Panorama del ciberdelito en Latinoamérica

Transcription

Registro de Direcciones de Internet para Latinoamérica y
el Caribe (LACNIC)
Centro Internacional de Investigaciones para el
Desarrollo (IDRC)
Proyecto Amparo
“You cannot manage what you cannot measure”
Atribuida a Bill Hewlett (1930-2001), Cofundador de Hewlett-Packard
Autores:
Patricia Prandini
Marcia L. Maggiore
Director del Proyecto: Ing. Eduardo Carozo
Año 2011
Índice
Resumen .............................................................................................................................. 5
Capítulo I – Presentación del Informe ................................................................................ 6
Introducción.................................................................................................................................6
Objetivo del informe....................................................................................................................7
Principales dificultades ................................................................................................................8
Etapas del análisis ........................................................................................................................9
Estructura del informe .................................................................................................................9
Capítulo II – Evolución y Marco Conceptual de los Ciberdelitos.......................................11
La prehistoria .............................................................................................................................11
Actualidad de los ciberataques..................................................................................................12
Quiénes son los delincuentes ....................................................................................................13
Objeto del ciberdelito ................................................................................................................14
Una cuestión de confianza.........................................................................................................15
Capítulo III – Panorama General de las Ciberamenazas ...................................................16
Introducción...............................................................................................................................16
Objetivo y alcance del capítulo..................................................................................................17
Metodología...............................................................................................................................17
Una aproximación sobre la actividad global..............................................................................18
Correo Electrónico...............................................................................................................................18
Sitios Web............................................................................................................................................18
Nombres de dominio...........................................................................................................................18
Usuarios de Internet............................................................................................................................19
Redes Sociales .....................................................................................................................................19
Videos..................................................................................................................................................19
Imágenes .............................................................................................................................................19
Las amenazas en su conjunto ....................................................................................................20
Situación global ...................................................................................................................................20
Situación en Latinoamérica .................................................................................................................24
Patricia Prandini – Marcia L. Maggiore
Junio 2011 – Pág. Nº 2/84
Actividad maliciosa discriminada por tipo de amenaza ............................................................25
Código malicioso (MALICIOUS CODE).......................................................................................................25
¿Para qué se usan los códigos maliciosos? .........................................................................................26
Spam ..........................................................................................................................................31
Situación Global...................................................................................................................................31
Phishing......................................................................................................................................35
Botnet ........................................................................................................................................40
Otras actividades maliciosas......................................................................................................43
Código malicioso multiplataforma ......................................................................................................43
Búsquedas en la web llevan a sitios maliciosos ..................................................................................44
Las amenazas de las redes sociales.....................................................................................................44
Falsos antivirus (rogueware) ...............................................................................................................45
Violación de datos ...............................................................................................................................45
Explotación de vulnerabilidades .........................................................................................................46
Ataque distribuido de denegación de servicio (DDoS – DoS) .............................................................49
Tendencias 2011 ........................................................................................................................50
Capítulo IV - Impacto Económico ......................................................................................52
Introducción...............................................................................................................................52
Porqué medir el impacto económico ........................................................................................52
Dificultades para la estimación..................................................................................................53
Costos asociados a los incidentes informáticos.........................................................................55
Objetivo y alcance del capítulo..................................................................................................55
Informes internacionales ...........................................................................................................56
Fuentes de datos y metodología ...............................................................................................57
Fraudes Financieros ...................................................................................................................58
Estimaciones........................................................................................................................................59
Otros valores de interés ......................................................................................................................61
Fraude en el comercio electrónico ............................................................................................62
Estimaciones........................................................................................................................................62
Fraudes vinculados a la identidad .............................................................................................65
Estimaciones........................................................................................................................................66
Otros tipos de incidentes...........................................................................................................67
Los valores de la ciberdelincuencia ...........................................................................................68
Capítulo V – Conclusiones .................................................................................................71
Capítulo VI – Recomendaciones ........................................................................................74
Para los Gobiernos .....................................................................................................................74
Para la Academia .......................................................................................................................74
Para el Sector Privado................................................................................................................75
Para los Usuarios........................................................................................................................75
Especialistas y Fuentes Consultados .................................................................................77
Glosario..............................................................................................................................81
Resumen
Latinoamérica ha ingresado al mundo de las Tecnologías de la Información y las Comunicaciones al ritmo
de otras sociedades modernas del planeta. Como inevitable consecuencia, se ve obligada a enfrentar un
importante desafío para proteger la información de las personas y organizaciones, garantizar la
disponibilidad de los servicios y evitar accesos no autorizados a las infraestructuras y sistemas.
El presente informe, realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y
el Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC), analizó la
situación de los países latinoamericanos desde la perspectiva del ciberdelito, considerando la región
tanto origen como blanco de ataques. Para ello se consultaron fuentes de datos públicas producidas por
entidades gubernamentales y de investigación y empresas proveedores de servicios y productos de
seguridad localizadas en la región y en otros países del mundo. El trabajo fue desarrollado con el
objetivo de favorecer un mayor conocimiento de la incidencia del ciberdelito en Latinoamérica y de
generar un marco para futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado
cuando se disponga de información más precisa.
Los distintos informes consultados muestran que tanto globalmente como a partir de casos particulares
de ataques, Latinoamérica siempre se encuentra presente, representada en primer término por Brasil.
Esta situación se aprecia para casos de spam, phishing, código malicioso y botnets, entre otras
actividades maliciosas. En general, cuando estos listados se amplían aparecen otros países tales como
Argentina, Bolivia, Colombia, Ecuador, Chile, Perú o México. Los casos más resonantes de ataques, como
por ejemplo los ocurridos a partir de las botnets Mariposa y Rustock o las infecciones de Conficker o
Sality.AE, también se muestran en la región con fuerte incidencia.
La tarea de determinar el impacto económico del ciberdelito es sumamente compleja principalmente
por la ausencia de reportes concretos de ataques tanto de organizaciones como de usuarios. A pesar de
ello, a partir de metodologías empleadas en informes internacionales, pero utilizando datos locales, se
realizaron algunas estimaciones de lo que serían las pérdidas anuales en Latinoamérica por phishing
tanto para los clientes como para las instituciones bancarias, el fraude en el comercio electrónico y el
robo de identidad. Los valores calculados fueron presentados y deben ser interpretados como
indicativos ya que ante la ausencia de datos reales, resulta imposible un cálculo más preciso.
Los informes y especialistas consultados estiman que el campo de las plataformas móviles, los servicios
que soportan las infraestructuras críticas de los países y las redes sociales serán blanco de ataques en el
futuro cercano, y que continuará creciendo el robo de identidad a través de ataques combinados.
El trabajo concluye con una serie de recomendaciones para países, gobiernos, academia y usuarios y
cierra destacando la necesidad de desarrollar estrategias organizacionales, nacionales y regionales para
la implementación de instancias de reporte, la generación de confianza entre usuarios y organizaciones
en cuanto a la voluntad de combatir el ciberdelito y el establecimiento de condiciones de franca
colaboración entre el sector público y el privado y entre los países, favoreciendo de esta manera el
desarrollo de una cultura de la ciberseguridad a nivel regional y global.
Capítulo I – Presentación del Informe
Introducción
Las sociedades modernas alrededor del mundo funcionan en la actualidad sobre la base de una amplia
gama de tecnologías que garantizan su actividad continua, confiable y efectiva. En efecto, servicios
esenciales para el bienestar de la población y el desarrollo económico de las naciones se sustentan en
un empleo creciente de servicios tecnológicos que mejoran la calidad de vida y facilitan las labores
cotidianas de las personas y las organizaciones.
Es indudable que el alto nivel de penetración de estas tecnologías de la información y las
comunicaciones ha traído múltiples beneficios, extendiendo las posibilidades de incorporación de
conocimiento, mejorando la gestión de los gobiernos, agilizando la realización de trámites, facilitando el
acceso a servicios bancarios y de comunicaciones, favoreciendo contactos globales y hasta influyendo en
las actividades de esparcimiento, solo por nombrar algunas ventajas.
Latinoamérica no ha sido ajena a este fenómeno y hoy la habita el 10,4% de los usuarios de Internet del
mundo, con una penetración del 34,5% sobre el total de sus habitantes, muy por encima del promedio
mundial (28,7%) y del de otras regiones del planeta. Estos valores provistos por “Internet World
Stats”1 muestran además una tendencia positiva a lo largo de la primera década de este milenio, con un
crecimiento del 1.032,8% entre los años 2001 y 2010, superando también a otras áreas geográficas.
Un informe de VISA2 del año 2010 concluía que el comercio electrónico en Latinoamérica y el Caribe
había registrado un crecimiento de más del 39% durante el año 2009, alcanzando los 21.800 millones de
dólares en dicho período. Diversos informes señalan que Latinoamérica se convirtió en el segundo
mercado de telefonía celular más grande del mundo, desplazando a Europa de Este3.
Sin embargo, estas mismas tecnologías que facilitan la vida cotidiana y potencian el desarrollo
económico, presentan importantes desafíos frente a la necesidad de proteger la información de las
personas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados a
los datos y sistemas. La naturaleza global de Internet implica que los ataques o las fallas puedan
impactar en cualquier punto de su estructura y complejiza la posibilidad de identificar a sus autores y
determinar su verdadero alcance e impacto.
Como agravante, la tecnología se desarrolla a un ritmo extremadamente rápido y el tiempo que media
entre el descubrimiento de una nueva vulnerabilidad y la aparición de las técnicas que la explotan, es
cada vez menor. En la mayoría de los casos, la tecnología empleada en los ataques es simple, barata y
fácil de conseguir en uno o más sitios de la propia Internet y los mecanismos utilizados pueden
1
Internet World Stats – World Internet Users and Population Stats - Consultado el 20/05/2011 http://www.internetworldstats.com/stats.htm
2
Ecommerce Journal - Artículo del 06/08/2010 - “Visa: e-commerce in Latin America and Caribbean has spiked
nearing 40% in 2009” - Consultado el 13/04/2011 - http://ecommerce-journal.com/news/29219_visa-ecommerce-latin-america-and-caribbean-has-spiked-nearing-40-2009
3
BBC Mundo - Artículo del 07/10/2010 por David Cuen “Latinoamérica es el segundo mercado de celulares más
grande del mundo” - Consultado el 13/04/2011 http://www.bbc.co.uk/mundo/noticias/2010/10/101006_1046_telefonos_celulares_america_latina_dc.shtml
automatizarse por lo que aumentan las posibilidades de replicación del daño, a partir de una única
acción.
Otra característica que acompaña este escenario es el encadenamiento de ataques, de manera que
combinando distintas herramientas tecnológicas y mecanismos de engaño, es posible llegar a un
número cada vez mayor de personas conectadas, desmaterializando el concepto de fronteras
organizacionales o nacionales. Se ha registrado también un desplazamiento del foco hacia las
computadoras domésticas que a partir del fuerte desarrollo de la banda ancha, son utilizadas para
cometer ataques sobre otros individuos o entidades, sin que la víctima siquiera lo perciba. El usuario
común se transforma así en un partícipe involuntario de un ataque informático, pudiendo inclusive
verse afectado por acciones legales.
Nuevamente, los países de Latinoamérica no son ajenos a este fenómeno y como el resto del mundo,
sus organizaciones, gobiernos y población en general, sufren las consecuencias de las actividades ilícitas
y de las vulnerabilidades propias de las tecnologías y de Internet. Efectivamente, estos ataques se
presentan bajo las mismas formas que en otros países, ya sean casos de robo de identidad, “PHISHING”4,
denegación de servicio, robo de información, violaciones a la propiedad intelectual, etc.
Un informe de la firma Symantec5 indica que Latinoamérica es fuente de una elevada proporción de
computadoras infectadas por botnets en el mundo, alcanzando un 15% del total global. La Federación
Brasilera de Bancos del Brasil (Febraban)6 por su parte, informó que el volumen de fraudes electrónicos
en el primer semestre del 2010 fue de aproximadamente el equivalente a 245 millones de dólares.
Frente a este panorama, aparecen diversos interrogantes a la hora de determinar la verdadera
dimensión del problema. Cabe preguntarse cuál es la real situación de Latinoamérica frente a este
fenómeno, cuál es el impacto que tienen los ataques cibernéticos sobre sus países y las personas que los
habitan, cuáles son las pérdidas estimadas a consecuencia de la ciberdelincuencia e inclusive, cómo
participa la región en la realización de esos ataques.
Objetivo del informe
En este contexto, el objetivo general de este trabajo es analizar la situación de los países
latinoamericanos desde la perspectiva del ciberdelito, considerando que éstos puedan ser tanto origen
como blanco de ataques.
En consecuencia, el presente informe se propone:
•
Revisar y exponer el panorama de los ciberdelitos que afectan en mayor medida a los países de la
región, compendiando para ello la información disponible en bases de datos de acceso público
4
El formato cursiva y versales identifica a las palabras cuyo significado se encuentra en el Glosario. Cabe señalar
que se ha optado por mantener en el idioma de origen aquellas palabras que no tienen una adecuada traducción al
Castellano.
5
Symantec Corporation - LAM Bot-Infected Computers by Country for 2010 – Consultado el 15/05/2011 http://www.symantec.com/business/threatreport/topic.jsp?id=lam&aid=lam_bot_infected_computers_by_countr
y
6
NOW!DIGITAL BUSINESS – Artículo del 31/08/2010 por Renato Rodrigues “Fraudes em internet banking deram
prejuízo
de
R$
900
milhões
em
2009”
–
Consultado
el
20/05/2011
http://idgnow.uol.com.br/seguranca/2010/08/31/fraudes-online-deram-prejuizo-de-r-900-milhoes-em-2009-dizfebraban/
•
Recoger las opiniones de especialistas en cuanto al estado de la ciberdelincuencia en la región
•
Proyectar una serie de indicadores valorizados que permita obtener una idea de la magnitud del
impacto económico de los incidentes de seguridad en Latinoamérica
•
Generar un marco para estimaciones futuras del impacto del ciberdelito en la región, que pueda ser
actualizado y mejorado cuando se disponga de información más precisa
•
Utilizar un enfoque múltiple que comprenda organizaciones, personas, países, gobiernos y en lo
posible, datos globales para toda la región
En base al análisis realizado, presentar una serie de recomendaciones y medidas a adoptar a nivel
nacional, de las organizaciones y de las personas para mitigar el impacto de estas actividades delictivas
en la región.
Cabe resaltar que los datos y valores fueron obtenidos de fuentes públicas provenientes de informes
producidos tanto por organizaciones públicas como por entidades privadas de la región o de otros
países del planeta.
Se hace la salvedad que, debido a la escasez de datos concretos sobre casos de incidentes ocurridos, los
valores indicados en este trabajo, ya sea en cuanto a volumen de incidentes como en las proyecciones
económicas, no deben ser interpretados como estadísticas, sino como compilaciones o recopilaciones
de información sobre casos acontecidos.
Principales dificultades
Como ya fuera planteado precedentemente, resulta difícil en la actualidad formular conclusiones
precisas respecto a las consecuencias de fallas, ataques o vulnerabilidades reales o potenciales, que
afectan a la información tanto de las personas y entidades como de las naciones. Esto se debe a diversos
motivos, entre los que se encuentran:
•
La reticencia a informar los incidentes ocurridos por parte de las organizaciones, los países y las
personas
•
La existencia de publicaciones con datos disímiles de entidades nacionales o internacionales y la
escasez de cifras de organismos oficiales
•
Las dificultades, e inclusive la imposibilidad en ciertos casos, para determinar el impacto global de
algunos tipos de ciberataques
•
En encadenamiento de los incidentes informáticos que resultan en un único ataque, como por
ejemplo un caso de denegación de servicio, que podría ser en realidad el resultado de una infección
de software malicioso en una serie de equipos que los convierte en ZOMBIES de una botnet, que
luego es utilizada para concretar la agresión
•
La necesidad de utilizar supuestos y de efectuar proyecciones respecto al porcentaje de incidentes
reportados que pueden tornar impreciso el cálculo
•
Las complejidades para cuantificar el efecto económico o financiero sobre personas y
organizaciones, tanto en forma individual como agregada
•
La falta de homogeneidad en la metodología de conteo de los incidentes
•
Las dificultades para valorizar factores tales como pérdida de reputación, imagen, etc.
Por otra parte, es dable indicar que la presente revisión tuvo una duración acotada entre los meses de
febrero y junio de 2011, por lo que se basó fundamentalmente en fuentes de datos públicas. Estudios
futuros que puedan extenderse en un lapso mayor podrán aprovechar el empleo de otras metodologías
como por ejemplo, las encuestas, el uso de muestras de ocurrencia real de patrones de ataque, el
empleo de señuelos, etc., con el fin de mejorar la precisión de los datos analizados.
Etapas del análisis
El presente informe fue realizado sobre la base de las siguientes etapas:
•
Relevamiento de información disponible en fuentes públicas de la región, ya sea por país o globales
y por tipo de incidente
•
Evaluación de los datos para determinar factibilidad de cuantificación, tanto en cuanto a cantidad de
casos como económica
•
Entrevistas personales y virtuales a especialistas
•
Establecimiento de una metodología de análisis
•
Desarrollo conceptual del tema
•
Análisis de datos
•
Formulación de conclusiones y recomendaciones
Estructura del informe
A continuación de este capítulo que tiene como objetivo presentar las principales características del
informe, el Capítulo II resume la evolución de los ataques informáticos en el tiempo y presenta los
contenidos conceptuales más importantes vinculados al tema bajo análisis.
El Capítulo III por su parte, expone y analiza el panorama general de las ciberamenazas, presentando
asimismo valores regionales y por país, recopilados según el tipo de incidente, la cantidad de casos
registrados y sus consecuencias.
El Capítulo IV es un intento de estimación del impacto económico del ciberdelito a nivel de los países, las
organizaciones y de ser posible, la región. Modelar y realizar proyecciones sobre las implicancias
económicas de los ciberataques es una tarea compleja, por lo esta sección despliega estimaciones
basadas en supuestos justificados, siguiendo en la mayoría de los casos y ante la ausencia de datos
locales, los esquemas de cálculo utilizados en otros países para este tipo de análisis. En los casos en que
fue posible, se tuvieron en cuenta como base de cálculo, valores y estimaciones regionales.
Finalmente los Capítulos V y VI incluyen respectivamente, las principales conclusiones del trabajo y una
serie de recomendaciones respecto a las medidas que se deben adoptar para proteger la información,
desde el punto de vista de las personas, las organizaciones y los países.
Como anexos se agregan la bibliografía consultada y las fuentes de información a las que se tuvo acceso,
un listado de los expertos consultados para la preparación del informe y un glosario con las principales
definiciones.
El presente estudio es realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica
y el Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC) y se enmarca
en los esfuerzos que vienen realizando ambas entidades para fortalecer la capacidad regional de
atención y respuesta a incidentes de Seguridad en la Región de Latinoamérica y el Caribe, buscando
incrementar las acciones de prevención y la resiliencia frente a los ciberataques que afectan la región.
El desarrollo del trabajo fue supervisado por el Ing. Eduardo Carozo, Director Ejecutivo de AMPARO,
proyecto de LACNIC cuyo principal objetivo es fortalecer la difusión, el conocimiento y la atención de la
problemática de Seguridad de la Información en los países de Latinoamérica y el Caribe,
fundamentalmente en el ámbito privado de las empresas y organizaciones sociales.
Junio 2011 – Pág. Nº 10/84
Capítulo II – Evolución y Marco Conceptual de los Ciberdelitos
La prehistoria
La historia de los ciberataques puede rastrease posiblemente a las primeras experiencias de generación
de código malicioso.
En efecto, el desarrollo de lo que hoy se conoce por tal fue en sus comienzos experimental y no tenía
como objetivo realizar un daño sino desafiar a los sistemas operativos de la época.
En 1982 se programó el primer virus informático para las computadoras Apple II, aunque aún no se lo
denominaba de esa manera, que se propagaba infectando los disquetes del sistema operativo. Sin
embargo, existen también antecedentes que dan cuenta de la existencia de casos registrados para el
sistema IBM 360, allá por los comienzos de los ’70. En 1983 Fred Cohen, un estudiante de posgrado crea
uno para UNIX. El primer virus para PC IBM fue creado por dos hermanos pakistaníes en 1986, con la
intención de proteger de la piratería los programas de su autoría.
Unos años después, en noviembre de 1988 el “Gusano de Morris” sacó de servicio al 10% de las
computadoras VAX y SUN conectadas a INTERNET en los EEUU, afectando a unos 60.000 equipos en
total. De hecho se le atribuye a Andy Sudduth, estudiante de la Universidad de Harvard, la frase “Hay un
virus suelto en la Internet”7, pronunciada unos minutos después de que se conociera el incidente. El
origen de esta primera infección masiva fue un programa de 99 líneas, escrito por Robert Tappan
Morris, estudiante de doctorado de la Universidad de Cornell, que llevó a que los equipos infectados se
vieran inundados por miles de tareas, forzando a los administradores a desconectarlas directamente de
la red.
