOS
60 %
50 %
40 %
30 %
20 %
10 %
0%
J
M
M
J
S
N
J
M
2012
Fuente: Symantec I .cloud
M
J
S
N
J
M
2013
M
J
S
N
2014
En 2014, el 12 % del malware distribuido a través del correo electrónico se valió de enlaces en lugar de archivos adjuntos
(en 2013, el porcentaje fue del 25 %).
PROPORCIÓN DE CORREOS ELECTRÓNICOS CON VIRUS, 2012–2014
100
1 de cada
150
200
250
300
350
400
J
Fuente: Symantec I .cloud
M
M
J
2012
S
N
J
M
M
J
2013
S
N
J
M
M
J
S
N
2014
Symantec Website Security Solutions I 26
RANSOMWARE
En 2014, hubo más del doble de ataques de ransomware que en el año anterior
(8,8 millones, frente a los 4,1 millones de 2013), pero aún más preocupante es el
aumento de un tipo en concreto: el crypto-ransomware, que cifra los archivos de
la víctima. Mientras que en 2013 se registraron 8 274 casos de esta variedad de
ransomware, solo un año después la cifra era 45 veces mayor: 373 342.
seguridad con las que restaurar los datos, a poder ser
fuera de Internet.
En 2013, el crypto-ransomware representaba tan solo el
0,2 % del ransomware total, equivalente a un caso de cada
quinientos. Sin embargo, a finales de 2014, este porcentaje
ya era del 4 % (uno de cada veinticinco casos).
Hay muchas variedades de ransomware y ningún sistema
operativo es inmune a ellas.26 Además, los delincuentes
se salen con la suya con relativa frecuencia porque, si
bien nadie debería pagar lo que piden, muchas empresas
y particulares acaban haciéndolo porque quieren
recuperar los archivos o los necesitan.
Los ataques con ransomware son especialmente
traumáticos para las víctimas, ya que cifran los datos
del disco duro —fotos personales, trabajos escolares,
proyectos, música, una novela a medias— y solicitan el
pago de un rescate para desbloquear los archivos. La
mejor y prácticamente única defensa es tener copias de
NÚMERO DE ATAQUES DE RANSOMWARE ENTRE 2013 Y 2014
900
800
700
MILES
600
500
400
300
200
100
E
F
Fuente: Symantec | SDAP
M
A
M
J
J
A
S
O
N
D
E
2013
Fuente: Symantec I Response
26
http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0
27 I Symantec Website Security Solutions
F
M
A
M
J
J
2014
A
S
O
N
D
CRYPTO-RANSOMWARE
El ransomware se duplicó de 2013 a 2014, pero Symantec ha observado algo más
alarmante: la explosión del crypto-ransomware, cuyos casos se han multiplicado por
más de 45.27
Existen variedades distintas, como Cryptolocker28,
CryptoDefense29 y Cryptowall30, pero el método de
ataque siempre es el mismo. Mientras que el ransomware
tradicional bloquea el equipo y exige un rescate a cambio
de desbloquearlo, el crypto-ransomware, mucho más
dañino, cifra archivos personales y guarda las claves
para descifrarlos en un sitio web externo.
CryptoDefense, que se hizo público en marzo, ilustra
muy bien la gravedad del crypto-ransomware y lo difícil
que es hallar a los culpables. El malware se distribuye
por correo electrónico, mediante archivos adjuntos que
cifran los archivos de la víctima con claves RSA de
2 048 bits y la instan a visitar una página web de la red
Tor31 en la que se solicita el pago del rescate en bitcoins.
La infección no siempre se propaga de la misma manera,
pero lo habitual es enviar un mensaje de correo electrónico
con una imagen adjunta o un archivo que parezca una
factura. A menudo, quienes ejecutan el crypto-ransomware
y quienes lo entregan ni siquiera son las mismas personas.
El envío forma parte de un servicio que revela una de las
facetas más oscuras de la economía sumergida, en la
que los delincuentes se ofrecen a infectar un número de
equipos determinado a un precio fijo.