Años después en el 2001, el gusano “Código Rojo” causó una denegación de servicio de una gran
cantidad de sitios web, afectando los servicios de Internet y dejando fuera de línea a las operaciones de
varios gobiernos y empresas.
Así comenzó esta historia que ha ido cambiando a través de los años para convertirse en una realidad
cada vez más preocupante.
Hace no muchos años a fines del siglo XX, el software malicioso era muy molesto y peligroso en tanto y
en cuanto podía ser la causa de la pérdida de información valiosa como consecuencia de su accionar:
destrucción de archivos o discos completos; o bien la imposibilidad de operar o verse obligado o tener
que rearmar el sistema operativo y recuperar la información, siempre y cuando se hubiera hecho el
correspondiente resguardo. Pero resultaba aún más aterradora su posibilidad de replicarse a través de
varios canales como los diskettes o el uso de un aún incipiente sistema de correo electrónico.
En las organizaciones, la situación empezaba a tornarse más grave ya que se inundaban las redes
produciendo una reducción importante del tiempo de respuesta, más el daño ya mencionado en los
equipos. Todo esto conllevaba y conlleva también hoy, sin lugar a dudas, a importantes pérdidas
económicas, tanto por el valor de la información en sí, como por el tiempo que absorben las tareas de
7
Traducción de las autoras de la frase: “There may be a virus loose on the internet”
Junio 2011 – Pág. Nº 11/84
detección del problema y luego de recuperación y reconstrucción de los datos afectados, en los casos en
que esto es factible.
Esta situación creció en volumen con el masivo uso del correo electrónico que como ya fuera dicho,
sirvió como medio de transporte de archivos infectados.
Hasta aquí, el daño se circunscribía al hardware y software impactando sobre la operatoria tanto de las
organizaciones como de usuarios individuales.
Actualidad de los ciberataques
A comienzos de este siglo la situación comenzó a cambiar. El auge de Internet, la innovación
permanente que requiere la generación de software que probablemente no ha sido lo suficientemente
probado en sus aspectos de seguridad, la necesidad de ganar mercados, la inundación de nuevos
dispositivos, protocolos, lenguajes, paradigmas de desarrollo, herramientas de automatización, etc., han
presentado una cantidad inusitada de oportunidades para quienes buscan algo más que desafiar a la
tecnología.
Más aún, la expansión del uso de las PC, la computación distribuida, la penetración de Internet con una
banda ancha cada vez mayor, la creciente dependencia de las organizaciones respecto de las tecnologías
de la información y las comunicaciones y el soporte que éstas brindan a las infraestructuras de servicios
esenciales de los países, han creado un panorama complejo para la adopción de medidas adecuadas de
protección de la información en formato digital.
En este contexto, empiezan a aparecer personas y organizaciones que utilizan toda la tecnología
disponible para generar redes con propósitos delictivos de todo tipo, desde obtener ganancias a partir
del fraude a producir múltiples daños a compañías específicas o a infraestructuras críticas nacionales.
En este sentido, el software malicioso y otros tipos de ataques surgidos a lo largo de estas últimas
décadas, han evolucionado hacia la generación de amenazas vinculadas a la comisión de actos ilícitos
con el objetivo de obtener beneficios económicos, el mero reconocimiento de la comunidad de
ciberatacantes o la venganza respecto a una o varias entidades específicas.
En este sentido, actualmente resulta habitual relacionar los ciberataques con el negocio del crimen
organizado. Como puede apreciarse, el panorama es completamente diferente al que se presentaba en
los primeros tiempos, pudiendo observarse amenazas más complejas y sofisticadas, más agresivas,
mejor dirigidas y con intenciones más claras y concretas.
A manera de ejemplo, los sitios web y el software maliciosos han aumentado casi seis veces durante los
años 2009 y 2010, pudiéndose observar una cantidad de nuevos tipos superior a la surgida en la suma
de todos los años anteriores.
Un factor que debe tenerse en cuenta es la necesidad de investigar el negocio generado por estas
amenazas, la dimensión de su verdadero impacto, las motivaciones que se esconden detrás de su
desarrollo y la manera en que operan los ciberdelincuentes, alimentando una economía clandestina que
crece exponencialmente día a día. Un modelo de negocio delictivo que en la actualidad es ampliamente
explotado a través de Internet y que hoy se conoce como ciberdelito o cibercrimen.
Junio 2011 – Pág. Nº 12/84
Los especialistas opinan que el ciberdelito se está expandiendo en Latinoamérica y que los negocios de
estas organizaciones criminales dejan ganancias semejantes a las de otros delitos de gran envergadura.8
Con la creciente amenaza de ciberdelincuentes que buscan información corporativa y sobre los
consumidores, la seguridad de la información pasa a ser un aspecto primordial en el uso de las
tecnologías.
Quiénes son los delincuentes
Los delitos han existido prácticamente desde el origen de la humanidad, y quienes los cometen
manifiestan motivaciones que van desde la revancha a la curiosidad, la ambición excesiva, la necesidad
o el placer de romper las reglas, entre otras. Sin embargo, las maneras en que se cometen han cambiado
significativamente en el tiempo. Así, hoy nos enfrentamos a los delitos cometidos usando las tecnologías
o bien aquellos que las tienen como blanco. En este contexto, los delincuentes buscan explotar las
debilidades de las tecnologías, los vacíos en la legislación y la falta de concientización de los usuarios, así
como el alcance global de Internet y su rápida expansión, factores que facilitan la comisión de viejos
delitos con nuevas herramientas.
El siguiente cuadro es una adaptación del publicado por la Australian Crime Commission9 y compara
algunos delitos tradicionales con sus equivalentes en el mundo de las tecnologías.
Delitos tradicionales
Fraude
Hurtos
malicioso
Ciberdelito equivalente
Fraude en línea, subasta fraudulenta, estafa por solicitud
de adelanto de fondos a través de Internet
menores/daño Hackeos, ataques de software malicioso, denegación de
servicios
Ofensas contra menores
Sitios web pornográficos, creación de perfiles falsos con
fines pedófilos
Lavado de dinero
Sistemas fraudulentos de pago en línea, mulas, engaño
nigeriano (Nigerian scam)
Robo
Robo de identidad, phishing, piratería de software,
películas y música, robo de Propiedad Intelectual en
soporte electrónico
Acoso
Ciberacoso a adultos y menores
8
iProfesional.com - El ciber crimen mueve tantos millones como el narcotráfico y se expande en toda la región –
Fecha de consulta: mayo/11 - http://negocios.iprofesional.com/notas/106780-El-cibercrimen-mueve-tantosmillones-como-el-narcotrafico-y-se-expande-en-toda-la-region
El país.com - Guillaume Lovet: "El cibercrimen es más rentable que el tráfico de heroína" – Fecha de consulta:
mayo/11
http://www.elpais.com/articulo/portada/Guillaume/Lovet/cibercrimen/rentable/trafico/heroina/elpepisupcib/20
100422elpcibpor_4/Tes
9
Australian Crime Commission – Crime Profile Series Cyber Crime – Consultado el 06/05/2011 http://www.crimecommission.gov.au/publications/crime-profile-series/cyber-crime.htm
Junio 2011 – Pág. Nº 13/84
Una característica del escenario actual del ciberdelito es que plantea una relación asimétrica, donde un
número pequeño de personas podría causar un daño enorme en una o varias organizaciones públicas o
privadas, con un alto impacto negativo sobre un número potencialmente alto de usuarios.
Como con otro tipo de delitos, el perfil del atacante también ha ido cambiando con el tiempo. En el
campo de la cibercriminalidad, puede afirmarse que no existe un único tipo de ciberdelincuente, sino
varios en base a las motivaciones, la oportunidad y los recursos con los que cuentan.
Un informe del Reino Unido10 identifica 4 grandes categorías, a la hora de clasificar a los ciberatacantes:
•
Los servicios extranjeros de inteligencia, que tienden a estar fuertemente organizados y a utilizar
técnicas de ataque sofisticadas y amplios recursos.
• Las grandes redes del crimen organizado, que focalizan cada vez más su atención en la
ciberdelincuencia porque ofrece una mayor rentabilidad frente a una inversión mínima y un riesgo
relativamente bajo. Las redes más sofisticadas con contactos globales, se concentran en el espionaje
industrial mientras que aquellas con menor nivel de organización se vuelcan al robo de datos y a los
engaños en línea de gran escala.
• Las organizaciones legítimas pero de dudosa reputación, que buscan hacerse de datos de propiedad
intelectual de otras organizaciones o del espionaje industrial para obtener datos sensibles de otras
entidades. Estas actividades pueden ser efectuadas en forma directa o a través de otras
organizaciones delictivas, a las que se contrata.
• En un último peldaño, se ubican las personas o los pequeños grupos de individuos que tienen por
objetivo las organizaciones vulnerables o los usuarios comunes y se focalizan en las ganancias que
pueden obtenerse del robo de identidad, la sustracción de datos de clientes, los engaños en línea de
menor escala, la extorsión o las infecciones por software malicioso.
El informe de Australia antes citado por su parte, distingue tres tipo de organizaciones en el campo del
ciberdelito:
• Grupos organizados de delitos tradicionales que emplean las tecnologías de la información y las
comunicaciones para potenciar sus actividades criminales
• Grupos organizados de cibercriminales que operan exclusivamente en línea
• Grupos organizados de delincuentes motivados por ideologías o posturas políticas extremas
Objeto del ciberdelito
A diferencia de los delitos convencionales, en los que el dueño o custodio del o los bienes sustraídos
pierde la tenencia del bien, en el caso del robo de información, no suele haber pérdida física, por lo que
los mecanismos de alerta y detección tienen características distintivas.
Otra de las particularidades de este tipo de actividades es la facilidad con que pueden borrarse las
evidencias y las dificultades para identificarlas y preservarlas cuando no se es un especialista o no se
cuentan con las herramientas adecuadas para su resguardo. Es también un atractivo para la
ciberdelincuencia, la desmaterialización de las fronteras nacionales u organizacionales, que habilita al
10
Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office of
Cyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime
Junio 2011 – Pág. Nº 14/84
delincuente a acceder a su blanco sin prácticamente moverse de su silla, a miles de kilómetros de sus
eventuales víctimas. Adicionalmente, puede utilizar distintos caminos y recorridos en su afán de
dificultar cualquier rastreo. Por otro lado, y dada las asimetrías en las legislaciones, no es clara la
tipificación. Todas estas características lo diferencian de los delitos tradicionales y crean un
escenario propicio para el desarrollo de las actividades delictivas en el mundo virtual.
En el caso de información sustraída a organizaciones, el informe del Reino Unido referido establece que
los ciberdelincuentes tienen básicamente cuatro formas de robar la información:
•
•
•
•
Comprar el producto y someterlo a un proceso de ingeniería reversa para reproducirlo
Realizar un ciberataque para obtener electrónicamente la información, desde fuera de la red de la
organización
Realizar un ataque interno, de manera que los datos son obtenidos por alguien que tiene algún nivel
de autorización desde dentro de la propia organización
Robar la información, mediante el acceso físico al equipamiento donde se encuentra instalado o
hurtándola de alguno de los empleados.
Una cuestión de confianza
Un informe11 de la Empresa CISCO afirma que los ciberdelincuentes cuentan hoy con un arma poderosa:
la explotación de la confianza. En efecto, posiblemente desde el origen de los tiempos, las personas han
tendido naturalmente a confiar en otras personas, fenómeno que se manifiesta también en Internet y
que es aprovechado por el ciberdelito una y otra vez, bajo distintas formas de engaño.
En otro sentido pero siempre alrededor del tema de la confianza, las organizaciones tienden a no confiar
en otras entidades a la hora de reportar un ataque y ante la posibilidad de que un incidente que
comprometa la seguridad pueda trascender, prefieren ocultarlo y no compartir lo acontecido. De esta
manera, provocan que un mismo tipo de incidente y eventual delito, pueda ser reiterado en otras
organizaciones o afectar a otras personas, favoreciendo sin querer un proceso multiplicador con
importantes consecuencias negativas.
Pareciera también existir desconfianzas a la hora de trabajar en forma conjunta entre el Sector Público y
el Privado, en el combate contra el ciberdelito. De la misma manera, esa desconfianza se manifiesta
entre los gobiernos, que si bien en su mayoría reconocen la necesidad de desarrollar estrategias,
estándares y normas comunes, tienden a mantener la independencia en cuanto al desarrollo, la
reglamentación y el uso de la tecnología dentro de sus fronteras, comprometiendo las posibilidades de
una acción coordinada.
11
CISCO
CISCO
2010
Annual
Security
Report
–
http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html
Consultado
el
06/05/2011
Junio 2011 – Pág. Nº 15/84
-
Capítulo III – Panorama General de las Ciberamenazas
Introducción
Con el objetivo de conocer la actividad del ciberdelito se accedió a la información que brindan los
laboratorios de las empresas proveedoras de soluciones de seguridad, así como la que proveen los
investigadores independientes.
Son las mencionadas organizaciones las que han desarrollado productos y servicios que permiten la
recolección, a través de equipamiento específico, de valiosos datos sobre amenazas y tendencias en
Internet, así como sobre la actividad de ataques. Dichos datos son luego analizados por equipos de
investigadores, generando reportes sobre la actividad maliciosa global, por región y/o país, enmarcados
en diferentes períodos de tiempo.
Dichas herramientas son distribuidas a través de todo el mundo utilizando hardware de gran capacidad
para el procesamiento de miles de millones de piezas digitales por día.
En general participan de esta recolección de datos la extensa comunidad de empresas antifraude,
proveedores de seguridad y millones de consumidores.
Asimismo, se recolecta MALICIOUS CODE INTELLIGENCE en millones de sistemas cliente, servidores y
GATEWAYS, además de capturar amenazas y ataques, muchos de ellos nunca vistos previamente, a través
de redes de HONEYPOTS, lo cual permite comprender mejor los métodos utilizados por los atacantes.
Otras tecnologías pasibles de ser usadas son los HONEYCLIENTES, REPUTATION SYSTEMS, MACHINE LEARNING y
GRID COMPUTING.
Es importante destacar que las diferentes compañías cuentan con bases de datos generadas en algunos
casos desde hace dos décadas.
Por ejemplo, Symantec mantiene una base de datos sobre vulnerabilidades que contiene más de 40.000
vulnerabilidades registradas que afectan a más de 105.000 tecnologías provistas por más de 14.000
proveedores.
Panda Security, posee una base de datos de aproximadamente 134 millones de piezas digitales, entre
los cuales hay 60 millones de código malicioso.
Websense Inc. basa su capacidad en una red internacional que le permite procesar varias decenas de
millones de correos electrónicos y sitios webs por hora.
A su vez, McAfee Inc. cuenta con una red de millones de sensores en Internet, alrededor del mundo.
En general, los resultados de la investigación que las mencionadas organizaciones realizan son
expresados en porcentajes y, si bien en algunos casos se aclara que se utiliza registros no duplicados, no
se menciona la cantidad resultante.
Cabe señalar que esta información que resulta sumamente valiosa, no puede ser considerada
“estadística” ya que no es recolectada según la metodología del muestreo estadístico y tampoco
constituye el cien por ciento de las piezas digitales que circulan por las redes extendidas por todo el
mundo, ya que esto resulta hoy prácticamente imposible. Sin embargo, dada la magnitud de los
Junio 2011 – Pág. Nº 16/84
volúmenes procesados, sin duda alguna permite una buena aproximación, sobre todo cuando es posible
demostrar que diferentes organizaciones llegan a la misma o muy semejante conclusión a pesar de los,
algunas veces, diferentes enfoques y distintas capacidades.
La tarea de armado de cuadros comparativos entre compañías y de relaciones de los dos años en
estudio ha resultado ardua. En general, las compañías e incluso los grupos independientes suelen
coincidir en los resultados, si bien en algunas ocasiones, también pueden diferir bastante.
La realidad es que se trata de una actividad tan cambiante y dinámica, producto en parte de la acción y
reacción de atacantes y defensores, que es bastante difícil conseguir resultados semejantes; fotografías
en momentos distintos pueden generar interpretaciones disímiles.
Por otro lado, también influye en los resultados la distribución y capacidad de las redes de recolección
de datos. Éstas van cambiando a medida que cambian los escenarios. Si bien se entiende que las
compañías u organizaciones independientes deben utilizar indicadores proporcionales, no todas lo
explican claramente como para validar el criterio.
De todos modos, los valores consignados en este informe surgen, en todos los casos posibles, de la
obtención de resultados semejantes entre varios investigadores.
Además de los métodos de recolección previamente explicados, otras organizaciones como los CERTs o
aquéllas dedicadas al servicio de ayuda a las víctimas utilizan metodologías como el análisis de reportes
de incidentes recepcionados, o como las consultoras, que realizan encuestas sobre la ocurrencia e
impacto de ciertos eventos. Todas las fuentes hasta aquí mencionadas dan base al presente informe.
Objetivo y alcance del capítulo
El objetivo de este capítulo es presentar las amenazas que generan los ciberdelincuentes para atacar las
tecnologías de información, así como señalar los sistemas operativos y productos en los que se ha
detectado un mayor número de vulnerabilidades, mostrando en todos los casos cifras representativas
de la situación mundial, de la de los países latinoamericanos respecto de aquélla y de Latinoamérica en
particular.
La investigación se realiza para los años 2009 y 2010 con el objeto de mostrar una etapa de la evolución,
descartándose años anteriores por considerar que ante un escenario tan cambiante y vertiginoso,
presentarían un panorama que podría ser calificado como antiguo.
Por último se realizará una exposición de las tendencias que los expertos han previsto para el año 2011.
Metodología
En primera instancia se relevó la información existente respecto del objeto de estudio y correspondiente
a los años que componen el alcance del informe.
Posteriormente fue necesario conciliar los datos entre las diferentes fuentes encontradas con el fin de
verificar su consistencia, la coincidencia de las amenazas y vulnerabilidades tratadas así como la
presentación de las cifras de modo de confirmar que fueran comparables y, en algunos casos convertir o
interpretar las diferentes unidades de medida utilizada por las fuentes consultadas.
Junio 2011 – Pág. Nº 17/84
Al mismo tiempo que se analizaba la información se consultó a expertos en la materia con el fin de
confirmar o enmendar en caso de ser necesario, las conclusiones formuladas.
El modo de presentación de los resultados consiste en mostrar información obtenida de diferentes
compañías por cada año con el fin de que el lector pueda hacer sus propias comparaciones.
En todos los casos se incluye la definición de la amenaza, las cifras encontradas y un comentario
respecto de los efectos, estados o bien situaciones más significativas.
Asimismo, siempre se incluye información sobre los países latinoamericanos; ya sea la posición en el
ranking mundial o el detalle del ranking de la región.
Una aproximación sobre la actividad global
Como se ha mencionado en la introducción, las cifras resultantes de las investigaciones realizadas por
los expertos, en general son expresadas en porcentajes.
Con el objeto de que el lector pueda establecer alguna relación respecto de la magnitud de las
ciberamenazas, a continuación se incluye valores sobre la actividad en Internet durante 2010,
publicados por Pigdom12 el 12 de enero de 2011.
Correo Electrónico
•
107 billones – Número de correos electrónicos enviados en Internet durante 2010
•
294 mil millones – Promedio de número de correos electrónico por día
•
1.88 mil millones– Número de usuarios de correos electrónicos en el mundo
•
480 millones – Nuevos usuarios de correo electrónico desde el año anterior
•
2.9 mil millones – Número de cuentas de correo electrónico en el mundo
Sitios web
•
255 millones – Número de sitios web a diciembre de 2010.
•
21.4 millones – Creados durante 2010.
Nombres de dominio
•
88.8 millones – .COM al finalizar el año 2010.
•
13.2 millones – .NET al finalizar el año 2010.
•
8.6 millones – .ORG al finalizar el año 2010.
•
79.2 millones – Número de dominios de nivel superior por código de país (ej. .CN, .UK, .DE, etc.)
•
202 millones – Número total de nombres de dominio de nivel superior a Octubre de 2010
12
Pingdom – Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que la
contratan con el fin de detectar cualquier posible caída del mismo – Consultado el 28/05/2011 http://royal.pingdom.com/2011/01/12/internet-2010-in-numbers/
Junio 2011 – Pág. Nº 18/84
•
7% – Incremento de nombres de dominio desde el año anterior
Usuarios de Internet
•
1.97 mil millones – Número de usuarios de Internet en del mundo a junio de 2010
•
14% – Incremento de usuarios de Internet desde el año anterior
•
825.1 millones – Número de usuarios de Internet en Asia
•
475.1 millones – Número de usuarios de Internet en Europa
•
266.2 millones – Número de usuarios de Internet en America del Norte.