Así es como funciona este tipo de engaño, lo que en
la mayoría de los casos impide seguir la pista de los
atacantes y les permite seguir delinquiendo.
Nada de esto ocurriría si no fuera por el verdadero
objetivo del engaño: el beneficio. Según los cálculos
de Symantec, CryptoDefense habría reportado
a los ciberdelincuentes más de 34 000 dólares
estadounidenses en un mes.32 No es de extrañar, por
tanto, que el crypto-ransomware se considere la forma
de ciberdelincuencia más eficaz en la actualidad.
CASOS DE CRYPTO-RANSOMWARE ENTRE 2013 Y 2014
80
72
70
62
60
MILES
50
43
48
46
40
36
30
24
0,2 % a lo largo de 2013
20
10
E
F
M
Fuente: Symantec | SDAP
A
M
J
J
2013
A
S
O
N
D
6
5
E
F
10 12
9
M
M
A
J
J
2014
A
S
O
N
D
Fuente: Symantec I Response
En 2013, el crypto-ransomware representaba aproximadamente el 0,2 % del total de ataques de ransomware. A finales de 2014, la
cifra había alcanzado el 4 %.
http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99
29
http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99
30
http://www.symantec.com/security_response/writeup.jsp?docid=2014-061923-2824-99
31
Tor, un híbrido de software y red abierta, permite navegar de forma anónima y evitar el análisis de tráfico. No es estrictamente ilegal, pero sí permite
a los delincuentes escudarse en el anonimato.
32
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
27
28
Symantec Website Security Solutions I 28
BOTS Y BOTNETS
En 2014, el número de bots se redujo en un 18 %
con respecto al año anterior, algo que no habría
sido posible sin el trabajo del FBI, el centro europeo
contra la ciberdelincuencia (EC3) de Europol y otros
organismos internacionales —en colaboración con
Symantec y otras empresas del sector tecnológico—.
Uno de los mayores logros en la batalla contra los bots
fue el desmantelamiento en 2014 de la botnet de Zeus
Gameover Zeus, responsable de millones infecciones en
todo el mundo desde su aparición en 201133,34. En los
dos últimos años, la cooperación entre las autoridades
y las empresas informáticas ha servido para acabar con
varias botnets35,36 .
FUENTES DE ACTIVIDAD MALICIOSA: BOTS (2012–2014)
País o región
Puesto en 2014 por
el n.º de bots
Porcentaje de bots en 2014
Puesto en 2013 por
el n.º de bots
Porcentaje de bots en
2013
China
1
16,5 %
2
9,1 %
España
2
16,1 %
1
20,0 %
Taiwán
3
8,5 %
4
6,0 %
Italia
4
5,5 %
3
6,0 %
Hungría
5
4,9 %
7
4,2 %
Brasil
6
4,3 %
5
5,7 %
Japón
7
3,4 %
6
4,3 %
Alemania
8
3,1 %
8
4,2 %
Canadá
9
3,0 %
10
3,5 %
Polonia
10
2,8 %
12
3,0 %
Fuente: Symantec I GIN
En 2014, China y Estados Unidos, dos de los países más poblados del mundo y con la mayor concentración de internautas, siguieron
en cabeza en cuanto al número de bots, pero la primera le arrebató el primer puesto a los segundos —posiblemente, debido al
desmantelamiento de la botnet de Zeus Gameover—.
33
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
34
http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/
35
http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets
36
http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption
29 I Symantec Website Security Solutions
NÚMERO DE BOTS
-18 %
1,9 MILLONES
2,3 MILLONES -33 %
3,4 MILLONES
2014
2013
2012
Fuente: Symantec I GIN
En 2014, el número de bots se redujo debido en parte a la «Operación Tovar», que acabó con la botnet de Zeus GameOver, utilizada
para fraudes bancarios y para distribuir el ransomware CryptoLocker.37
BOTNETS QUE ENVIARON MÁS SPAM EN 2014
Porcentaje de
spam
enviado
Mensajes
aproximados de
spam al día
Países desde los que las botnets envían más spam
Puesto n.º 1
Puesto n.º 2
Puesto n.º 3
KELIHOS
51,6 %
884 044
España 10,5 %
EE. UU. 7,6 %
Argentina 7,3 %
DESCONOCIDO/
OTRO
25,3 %
432 594
EE. UU 13,5 %
Brasil 7,8 %
España 6,4 %
GAMUT
7,8 %
133 573
Rusia 30,1 %
Vietnam 10,1 %
Ucrania 8,8 %
CUTWAIL
3,7 %
63 015
Rusia 18,0 %
La India 8,0 %
Vietnam 6,2 %
DARKMAILER5
1,7 %
28 705
Rusia 25,0 %
Ucrania 10,3 %
Kazajistán 5,0 %
DARKMAILER
0,6 %
9 596
Rusia 17,6 %
Ucrania 15,0 %
China 8,7 %
SNOWSHOE
0,6 %
9 432
Canadá 99,9 %
EE. UU 0,02 %
Japón 0,01 %
ASPROX
0,2 %
3 581
EE. UU 76,0 %
Canadá 3,4 %
Reino Unido 3,3 %
DARKMAILER3
0,1 %
1 349
EE. UU 12,7 %
Polonia 9,6 %
Corea del Sur 9,1 %
GRUM
0,03 %
464
Canadá 45,7 %
Turquía 11,5 %
Alemania 8,5 %
Nombre de la botnet
Fuente: Symantec I .cloud
37
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
Plug-in Vulnerabilities by Month
Symantec Website Security Solutions I 30
ATAQUES DIRIGIDOS A OSX
En los últimos años, Apple se ha dado cuenta de la
importancia de proteger su sistema operativo frente a
las amenazas más recientes y por fin ha incorporado
un par de funciones de seguridad. XProtect analiza las
descargas y las coteja con la lista de archivos dañinos de
Apple para avisar al usuario si se detectan coincidencias.
GateKeeper utiliza la firma de código como criterio para
limitar el número de aplicaciones que pueden ejecutarse
en equipos OSX. Hay varios grados de protección posibles:
permitir únicamente las instalaciones realizadas desde
el Mac App Store oficial; autorizar la instalación de
aplicaciones de desarrolladores que Apple considere
fiables; o autorizar la instalación de aplicaciones
firmadas de cualquier desarrollador.
Sin embargo, aunque estas medidas de seguridad para
OSX ayudan a repeler las amenazas, tampoco son
infalibles. Con las soluciones de seguridad basadas en
firmas, siempre existe el riesgo de que las aplicaciones
infecten los equipos antes de que se creen las firmas
necesarias para bloquearlas. Además, existen aplicaciones
dañinas con firmas de desarrollador falsas o robadas.
En 2014, las amenazas dirigidas a OSX y a otros sistemas
operativos fueron muy similares. Los navegadores se
utilizaron para la propagación de troyanos, y amenazas
conocidas como Flashback, que infectó más de 600 000
equipos Mac en 2012, siguieron causando estragos (dos
variantes de este troyano ocuparon el tercer y el décimo
puesto por número de ataques). Entre los ataques más
habituales también se encuentran los que modifican la
configuración DNS, la del navegador o los parámetros de
búsqueda del equipo OSX.
La existencia de malware en algunas aplicaciones de
OSX piratas y la peligrosidad de estas quedó patente
sobre todo en dos casos.
El primer ejemplo fue el troyano OSX.Wirelurker, que
ataca tanto a los equipos Mac con OSX como a los
dispositivos iOS conectados a ellos. La amenaza se
hizo noticia al descubrirse en 467 de las aplicaciones
para OSX alojadas en una tienda no oficial ubicada en
China. Para cuando Apple se dio cuenta y procedió a
bloquearlas, ya se habían realizado 356 000 descargas.
38
http://www.thesafemac.com/iworm-method-of-infection-found/
31 I Symantec Website Security Solutions
Otro caso muy sonado fue el de OSX.Luaddit (o iWorm),
que añadía los equipos infectados a una botnet de OSX.