•
204.7 millones – Número de usuarios de Internet en América Latina y el Caribe
•
110.9 millones – Número de usuarios Internet en África
•
63.2 millones – Número de usuarios de Internet en el Oriente Medio
•
21.3 millones – Número de usuarios de Internet en Oceanía / Australia.
Redes sociales
•
152 millones – Número de blogs en Internet según BlogPulse (www.blogpulse.com)
•
25 mil millones – Número de mensajes por Twitter durante 2010
•
100 millones – Número de nuevas cuentas creadas en Twitter durante 2010
•
175 millones – Número de personas en Twitter a Setiembre de 2010
•
600 millones – Número de personas en Facebook al finalizar el año 2010
•
250 millones – Número de nuevos usuarios de Facebook en 2010
•
30 mil millones – Trozos de contenidos (links, notas, fotos, etc.) compartidos en Facebook por mes
•
70% – Porcentaje de usuarios de Facebook localizados fuera de los Estados Unidos
•
20 millones – Número de aplicaciones de Facebook instaladas por días
Videos
•
2 mil millones – Número de videos mirados por día en YouTube
•
35 – Horas de video cargadas en YouTube cada minuto
•
2+ mil millones – Número de videos mirados en Facebook por mes.
•
20 millones – Número de videos cargados en Facebook por mes
Imágenes
•
5 mil millones – Número de fotos cargadas en Flickr a Setiembre de 2010
•
130 millones – Número de fotos cargadas por mes en Flickr.
•
3+ mil millones – Número de fotos cargadas en Facebook por mes
Junio 2011 – Pág. Nº 19/84
Las amenazas en su conjunto
Situación global
En este punto se muestra la situación respecto de algunas actividades maliciosas analizadas en forma
agregada y a nivel global por país. Se ha seleccionado información de diferentes compañías para
obtener una conclusión de la comparación entre ellas. En cada caso se menciona la fuente de la
información.
Symantec Corporation - Actividad maliciosa global por país – 2010
13
Symantec Corporation - Actividad maliciosa global por país – 2009
14
13
Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el
20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf
14
Symantec Corporation - Global Internet Security Threat Report Trends for 2009 – Consultado el 20/04/2011 http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP
T_ISTR15_Global_0410.pdf
Junio 2011 – Pág. Nº 20/84
Websense Inc. - Actividad maliciosa en el mundo, 2010
15
15
Websense Inc – 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 –
https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf
Junio 2011 – Pág. Nº 21/84
Websense Inc. - Actividad maliciosa en el mundo, 2009
16
16
Websense Inc - A Websense® White Paper Websense Security Labs State of Internet Security, Q3 – Q4, 2009 –
Consultado el 20/04/2011 – https://www.websense.com/assets/reports/WSL_H2_2009.pdf
Junio 2011 – Pág. Nº 22/84
Panda Security - Actividad maliciosa en el mundo, 2010
17
Panda Security - Actividad maliciosa en el mundo, 2009
18
De los gráficos anteriores es posible concluir que Latinoamérica se encuentra entre los cinco (5) o
diez (10) primeros puestos en el mundo, representada por Brasil. En el caso de Panda Software que
toma los primeros veinte (20) puestos, incluye también Argentina, Bolivia, Ecuador, Chile, Perú y
México.
17
Panda Security – Informe
Anual PandaLabs 2010 –
Consultado el 27/04/2011
http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf
18
Panda Security – Informe Anual Pandalabs 2009 – Consultado el 27/04/2011
http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf
–
–
Junio 2011 – Pág. Nº 23/84
Situación en Latinoamérica
A continuación se presenta el resultado de las diez (10) primeras posiciones obtenidas del análisis
realizado por Symantec, única compañía encontrada que provee esta información, sobre países
latinoamericanos.
Symantec Corporation - Actividad maliciosa por país, Latinoamérica, 2010
Symantec Corporation - Actividad maliciosa por país, Latinoamérica, 2009
19
20
19
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América
Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR16-Datasheet-LAM-SP.pdf
20
Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América
Latina – Consultado el 05/05/2011 –
http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf
Junio 2011 – Pág. Nº 24/84
Como es posible observar en los cuadros anteriores, Brasil ocupó el primer lugar en las actividades
maliciosas de la región consideradas en la evaluación, tanto en el año 2009 como en 2010. Ello fue
consecuencia del aumento de su participación en todas las mediciones de categorías específicas, en
virtud del rápido y continuo crecimiento de su infraestructura de Internet y del uso de banda ancha.
Asimismo ha tenido un aumento significativo en su clasificación de códigos maliciosos, ocupando el
quinto lugar a nivel mundial. Esto probablemente se debe a la propagación de las infecciones del GUSANO
Downadup (también conocido como Conficker) ocurridas en 2009 y en las que Brasil ocupó el cuarto
lugar a nivel mundial. Una explicación de la expansión de Downadup en Brasil es que, como parte de su
funcionalidad, el gusano puede centrarse específicamente en regiones con base en su capacidad para
identificar la configuración del idioma de una computadora atacada, de los cuales uno es el "portugués
(brasilero)”. También ocupó el tercer puesto a nivel mundial en posibles infecciones por virus y cuarto
por posibles infecciones por gusanos.
En el 2010, Brasil tuvo una presencia mundial del 5%. Además de ser el país con la mayor cantidad de
conexiones de banda ancha en la región, su participación en las grandes BOTNETS tales como Rustock,
Maazben, y Ozdok (Mega-D), contribuye en su alto rango de computadoras infectadas (BOTS), emisoras
de SPAM y repositorios de phishing.
Actividad maliciosa discriminada por tipo de amenaza
Bajo este acápite se realizará un análisis global y específico para Latinoamérica por cada tipo de
amenaza de las consideradas por Symantec Corporation en su cuadro global, con el objetivo de que, si el
lector está interesado, pueda establecer relaciones o comparaciones.
Código malicioso (MALICIOUS CODE)
Los códigos maliciosos adquieren infinitas formas, aumentan y varían su funcionalidad, desde infectar
los equipos para que puedan ser controlados remotamente hasta robar información, atacan diferentes
plataformas y cada vez son más sofisticados.
Las compañías investigadoras determinan las familias de códigos maliciosos más relevantes,
recolectando datos obtenidos para el período en estudio y analizando muestras de códigos
malintencionados nuevas y pre-existentes para determinar qué tipos de amenazas y vectores de ataque
se emplean con mayor frecuencia.
El código malicioso es clasificado en familias basándose en variantes de FIRMAS cuando el código es
identificado. Las variantes aparecen cuando los atacantes modifican o mejoran los códigos maliciosos
para agregar o cambiar funcionalidades. Estas alteraciones modifican los códigos maliciosos existentes
de manera suficiente para que los sensores de los antivirus no puedan detectar la amenaza a partir de
una firma preexistente.
El mercado en general clasifica los códigos maliciosos por el tipo de acción que realizan. Symantec
propone cuatro categorías básicas21: PUERTAS TRASERAS (BACKDOORS), TROYANOS, VIRUS y gusanos.
21
Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el
Junio 2011 – Pág. Nº 25/84
•
•
•
•
Las puertas traseras permiten al atacante acceder de manera remota a las computadoras
comprometidas.
Los troyanos son códigos maliciosos que los usuarios instalan inadvertidamente en sus
computadoras ya sea abriendo archivos adjuntos a sus correos electrónicos o bajándolos de
Internet. También pueden ser instalados por otros códigos maliciosos. Difieren de los virus y
gusanos en que no se autopropagan.
Los virus se propagan infectando archivos existentes en las computadoras afectadas por código
malicioso.
Los gusanos son código malicioso que se puede replicar en computadoras infectadas o de una
manera que facilita su copia a otras computadoras, tal como a través de dispositivos de
almacenamiento para USB.
Varias amenazas de código malicioso están conformadas por múltiples características. Por ejemplo, las
puertas traseras siempre se categorizan en conjunto con otro código malicioso, típicamente son
también troyanos. Sin embargo, muchos gusanos y virus también incorporan funcionalidades de puertas
traseras. Adicionalmente, muchas muestras de código malicioso pueden ser catalogadas como virus o
gusanos debido a la manera en que se propagan. Una razón para esta funcionalidad múltiple es que los
desarrolladores de amenazas tratan de permitir que los códigos maliciosos combinen múltiples vectores
de propagación para incrementar sus posibilidades de éxito en comprometer la computadora en ataque.
¿Para qué se usan los códigos maliciosos?
La mayoría de los ataques comienzan con una infección a través de un código malicioso. El atacante lo
introduce por técnicas de ingeniería social, utilizando archivos adjuntos en los correos electrónicos,
creando sitios maliciosos o infectando los confiables o simplemente a través de algunos dispositivos.
Cada tipo de código malicioso es utilizado con un objetivo diferente.
Por ejemplo, los troyanos alcanzan el mayor porcentaje de los principales cincuenta (50) códigos
maliciosos potenciales para el 2010, situación que se viene repitiendo desde años anteriores22.
Continúan siendo una amenaza importante debido a que la mayoría de la actividad maliciosa está
motivada por la obtención de ganancias. Muchos troyanos son diseñados para robar información y esta
funcionalidad es de particular interés de los criminales en virtud de su potencial uso en actividades
fraudulentas. Los operadores de la economía clandestina usan estas amenazas para ganar acceso a
información bancaria y de tarjetas de crédito, credenciales de uso en línea y para dirigir los ataques a
empresas específicas, muchas veces con la intención de robar propiedad intelectual, datos corporativos
sensibles como los de carácter financiero, planes de negocio o tecnología propietaria. Siendo tan
extendido el uso de las compras y operaciones bancarias en línea, los compromisos de este tipo pueden
resultar en pérdidas financieras significativas, particularmente si se expone información contable y
bancaria.
Algunos códigos maliciosos son diseñados específicamente para extraer y exportar información
confidencial o datos sensibles que están almacenados en una computadora infectada. Algunos ejemplos
de datos sensibles o confidenciales son: información del sistema, documentos y archivos confidenciales,
direcciones de correo electrónico o credenciales de identificación de usuario (logon credentials).
22
Idem 21
Junio 2011 – Pág. Nº 26/84
Algunas amenazas tales como las puertas traseras pueden dar a un atacante remoto el control total
sobre una computadora comprometida.
Ataques de este tipo a las organizaciones puede llevar a importantes pérdidas de datos, con sus
consiguientes costos, la pérdida de su reputación y de la confianza por parte de los clientes, así como el
incumplimiento de reglamentaciones gubernamentales o de la industria.
Situación global
McAfee Inc. informa que durante el 2010 identificó más de 20 millones de piezas nuevas de código
malicioso y a lo largo del tiempo ha identificado 55 millones de piezas, de las cuales el 36% fueron
escritas en el 2010. Esto demuestra el crecimiento de este rubro en ese año.23
Panda Security coincide con los valores de McAfee Inc. en cuanto a la cantidad de piezas nuevas y las
identificadas a lo largo del tiempo; e informa que procesó 134 millones de piezas.24.
A continuación se presenta un gráfico de la evolución del software malicioso durante la primera década
del siglo, siendo los códigos maliciosos una de las formas más habituales de software malicioso.
Panda Security - Evolución del software malicioso
25
23
McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 05/04/2011 –
https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf
24
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 –
Junio 2011 – Pág. Nº 27/84
A continuación se incluye un gráfico que denota el comportamiento de los diferentes tipos de código
malicioso a través de los últimos años.
Symantec Corporation -Proporción de potenciales infecciones por código malicioso
26
Para obtener el gráfico que se muestra a continuación, Symantec Corporation analiza muestras de los
50 códigos maliciosos más importantes (ordenados por el volumen de infecciones potenciales
reportadas durante el año). Cada muestra es analizada según su habilidad para extraer y exportar
información confidencial, y estos resultados son luego medidos como porcentaje de amenazas a la
información confidencial.
25
Panda Security – El Mercado negro del cibercrimen al descubierto – Consultado el 05/05/2011 http://prensa.pandasecurity.com/wp-content/uploads/2011/01/Mercado-Negro-del-Cybercrimen.pdf
26
Junio 2011 – Pág. Nº 28/84
Symantec Corporation - Amenazas a la confidencialidad de la información, por tipo
27
Una muestra analizada por ESET durante abril de 2011 dio la siguiente distribución de troyanos
bancarios en Latinoamérica.
País
Brasil
Colombia
México
Ecuador
Guatemala
Chile
Argentina
Perú
Porcentaje
5,99
2,30
1,73
1,72
1,50
1,35
1,13
0,62
La información respecto de códigos maliciosos no muestra porcentajes de actividad de cada uno de ellos
sino que presenta un ranking de penetración indicando sus características. Ello permite analizar a cuál
de las categorías previamente presentadas corresponden pudiendo así conocer su impacto. A
continuación se muestra la información para Latinoamérica correspondiente a los años 2010 y 2009.
27
Junio 2011 – Pág. Nº 29/84
Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica, informe de 2010
28
Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica, informe de 2009
29
28
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina
– Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Junio 2011 – Pág. Nº 30/84
Sality.AE
La principal muestra de códigos maliciosos por volumen de posibles infecciones en Latinoamérica en
2010 fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para que la
familia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010.
Descubierto en 2008, Sality.AE ha sido una parte importante del panorama de amenazas desde
entonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en 2009.
La simplicidad de propagación a través de dispositivos USB y otros medios de comunicación hace que
códigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalar códigos
maliciosos adicionales en los equipos.
Conficker
El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvo
significativa atención en 2009 debido a sus sofisticados atributos y eficacia.
A pesar de la liberación de un parche para la vulnerabilidad el 23 de octubre de 2008 (es decir, antes de
que Downadup estuviera incluso activo), se estimó que el gusano todavía se encontraba en más de 6
millones de computadoras en todo el mundo a finales de 2009. Aunque este número disminuyó durante
2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs a finales de ese año. Este
gusano fue la muestra de códigos malintencionados que ocupó el primer puesto en la región en 2009,
mientras que ocupó el tercero en el 2010.
Spam
Situación global
A continuación se muestra un cuadro que refleja del SPAM en el mundo.
Symantec Corporation - Actividad global del SPAM, 2005-2010
30
29
30
Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf
Junio 2011 – Pág. Nº 31/84
Más del 95% de los correos es “no deseado (unwanted)”; conjunto conformado por SPAM y malicioso. Si
bien el spam no es considerado un delito en sí mismo, su efecto sobre el desempeño de las
organizaciones y el avance sobre la voluntad de cada usuario de recibir sólo aquellos mensajes de correo
electrónico que desea, lo transforman en un fenómeno de alto impacto negativo, por lo que su análisis
se incluye en este informe. En esta línea cabe destacar asimismo que su encadenamiento con otros tipos
de ataques, contribuye sustancialmente a la comisión de delitos.
Hacia el final del 2009, el 83,4% del spam era originado por la botnets o “redes robot”, en oposición al
aproximadamente 90% de spam que fuera enviado por botnets (Ver Botnet – Pág. 40) en el 2008.
La mayoría del resto de spam no enviado por botnets se origina en servidores de correo comprometidos
y cuentas de webmails creadas usando herramientas que quiebran la rutina CAPTCHA (Completely
Automated Public Turing test to tell Computer and Humans Apart).
La fuerte caída del spam a fines de 2008 fue resultado de la desaparición del ISP con sede en California
Mc Colo, después de que fuera reportada la actividad de una botnet criminal sobre su red. Como
consecuencia del cierre de McColo, también desaparece Srizbi que fuera responsable por mucho tiempo
de casi el 50% de todo el spam originado en botnets. Su lugar fue rápidamente ocupado por otras
botnets rivales como Mega-D (aka Ozdok), Cutwail (aka Pandex) y Rustock.
Para el final de 2010, el spam enviado desde las botnets llegaba al 77% del total. La proporción se
mantuvo al 88,2% para la mayoría del año, hasta que cayó en el último trimestre debido a la
desaparición de varias botnets: en diciembre 2009 ya había cerrado Mariposa, una de las mayores redes
de bot de la historia con casi 13 millones de ordenadores comprometidos; Spamit, una notoria red
responsable de enviar grandes volúmenes de correos sobre temas farmacéuticos cerró sus puertas en
setiembre, mientras que en octubre cerró Bredolab con parte de Zeus (Ver pág. 36 – párrafo •).
Las compañías coinciden en que el spam se mantuvo en 2009 y 2010 en un porcentaje de alrededor del
85%. Asimismo, Websense Inc. informa en su reporte de 2010 que aproximadamente el 90% de todo el
correo no deseado contiene un link. Lo cual indica que el correo es una de las principales causas del
ingreso a sitios web maliciosos que pueden infectar los equipos. Otros de los objetivos de este tipo de
correos son la venta ilegal de productos y la distribución directa de software malicioso.
Se ha detectado también que los distribuidores de spam realizan campañas utilizando noticias actuales e
impactantes sean ciertas o no, como por ejemplo la crisis económica global, la elección de Barack
Obama, la pandemia H1N1, la muerte de Michel Jackson, el accidente del vuelo 447 de Air France, entre
otros. En Latinoamérica, por ejemplo, el Mundial de Fútbol del año 2010 en Sudáfrica fue un pretexto
perfecto para su explotación con fines delictivos.
El spam puede ser combinado con el scam (estafa). Éste es un tipo mensaje en el que se ofrece la
posibilidad de ganar grandes sumas de dinero de forma sencilla. Uno de los más conocidos es el “419
scam”, que lleva su nombre por la sección del Código Criminal Nigeriano que trata el fraude. En general
avisa al usuario que va a recibir una suma de dinero a través de la lotería, un nuevo trabajo o porque
han sido nominados beneficiarios de una persona que posee una fortuna.
A continuación se incluye información sobre la distribución global del spam durante los años 2010 y
2009 según los países de origen.
Junio 2011 – Pág. Nº 32/84
Symantec Corporation - Los 10 países que originan la mayor actividad de SPAM 2009
Mc Afee - Los 10 países que originan la mayor actividad de SPAM 2009
31
32
La siguiente tabla muestra la participación de Latinoamérica en el SPAM mundial en el año 2010.
Mientras que en el 2009 reconoce aproximadamente un 20% de la actividad por parte de dicha
31
Symantec Corporation – Global Internet Security Threat Report Trends 2009 – Consultado el 20/04/2011 –
http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP
T_ISTR15_Global_0410.pdf
32
Junio 2011 – Pág. Nº 33/84
región33.
Symantec Corporation - Origen del SPAM por continente
34
Como se puede observar en los gráficos anteriores, Latinoamérica ocupa el segundo lugar como
región emisora de spam, representada por Brasil, mientras que Colombia se encuentra en el 10º
lugar. Sin embargo, cabe señalar que Brasil ocupó el primer lugar en el mundo, como país origen
de botnets emisoras de spam en el 2009, con el 13% del total. Mientras que en 2010 estuvo entre
los 12 primeros.
A continuación se incluye los cuadros que publica Symantec respecto de la actividad de spam en
Latinoamérica, por país.
Symantec Corporation - Países que generan Spam en Latinoamérica - 2010
35
33
Symantec Corporation – Message Labs Intelligence 2009 Annual Security Report – Consultado el 02/05/2011 –
http://www.messagelabs.com/mlireport/2009MLIAnnualReport_Final_PrintResolution.pdf
34
Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report –Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf
Junio 2011 – Pág. Nº 34/84
Symantec Corporation - Países que generan Spam en Latinoamérica - 2009
36
Phishing
En el caso de esta amenaza, se usará la información brindada por el AntiPhishing Working Group
(AWPG)37. Este grupo es una asociación global, ampliamente reconocida y respetada, que contempla
todas las industrias y fuerzas de la ley, focalizada en eliminar el fraude y el robo de identidad que resulta
del phishing, PHARMING and MAIL SPOOFING de todo tipo y tiene como socios investigadores a los CERT de
Brasil, Estados Unidos, Australia, Corea, SEI Carnegie Mellon, entre otros, así como organizaciones y
empresas como Websense Inc., National Cyber Security Alliance, SRI Internacional, ESET, etc.
A continuación se puede ver una tabla que resume los valores para los años 2010 y 2009 de los
indicadores que utiliza el AWPG para mostrar la evolución del phishing a nivel global.
35
36
37
Antiphishing Working Group (AWPG) – Global phishing Survey: Domain Name use and Trend 2009 y 2010 –
Consultado 10/05/2011 – http://www.antiphishing.org/resources.html#apwg
Junio 2011 – Pág. Nº 35/84
Es importante aclarar algunos conceptos para entender la información presentada. AWPG utiliza
unidades de medida que le permitan representar los hechos consistentemente a través del tiempo para
lo cual obtienen números “únicos”, es decir sin duplicados, cuya consecuencia es la significativa
reducción de las cifras resultantes. Sin embargo, se debe tener en cuenta que se reportan millones de
URLs de phishing, las cuales pueden captar millones de incautos cibernautas. 38
Phishing domain names: Cantidad de nombres de dominios “únicos” utilizados para phishing. Un
dominio puede contener varios sitios de phishing que lanzan sus ataques sobre entidades, por ejemplo
bancos, o marcas determinadas. Los “nombres de dominio” están definidos como nombres de dominio
de segundo nivel más los de tercer nivel, si las autoridades de registración lo ofrecen.
Attacks (sitios de phishing): Cantidad de sitios de phishing “únicos”. Éstos se alojan en los “PHISHING
HOSTS”.
TLDs (Top level domain) used: Dominios de alto nivel usados. Por ej. org, com.
IP-based IPs (unique IPs): En vez de utilizar nombres de dominio utilizan números de IP.
Maliciously registered domains: Dominios registrados por los phishers para cometer los ataques. El resto
son dominios legítimos que fueron comprometidos.
IDN Domains: Nombres de dominio que incluyen uno o más caracteres no-ASCII, tales como los
arábigos, chinos, etc. Hasta ahora estos dominios no presentan una tendencia creciente en su uso por
parte de los phishers.
Cabe señalar que en el segundo semestre de 2009 se ve incrementado el número de sitios de phishing
como resultado de la actividad de Avalancha, una de las más dañinas entidades criminales que sobre el
final del 2009 produjo los dos tercios del total de phishing.
Esta red reduce su actividad en el primer semestre de 2010, y su infraestructura es utilizada por los
criminales para originar los ataques del notorio troyano Zeus. Éste es una sofisticada pieza de software
malicioso diseñada específicamente para automatizar el robo de identidad y facilitar transacciones no
autorizadas sobre las cuentas bancarias de los consumidores.
Avalancha usa todo tipo de truco de ingeniería social para dirigir a sus víctimas hacia la recepción del
software malicioso Zeus. Envía falsos alertas y mensajes de actualización pretendiendo que llegan de
sitios de redes sociales y atraen a la gente ofreciendo la actualización de populares softwares o
engañándola para descarga formularios de las autoridades gubernamentales, con lo cual los criminales
infectan las máquinas. Una vez que es infectada el criminal puede acceder remotamente, robar la
información personal e interceptar contraseñas y transacciones en línea.
Otra de las herramientas de las que los phishers están haciendo significativo uso son los servicios de
registración de subdominios para crear sitios de phishing. Ésta es una tendencia inquietante, porque el
phish en subdominios sólo puede ser efectivamente mitigado por el proveedor del subdominio (los
registradores u operadores de registro no pueden mitigar este phishing suspendiendo el dominio
38
Se destaca esta frase en negrita a los efectos de que el lector perciba la magnitud de este ataque ya que, por las
razones explicadas en el texto, las cifras expuestas no permiten avizorar el verdadero alcance.
Junio 2011 – Pág. Nº 36/84
principal - dado que si así lo hicieran neutralizarían todos los subdominios dependientes - lo cual
afectaría a usuarios inocentes) y algunos de esos proveedores son indiferentes a las quejas.
Definimos “servicio de registración de subdominios” como proveedores que entregan a sus clientes
“subdomain hosting accounts”, debajo de un dominio del cual el proveedor es dueño. Estos servicios
ofrecen al usuario la habilidad de definir un nombre en su propio espacio de DNS para una variedad de
propósitos. Así un cliente obtendrá un HOSTNAME para usar para su propio sitio Web o correo electrónico
de la forma:
<customer_term>.<service_provider_sld>.TLD
Se ha visto un rápido crecimiento de la tendencia de usar la funcionalidad de “shortening” URL (URL
cortas) para esconder las URL de phishing. La popularidad del servicio en línea de Twitter y otras redes
de sitios sociales han conducido una gran parte de esta demanda. Los usuarios de esos servicios pueden
obtener una muy corta URL para usar en su limitado espacio que redireccionará automáticamente al
visitante a una URL escondida mucho más larga.
Éste es un espacio tan rico como el espacio de dominio regulado, con tanto dinero, más modelos de
negocio y sin reglas verdaderas. En consecuencia, no es sorprendente ver a los criminales trabajando en
este espacio a medida que en el gTLD (TLD genéricos) y ccTLD (TLD por código de país) se implementa
mejores políticas y procedimientos anti-abuso.
Una medida importante a tener en cuenta es el período de tiempo en el que los sitios de phishing
permanecen “vivos” (up-time).
Cuanto más tiempo un sitio permanece activo, mayor cantidad de dinero pierden las víctimas y las
instituciones a las que toman como centro de su ataque. Se cree que los días más lucrativos para el
atacante son los dos primeros. Es por ello que es tan importante bajarlos cuanto antes.
Los programas anti-phishing implementados por los registros de nombre de dominio pueden reducir los
up-times y las registraciones maliciosas que se realizan en esos sitios.
Cabe señalar que en los reportes de Message Lab Intelligence de Symantec es posible encontrar cifras
muy semejantes a las del AWPG.
Como se dijo previamente, la cantidad de víctimas de fraude informático es muy superior a la cantidad
de sitios. Pueden ser millones.
El IC339 ha recibido entre 2009 y 2010 más de 600.000 quejas, que por otra parte se han incrementado
un 33% en 2008, el 22% en 2009 y en 2010 bajó casi un 10%. Este descenso, si bien es un hecho positivo,
no indica necesariamente una tendencia ya que ha sucedido en años anteriores y luego ha vuelto a
crecer. En el mapa global de individuos que presentan quejas, se encuentra México en el octavo lugar
con el 0,2%. Latinoamérica no se encuentra en el mapa global de individuos perpetradores.
A continuación se presenta un trabajo realizado para países de Latinoamérica para los años 2009 y 2010,
sobre los resultados publicados por el AWPG respecto de la situación global.
39
Internet Crime Complaint Center (IC3 – USA) – 2010 Internet Crime Report – Consultado el 15/04/2011 http://www.ic3.gov/media/annualreport/2010_IC3Report.pdf
Junio 2011 – Pág. Nº 37/84
Como es posible observar en la tabla a continuación, la actividad de phishing en Latinoamérica ha
crecido, si bien no representa un gran volumen en comparación al que se maneja a nivel mundial.
Junio 2011 – Pág. Nº 38/84
PRIMER SEMESTRE 2009
TLD
TLD
Ubicación
ar
Argentina
bo
Bolivia
br
# único Nombres
de sitios
de
de
Dominio
Phishing únicos
usados
para
phishing
Dominios
registrados
al final de
Marzo de
2009
SEGUNDO SEMESTRE 2010
Puntuación: Puntuación: # Total de # único Nombres
Phish por
attacks por dominios de sitios
de
10000
10000
maliciosos
de
Dominio
dominios
dominios registrados Phishing únicos
usados
para
phishing
Dominios
registrados
al final de
Octubre de
2010
CRECIMIENTO EN PORCENTAJE
Puntuación: Puntuación: # Total
Phish por
attacks por
de
10000
10000
domini
dominios
dominios
os
malicio
sos
registr
ados
# único de
sitios de
Phishing
Nombres
de
Dominio
únicos
usados
para
phishing
Dominio
s
registra
dos
# Total
de
dominio
s
malicios
os
registra
dos
200,00
207
159
1.837.779
0,9
1,1
1
199
148
2.199.507
0,7
0,9
3
-3,86
-6,92
19,68
7
5
4.700
10,6
14,9
0
5
4
5.950
6,7
8,4
0
-28,57
-20,00
26,60
0,00
Brasil
654
381
1.675.918
2,3
3,9
1
2011
1030
2.275.031
4,5
8,8
21
207,49
170,34
35,75
2000,00
cl
Chile
144
97
243.701
4
5,9
1
171
128
299.463
4,3
5,7
0
18,75
31,96
22,88
-100,00
co
Colombia
31
22
25.750
8,5
12
0
86
43
527.428
0,8
1,6
4
177,42
95,45
1948,26
400,00
cr
Costa Rica
1
1
11.739
0,9
0,9
0
15
8
12.300
6,5
12,2
0
1400,00
700,00
4,78
0,00
cu
Cuba
2
1
1.500
6,7
13,3
0
1
1
2.175
4,6
4,6
0
-50,00
0,00
45,00
0,00
do
Republica
Dominicana
14
7
10.100
6,9
13,9
0
15
5
15.200
3,3
9,9
0
7,14
-28,57
50,50
0,00
ec
Ecuador
12
10
17.900
5,6
6,7
0
31
26
22.729
11,4
13,4
1
158,33
160,00
26,98
100,00
gt
Guatemala
8
3
6.809
4,4
11,7
0
10
9
8.630
10,4
11,6
0
25,00
200,00
26,74
0,00
hn
Honduras
0
0
3.972
0
0
3
4
4.992
4
6
0
25,68
0,00
ht
Haiti
0
0
1.110
0
0
7
1
jm
Jamaica
1
1
4.600
2,2
2,2
0
5
5
5.064
9,9
9,9
0
400,00
400,00
10,09
0,00
mx
México
213
93
290.101
3,2
7,3
30
253
114
450.453
2,5
5,6
0
18,78
22,58
55,27
-100,00
ni
Nicaragua
0
0
23.000
0
0
5
3
5.905
5,1
8,5
0
pa
Panama
5
3
4.800
6,3
10,4
0
0
0
6.250
0
-100,00
-100,00
30,21
0,00
pe
Peru
86
64
32.000
20
26,9
24
27
19
45.180
4,2
6
0
-68,60
-70,31
41,19
-100,00
py
Paraguay
3
2
8.834
2,3
3,4
0
6
6
11.200
5,4
5,4
0
100,00
200,00
26,78
0,00
sv
El Salvador
2
2
0
2
2
4.725
4,2
4,2
0
uy
Uruguay
15
13
18.622
7
8,1
0
13
9
27.925
3,2
4,7
0
-13,33
-30,77
49,96
0,00
ve
Venezuela
24
15
130.000
1,2
1,8
1
32
26
150.000
1,7
2,1
1
33,33
73,33
15,38
0,00
Total LATAM
1.429
879
4.352.935
58
2.897
1.591
6.080.107
30
102,73
81,00
39,68
-48,28
TOTAL GLOBAL
Representación
LATAM
55.698
30.131 184.583.376
4.382
67.677
42.624 205.615.855
11.769
21,51
41,46
11,39
168,58
1,32
4,28
2,57
2,92
2,36
3,73
0
2,96
0,00
0,00
Comentarios
No existe
información
sobre Puerto
Rico.
La
puntuación,
tanto de
dominios
como de sitios
de phishing
tiene el
mismo
sentido que el
crecimiento
del resto de
las variables.
0,00
0,25
Mayo 2011 – Pág. Nº 39/84
A continuación se incorpora otro indicador, que es la posición que ocupan los países de Latinoamérica
en el phishing global, obtenido también de la información brindad por AWPG:
1er. semestre 2009: Brasil, 7mo.
2do. semestre 2009: Honduras, 2do; México, 4to.; Brasil, 10mo.
1er. semestre 2010: Brasil, 5to.
2do. semestre 2010: Brasil, 3ro.
Botnet
El laboratorio de ESET Latinoamérica en su informe “Tendencias 2011: las botnet y el software malicioso
dinámico”40 utiliza una idea novedosa respecto de la evolución del software malicioso.
Expresa que años atrás, un desarrollador de este tipo de software decidía al momento de crear un
código malicioso cuáles serían las tareas que realizaría el mismo luego de infectar un sistema. Por
ejemplo, qué archivos serían modificados, qué información sería capturada o a qué dirección del
atacante sería enviada la misma, entre otros. Al aparecer los troyanos del tipo puerta trasera (Ver pág
26 – párrafo •) aparecen los primeros indicios de código malicioso dinámico. Se entiende por código
malicioso dinámico aquél que primero infecta el sistema y luego, a través de algún acceso remoto al
equipo afectado, permite al atacante realizar diversas tareas mientras el equipo no sea desinfectado.
Los troyanos del tipo puerta trasera han dejado el lugar en los últimos años a aquellos del tipo bot,
diseñados para armar redes de computadoras infectadas: botnets (de “robot” y net, por redes).
Las botnet conforman un modelo de negocio delictivo ya que son alquiladas por sus administradores en
el mercado negro para producir todo tipo de ataques. Por ejemplo para distribuir spam y software
malicioso y efectuar ataques de denegación de servicio.
Una colección de computadoras es inútil sin algún mecanismo de control. El Comando de Control, o
C&C, constituye la interface entre la botnet y su dueño. El dueño dirige el C&C y así comanda los bots.
Situación global
Un grupo de investigadores que trabajan sobre las botnets conforman la Fundación Shadowserver. Ésta
es una asociación sin fines de lucro formada por profesionales de seguridad que voluntariamente
recolectan, analizan y producen reportes sobre software malicioso, la actividad de las botnets y el
fraude electrónico. Es su misión mejorar la seguridad sobre Internet concientizando sobre la presencia
de servidores comprometidos, atacantes maliciosos y la distribución del mencionado software. También
trabaja con otras agencias de seguridad para desarrollar estrategias contra las amenazas y planes de
acción para ayudar a mitigar estas amenazas a medida que van apareciendo.41
Shadowserver informa que a noviembre de 2010 se habían detectado unas cinco mil quinientos botnets
(habiendo llegado durante el año a seis mil en meses como mayo o julio), contra los pocos más de
40
ESET Latinoamérica - Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf
41
The Shadowserver Foundation – Consultado el 25/04/2011 - http://www.shadowserver.org
Junio 2011 – Pág. Nº 40/84
cuatro mil a finales del año anterior. El crecimiento de las redes botnet activas detectadas por Shadow
Server en los últimos dos años puede observarse en el siguiente gráfico:
Tomando estos 24 meses, se estima un crecimiento de aproximadamente un 85% en la cantidad de
botnet activas.
Esto representa millones de usuarios afectados por esta amenaza. Este valor se sustenta tan solo si se
toman simplemente tres de las botnets que han sido dadas de baja durante 2010: Waledac (80 mil
usuarios afectados), Mariposa (13 millones) y Bredolab (30 millones).42
Cabe señalar que varios países de Latinoamérica se encontraron entre los TOP 20 de
máquinas infectadas por la red Mariposa, compuesta por más de 13 millones de direcciones
IP infectadas distribuidas en 190 países al rededor del mundo. Ellos son: México, con el
12,85% (2do. Puesto), Brasil, con el 7,74% (3er. Puesto), Colombia, con el 4,94% (5to. Puesto),
Perú, con el 2,42% (11mo. Puesto), Chile, con el 1,74% (décimo 4to puesto) y Argentina, con
el 1,10% (décimo 8vo puesto) del total.43
42
Se destaca esta frase en negrita para que el lector perciba la magnitud del ataque ya que, en el orden mundial, la
cantidad de botnets (aproximadamente 6000) no aparece como un valor muy significativo.
43
Info Spyware – Artículo del 23/03/2010 por Marcelo Rivero “Latinoamérica dentro de los más afectados por la
red Mariposa” – Consultado el 15/05//2011 - http://www.infospyware.com/blog/latinoamerica-dentro-de-losmas-afectados-por-la-botnet-mariposa/
Junio 2011 – Pág. Nº 41/84
A continuación ofrecemos un panorama para los años 2010 y 2009 en Latinoamérica.
44
Symantec Corporation - Computadoras infectadas por bots en Latinoamérica - 2010 .
45
Symantec Corporation - Computadoras infectadas por bots en Latinoamérica - 2009 .
Es importante agregar que la tendencia de crear botnets se ha trasladado a Latinoamérica. En el año
2009, ESET detecta el sistema SAPZ (Sistema de Administración de PCs Zombi) desarrollado por
delincuentes latinos y que permite el control de una gran cantidad de usuarios infectados a través de
44
45
Latina
–
Consultado
el
05/05/2011
–
Junio 2011 – Pág. Nº 42/84
troyanos como el que ESET NOD32 denomina Win32/Qhost.NMX.46 A la fecha del artículo, 17 de
setiembre de 2009, la red contaba con más de 12.000 zombis.
Otra prueba concreta es una nueva botnet cuyo origen y desarrollo se encuentra en México, destinada a
cometer delitos dirigidos al público latino, y que fue descubierta por el equipo de ESET. Esta noticia se
publicó el 4 de junio de 2010 y se refiere a la Mariachi Botnet.47
Cifras de Kaspersky Lab indican que Kido (también llamada Conficker o Downup Devian por otras
empresas de antivirus) es la principal botnet de Latinoamérica. Todos los países de la región, incluyendo
Chile, la tienen en el TOP 10 de las amenazas.48
Otras actividades maliciosas
Hasta aquí han sido desarrollados los temas según la catalogación realizada por la mayoría de las
compañías y organizaciones consultadas.
A continuación se presentan varias amenazas en cuyo agrupamiento no se ha encontrado coincidencia
entre las fuentes. De allí que se presenten desagregadas. En general, es adecuado decir que todas
forman parte de los ataques a través de la Web.
Código malicioso multiplataforma49
A lo largo de 2010 diversas plataformas se vieron afectadas por variantes de código malicioso. A pesar
de que Windows sigue siendo la plataforma más explotada por éstos (se estima que un 84,3% de los
usuarios se infectó durante el año), hubo otras que también sufrieron algunos incidentes, tales como
Linux, los dispositivos móviles y sistemas operativos en crecimiento como fue el caso de Android, para el
cual fue reportado su primer troyano SMS en agosto de 2010. Según investigaciones de ESET, el código
para móviles ha aumentado un 95% entre 2009 y 2010.
Como alternativa más rentable para los desarrolladores de código malicioso aparece la creación de
códigos maliciosos multi-plataforma, archivos que pueden afectar a diversas plataformas con un mismo
fin, o bajo un mismo modelo de infección. Un ejemplo de esta tendencia se observó a principio de año
con un experimento realizado para crear botnet en plataformas móviles con iPhone y Android,
obteniendo más de 8 mil dispositivos afectados.
Esta tendencia fue ratificada a finales del año, con la aparición de una nueva variante del troyano
Koobface, conocida como Boonana e identificada por ESET con la firma Java/Boonana.A. La misma
implicó la primer versión multi-plataforma de este troyano que está en actividad desde finales de 2008,
46
ESET Latinoamérica – Artículo del 17/09/2009 por Cristian Borghello “Rateros: botnets latinoamericanas” –
Consultado el 14/05/2011 - http://blogs.eset-la.com/laboratorio/2009/09/17/rateros-botnets-latinoamericanas/
47
ESET Latinoamérica – Artículo del 04/06/2010 por Juan Sacco “Mariachi Botnet: Latinoamérica es atacada por
ciberdelincuentes
mejicanos”
–
Consultado
el
30/04/2011
http://blogs.esetla.com/laboratorio/2010/06/04/mariachi-botnet-latinoamerica-atacada-ciberdelincuentes-mexicanos/
48
Open Networks – Artículo del 10/05/2011 “Coreflood -que robó mas de U$100 millones- podría estar en su
computador” – Consultado el 15/05/2011 - http://www.opennetla.com/portal/index.php/noticias-/210-corefloodque-robo-mas-de-u100-millones-podria-estar-en-su-computador
49
ESET Latinoamérica – Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf
Junio 2011 – Pág. Nº 43/84
y que dos años después de su creación ha comenzado su propagación más allá de sistemas Windows,
infectando también sistemas Linux y Mac OS.
Búsquedas en la web llevan a sitios maliciosos
Actualmente los delincuentes dirigen sus ataques en tiempo real, por ejemplo utilizando las búsquedas
en líneas.
Los delincuentes utilizan técnicas de Blackhat SEO y suelen subir scripts PHP a las páginas atacadas.
Estos scripts lanzan consultas al servicio de temas más populares de Google y a continuación generan
archivos HTML correspondientes a los términos de búsqueda más utilizados.
“El motor de búsqueda es engañado para que ‘vea’ el material correspondiente, mientras que el usuario
es redireccionado a un sitio de distribución de malware en cuanto hace clic sobre el enlace del resultado
que aparece en primer lugar. Los delincuentes que se aprovechan de las técnicas de Blackhat SEO para
distribuir malware han explotado tanto los motores de búsqueda que los usuarios ya no saben si confiar
o no en los resultados de sus búsquedas – Lo que no son buenas noticias ni para los usuarios ni para las
empresas de los motores de búsqueda. Este año hemos sido testigos de múltiples campañas de Blackhat
SEO que explotaban los temas más populares del día, viendo como muchas de ellas conseguían colar
páginas maliciosas entre los primeros lugares de los resultados de las búsquedas.”50
Websense Inc. informa que en el año 2010 el 22,4 % de de las búsquedas en tiempo real sobre
entretenimientos dirige a un link malicioso, ya que los autores de software malicioso se focalizan en los
rumores de la farándula y las noticias de último momento.