En este caso, la amenaza estaba oculta en copias pirata
de productos comerciales como Adobe Photoshop,
Microsoft Office y Parallels38. Antes de conocerse el
problema, miles de personas habían descargado estas
versiones en sitios web de archivos Torrent.
Los troyanos OSX.Stealbit.A y OSX.Stealbit.B, cuya
finalidad es el robo de bitcoins, analizan el tráfico del
navegador para hacerse con los datos de acceso a los
principales sitios web de transacciones con esta moneda
electrónica. El segundo se situó entre los cinco primeros
puestos del ranking de amenazas para OSX en 2014.
También causó estragos el troyano OSX.Slordu, que
recopila información sobre los equipos infectados y,
al parecer, es un puerto OSX de una conocida puerta
trasera de Windows.
OSX.Ventir, por su parte, se distinguió por su estructura,
con componentes optativos para distintos fines: abrir
una puerta trasera, registrar pulsaciones de teclas o
instalar software espía. Los módulos descargados e
instalados en OSX varían según el uso que el atacante
quiera dar al equipo infectado.
OSX.Stealbit.A, cuya finalidad es el robo de bitcoins,
analiza el tráfico de del navegador para hacerse con
los datos de acceso a los principales sitios web de
transacciones con esta moneda electrónica.
TIPOS DE MALWARE PARA MAC OSX MÁS BLOQUEADOS EN
DISPOSITIVOS CON ESTE SISTEMA OPERATIVO (2013-2014)
Puesto
Nombre
Porcentaje de
amenazas para
Mac en 2014
Porcentaje de
amenazas para
Mac en 2013
Nombre
1
OSX.RSPlug.A
21,2 %
OSX.RSPlug.A
35,2 %
2
OSX.Okaz
12,1 %
OSX.Flashback.K
10,1 %
3
OSX.Flashback.K
8,6 %
OSX.Flashback
9,0 %
4
OSX.Keylogger
7,7 %
OSX.HellRTS
5,9 %
5
OSX.Stealbit.B
6,0 %
OSX.Crisis
3,3 %
6
OSX.Klog.A
4,4 %
OSX.Keylogger
3,0 %
7
OSX.Crisis
4,3 %
OSX.MacControl
2,9 %
8
OSX.Sabpab
3,2 %
OSX.FakeCodec
2,3 %
9
OSX.Netweird
3,1 %
OSX.Iservice.B
2,2 %
10
OSX.Flashback
3,0 %
OSX.Inqtana.A
2,1 %
Fuente: Symantec I SDAP
Symantec Website Security Solutions I 32
Plug-in Vulnerabilities by Month
MALWARE EN SISTEMAS VIRTUALES
La virtualización no ofrece ninguna garantía contra el malware. En la actualidad,
ya hay tipos de malware que detectan si se están ejecutando en una máquina
virtual y, en lugar de detenerse, alteran su modus operandi para reducir el riesgo
de detección39. Hasta hace poco, solo en torno al 18 % del malware detectaba si
estaba ejecutándose en sistemas VMware, pero esta proporción se elevó al 28 % a
principios de 201440.
Esta función no solo sirve para eludir a los
investigadores de seguridad. Una vez instalado en
una máquina virtual, el malware podría pasar a otras
máquinas virtuales del mismo equipo o infectar el
hipervisor, con lo que sería mucho más peligroso y difícil
de eliminar41. De hecho, esta situación ya se ha dado con
el malware W32.Crisis, que trata de infectar imágenes de
máquinas virtuales guardadas en un equipo anfitrión42.