Otras compañías dan porcentajes más altos, probablemente usando métodos de conteo diferentes.
Pero lo cierto es que esta actividad maliciosa existe.
Muchos de los ataques SEO en el 2010 son combinados con un segundo componente que consiste en un
ROGUE ANTIVIRUS (ROGUEWARE). (Ver Falsos antivirus (rogueware) – Pág. 45).
Las amenazas de las redes sociales
2010 ha sido el año de las redes sociales. Éstas presentan grandes oportunidades para los negocios, pero
también para los delincuentes ya que muchos de estos sitios no fueron diseñados con seguridad.
Los atacantes usan técnicas de phishing para luego solicitar acceso, a través de la aplicación maliciosa, a
toda su información personal, con lo cual puede dirigirse a todos los contactos de la víctima.
Panda Security informa que en mayo de 2010 descubrió una página de venta de bots para redes
sociales. Según informa dicha página “el bot recoge información de las identidades y nombres de los
amigos y envía, de forma automática, solicitudes de amistad, mensajes con el contenido que se quiera o
comentarios”.51
“Se ha visto en los últimos años que los atacantes combinan una gran variedad de tácticas para
maximizar el potencial de éxito. Esta situación se conoce como una “convergencia de amenazas”. Esta
convergencia a través de múltiples protocolos hace mucho más difícil la securización de aplicaciones en
50
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011
51
Idem 43
Junio 2011 – Pág. Nº 44/84
–
línea. Los atacantes se están dirigiendo hacia los medios sociales, teniendo en cuenta el uso de las redes
de esta naturaleza y el acceso a datos del negocio por parte de los empleados mientras están en
tránsito, en la casa o realmente en cualquier lugar fuera de los confines de la red corporativa.”52
Ya en un artículo de abril de 2008, informa Internacional Data Corporation (IDC) que de acuerdo con un
estudio reciente, “hoy día dos tercios de las empresas usan mínimo una aplicación Web 2.0; sin
embargo, utilizar estas tecnologías emergentes sin una seguridad efectiva puede ser desastroso. El
Vicepresidente de programa, Chris Christiansen, escribió en el reporte de IDC de enero de 2008 que las
comunidades y aplicaciones Web 2.0 y Business 2.0 se convertirán en una fuente principal de fraude de
identidad, violaciones a la privacidad y pérdida de información de las organizaciones.” 53
Como es posible observar a través del informe, la predicción se ha cumplido.
Falsos antivirus (rogueware)
Se trata de aplicaciones que se hacen pasar por soluciones antivirus que ofrecen explorar gratuitamente
las computadoras de los desprevenidos internautas y que al hacerlo detectan numerosas amenazas
inexistentes. Sin embargo, cuando los usuarios tratan de eliminar dichas amenazas a través de la
aplicación, se les pide que compren la correspondiente licencia.
Estos productos no sólo no son antivirus, sino que además infectan las máquinas. También se venden
productos como utilitarios de sistema y discos. Conseguir una víctima más de un falso antivirus significa
para el delincuente varias ventajas: no sólo le permite embolsarse el importe de la compra de la
supuesta licencia del programa de seguridad, que nunca envía, sino que se queda con los datos de la
tarjeta de crédito del incauto, que posteriormente puede vender en el mercado negro o utilizar para
extraer dinero, hacer compras online, etc.
En 2010 ha aparecido el 40% del total de ejemplares de falsos antivirus. O lo que es lo mismo, desde que
apareció este nuevo tipo de amenazas, hace cuatro años, Panda Security ha clasificado 5.651.786
ejemplares únicos y diferentes de falsos antivirus: de este total, 2.285.629 han aparecido desde enero a
noviembre de 2010.54
Violación de datos
El robo de identidad continúa siendo un problema de seguridad de alto perfil particularmente para
organizaciones que almacenan grandes cantidades de información personal. No sólo pueden terminar
en la pérdida de datos personales dañando la confidencialidad de clientes e instituciones, sino que
pueden dañar la reputación de la organización y puede ser costoso para los individuos recuperarse del
resultado del robo de identidad.
Un gran número de violaciones de datos no necesariamente iguala la cantidad de identidades
expuestas. Por ejemplo, los tres sectores que mayor cantidad de violaciones de datos sufrieron en el
52
53
CDS Comunicaciones – Artículo del 11/04/2008 “Websense revela la primera red de seguridad HoneyGrid” Consultado el 25/04/2011 http://www.cds11.com/magazine/index.php?option=com_content&task=view&id=467&Itemid=92
54
Panda
Security
–
Informe
Anual
PandaLabs
2010
–
Consultad0
27/04/2011
–
Junio 2011 – Pág. Nº 45/84
2010 sólo contabilizaron un cuarto de las identidades expuestas en el período en estudio. El promedio
de identidades expuestas por violación de datos para cada uno de estos sectores fue menor a 38.000,
mientras que para el sector financiero fue de 236.000.55
En muchos casos uno de los aliados técnicos de la fuga de información es el software malicioso, que en
sus distintas formas y tipos permite acceder a equipos, explotar vulnerabilidades y afectar la privacidad
de forma directa. De hecho, como caso particular, el SPYWARE está diseñado para espiar los sistemas en
los cuales se logra alojar, haciendo que, por ejemplo, las contraseñas de un usuario sean capturadas, o
su información estadística de navegación sea tomada sin su consentimiento para fines económicos. En
el mismo sentido, dentro del software malicioso que produce este tipo de resultados, existen los
denominados KEYLOGGERS, que son dispositivos de software o hardware que capturan silenciosamente lo
tecleado por el usuario. Si bien este aspecto técnico debe resolverse principalmente con un software
antivirus adecuado, también es indispensable que el usuario conozca los peligros a los que se expone,
dado que en muchos casos la falta de concientización es la que promueve la exposición directa a las
amenazas.56
Un artículo de elmundo.es publicado el 19/08/2009, da cuenta de lo que constituye el mayor caso de
robo informático de datos llevado a juicio en Estados Unidos, según las autoridades de ese país. Más de
130 millones de números de tarjetas de crédito y débito fueron robados por un 'cracker' de Miami y dos
compinches rusos, mediante un sofisticado ataque de 'SQL INJECTION' para penetrar en sus redes.57
McAfee Inc. informa que Brasil ocupa el noveno lugar como fuente de ataque de
SQL Injection.58
Explotación de vulnerabilidades
•
La mención de honor del año 2009 en cuanto a vulnerabilidades se trata es para Adobe, por ser la
empresa que durante más tiempo ha dejado expuestos a sus clientes, así como por ser el fabricante
de los productos más explotados del año. En total fueron reportadas 45 vulnerabilidades en
software de dicha empresa. Comparando con otros paquetes de software, como por ejemplo
Microsoft Windows (todo el sistema operativo y aplicaciones base), han sido corregidas 41
vulnerabilidades. Así pues, este año se han encontrado más vulnerabilidades en software Adobe
(Acrobat Reader y Flash Player) que en un único sistema operativo a lo largo del tiempo. Por si esto
55
56
ESET – Fuga de información. Una amenaza pasajera? – Consultado el 24/04/2011 - http://www.esetla.com/pdf/prensa/informe/fuga_de_informacion.pdf
57
elmundo.es – Artículo del 17/08/2009 “Un 'cracker' de 28 años, acusado de robar datos de 130 millones de
tarjetas de crédito” – Consultado el 27/04/2011 http://www.elmundo.es/elmundo/2009/08/17/navegante/1250535175.html
58
Junio 2011 – Pág. Nº 46/84
fuera poco, lo más preocupante de este triste récord es que la ventana de tiempo en la que los
usuarios de sus productos han sido vulnerables ha superado los 30 días en la mayoría de los casos.59
También Apple ha crecido en cantidad de vulnerabilidades a medida que crece su presencia en el
mercado.
•
A comienzos del año 2010 sorprendió la noticia de que un sofisticado y coordinado ataque
bautizado “Operación Aurora” había afectado a más de 30 grandes compañías multinacionales. Los
hackers aprovechaban una vulnerabilidad de Internet explorer para instalar un troyano de manera
silenciosa en los ordenadores de los usuarios y conseguir, de esta manera, tener acceso remoto a
toda su información personal. Dicha vulnerabilidad ZERO DAY afectaba a las tres versiones del
navegador Internet Explorer (6, 7 y 8) en sistemas operativos Windows 2000 SP4, WXP, 2003, Vista y
Windows 7. Existen dos hipótesis sobre el objetivo final que querían lograr los hackers: una versa
sobre la intencionalidad de robar información de propiedad intelectual a grandes compañías y la
otra apunta al robo de información de cuentas de Gmail de supuestos y conocidos activistas de
derechos humanos en China.
Algunas fuentes de información indican que las personas que recibieron el e-mail, o sea las
“víctimas” no eran aleatorias, sino que se trataba de directivos y altos cargos que supuestamente
tenían permisos de acceso a diferentes aplicaciones con privilegios. Este tipo de ataque es conocido
como “dirigido”, en contraposición a los ataques masivos o indiscriminados, donde no se selecciona
el potencial receptor.60
•
Stuxnet fue la estrella del año 2010. Aprovechando varias vulnerabilidades Zero Day de Windows
tuvo la habilidad de tomar como blanco a infraestructuras industriales específicas y dañar sistemas
físicos. Una de las vulnerabilidades que pudo explotar le permitió infectar “SIMATIC”, sistema tipo
Supervisory Control and Data Acquisition (SCADA) de Siemens, el cual es usado para monitorear y
controlar sistemas industriales. El sistema infectado podría alterar por ejemplo, la frecuencia de
motores, y potencialmente dañarlos o interferir con su operación. La mayoría de las infecciones de
Stuxnet fue sufrida por sistemas ubicados en Irán. En el mes de noviembre el gobierno iraní reveló
que algunas de esas infecciones habían dañado los centrifugadores usados en el programa de
enriquecimiento de uranio de ese país, lo cual llevó a los investigadores a especular sobre la
posibilidad de que el software malicioso fuera diseñado y distribuido específicamente para
interrumpir el programa.61
•
El 2011 sorprendió con un ataque a la compañía Sony, la cual lo explicó de la siguiente manera:
“El ataque a la base de datos de clientes se realizó desde un servidor de aplicaciones conectado con
ella, y que está tras un servidor web y dos cortafuegos o firewalls. Según los responsables de la
compañía, el modo en que se realizó el hackeo “es un técnica muy sofisticada”.
Los autores del ataque lo encubrieron como una compra en la plataforma online de Sony, por lo que
los sistemas de seguridad no detectaron nada raro, y tras pasar del servidor web, lograron explotar
59
http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf
60
61
Junio 2011 – Pág. Nº 47/84
una vulnerabilidad del servidor de aplicaciones para instalar software que más tarde fue usado para
acceder al servidor de la base de datos, protegido por un tercer firewall.
La vulnerabilidad del servidor de aplicaciones donde se instaló el software para acceder a la base de
datos era desconocida por Sony, que ya se ha apresurado a crear un puesto de jefe de seguridad de
la información para supervisar la seguridad de los datos de ahora en adelante, además de haber
rehecho la seguridad de la plataforma PlayStation Network para evitar que esto vuelva a pasar.”62
En el link al pie de la página puede verse un gráfico representativo.
En otro artículo publicado por ESET Latinoamérica en su blog de laboratorio se puede leer:
El presidente de la compañía, Kaz Hirai, confirmó que 10 millones de tarjetas de crédito de los 77
millones de usuarios han sido obtenidas por los atacantes, y la empresa ya informó a estos usuarios
de los hechos. De la misma rueda de prensa, fue posible obtener los datos de los usuarios afectados
en Latinoamérica, y se trata nada más y nada menos que de más de un millón setecientos mil
usuarios.
Un periodista que asistió a la conferencia, Mark MacDonald, publicó desde su cuenta de
Twitter (@markmacd) una foto del documento presentado el día de ayer, con el número
de cuentas afectadas por país, y de allí se derivan que los usuarios afectados en
Latinoamérica, sólo tomando los países que se indican en las planillas (los más grandes en
usuarios afectados), son los siguientes (de mayor a menor):






México: 957,543 cuentas.
Brasil: 448,839 cuentas.
Argentina: 101,269 cuentas.
Colombia: 93,246 cuentas.
Chile: 80,357 cuentas.
Perú: 35,517
Si se tienen en cuenta otros países en números menores, el número asciende por encima de los
1.716.771 afectados.63
En el link al pie de la página puede verse la foto enviada por el periodista.
Si bien se cataloga estas situaciones como la explotación de vulnerabilidades, la resultante es siempre
alguna de los ciberamenazas ya mencionadas.
Una encuesta que combina los resultados sobre diferentes tipos de ataques en Latinoamérica, entre
otros tópicos que la conforman, es la que presenta la Asociación Colombiana de Ingenieros de Sistemas
(ACIS), en la que recaba información de los participantes respecto de las fallas de seguridad de las que
han sido objeto.
62
1080b bloggresivo – Artículo del 04/05/2011 “Sony explica como fue hackeada Playstation Network” –
Consultado el 20/05/2011 - http://www.1080b.com/tecnologia/sony-explica-como-fue-hackeada-playstationnetwork/13526/
63
ESET Latinoamérica - Artículo del 05/05/2011 “SonyPlayStation: más de un millón de afectados en
Latinoamérica” – Consultado el 20/05/2011 - http://blogs.eset-la.com/laboratorio/2011/05/05/sonyplaystationmas-de-un-millon-de-afectados-en-latinoamerica/
Junio 2011 – Pág. Nº 48/84
En la efectuada durante el año 2010, participaron además de ACIS, el Centro de Atención de incidentes
de Seguridad Informática y Telecomunicaciones, (ANTEL) de Uruguay: la Red Latinoamericana de
Expertos en Derecho Informático (Alfa-Redi de Perú); la Superintendencia de Servicios de Certificación,
SUSCERTE de la República Bolivariana de Venezuela: la Universidad del Valle de Atemajac, Campus
Guadalajara; el Colegio de Profesionistas en Computación del Estado de Hidalgo, México; el Capítulo
Buenos Aires de ISACA y la organización USUARIA de Argentina e ISACA, Capítulo Asunción, Paraguay.
Cabe señalar que son diferentes los participantes de cada año, por lo cual podrían no ser comparables
las cifras aunque mantienen consistencia dentro del mismo año.64
Tipo de falla de seguridad
Ninguna
Manipulación de aplicaciones de software
Instalación de software no autorizado
Accesos no autorizados a la Web
Fraude
Virus
Robo de datos
Caballos de troya
Monitoreo no autorizado del tráfico
Negación del servicio
Pérdida de integridad
Pérdida de información
Suplantación de identidad
Phishing
Pharming
Fuga de información
Otras
2009%
8,1
22,2
60,7
30,9
10,8
70,9
9,9
33
11,4
15
4,8
19;5
13,5
16,8
3
21
-
2010%
4,44
4,44
18,65
9,43
2,49
20,7
2,06
7,04
2,60
4,33
1,4
5,42
1,84
4,55
0,54
7,37
1,3
Ataque distribuido de denegación de servicio (DDoS – DoS)
Los ataques de denegación de servicio tienen como objetivo interrumpir la prestación del servicio web
de las organizaciones atacadas. Dado que estos ataques siempre resultan en una gran exposición de las
organizaciones víctima suelen producir un gran daño a su reputación y acrecientan el grado de
desconfianza por parte de sus usuarios. Si bien este tipo de ataque puede ser dirigido a cualquier tipo de
organización, el DoS ha sido durante el año 2010, la mayor amenaza de las infraestructuras
gubernamentales y de servicios críticos como el biofarmaceútico, financiero y transporte alcanzando el
52% del total de ataques.65
64
ACIS – Seguridad de la Información en Latinoamérica Tendencias 2010 – Fecha de consulta: 20/05/2011 http://www.acis.org.co/fileadmin/Revista_115/Informe_Latinoamerica.pdf
65
Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el
Junio 2011 – Pág. Nº 49/84
Tendencias 2011
Se expresa aquí lo recogido en los informes de las diferentes compañías respecto de las tendencias en
materia de amenazas para el corriente año.
Websense Inc. opina que el continuo uso de los smartphones y la creciente cantidad de datos
financieros que llegan a estos dispositivos los transforman en futuros blancos de ataque. Algunas
plataformas móviles incluyendo iPhone ya han sido atacadas. Además, hay una importante cantidad de
aplicaciones móviles disponibles, las cuales abrirán la puerta a vulnerabilidades de seguridad
dependiendo de la calidad de su construcción.66
Con la adopción de tantas nuevas plataformas móviles, McAfee espera que estos dispositivos estén
sujetos a la distribución e infección por botnets. La falta de concientización en seguridad entre los
usuarios de estos dispositivos, la potencial masividad de su utilización en múltiples aplicaciones y la
inmadurez de las salvaguardas móviles ofrecen a los ciberdelincuentes muy buenas oportunidades.67
Por otro lado, Symantec Corporation señala que ya en 2010 existían todos los requerimientos para un
panorama de amenazas activas para estos dispositivos. El parque instalado de smartphones y otros
dispositivos móviles ha crecido lo suficiente como para tener un atractivo tamaño. Los dispositivos
corren sistemas operativos sofisticados que vienen inevitablemente con vulnerabilidades, con un total
de 163 en 2010. Además, los troyanos escondidos en legítimas aplicaciones vendidas en los almacenes
de aplicaciones proveen un simple y efectivo método de propagación.68
Continuando con la visión de Websense Inc. en otros temas, la compañía opina que continuarán los
ataques combinados, por ejemplo SEO combinado con rogue AV, así como los correos electrónicos
conteniendo componentes para el robo de datos. También las campañas de Spam continuarán teniendo
como blanco los muros de Facebook y otros sitios de redes sociales y las botnets crecerán ya que
generan una buena ganancia a bajo costo para los ciberdelincuentes y tienen suficiente amplitud para
llegar a cualquier lugar que se propongan.
Según Symantec Corporation, las botnets también mejorarán la técnica empleando esteganografía para
esconder sus comandos.69
AWPG opina que seguirá creciendo el uso de URls cortas y de subdominios por parte de los phishers.
Panda Security coincide con las tendencias ya enunciadas y enfatiza la consolidación de las redes
sociales como herramienta para los delincuentes y su crecimiento en ataques distribuidos.
66
Websense Inc - 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 –
https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf
67
68
69
Junio 2011 – Pág. Nº 50/84
Por su parte, Symantec Corporation incluye el crecimiento de los ataques dirigidos a industrias e
individuos específicos, así como los ataques de denegación de servicio sobre los sectores de
infraestructura crítica.
Junio 2011 – Pág. Nº 51/84
Capítulo IV - Impacto Económico
Introducción
La utilización de Internet se ha acrecentado notoriamente en las últimas décadas, pasando de un uso
exclusivamente académico y militar a conformar hoy, una parte esencial de la infraestructura crítica que
sostiene a las sociedades modernas. En este contexto, Latinoamérica no ha sido ajena a este fenómeno.
Sin embargo, y como fuera señalando precedentemente, junto a los múltiples beneficios que han
surgido de la mano de las tecnologías de la información, aparece un sin número de amenazas a partir de
la explotación de sus debilidades, complejidades y escala global. Así nuestras sociedades son hoy
dependientes de la disponibilidad, precisión y confidencialidad de sus tecnologías de la información y las
comunicaciones, dejando muy pocas áreas de nuestras vidas al margen de la revolución digital.
En efecto, esas mismas tecnologías han reeditado viejos delitos a través de nuevas y más imperceptibles
formas de concretarlos. Diversos pronunciamientos de gobiernos, empresas líderes y organizaciones
internacionales llevan a asegurar que la magnitud del ciberdelito es realmente preocupante y a plantear
escenarios de ataques cibernéticos, con consecuencias gravosas para la población. El Gobierno del Reino
Unido, por ejemplo, reconoció al delito cibernético como uno de los cuatro mayores riesgos para la
seguridad de la Nación.70
En el caso particular de la región Latinoamericana, diversas publicaciones, como se muestra en el
capítulo III, la señalan como origen y blanco de numerosos tipos de incidentes, como las botnets, el
SPAM, el phishing, el robo de identidad, etc.
Para dimensionar la magnitud del problema, un ejercicio imprescindible es estimar el impacto
económico de estos ataques, que efectiva o potencialmente podrían afectar tanto a organizaciones
como a individuos en la región. Sin embargo, intentar determinar este impacto es una labor compleja
por diversos motivos y cualquier afirmación, como se planteará más adelante, se basará necesariamente
en una serie de supuestos justificados, ante la imposibilidad de acceder a datos concretos sobre la
ocurrencia del incidente y sus características.
Porqué medir el impacto económico
Estimar el impacto económico de los ataques cibernéticos habilita la posibilidad de establecer la real
dimensión del problema y facilita la asignación de recursos suficientes bajo una ecuación equilibrada de
costo/beneficio. En este sentido, puede afirmarse que contar con estimaciones precisas del impacto, ya
sea real o potencial, de un ataque cibernético constituye uno de los pilares fundamentales para la
adopción de medidas de protección para los datos y los recursos de información a todo nivel.
Como contracara, puede deducirse que una incorrecta asignación de recursos expone a la entidad o a la
persona a mayores riesgos e incrementa las posibilidades de sufrir otro ataque, con lo que aumenta el
impacto potencial y el problema tiende a retroalimentarse.
70
HMGovernment - A Strong Britain in an age of uncertainty. National Security Strategy October 2010 –
Consultado el 25/04/2011 http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents/digitalasset/dg_1916
39.pdf?CID=PDF&PLA=furl&CRE=nationalsecuritystrategy
Junio 2011 – Pág. Nº 52/84
Por otra parte y ya a nivel de una organización, al justificar la incorporación de una nueva herramienta
de seguridad o cualquier iniciativa para su fortalecimiento, se hace inevitable que deban responderse
preguntas vinculadas a los beneficios esperados. En otras palabras, se deberá tener en claro cuáles
serían las consecuencias de no realizar esa acción y específicamente, cuánto se podría perder en caso
de no avanzar en su instrumentación.
A nivel de un país, contar con estimaciones de impacto económico permitiría orientar las acciones de los
organismos reguladores hacia aquellas áreas más susceptibles a pérdidas por ataques cibernéticos o a
aquéllas cuyo impacto tenga un efecto negativo sobre toda o parte de la sociedad. Por otro lado, estas
estimaciones pueden ser también expresadas como valor agregado de los efectos sobre las personas
(clientes, ciudadanos, etc.) o de las empresas (Bancos, Hospitales, Compañías de aviación, Organismos
estatales, Servicios Públicos, etc.).
Desde el punto de vista de las Fuerzas Policiales y de la Justicia, una estimación lo más precisa posible de
las pérdidas económicas ocurridas o eventuales es importante a la hora de priorizar la respuesta al
ciberdelito y constituye la base para asegurar una sanción o penalidad acorde con el daño producido.
Los ejemplos citados dan cuenta de la importancia de contar con estimaciones del impacto del
ciberdelito en términos económicos. Sin embargo, existen pocos estudios y escasa bibliografía que
avance en el análisis desde esta perspectiva, tanto a nivel global o regional como de los países en
particular. Más aún, los informes que existen muestra los datos sin detallar la manera en que fueron
calculados.
Dificultades para la estimación
Estimar el impacto económico de un ciberdelito no es una tarea sencilla. La ausencia de datos sobre la
cantidad real de casos registrados, las dificultades para establecer los costos indirectos y dimensionar la
población afectada son parte del problema. Influye asimismo el bajo nivel de seguimiento y registro del
tiempo y los recursos asignados al momento enfrentar un ataque. Mayores complicaciones provienen
de los problemas para determinar sus consecuencias en el tiempo, todo lo cual dificulta la posibilidad de
conocer el gasto total de remediación y compensación por las pérdidas registradas.
Como fuera mencionado anteriormente, un factor crucial es el escaso volumen de datos de casos de
ataques o fallas que se reportan. En el caso de los usuarios, generalmente desconocen dónde y cómo
plantear una queja o reclamo ante un posible fraude informático, o bien cuando deciden hacerlo, no son
debidamente escuchados o entendidos. Otro factor a tener en cuenta es que no siempre es posible
encontrar a los culpables, lo cual resulta desalentador a la hora de decidir formular la denuncia, y que
las respuestas de las entidades, sean bancarias, empresas de seguro, etc. muchas veces son
insuficientes, dejando sólo al usuario frente al posible delito.
A diferencia de la estimación de la cantidad de casos de ataques registrados cuyo análisis se desarrolló
en el Capítulo III, que puede basarse en herramientas automatizadas de recolección, en el caso de la
ponderación económica, se hace necesaria la denuncia o reporte de al menos un número significativo
de entidades o usuarios afectados, a fin de aproximar la cuantificación económica del daño producido,
sea en costos directos o indirectos.
Hacia fines del siglo pasado, varias universidades de los EEUU se propusieron examinar en forma
sistemática los costos reales asociados a los incidentes de seguridad. A partir de sus estudios,
Junio 2011 – Pág. Nº 53/84
planteados bajo la denominación de ICAMP (Incident Analysis Modeling Project), se elaboró un modelo
para la determinación de los costos de atención de incidentes y una serie de ejemplos de los ataques
más comunes71.
Este estudio demostró que es posible realizar estimaciones, siempre que se mantenga un nivel
razonable de disciplina y diligencia entre quienes desarrollan las tareas vinculadas, llevando registro de
los tiempos y recursos asignados como parte del proceso.
Esta afirmación que en el contexto de trabajo citado es aplicable al proceso de atención y remediación
de un incidente, puede ser extendida a los costos de los ataques en general y no solo a aquéllos
asociados a su gestión.
Puede afirmarse también que muchas entidades cuentan con datos parciales o totales respecto a los
incidentes registrados, pero son reticentes a compartirlos con otros o a divulgarlos por cualquier otro
medio, ante la posibilidad de que se afecte la confianza de los usuarios o clientes, se genere publicidad
negativa para la organización, los accionistas se enteren, las entidades regulatorias o de seguridad
impongan sanciones o bien, que otras empresas del ramo obtengan ventajas competitivas, entre otras
posibles razones.
Al respecto, cabe acotar que es un error grave suponer que la falta de estimaciones sobre la real
dimensión del impacto económico pueda ser leída como su ausencia. Si bien es dable reconocer que
establecer la dimensión completa del incidente es posiblemente una tarea casi imposible en la mayoría
de los casos, contar con valores estimados permitirá dimensionarlo y como ya fuera expresado, realizar
las previsiones necesarias priorizando los escenarios de mayor riesgo.
Algunas preguntas que podrían darse frente a un ataque real o potencial son las siguientes:
•
¿Cuántas personas/entidades denunciaron haber sido afectadas?
•
¿Cuál es la estimación del número de personas/entidades que pudo verse afectado pero no detectó
aún el fraude o prefirió no denunciarlo?
•
¿Cuál es la pérdida promedio por persona y/o entidad afectada?
•
¿Cuál fue el efecto sobre el trabajo cotidiano de las personas, es decir cuántas no pudieron trabajar
o efectuar algún tipo de transacción?
•
¿Cuál es el salario de estas personas o bien la pérdida promedio por esta imposibilidad de llevar
adelante sus actividades?
•
¿Cuántas personas trabajaron en atender el incidente?
•
¿Cuántas horas destinaron al proceso de gestión del incidente?
•
¿Cuánto ganan estas personas?
•
¿Cuál será la previsión que se registrará para la atención de los costos posteriores en términos de
posibles demandas legales?
71
Symantec Corporation – Artículo del 02/11/2010 por David Ditrich “Developing an Effective Incident Cost
Analysis Mechanism” – Consultado el 23/04/2011 - http://symantec.com/connect/articles/developing-effectiveincident-cost-analysis-mechanism
Junio 2011 – Pág. Nº 54/84
Con esta información disponible, luego es cuestión de mero cálculo arribar a un valor estimado que si
bien posiblemente no refleje el incidente en su total dimensión, fija un piso para la estimación del
impacto económico.
Al respecto, las pérdidas totales asociadas a un ataque cibernético exceden los costos directos que
podrían llegar a estimarse, alcanzando aspectos ligados a la pérdida de credibilidad o reputación de las
entidades afectadas e inclusive de otras del mismo mercado o actividad. Así, un robo masivo de datos
personales vinculados a las tarjetas de crédito cometido a través de Internet, podría impactar en la
voluntad de los usuarios para utilizar sus tarjetas en otros puntos de compra de bienes o servicios en
Internet.
Costos asociados a los incidentes informáticos
La bibliografía indica que los costos asociados a la ocurrencia de un incidente pueden catalogarse de la
siguiente manera:
•
Costos preventivos, que incluyen el costeo de las medidas de seguridad física, lógica y
organizacionales y de las implementaciones, que dando cumplimiento al marco regulatorio y legal,
deben ser efectuadas por las entidades y las personas con el fin de evitar la ocurrencia de los
incidentes de seguridad, sobre la base del cumplimiento de estándares y buenas prácticas en
materia de seguridad.
•
Costos de remediación, incurridos como consecuencia inmediata de los incidentes de seguridad, que
abarcan las pérdidas directas que sufren las personas y las entidades, incluyendo aquéllas asociadas
a las pérdidas de imagen, competitividad, etc.
•
Costos de respuesta posteriores, como por ejemplo, las indemnizaciones a las víctimas, las
sanciones y penalidades impuestas por los organismos reguladores y aquellos asociados a las
investigaciones forenses y gastos judiciales.
•
Costos indirectos, vinculados por ejemplo, a la pérdida de confianza en las transacciones
electrónicas y su impacto en el gobierno y el comercio electrónicos.
Objetivo y alcance del capítulo
El objetivo principal de este capítulo es proveer un marco para la medición del impacto económico del
ciberdelito en Latinoamérica, que pueda ser actualizado y mejorado cuando se disponga de información
más precisa y de análisis más profundos, facilitando estimaciones futuras. Se propone asimismo, realizar
algunas estimaciones y proyecciones globales respecto a la dimensión que podría estar teniendo el
ciberdelito en la región. Estas proyecciones son realizadas en base a una serie de supuestos y
especulaciones, ante la ausencia de datos concretos y representativos sobre incidentes ocurridos.
En otras palabras, los valores que se indican en este capítulo son el resultado de estimaciones, más que
de datos específicos de casos de ataques, frente al panorama de ausencia de información agregada y
precisa de los casos registrados. Se basan en datos obtenidos de fuentes públicas y en modelos
utilizados mayormente en informes producidos en otros países o regiones, tanto por organizaciones
públicas como por entidades privadas, calculados usando factores locales, cuando fue posible. Tal como
ya fuera indicado, se han tenido también en cuenta las opiniones de expertos locales e internacionales,
cuyo aporte ha sido invaluable para la realización de este trabajo.
Junio 2011 – Pág. Nº 55/84
El término ciberdelito se utilizará para definir cualquier actividad maliciosa realizada con el fin de
comprometer la confidencialidad, integridad y disponibilidad de la información, aprovechando las
vulnerabilidades que presentan Internet y otros sistemas. Las actividades cubiertas son aquéllas que
llevan a cabo los delincuentes para acceder en forma no autorizada a la información y los servicios que
utilizan las personas y organizaciones de Latinoamérica. Sólo se incluirá aquéllos que tengan un impacto
financiero, no contemplándose por ejemplo, daños a la reputación debido a las dificultades para su
determinación. Esta decisión se adopta para evitar la inclusión de mayores complejidades en los
modelos utilizados para realizar las proyecciones, al aumentar la cantidad de supuestos y
especulaciones que es necesario realizar.
Los únicos ciberdelitos cubiertos son:
•
Fraudes bancarios y phishing y sus consecuencias para las personas
•
Fraudes bancarios y phishing y sus consecuencias para los bancos
•
Fraude en comercio electrónico
•
Robo de identidad
Otros ciberdelitos tales como la distribución de pornografía por Internet, la extorsión, el robo de
propiedad intelectual en soporte electrónico, la venta de productos falsificados por Internet, la piratería
de software o el ciberterrorismo, entre otros, no son abarcados en el presente capítulo debido a que o
se obtuvo información suficiente para estimar su impacto económico.
En cada caso analizado, se citan datos provenientes de publicaciones de los países de la Región que
detallan estimaciones del impacto económico de los ciberdelitos dentro de sus fronteras.
Demás está decir que la amplitud del impacto económico del ciberdelito excede el listado anterior. Sin
embargo, ante la ausencia de datos concretos para ponderar otro tipo de incidentes, se ha visto
imposibilitada la realización de otro tipo de análisis. Al final del capítulo se agrega una serie de valores y
estimaciones referidas a otros ciberdelitos, que fueron encontrados durante la revisión bibliográfica,
con la idea de que puedan ser utilizados cuando se disponga de información más completa.
Informes internacionales
Existen pocos estudios completos sobre el impacto económico-financiero del ciberdelito a excepción de
algunos países como los EEUU, el Reino Unido y Australia.
En los EEUU por ejemplo, la Federal Trade Commission72, un organismo del Estado Federal que tiene
como objetivo la protección de los consumidores, mantiene una base de datos de reclamos muy
completa sobre fraude en Internet y robo de identidad, a partir de la cual se obtienen estadísticas sobre
la cantidad de casos de ciberdelitos registrados y se estiman las pérdidas sufridas en forma individual y
agregada. En sus publicaciones, este organismo indica recibir habitualmente entre 15.000 y 20.000
llamados por semana de ciudadanos preocupados ante la posibilidad de haber sido víctimas de un robo
de identidad, siendo éste el rubro donde más quejas se reciben anualmente desde hace más de 10 años.
Otras estadísticas muestran que durante el año 2010 este tipo de delitos le costó 50.000 millones de
72
Informes publicados en el sitio de Internet de la Federal Trade Commission – http://www.ftc.gov/
Junio 2011 – Pág. Nº 56/84
dólares a las empresas y que el conjunto de los usuarios afectados pagó 5.000 millones para reparar los
problemas causados por este tipo de delitos.
En cuanto al Reino Unido, un informe73 elaborado por la Oficina de Ciber Seguridad y Aseguramiento de
la Información (OSCIA, por sus siglas en inglés) y la Empresa DETICA, analiza en detalle el costo del
ciberdelito en ese país, haciendo foco en la apropiación indebida de los datos de identidad que sufren
los ciudadanos, el robo de propiedad intelectual, la extorsión a las empresas y el fraude fiscal cometido
contra el gobierno. Este informe concluye que el costo para la economía fue en el año 2010 de 27.000
millones de libras esterlinas y que la tendencia de este impacto es creciente.
El estudio avanza indicando que la facilidad de acceso a la información de las personas y las
organizaciones y el anonimato contribuyen a disminuir los riesgos de ser atrapado mientras se cometen
estos delitos, lo cual hace esta actividad más atractiva para los delincuentes. Concluye además que los
ciberdelitos no se distribuyen en forma homogénea en todos los sectores de la industria y que este
problema no debería ser solo atendido por el Gobierno. Indica que es esperable que el costo de
ciberdelito a escala nacional se incremente, si no se adoptan medidas adecuadas para prevenir la
“hemorragia” (sic.) de información valiosa relativa a propiedad intelectual.
El informe alienta a todas las empresas a invertir en mejoras a la seguridad de su información sobre la
base de evaluaciones de riesgo. Sólo de esta manera, afirma el estudio, se podría disminuir el impacto
económico del ciberdelito en el Reino Unido. Resalta también que uno de los problemas más graves es
la falta de mecanismos de reporte y la percepción de que aún cuando se denuncien, poco se puede
hacer para prevenirlos. Por ello, llama al Sector Privado y al Gobierno a realizar esfuerzos para
concientizar, compartir esfuerzos y medir el ciberdelito, con el fin de que las respuestas puedan ser más
certeras.
En el caso de Australia, un informe al Parlamento74 publicado indica que si bien es difícil cuantificar el
impacto negativo causado por la pérdida de confianza en los servicios en línea, éste podía estimarse en
miles de millones de dólares.
Existen también informes de empresas dedicadas a la seguridad que intentan cuantificar a nivel
internacional el impacto económico producido por distintos tipos de ataques. Sin embargo, muy pocos
se refieren específicamente a la región Latinoamericana y los datos se basan en su mayor parte, en
supuestos y estimaciones.
Fuentes de datos y metodología
Como en los anteriores, para la formulación de este capítulo se ha obtenido información de fuentes de
dominio público, complementada por las opiniones de especialistas en ciberseguridad de organizaciones
públicas y privadas, de Latinoamérica y de algunos centros de investigación en el mundo. La lista de los
informes y profesionales consultados puede ser accedida en los anexos de este informe.
73
Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office of
Cyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime
74
Parliament of Australia House of Representatives - Hackers, Fraudsters and Botnets: Tackling the Problem of
Cyber Crime Junio 2010 – Consultado el 17/04/2011 http://www.aph.gov.au/house/committee/coms/cybercrime/report.htm
Junio 2011 – Pág. Nº 57/84
La mayoría de los cálculos realizados son adaptaciones de proyecciones similares efectuadas para otros
trabajos de similar propósito para otras regiones o países. En todos los casos en que fue posible, se
utilizaron valores de la región o bien se tomaron indicadores de otras áreas, corregidos por la realidad
local. Estas perspectivas fueron revisadas con los especialistas. Las fuentes fueron verificadas y
sopesadas, privilegiando siempre las más reconocidas por tratarse de entidades internacionales,
organismos nacionales o bien empresas de trayectoria del sector. Ante más de una fuente posible de
similar nivel de confianza, se utilizó la más conservadora. De igual forma, se privilegiaron los datos más
recientes ya que se ha comprobado que los ataques cibernéticos van cambiando y reinventándose a
medida que aparecen medidas para neutralizarlos.
Calcular el impacto del ciberdelito en un país o región es una tarea compleja. Las estimaciones que
siguen se basan en supuestos y evaluaciones fundamentadas más que en datos reales dado que como
fuera ya consignado, no se encuentran accesibles bases completas de incidencia del ciberdelito. En
consiguiente, los valores que se exponen deben ser interpretados como guías ilustrativas del efecto del
ciberdelito, más que como datos concretos del impacto económico del ciberdelito en la región.
Fraudes financieros
Un informe de la Federación Brasileña de Bancos FEBRABAN75 da a conocer que el fraude bancario
durante el primer semestre de 2010 habría alcanzado los 450 millones de reales, aproximadamente
unos 245 millones de dólares estadounidenses. El mismo informe señala que proporcionalmente, no
había aumentado ya que durante el año 2009, las pérdidas estimadas habían alcanzado los 900 millones
de reales, es decir unos 490 millones de dólares estadounidenses. El artículo no aclara si estos valores
representan el costo para los clientes bancarios o para los bancos o el valor agregado para todo el
sistema en general.
Un informe de la Empresa Gemalto76 por su parte, cuenta que en el año 2010 en Colombia, el 42% de
los bancos reportó algún tipo de fraude y que las pérdidas por fraudes bancarios electrónicos cometidos
en el año 2010 en Chile superaron los 5 millones de dólares estadounidenses. En este último país, y
según informes de la Brigada Investigadora del Cibercrimen de la Policía de Investigaciones de Chile77,
los fraudes financieros realizados por Internet crecieron 40% en dicho año. Esta fuente considera que
este país es uno de los que presenta una de las mayores tasas de ciberdelincuencia en la región.
75
NOW!DIGITAL BUSINESS – Artículo del 31/08/2010 por Renato Rodrigues “Fraudes em internet banking deram
prejuízo
de
R$
900
milhões
em
2009”
–
Consultado
el
20/05/2011
http://idgnow.uol.com.br/seguranca/2010/08/31/fraudes-online-deram-prejuizo-de-r-900-milhoes-em-2009-dizfebraban/
76
Radio Fe y Alegría Noticias - Artículo del 01/04/2011 por Samuel Hourdin, Director de la División en Latino
América de eBanking, Gemalto “Latinoamérica fina para el fraude electrónico” – Consultado el 26/04/2011 http://www.radiofeyalegrianoticias.net/index.php?option=com_content&view=article&id=6534:latinoamericafina-para-el-fraude-electronico&catid=10:lo-actual&Itemid=47
77
Ebanking News – Artículo del 27/04/2011 por Cludio Wipe “Los fraudes más comunes en el comercio
electrónico” - Consultado el 15/05/2011 – http://www.ebanking.cl/seguridad/los-fraudes-mas-comunes-en-elcomercio-electronico-006116
Junio 2011 – Pág. Nº 58/84
Por otra parte, la firma Frost and Sullivan78 analizó el fraude informático en los Bancos e Instituciones
Bancarias y Financieras de Latinoamérica. Como parte de su estudio presenta el monto promedio de
fondos robados por incidente de fraude en la región. El cuadro que sigue muestra sus conclusiones:
Como puede apreciarse del gráfico, un 60% de los casos relevados no alcanzó los 500 dólares
estadounidenses, seguido de un 5% entre 501 y 1.000 dólares y un 35% superando ese valor. El estudio
avanza que el promedio por incidente fue de 941 dólares estadounidenses.