Para los responsables informáticos, estos ataques son
especialmente preocupantes, ya que escapan a los
sistemas de detección de intrusiones que analizan el
perímetro de seguridad y a los firewalls que utilizan
máquinas virtuales para aislar y detectar las amenazas
en los llamados sandboxes. Además, no todas las
máquinas virtuales están igual de protegidas que los
clientes o servidores tradicionales, debido a la falsa
creencia de que son inmunes al malware. Para que los
planes de seguridad y el ciclo de aplicación de revisiones
sigan siendo eficaces, las empresas deberían pensar en
cómo proteger los equipos de red, los hipervisores y las
redes definidas por software.
http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines
Ibid
41
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf
42
Ibid
39
40
33 I Symantec Website Security Solutions
EXTORSIÓN DIGITAL:
BREVE HISTORIA DEL RANSOMWARE
Peter Coogan
En 2014, el denominado crypto-ransomware fue noticia
prácticamente todo el año. Mientras que el ransomware
corriente se limita a bloquear los dispositivos, esta
variante más nueva y virulenta cifra los archivos de datos
y, en la mayoría de los casos, no permite recuperarlos.
Sin embargo, el objetivo es el mismo en ambos casos:
convencer a la víctima de que pague un rescate para
librarse de la infección.
Aunque el ransomware existe desde hace más de una
década, su uso ha aumentado en los últimos años porque
reporta más ingresos a los ciberdelincuentes que otras
prácticas, como la creación de antivirus falsos. Podría
decirse que, de los antivirus falsos, se ha pasado al
ransomware y luego al crypto-ransomware, pero los
creadores de malware nunca se duermen en los laureles
y ya se empiezan a vislumbrar nuevos tipos de amenazas
digitales.
Los antivirus y el software de seguridad falsos son
aplicaciones de pago que hacen creer a los usuarios que
su equipo está infectado y que deben tomar medidas
para remediarlo, cuando en realidad se trata de un
engaño. Estos programas tienen una larga historia,
pero vivieron su momento cumbre en 2009. Según un
informe de Symantec, ese año se realizaron 43 millones
de intentos de instalación de software de seguridad falso
con 250 programas distintos, lo que supuso un coste de
entre 30 y 100 dólares estadounidenses para cada una
de las personas que compró software de este tipo.43
Se conoce como ransomware a un tipo de software
malicioso que bloquea los equipos infectados, impide
acceder a ellos y muestra a la víctima un mensaje de
ingeniería social en el que se solicita un pago a cambio
de desbloquearlos. En 2012, Symantec ya informó del
auge de este fenómeno y de lo que se cobraba por
eliminar las restricciones: de 50 a 100 EUR en Europa y
hasta 200 USD en Estados Unidos.44
Desde que en 2013 se descubrió Trojan.Cryptolocker45,
que reportó sustanciosos beneficios a quienes lo
usaron, los creadores de malware han tratado de
elaborar nuevos tipos de crypto-ransomware. En 2014,
se observó un mayor número de cepas que empleaban
nuevas plataformas y técnicas de evasión y presentaban
características distintas, aunque también siguieron
usándose otros métodos de extorsión ya conocidos.
Trojan.Cryptodefense46 (también llamado Cryptowall)
fue uno de los más prolíficos. Apareció a finales de
febrero de 2014 y, en un principio, se comercializó
con la denominación «CryptoDefense». Para evitar ser
detectado, empleaba la red de anonimato Tor, el cobro
en Bitcoins, el cifrado de datos con claves RSA de 2048
bits y medidas de presión para exigir el pago. Si la
víctima se negaba a pagar los 500 USD/EUR del rescate
solicitado en un principio, se le pedían otros 500 USD/EUR
más. Sin embargo, pronto se descubrió que el tipo de
cifrado elegido por los creadores del malware dejaba la
clave privada en el sistema, lo que permitía al afectado
salir indemne. Una vez descubierto esto, los autores
solucionaron el error y recomercializaron el malware con
el nombre de Cryptowall. Desde entonces, Cryptowall
ha seguido evolucionando e incorporando nuevas armas
como la elevación de privilegios, las técnicas de evasión de
análisis o el uso de la red Invisible Internet Project (I2P)
para garantizar una comunicación anónima. Cryptowall
reportó un beneficio conocido de al menos 34 000 USD
en su primer mes de existencia47, y de más de un
millón de dólares en seis meses según cálculos de los
investigadores.48
Los creadores de ransomware siempre se han lucrado
atacando PC de Windows, y lo normal es que sigan
haciéndolo. Sin embargo, en 2014 empezaron a
interesarse también por otras plataformas. La banda
de ciberdelincuentes Reveton puso en circulación el
ransomware Android.Lockdroid.G49, también llamado
Koler, que atacaba los dispositivos Android de tres
maneras distintas mediante un sistema de distribución
del tráfico. Si la situación era propicia para el ataque
(por ejemplo, si alguien estaba viendo un sitio web
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99
46
http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99
47
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
48
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/
49
http://www.symantec.com/security_response/writeup.jsp?docid=2014-050610-2450-99
50
http://www.symantec.com/security_response/writeup.jsp?docid=2011-051715-1513-99
43
44
45
Symantec Website Security Solutions I 34
controlado por la banda con un navegador determinado), el tráfico
se redirigía al tipo de ransomware más adecuado.