En cuanto a México, en el año 2010 la Comisión Nacional Bancaria79 estimaba que la cifra total atribuible
a fraudes bancarios podía rondar los 60 millones de dólares estadounidenses. El informe agrega que la
cantidad real de fraudes ocurridos efectivamente no está reflejada en los reportes debido a que no hay
denuncias ya sea porque los bancos optaron por devolver el dinero a los afectados y/o directamente no
reportaron los ilícitos para no dañar su reputación.
Estimaciones
Costo para los clientes
Un estudio de la Firma Trusteer80 realizado sobre la base de datos recolectados en el transcurso de tres
meses, sobre clientes bancarios ubicados en Europa y los EEUU, concluye que un 0.47% son víctimas de
ataques de phishing cada año.
Para determinar la cantidad de clientes bancarios en la región, se tomó en consideración un estudio
publicado en el sitio de la Federación Latinoamericana de Bancos81 que indica que aproximadamente un
43% de la población adulta de Latinoamérica se encuentra bancarizada. Se entiende por bancarización
78
Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de
Latinoamérica 2010 – Consultado el 29/04/2011 - http://www.frost.com/prod/servlet/market-insighttop.pag?docid=213433779
79
MasPorMas - Artículo del 12/05/2011 por Oscar C. González “Comercio Electrónico es origen de e-fraudes” –
Consultado el 26/05/2011 – http://www.maspormas.com.mx/2011/05/comercio-electronico-es-origen-de-efraudes/
80
Trusteer Inc - Measuring the Effectiveness of In-the-Wild Phishing Attacks 2009 – Consultado 3l 15/04/2011 www.trusteer.com/sites/default/files/Phishing-Statistics-Dec-2009-FIN.pdf
81
Felaban - Promoviendo el Acceso a los Servicios Financieros: ¿Qué nos Dicen los Datos sobre Bancarización en
América Latina? – Consultado el 19/04/2011 - www.felaban.com/pdf/servicios_financieros.pdf
Junio 2011 – Pág. Nº 59/84
el porcentaje de personas mayores de 18 años que tienen una o más cuentas en instituciones bancarias
y financieras.
Por otra parte, diversos estudios señalan que la pérdida promedio por cuenta comprometida se
encuentra alrededor de los 1.000 dólares estadounidenses.82 83 84 85
Tomando entonces la cantidad de clientes bancarios en Latinoamérica corregido por el factor que señala
la proporción de quienes finalmente resultan engañados y proveen sus datos, multiplicado por la
pérdida promedio, puede concluirse que las pérdidas anuales por phishing rondarían los 761 millones de
dólares estadounidenses como valor agregado de las pérdidas de cada cliente engañado.
Este valor puede ser considerado conservador ya que no computa la cantidad de cuentas sino la
cantidad de clientes, considerando en este sentido que cada uno de ellos podría ser titular de más de
una cuenta.
Las pérdidas anuales por phishing en Latinoamérica rondarían los 761 millones de dólares
estadounidenses como valor agregado de las pérdidas de cada cliente engañado.
Costo para los bancos
Otra perspectiva del phishing es el costo que representa para los bancos. Al respecto, el estudio de la
firma Trusteer citado más arriba señala que los bancos son atacados en promedio a través de 16 sitios
web maliciosos por semana. Por otro lado Dawn Hicks86 , quien citando el trabajo realizado por Frederick
W. Stakelbeck, Jr. del Philadelphia’s Federal Reserve Bank, estima que el costo total para un banco de un
ataque de phishing rondaría los 50.000 dólares americanos o entre 50 y 60 dólares por cada cuenta
afectada.
Considerando que de acuerdo a estudios87 del Foro de Liquidación de Pagos y Valores del Hemisferio
Occidental, existen en la Región cerca de 2.500 bancos, puede estimarse que el costo total para los
bancos sería de 93.000 millones de dólares.
Las pérdidas totales agregadas para los bancos de Latinoamérica al afrontar los costos del
phishing serían de 93.000 millones de dólares estadounidenses por año.
82
Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de
Latinoamérica 2010 – Consultado el 29/04/2011 - http://www.frost.com/prod/servlet/market-insighttop.pag?docid=213433779
83
Idem 74.
84
Homeland Security Newswire - Artículo del 28/02/2008 “More than $3 billion lost in 2007 in phishing attacks”
Consultado el 26/04/2011 - http://www.homelandsecuritynewswire.com/more-3-billion-lost-2007-phishingattacks
85
The Bismark Tribune - Artículo del 02/05/2011 por Keith Darnay “Avoiding email phishing scams” – Cita datos del
APWG
–
Consultado
el
15/05/2011
http://www.bismarcktribune.com/news/columnists/keithdarnay/article_75ba7068-6fff-11e0-9a81-001cc4c002e0.html
86
Federal Reserve Bank of Boston - Phishing and Pharming - Helping consumers avoid internet fraud – Consultado
el 19/04/2011 - www.bos.frb.org/commdev/c&b/2005/fall/phishpharm.pdf
87
Foro de Liquidación de Pagos y Valores del Hemisferio Occidental - Estadísticas Comparativas sobre Sistemas de
Pago y Liquidación de Valores en los países del Foro de Pagos - Estadísticas para 1999 – 2009 – Consultado el
20/04/2011 - http://www.forodepagos.org/Estadisticas1999-2009.htm
Junio 2011 – Pág. Nº 60/84
Otros valores de interés
Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del
impacto económico de este tipo de ciberdelito, en la medida en que sea posible acceder a otros datos
confiables para el cálculo:
•
Según el informe de Trusteer cada año se registran entre 2,4 y 9,4 millones de dólares
estadounidenses en pérdidas para los clientes bancarios por millón de clientes de e-banking. Los dos
valores citados surgen de tomar como base una pérdida individual por cliente de 500 y 2.000
dólares estadounidenses, respectivamente.
•
De acuerdo a los estudios del APWG para el primer y segundo semestre del año 201088, el tiempo
promedio de permanencia de un sitio web malicioso de phishing en los países de Latinoamérica fue
de 48 y 91 horas respectivamente. Este cálculo fue realizado sobre la base del detalle de países que
figura al final de cada informe.
•
En los mismos informes, aparecen para el primero y segundo semestre del año 2010, 1.665 y 2.880
sitios web maliciosos detectados en Latinoamérica. El trabajo aclara que se entiende por tales
aquellos sitios únicos que tienen por objetivo una entidad bancaria específica.
•
En el año 2010, el phishing fue el tercer tipo de fraude de mayor impacto económico en las
instituciones financieras, luego de los fraudes vinculados a tarjetas de crédito/débito y a cheques.89
•
De acuerdo a un informe de la empresa RSA90, en el año 2010 un 31% de los latinoamericanos
afirmaba haber sido objeto de un ataque de phishing. De los países relevados, Brasil informó el
porcentaje más alto (41%) de consumidores afectados, seguido por Perú (31%), México (30%), Chile
(29%) y finalmente, Colombia (24%). El informe se basó en una encuesta realizada a casi 1.000
participantes ubicados en los países antes citados, que presentaban la condición de ser usuarios en
línea.
•
Un estudio de Tyler Moore y Richard Clayton91 realiza un análisis empírico sobre datos de tiempos
de remoción de sitios web de phishing, vinculado al número de visitas que recibe cada sitio,
concluyendo que la cantidad de personas que divulgan sus datos es de 18 el primer día y 8, en los
días subsiguientes.
88
AntiPhishing Working Group - Global Phishing Survey: Domain Name Use and Trends in 2H2010 y Global Phishing
Survey: Domain Name Use and Trends in 2H2010 – Consultado el 05/05/2011 http://www.apwg.org/resources.html#apwg
89
AllSpammedUp – Artículo del 20/01/2011 por John P Mello Jr “Phishing in Top 3 Fraud Threats for 2010”Consultado el 16/05/2011 – http://www.allspammedup.com/2011/01/phishing-in-top-3-fraud-threats-for-2010/
90
Deferencia.com - Citado en el artículo “Un 31% de los latinoamericanos asegura haber sido víctima de phishing”
- Consultado el 23/04/2011 - http://www.degerencia.com/noticia/33228/un-31-de-los-latinoamericanos-asegurahaber-sido-victima-de-phishing
91
Computer Laboratory, University of Cambridge - APWG eCrime Researchers Summit - Examining the Impact of
Website
Take-down
on
Phishing
2007
Consultado
el
21/04/2011
http://citeseer.ist.psu.edu/viewdoc/summary?doi=10.1.1.105.7569
Junio 2011 – Pág. Nº 61/84
Fraude en el comercio electrónico
Un estudio de VISA92 sobre el crecimiento del comercio electrónico en Latinoamérica asegura que
durante el año 2009, éste alcanzó un volumen de 21.800 millones de dólares estadounidenses. Este
crecimiento se debe a diversos motivos, entre los que se encuentran el uso cada vez mayor de Internet,
conexiones más veloces de banda ancha, una creciente confianza del consumidor, una mayor cantidad
de comerciantes que utilizan este canal de venta y una mayor difusión de uso de los medios de pago
electrónicos.
Otro informe93 de la empresa antes citada precisa que en valores monetarios, Brasil representa un 61%
del comercio electrónico en Latinoamérica, alcanzando un volumen de más de 13.000 millones de
dólares en el 2009. Este crecimiento se sustenta en el crecimiento de la cantidad usuarios de Internet,
los bajos costos de la banda ancha y un uso importante de las tarjetas de crédito y débito en dicho país.
Le siguen México con un 12% de consumo total seguido de Chile con un 5% y luego Colombia y Perú.
Estimaciones
Un artículo de la Firma McAfee Inc.94 señala que el fraude como porcentaje del volumen del comercio
electrónico se ha estabilizado en Canadá y los EEUU en alrededor del 1.4%. Otro estudio95 similar de la
firma CyberSource Corporation, realizado en el 2008 para la comercialización de bienes digitales
(películas, música, juegos, servicios de VoIP, etc), señala que en esta área del comercio electrónico, el
fraude, entendido como los créditos y la anulación de cargos generada por reclamos de los clientes,
puede estimarse en un 1.8% del ingreso total de las operaciones en línea. El informe señala que este
valor es 38% más alto que el fraude en otras áreas no virtuales del comercio electrónico (entendiéndose
por tales aquellas que comercializan bienes que no pueden ser descargados directamente de Internet),
obteniéndose entonces para estos últimos, un valor similar al 1.4% señalado más arriba.
Un estudio96 más reciente de la firma CyberSource Corporation, referido a datos del año 2010 obtenidos
también de relevamientos en Canadá y los EEUU, concluye que por segundo año consecutivo, los
comerciantes en línea mejoraron sus porcentajes frente al fraude, llegando a un valor estimado de 0.9%
promedio de sus ganancias, luego de un pico de 1.4% en 2008 y un 1.2% en el 2009. Esta evolución
puede apreciarse en el siguiente cuadro que muestra el porcentaje de las pérdidas atribuido a los
fraudes en los pagos en línea, entre los años 2000 y 2010:
92
Ecommerce Journal - Artículo del 06/08/2010 - “Visa: e-commerce in Latin America and Caribbean has spiked
nearing 40% in 2009” - Consultado el 13/04/2011 - http://ecommerce-journal.com/news/29219_visa-ecommerce-latin-america-and-caribbean-has-spiked-nearing-40-2009
93
PC World - Informe de VISA citado en el artículo “VISA y el comercio electrónico en la región de América Latina
2010” – Consultado el 18/04/2011 www.pcwla.com/pcwla2.nsf/articulos/1DE63C5D9690E5ED852577F700743D65?opendocument&page=2
94
McAfee Inc - Financial Fraud and Internet Banking: Threats and Countermeasures 2009 – Consultado el
06/05/2011 - http://www.mcafee.com/us/resources/reports/rp-financial-fraud-int-banking.pdf
95
Cybersourse - Fraud Benchmarks and best practices: digital merchants 2008” – Consultado el 04/05/2011 http://www.cybersource.com/cgi-bin/pages/prep.cgi?page=/promo/digitalmerchantfraudwp/index.html
96
Cybersource - 12th On line Fraud Report 2011 – Consultado el 22/04/2011 http://forms.cybersource.com/forms/FraudReport2011NACYBSwww2011
Junio 2011 – Pág. Nº 62/84
Para realizar una estimación en este caso y siendo que no se cuenta con un valor del porcentaje
estimado de fraude para la región, se tomará entonces el 0.9% sobre el monto total que generó el
comercio electrónico en Latinoamérica en el 2009, siendo éste el valor más conservador. Aplicando este
porcentaje, podría proyectarse en consecuencia, un fraude estimado en 196 millones de dólares
estadounidenses para toda la región.
El fraude en el comercio electrónico en Latinoamérica podría estar alcanzando los 196 millones
de dólares estadounidenses.
impacto económico del fraude en el comercio electrónico, en la medida en que sea posible acceder a
otros modelos y datos confiables para su cálculo:
•
En el siguiente cuadro97 puede observarse la situación de México, Argentina y Brasil y de otros
países no pertenecientes a la región, en materia de fraudes de cliente no presente (CNP, por sus
siglas en inglés) que tiene lugar por teléfono o por Internet, con respecto a las ventas del comercio
electrónico en cada país.
97
Global Collect International Payment Service - Comercio electrónico global: ¿Cómo incrementar las ventas en
línea
sin
caer
en
manos
de
estafadores?
–
Consultado
el
10/05/2011
http://www.globalcollect.com/Whitepapers/Comercio-electronico-global/
Junio 2011 – Pág. Nº 63/84
•
El informe “12th On line Fraud Report” de la firma Cybersource referido precedentemente señala
que históricamente las órdenes fraudulentas de mercaderías tienden a mostrar precios totales
promedio mayores que las válidas. Señala que el valor medio en el año 2010 fue de 245 dólares
estadounidenses, comparado con los 120 dólares de las órdenes válidas. Afirma también que existe
una mayor tendencia al rechazo en las órdenes de países extranjeros y que algunos comerciantes
han optado por bloquear directamente órdenes provenientes de países que han mostrado un
elevado nivel de fraude. El siguiente cuadro, obtenido del informe antes citado, muestra la relación
entre el porcentaje de órdenes rechazadas de los EEUU y Canadá y el de otros países, entre los años
2006 y 2010. Como puede apreciarse, es mucho mayor en el caso de las órdenes provenientes de
países no ubicados en América del Norte.
Junio 2011 – Pág. Nº 64/84
Fraudes vinculados a la identidad
Bajo este tipo de fraudes se incluye el uso de identidades falsas o robadas para obtener servicios o
bienes mediante distintos tipos de engaño o ardid. En su versión tradicional, tienen lugar a partir del
robo o la falsificación de documentos de identidad, tales como los documentos nacionales
identificatorios, los pasaportes, las licencias de conducir, etc. A partir del advenimiento del uso de las
tecnologías de información y particularmente de Internet, este delito toma nuevas formas y se
encadena de alguna manera a otros ciberdelitos tales como el phishing, el pharming, el spam, código
malicioso, las botnets, etc.
En consiguiente, el fraude en el comercio electrónico y el bancario, tratados precedentemente, tienen
en su mayor parte componentes vinculados al robo de identidad, como pasos del proceso de comisión
de los ciberdelitos. Se los presenta en forma separada debido a la magnitud que representa el robo de
identidad entre los actos ilícitos cibernéticos, crecimiento que surge a partir del incremento de la
disponibilidad de datos personales en línea que se viene registrando en los últimos años.
En efecto, diversos estudios coinciden en afirmar que el robo de identidad es el delito de mayor
crecimiento en el mundo, amparado además en el volumen creciente de datos disponibles, en la
facilidad con que se pueden obtener información de usuarios desprevenidos, las insuficientes campañas
de prevención, el crecimiento de las redes sociales y sus múltiples usos que exceden lo meramente
“social”, y un mercado delictivo cada vez más atractivo para el tráfico de este tipo de información.
En línea con lo anterior, un informe98 del organismo del Gobierno de los Estados Unidos responsable de
proteger a los consumidores, la Federal Trade Commission, afirma que hace ya más de una década, el
robo de identidad es la queja más frecuente, alcanzando un 19% del total de denuncias recibidas en el
año 2010.
En consecuencia, es dable esperar que el impacto económico de este tipo de delitos sea también alto,
mostrando además una tendencia creciente. En este caso, deben tenerse en cuenta diversos factores: la
pérdida económica directa para la persona afectada, el valor asociado al tiempo que le lleva realizar las
gestiones para solucionarlo, el costo de reparación y resarcimiento para la entidad en donde el usuario
tenía sus datos, las posibles sanciones a las que dicha entidad podría verse expuesta, etc.
En una entrevista al Jefe del Grupo de Investigaciones Tecnológicas del Gobierno de Colombia99, puede
leerse que el robo de información bancaria genera en promedio 189 denuncias mensuales, lo que
significan 6,3 al día y que al momento de realización de la nota, dicha unidad investigaba fraudes por 20
mil millones de pesos (unos once millones de dólares estadounidenses a valores de hoy).
Según un informe de ESET100 en Ecuador, la Policía Judicial informó que en el año 2009 se realizaron 891
denuncias asociadas al robo de identidad, mientras que en México, este tipo de delito ha demostrado
98
Federal Trade Comission - Consumer Sentinel Network Data Book for January to December 2010 – Consultado el
25/04/2011 - www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf
99
Diario La República – Artículo del 14/10/2010 por Mauricio Jaramillo “Investigan fraudes financieros por 20.000
millones de pesos” – Consultado el 03/05/2011 - http://www.larepublica.com.co/archivos/FINANZAS/2010-1014/investigan-fraudes-financieros-por-20-mil-millones-de-pesos_112832.php
100
ESET Latinoamérica – Artículo del 08/04/2011 por Rápale Labaca Castro “El robo de identidad y sus cifras en
Latino América” – Consultado el 30/04/2011 - http://blogs.eset-la.com/laboratorio/2011/04/08/robo-identidadcifras-america-latina/
Junio 2011 – Pág. Nº 65/84
una tendencia creciente en estos últimos años, llegando a generar pérdidas de hasta 9 millones de
dólares anuales.
Estimaciones
El informe “The Cost of Cybercrime” citado más arriba, que analiza la evolución del delito informático en
el Reino Unido, presenta dos maneras de estimar el impacto del robo de identidad, una de las cuales
parte de la cantidad de ciudadanos con acceso a Internet. Este valor es luego multiplicado por la
probabilidad de que cada uno de ellos sea blanco de un robo de esta naturaleza, corregida por un factor
que pondera que ese delito sea cometido en línea. El total obtenido es luego multiplicado por un monto
estimado de pérdida por caso.
De acuerdo a lo informado por Internet World Stats101, en marzo de 2011 había en Latinoamérica
aproximadamente 216.000.000 de personas conectadas a Internet. Por otra parte, información
publicada102 por el Federal Trade Commission, organismo del Gobierno de los EEUU referida
anteriormente, indica que en el año 2010 un 3% de los estadounidenses sufrió un robo de identidad.
Este valor coincide con estimaciones publicadas por la Oficina Estadística de la UE – EuroStat, en cuanto
a la cantidad de personas que Europa había sufrido algún tipo de pérdida financiera por robo de
identidad.
En cuanto a la proporción de los casos de robo de identidad que se realizan a través de Internet, el
informe del Reino Unido referido lo estima en un 25%. Este coincide con la publicación de la firma Edgar,
Dunn & Company, que analizando las estimaciones de varias agencias globales de prevención del delito,
observan que la mayoría coincide en estimar que un 25% de todos los reclamos por fraude por parte de
consumidores estaban relacionados con el uso de Internet.
Tomando los factores antes citados y como base, un valor promedio para el robo de identidad de 572
dólares estadounidenses por víctima103, se estima que el monto total de la pérdida para Latinoamérica
sería de 920 millones de dólares estadounidenses.
Se estima que el monto total de la pérdida para Latinoamérica por robo de identidad sería de
920 millones de dólares estadounidenses.
impacto económico del robo de identidad, en la medida en que sea posible acceder a otros datos y
modelos confiables para su cálculo.
101
Internet World Stats - Internet Usage Statistics for the Americas – Consultado el 28/04/2011 http://www.internetworldstats.com/stats2.htm
102
Federal Trade Commission – About Identity Theft – Consultado el 03/05/2011 http://www.ftc.gov/bcp/edu/microsites/idtheft/consumers/about-identity-theft.html
103
University of Cambridge – Sixth Workshop on the Economics of Information Security – Citado por Tyler Moore
and Richard Clyton en su trabajo: “An empirical analysis of the current state of Phishing Attack and Defense 2007”
– Consultado el 10/05/2011 - http://people.seas.harvard.edu/~tmoore/weis07-pres.pdf
Junio 2011 – Pág. Nº 66/84
•
Un informe del Servicio de Prevención de Fraudes del Reino Unido104 (CIFAS, por su sigla en inglés)
indica que más de 40.000 piezas de información privada financiera y sensible de las personas se
comercializa en el mercado negro, totalizando 13,2 millones por año.