Ahora el ransomware puede propagarse a través de cualquier
plataforma. En Android, se usan técnicas de redirección que
provocan la descarga de Android.Lockdroid.G; en Internet Explorer,
se infecta a la víctima con el troyano Trojan.Ransomlock.G
mediante el kit de ataque Angler50; y otros navegadores para
Windows, Linux o Mac redirigen a los usuarios a Browlock51, otra
forma de ransomware que utiliza las herramientas del propio
navegador para bloquear el equipo y exigir un rescate.
En junio de 2014, se descubrió el primer ransomware para Android
capaz de cifrar archivos: Android.Simplocker52. Aunque la versión
original estaba en ruso, un mes después ya circulaba otra en inglés
(Android.Simplocker.B53) que se servía de la ingeniería social
para hacerse pasar por el FBI. En octubre de 2014, salió a la luz
Android.Lockdroid.E54 (Porndroid), que también solicitaba dinero
a la víctima en nombre del FBI y, además, le enviaba una foto suya
tomada con cámara del dispositivo. Posteriormente, surgieron otras
variantes de Android.Lockdroid tipo gusano que se propagaban
enviando mensajes SMS a los contactos de la libreta de direcciones
del dispositivo infectado con el objeto de engañarlos mediante la
ingeniería social.
No contentos con los dispositivos móviles y decididos a encontrar
otras fuentes de ingresos, los creadores de ransomware dieron con
otro objetivo: los sistemas de almacenamiento conectado a red
(NAS), en los que se almacena un gran número de archivos.
Trojan.Synolocker55 (o Synolocker a secas) les permitió atacarlos
aprovechando un defecto del software DiskStation Manager
de Synology. Gracias a esta vulnerabilidad, hasta entonces
desconocida, los delincuentes podían infiltrarse en los dispositivos,
cifrar todos los archivos y pedir un rescate a cambio de desbloquearlos.
Ahora existen soluciones que protegen los sistemas NAS, pero lo
ocurrido demuestra que quienes se valen del ransomware buscan
continuamente nuevos escenarios de ataque.
Ransomware para Android «Porndroid»
Pero ¿por qué cambia el ransomware con tanta rapidez? Los
ciberdelincuentes suelen pedir rescates de entre 100 y 500 dólares
estadounidenses, así que se trata de un negocio lucrativo. Además,
en 2014 los bitcoins se convirtieron en el método de pago estándar
para casi todo el ransomware nuevo, con lo que es fácil escudarse
en el anonimato y blanquear fácilmente las ganancias.
Según lo observado por Symantec, no solo ha aumentado el número
de cepas de ransomware, sino también el ritmo de crecimiento en
general. De 2013 a 2014, la incidencia del ransomware se incrementó
en un 113 %. La aparición de nuevas variedades y los beneficios
económicos hacen pensar que, lejos de desaparecer, esta práctica
será aún más frecuente en el futuro.
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
http://www.symantec.com/security_response/writeup.jsp?docid=2014-060610-5533-99
http://www.symantec.com/security_response/writeup.jsp?docid=2014-072317-1950-99
54
http://www.symantec.com/security_response/writeup.jsp?docid=2014-103005-2209-99
55
http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99
51
52
53
35 I Symantec Website Security Solutions
CONSEJOS Y PRÁCTICAS
RECOMENDADAS
36 I Symantec Website Security Solutions
Pese a las vulnerabilidades detectadas este año, los protocolos SSL y TLS siguen siendo la
mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los
datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas
han empezado a contratar a desarrolladores especializados en SSL para mejorar el código
y solucionar posibles errores. Así que ahora las bibliotecas SSL están más controladas que
nunca y, además, se han establecido prácticas recomendadas comunes para utilizarlas.
En 2014, los algoritmos de los certificados SSL se volvieron más seguros porque Symantec y otras
autoridades de certificación abandonaron las claves de 1024 bits y empezaron a utilizar certificados
SHA-2 de forma predeterminadai.
La importancia
de utilizar
tecnologías SSL
más seguras
Microsoft y Google anunciaron que pronto dejarían de aceptar certificados SHA-1 que caducaran
después del 31 de diciembre de 2015ii. Si aún no ha migrado a SHA-2, Chrome mostrará una
advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarán de funcionar en
Internet Explorer a partir del 1 de enero de 2017.
Symantec también está potenciando el uso del algoritmo ECC, mucho más seguro que el cifrado RSA.
En este momento, los navegadores más importantes para equipos de escritorio y dispositivos móviles
ya admiten los certificados ECC, que ofrecen tres ventajas principales:
1.Mayor seguridad. Las claves ECC de 256 bits son 64 000 veces más difíciles de descifrar que las
claves RSA de 2048 bits de uso estándar en el sector.iii Para descifrar el algoritmo mediante un ataque
de fuerza bruta, se necesitaría mucho más tiempo y una potencia de procesamiento mucho mayor.
2.Mejor rendimiento. Anteriormente, muchas empresas tenían miedo a que los certificados SSL
ralentizaran el funcionamiento del sitio web y optaban por una adopción parcial que ofrecía una
protección muy deficiente. Un sitio web protegido con un certificado ECC requiere menos potencia
de procesamiento que otro que utilice un certificado RSA, lo que permite atender más conexiones
y usuarios al mismo tiempo. En este momento, adoptar la tecnología Always-On SSL no solo es
recomendable, sino que está al alcance de cualquier empresa.
3.Perfect Forward Secrecy (PFS). Aunque la tecnología PFS es compatible con certificados basados
en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos últimos. Pero ¿qué
importancia tiene esto? Si un sitio web carece de protección PFS, un hacker que se apropie de sus
claves privadas podría descifrar todos los datos intercambiados en el pasado. Esto es lo que permitía
la vulnerabilidad Heartbleed en los sitios web afectados, lo que dejó clara la gravedad de este
problema. Con la tecnología PFS, alguien que robe o descifre las claves privadas de los certificados
SSL solo podrá descifrar la información protegida con ellas desde el momento del ataque, pero no la
intercambiada con anterioridad.
En 2014 quedó claro que la tecnología SSL solo es segura si se adopta y mantiene como es debido. Por
tanto, es necesario:
• Utilizar la tecnología Always-On SSL. Proteja con certificados SSL todas las páginas de su sitio web
para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen.
Uso adecuado
de la tecnología
SSL
• Mantener actualizados los servidores. No basta con mantener al día las bibliotecas SSL del servidor;
toda actualización o revisión debe instalarse cuanto antes para reducir o eliminar las vulnerabilidades
que pretende corregir.
•
Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien visibles de
su sitio web para demostrar a los clientes que se toma en serio su seguridad.
•
Hacer análisis periódicos. Vigile sus servidores web para detectar posibles vulnerabilidades o
infecciones con malware.
•Asegurarse de que la configuración del servidor esté actualizada. Las versiones antiguas del
protocolo SSL (SSL2 y SSL3) no son seguras. Cerciórese de que el sitio web no las admita y dé
prioridad a las versiones más recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el servidor
está bien configurado con herramientas como SSL Toolbox de Symantec.iv
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/en/uk/page.jsp?id=sha2-transition
iii
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
Symantec Website Security Solutions I 37
Para que sus sitios web y servidores estén más protegidos este año, guíese por el sentido
común y adopte los hábitos de seguridad que le recomendamos a continuación.
• Asegúrese de que los empleados no abran archivos adjuntos de gente que no conozcan.
Conciencie
a sus
empleados
•Ayúdeles a reconocer los peligros que acechan en las redes sociales. Explíqueles que,
si una oferta parece falsa, seguramente lo sea; que la mayoría de las estafas están
relacionadas con noticias de actualidad; y que las páginas de inicio de sesión a las que
conducen algunos enlaces pueden ser una trampa.
•Si un sitio web o aplicación ofrecen autenticación de dos factores, dígales que elijan
siempre esta opción.
•Pídales que usen contraseñas distintas para cada cuenta de correo electrónico,
aplicación, sitio web o servicio (sobre todo si están relacionados con el trabajo).
•Recuérdeles que usen el sentido común. No por tener un antivirus es menos grave visitar
sitios web dañinos o de naturaleza dudosa.
Los atacantes utilizan técnicas cada vez más agresivas, avanzadas e implacables para
lucrarse en Internet, pero las empresas y los particulares tienen muchísimas maneras de
protegerse.
Tiene dos
opciones: la
seguridad
o la
vergüenza
v
Hoy en día, una empresa que no utilice la tecnología SSL o descuide la seguridad de su
sitio web se expone al escarnio público. Incluso puede acabar saliendo en HTTP Shaming,
una página creada por el ingeniero de software Tony Webster en la que se señala a los
culpables.v
Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para
evitar el descrédito y la ruina financiera. Tome nota y, en 2015, protéjase con Symantec.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
38 I Symantec Website Security Solutions
PRÓXIMAMENTE
SEGUNDA PARTE: ATAQUES DIRIGIDOS Y
FILTRACIONES DE DATOS
Conozca las últimas noticias sobre el
ciberespionaje y las nuevas técnicas
utilizadas en los ataques dirigidos,
el spear-phishing y los ataques de
abrevadero, entre otros.
Symantec Website Security Solutions I 39
PERFIL DE SYMANTEC
Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en protección
de la información cuyo objetivo es ayudar a particulares, empresas e instituciones
gubernamentales a aprovechar libremente las oportunidades que les brinda la
tecnología, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura
en la lista Fortune 500, controla una de las mayores redes de inteligencia de datos del
mundo y comercializa soluciones líderes en materia de seguridad, copia de seguridad
y disponibilidad que facilitan el almacenamiento de información, su consulta y su uso
compartido. Cuenta con más de 20 000 empleados en más de 50 países, y el 99 % de las
empresas de la lista Fortune 500 son clientes suyos. En el ejercicio fiscal de 2013, registró
una facturación de 6 900 millones de dólares estadounidenses.
Visite www.symantec.es para obtener más información o go.symantec.com/socialmedia
para conectarse con nosotros en las redes sociales.
Más información
• Sitio web global de Symantec: http://www.symantec.com/
•Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos útiles de Symantec:
http://www.symantec.com/threatreport/
• Symantec Security Response: http://www.symantec.com/security_response/
• Buscador de amenazas de Norton: http://us.norton.com/security_response/threatexplorer/
• Índice de cibercrimen de Norton: http://us.norton.com/cybercrimeindex/
40 I Symantec Website Security Solutions
Si desea los números de teléfono de algún país en concreto, consulte nuestro
sitio web. Para obtener información sobre productos, llame al,
900 931 298 o al (+41) 26 429 77 27
Symantec España
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcón, Madrid, España
www.symantec.es/ssl
© 2015 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de
comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en
los Estados Unidos y en otros países por Symantec Corporation o sus filiales. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.