•
En una entrevista periodística105, Daniel Monastersky, Director Ejecutivo del Portal argentino
“Identidad Robada” aseguraba que en el 2009 las estadísticas internacionales señalaban 10
usurpaciones de identidad por hora.
•
Datos obtenidos a partir de relevamientos realizados en Canadá, EEUU y el Reino Unido106 dan
cuenta de que entre el 38% y el 48% de las víctimas se enteró de que su identidad había sido robada
dentro de los 3 meses posteriores a su inicio, siendo el monto promedio del fraude de 4.841 dólares
estadounidenses y el gasto en el que incurren las víctimas para solucionarlo, de entre 851 y 1.378
dólares estadounidenses.
Otros tipos de incidentes
La falta de información referida a otros tipos de incidentes ha hecho imposible presentar valores de
impacto económico para los países o para la región. Sin embargo, en el decurso de esta investigación se
ha encontrado algunos datos que pueden tener valor para investigaciones futuras a la hora de
dimensionar la magnitud del ciberdelito en la región y entender sus causas y consecuencias, cuando
exista mayor información disponible.
Siguen a continuación las estimaciones y proyecciones encontradas:
•
De acuerdo a un estudio realizado por la consultora Forrester Research107, las exposiciones y fugas
de información accidentales o intencionales tienen un costo de 90 a 350 dólares estadounidenses
por registro perdido, entre notificaciones al cliente, multas por incumplimiento de regulaciones,
pérdida de prestigio y devaluación de acciones.
•
Un estudio de la empresa Symantec108 realizado en el 2010 sobre 7000 usuarios de Internet
localizados en 14 países, indica que el 65% ha experimentado algún tipo de ciberdelito.
•
El informe señala que el tiempo promedio que le lleva a cada persona resolver un ciberdelito es de
28 días, con un costo promedio de 334 dólares estadounidenses. En el caso de Brasil, uno de los 14
104
CIFAS – The UK’s Prevention Service - The Digital Thieves: a special report on on-line fraud 2010 – Consultado el
29/04/2011 http://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/Digital_Thieves_October201
0.pdf
105
YouTube Videos – Consultado el 28/04/2011 - http://www.youtube.com/watch?v=ulYv3Y2d94&feature=player_embedded
106
Identidad Robada - Artículo con infografía del 04/04/2011 “Estadísticas sobre Robo de identidad” – Consultado
el 20/04/2011 - http://www.identidadrobada.com/estadisticas-sobre-robo-de-identidad-infografia/
107
b:secure - Citado en el Artículo del 11/04/2011 por David Schekaiban “Lo que todo CEO debe saber sobre
seguridad informática” – Consultado el 09/05/2011 – http://www.bsecure.com.mx/opinion/lo-que-todo-ceodebe-saber-sobre-seguridad-informatica/
108
InformationWeek - Citado en el Artículo del 08/09/2010 por Mathew J. Schwartz “Symantec Finds 65% Have
Been
Hit
By
Cybercrime”
–
Consultado
el
15/05/2011
http://www.informationweek.com/news/security/attacks/227300362?cid=RSSfeed_IWK_All
Junio 2011 – Pág. Nº 67/84
países que participó en el estudio, el tiempo promedio fue de 43 días y el costo promedio de 1.408
dólares estadounidenses.
•
El mismo informe señala que solo un 44% de los participantes hicieron la denuncia en las instancias
policiales o judiciales correspondientes. Entre los motivos aducidos para no efectuar el reporte, se
encuentran:
» La falta de confianza en estas áreas y la creencia de que nada pasará si se hace la denuncia
» El deseo de no hacer mayores trámites, completando formularios o hablando con personal
policial o judicial
» La idea de que el delito no es lo suficientemente serio o significativo o las pérdidas lo
suficientemente importantes, como para merecer que se ocupen del tema.
» La negación de lo acontecido para no sentirse victimizadas
» La posibilidad del ridículo frente a otros por haber caído en el engaño y haber sido víctimas del
fraude
» La auto-incriminación por no haber adoptado las medidas técnicas necesarias para protegerse,
como la instalación y actualización del antivirus, el debido cuidado antes de acceder a sitios
desconocidos, etc.
» El hecho de que no resulte necesaria la presentación de documentación ante compañías de
seguro o similar y la sensación de que la denuncia no contribuirá a la prevención.
Los valores de la ciberdelincuencia
Este capítulo se centró en las pérdidas a las que se exponen los usuarios y las organizaciones cuando son
afectados por el ciberdelito. Pero cabe preguntarse cuán lucrativo es este negocio ilícito y en cuanto se
beneficia como consecuencia de la inacción de las organizaciones. Siguen algunos valores obtenidos de
fuentes públicas:
•
Es posible obtener todas las herramientas para iniciar una campaña de phishing por unos 200
dólares estadounidenses.109
•
Las tarjetas de crédito y la información de cuentas bancarias constituían en el año 2009 el 51% de
los bienes promocionados en los canales de la economía clandestina. Las tarjetas en particular se
venden en el mercado negro a un valor promedio de 98 centavos de dólar estadounidense, cuando
se las entrega en cantidad. Una identidad completa puede valer unos 10 dólares estadounidenses.110
•
El costo de alquiler de una botnet por hora se cotiza en los foros del mercado negro en
aproximadamente 9 dólares estadounidenses. El alquiler diario rondaría los 67 dólares.111
109
Computerworld – Artículo del 11/01/2006 por Martin McKeay “Phishing statistics” – Consultado el 06/05/2011 http://blogs.computerworld.com/node/1561
110
CNN – Artículo del 22/09/2009 por David Goldman “Cibercrimen: una economía clandestina” – Consultado el
23/04/2011 - http://www.cnnexpansion.com/tecnologia/2009/09/21/cibercrimen-una-economia-clandestina
111
CIFAS – The UK’s Prevention Service - Informe de VeriSign iDefense, citado en el estudio “The Digital Thieves: a
special report on on-line fraud” – Consultado el 29/04/2011 -
Junio 2011 – Pág. Nº 68/84
•
Se ha encontrado evidencia sobre la práctica del phishing que indica que quienes se inician en esta
actividad ilícita suelen vender el acceso a las cuentas a otros delincuentes mientras que “phishers”
más experimentados obtienen fondos directamente de las cuentas que victimizan.112
•
Un estudio sobre la seguridad de las economías de la información, realizado por McAfee Inc. y
Science Applications International Corporation113, citado por varios fuentes en Internet, señala que
un 25% de las organizaciones relevadas han sufrido la paralización o atraso de una fusión o
adquisición, o bien de la implementación de un nuevo producto o solución, a causa de una filtración
de datos o por una amenaza creíble de filtración de datos. Sólo la mitad de estas organizaciones
adoptaron medidas para solucionar el problema y para prevenir intrusiones futuras.
•
El informe asegura también que entre las organizaciones encuestadas, una gran cantidad no realiza
evaluaciones de riesgo frecuentes, creando un ambiente propicio para eventuales ataques, mientras
que un cuarto de ellas evalúa hasta dos veces al año las amenazas o riesgos que pueden afectar sus
datos. Indica también que sólo tres de cada diez organizaciones informan todas las filtraciones de
datos que sufren y seis de cada diez, seleccionan las filtraciones que informan. El mismo informe
asegura que 8 de cada 10 entidades almacenan datos en el extranjero y que en algunos países,
como Estados Unidos, China e India, las organizaciones gastan más de 1 millón de dólares
estadounidenses por semana solo en proteger información confidencial almacenada en el
extranjero.
•
Haciendo un análisis sobre corporaciones, PWC informa que en el año 2010 realizó su 13º encuesta
“Global State of Information Security Survey” entre más de 12.840 profesionales (desde CEOs a
CSOs) procedentes de 135 países.114 La distribución fue la siguiente:
Continente
Asia
Europa
América del Norte
América del Sur y Central
Medio Oriente y África del Sur
Porcentaje
36,9%
30,3%
16,8%
14,2%
1,8%
Los resultados de la misma dieron los siguientes valores en porcentaje, respecto de los tres
impactos evaluados.
http://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/Digital_Thieves_October201
0.pdf
112
ZDNET – Atículo 08/01/2009 por Dancho Danchev “Microsoft study debunks phishing profitability” – Consultado
el 12/04/2011 - http://www.zdnet.com/blog/security/microsoft-study-debunks-phishingprofitability/2366?tag=mantle_skin;content
113
Tendencia Digital - “Economías informales: el capital intelectual y los datos corporativos privados son ahora la
moneda de cambio para el cibercrimen”, citado en el artículo del 07/04/2011 “Estudio de mcafee y saic indica que
el capital intelectual corporativo es la nueva moneda de cambio del cibercrimen” – Consultado el 05/05/2011 http://www.tendenciadigital.com.ar/seguridad/noticias/estudio-de-mcafee-y-saic-indica-que-el-capitalintelectual-corporativo-es-la-nueva-moneda-de-cambio-del-cibercrimen.html
114
PWC – Resultados de la encuesta global sobre seguridad de la información – marzo/2011
Junio 2011 – Pág. Nº 69/84
Global
América del Sur y Central
Pérdidas
Robo de propiedad Compromiso de la
financieras
intelectual
marca o reputación
42
31
29
45
29
22
Junio 2011 – Pág. Nº 70/84
Capítulo V – Conclusiones
El uso cada vez más intensivo de las tecnologías para el sostenimiento de la actividad económica y del
bienestar de la población trae aparejado inexorablemente, el crecimiento de las ciberamenazas y los
ciberataques.
El software malicioso, en conjunto con diversas técnicas de ingeniería social y otras actividades
maliciosas de distinta naturaleza, en un escenario de expansión del uso de la tecnología informática, son
utilizados como una fuente de actividades delictivas que en algunos casos ya se ha transformado en un
modelo de negocio.
Internet continúa evolucionando hacia la interactividad con y entre los usuarios, apareciendo como una
red de contenidos sociales y servicios cada vez más dinámica. En consecuencia, los delincuentes adaptan
sus estrategias para alcanzar esta nueva Web utilizando ataques cada vez más sofisticados, combinados
y dirigidos, y van cambiando el foco de aplicación. Antes eran los equipos y las redes de computadoras,
ahora lo son los dispositivos USB y las redes sociales.
Por otro lado, por la naturaleza de Internet es posible el cambio permanente de localización geográfica,
además del hecho de que al utilizar comandos remotos, el lugar donde se origina un ataque no
necesariamente es donde se encuentra el delincuente, razón por la cual se torna más difícil su detección
y posterior remediación.
Cada modalidad delictiva tiene sus propias técnicas y en consecuencia, evoluciona de diferentes
maneras. Los delincuentes cuentan con “toolkits” o conjuntos de herramientas que se venden en el
mercado a precios accesibles, los cuales les permiten crear código malicioso en pocos segundos.
Asimismo es más difícil detectar el software malicioso debido a que se actualiza varias veces por día o
varios días por mes, al igual que los sitios de phishing, que renuevan en tiempo real el contenido de las
páginas falsas, lo cual les permite evitar ser detectadas.
Por otro lado, si bien es necesario contar con un antivirus, éste ya no es suficiente dado que provee una
protección estática mientras que hoy son necesarias otras previsiones como la detección de contexto y
contenido del dato, la reputación en tiempo real, múltiples fuentes de firmas de antivirus incluyendo
heurística, etc.
Las botnets crecen raudamente, si son detectadas pueden ser reutilizadas y además son una fuente de
ganancias muy importantes ya que los costos de desarrollo son mínimos.
El año 2010 vio no solo una mayor sofisticación por parte de los ciberdelincuentes, sino también mayor
fortaleza en las estructuras organizacionales en las que operan. La lucha por el control entre las
organizaciones del ciberdelito continuará para desarrollar lo que se ha literalmente transformado en
una verdadera operación de la economía marginal/delictiva, como el crimen organizado.
La actividad maliciosa generalmente afecta a los equipos que están conectados a Internet de banda
ancha de alta velocidad, ya que estas conexiones ofrecen más capacidades que otras, velocidades más
rápidas, el potencial de sistemas constantemente conectados y normalmente mayor estabilidad. En
consecuencia, dicha actividad tiende a aumentar en relación con el crecimiento de la infraestructura de
banda ancha. A ello se agrega la amenaza de que los nuevos usuarios pueden no estar habituados o
desconocen el mayor riesgo de exposición a ataques maliciosos de estas conexiones sólidas.
Junio 2011 – Pág. Nº 71/84
Como se puede deducir de todo lo antedicho, la actividad del ciberdelito es totalmente fluctuante y
dependerá de las medidas que adopten los usuarios, las organizaciones y los países para enfrentarlo y
del accionar de las fuerzas de seguridad y de los equipos especializados. Estará condicionada también a
la conveniencia de los delincuentes y a las herramientas disponibles en cada momento, así como a las
oportunidades del mercado. Influye también la generación de marcos normativos adecuados a la
realidad del ciberdelito y el grado de cooperación que se desarrolle entre organizaciones y entre países.
La extensión de este fenómeno hace hoy del mundo un posible campo de batalla, donde cualquier
ciberataque o falla en los sistemas puede ser inesperado y mostrar un impacto no previsto.
Latinoamérica es parte de este escenario, mostrando en muchos casos un dinamismo superior al
promedio en la incorporación de la tecnología a sus sociedades, pero también su condición de origen y
blanco de una activa ciberdelincuencia. Países como Brasil, México y Argentina aparecen en los primeros
puestos en las listas internacionales de cantidad de computadoras infectadas, casos de phishing o
número de sitios web maliciosos. Esto necesariamente se traduce en pérdidas económicas que afectan a
los ciudadanos, los negocios y a los países de la región como a usuarios de otros países ajenos a ella.
A lo largo de este trabajo se ha mostrado el comportamiento de los ciberamenazas más comunes y se
han proyectado valores económicos estimados para algunos de los ciberdelitos más frecuentes.
Una de las premisas que le dan fundamento al informe es la certeza de que cualquier incremento en el
conocimiento del impacto que este tipo de actividad maliciosa tiene sobre las personas, las
organizaciones y los países de la región, contribuye a dimensionar adecuadamente el problema, asignar
prioridades y comprometer recursos. Su desconocimiento en cambio, parece invitar a una toma de
decisiones en la penumbra, sin comprender realmente a qué nos estamos enfrentando y en qué medida
son acertadas las acciones que se emprenden.
Aparece inmediatamente una primera conclusión y es que la escasez de datos concretos sobre la
cantidad de ataques, sean estos potenciales o reales, y de sus costos asociados, hace difícil o casi
imposible conocer su frecuencia, su verdadera magnitud y la profundidad de su impacto. Si bien para
algunos tipos de incidentes, obtener estas cifras es sumamente complejo, para otros es probable que
existan y se puedan obtener con relativa facilidad. Sin embargo, las organizaciones que los han sufrido
son reticentes a denunciarlos por temor a que se vea afectada su reputación. En el caso de las personas,
persiste el desconocimiento sobre instancias de reporte o la creencia de que poco o nada sucederá en
caso de hacerlo.
En este sentido, parece encontrarse ausente una estrategia que implemente mecanismos de reporte,
genere confianza entre los usuarios y en las organizaciones en cuanto a la voluntad de combatirlo,
establezca instancias de franca colaboración entre el sector público y el privado y recree una cultura de
la ciberseguridad. Nuevamente, una recorrida por la bibliografía y los artículos publicados muestra que
esta situación afecta a todos los países y regiones, con solo tímidos e insuficientes avances en los países
más desarrollados.
La escasa utilización de métricas para medir el impacto de un ciberataque es un factor desalentador, al
igual que la creencia de que no reportar o denunciar un incidente supone su inexistencia.
Ante este panorama, el trabajo realizado debe ser interpretado como un primer paso hacia un mayor
conocimiento de la incidencia del ciberdelito en Latinoamérica, con la intención de generar un marco
Junio 2011 – Pág. Nº 72/84
para futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado cuando se disponga de
información más precisa.
La vertiginosidad del desarrollo tecnológico en los países de la región y el consiguiente crecimiento
inexorable del ciberdelito, hace necesaria la generación de planes de acción que recogiendo sus
características culturales y de desarrollo, muestren desde la perspectiva de las personas, las
organizaciones y las naciones, que es factible generar un entorno seguro que garantice la maximización
del aprovechamiento de los múltiples beneficios de las tecnologías de la información y las
comunicaciones, minimizando los riesgos que las acompañan.
Junio 2011 – Pág. Nº 73/84
Capítulo VI – Recomendaciones
Para los Gobiernos
•
•
•
•
•
•
•
•
•
Desarrollar estrategias nacionales sobre ciberseguridad que contemplen la protección de sus
infraestructura críticas, un aumento de la capacidad de respuesta a incidentes, campañas de
concientización para la ciudadanía, mecanismos de coordinación con el sector privado y con otros
países y la generación de un marco normativo adecuado para la penalización de delitos de esta
naturaleza
Mejorar la coordinación y el trabajo conjunto entre los organismos involucrados en la adopción de
medidas de seguridad de la información (Policías, Organismos Judiciales, Centros de Respuesta a
Incidentes, etc.) y generar organismos o agencias que se dediquen exclusivamente a la
ciberseguridad
Coordinar la definición e implementación de procedimientos para la recolección de datos sobre
ciberataques
Generar instancias de cooperación con todos los sectores clave involucrados, incluyendo el sector
bancario, los proveedores de servicios de internet y la principales empresas tecnológicas, para asistir
a los ciudadanos y a las PyMES
Considerar la generación de un portal de acceso libre y gratuito para usuarios comunes disponible
7x24, que provea información de fácil comprensión para proteger la seguridad de la información y
permita el reporte de cualquier tipo de ciberdelito, facilitando la agregación de datos. Entre otros
servicios, este portal debe brindar alertas y recomendaciones para la protección de los servicios y la
información en línea, el acceso gratuito a sistemas de detección de código malicioso, etc.
Proveer fondos para la investigación en la materia
Establecer en coordinación con los proveedores de servicios de Internet, administradores y registros
de dominios, así como con empresas clave del sector, mecanismos ágiles de remoción de sitios
maliciosos que minimicen los tiempos de permanencia en línea
Incluir aspectos de seguridad, especialmente aquellos vinculados a las redes sociales, en los
programas de estudio de alumnos secundarios y primarios.
Generar programas a través de las universidades y las escuelas, que den respuesta y soporte a los
problemas de seguridad de los equipos domésticos
Para la Academia



Desarrollar contenidos y programas de formación de profesionales especialistas en seguridad de la
información, que la aborden desde distintas visiones: técnica, legal, de educación, etc.
Desarrollar líneas de investigación que analicen las distintas perspectivas de los ciberataques
Trabajar en conjunto con entidades nacionales e internacionales de investigación, con el fin de
intercambiar información, recolectar datos, crear marcos conceptuales de análisis y métricas y
ayudar a gobiernos y al sector privado en la lucha contra este flagelo.
Junio 2011 – Pág. Nº 74/84
Para el Sector Privado










Generar equipos de trabajo dentro de las organizaciones que aborden la seguridad informática con
un enfoque múltiple, que permita comprender y resolver los problemas relacionados con la
protección de la información desde diversas perspectivas
Colaborar con los organismos del Gobierno y proponer acciones conjuntas para mejorar la
ciberseguridad a nivel nacional, facilitando la remoción de sitios fraudulentos o que contengan
código malicioso, la elevación de los parámetros de seguridad de los sistemas, la concientización de
los usuarios, el combate al spam, etc.
Conocer el valor de la información que administran e invertir en su seguridad, sobre la base de un
análisis de riesgo que permita una adecuada asignación de recursos, de acuerdo al nivel de criticidad
Desarrollar, gestionar y monitorear adecuadamente sus políticas y procedimientos de seguridad,
favoreciendo que sean conocidas y entendidas por empleados, clientes y demás entidades
vinculadas
Generar mecanismos de protección y aseguramiento de la información que contemplen tanto su
generación como su transmisión, procesamiento, resguardo y destrucción.
Emplear estrategias de defensa en profundidad, que enfaticen sistemas de protección múltiples,
superpuestos y mutuamente complementarios para protegerse de fallas específicas en cualquier
tecnología, teniendo en cuenta especialmente las amenazas que existen en Internet. Precisamente
debido a ellas, es imprescindible adoptar una metodología de desarrollo seguro de aplicaciones de
comercio electrónico, en sus distintas facetas.
Diseñar una estrategia de concientización entre empleados, clientes y demás entidades con las que
interactúan, sobre la responsabilidad que les compete en el manejo de la información y sus posibles
consecuencias laborales y legales
Colaborar y notificar a las fuerzas policiales, a los equipos de respuesta a incidentes, a los
proveedores de Internet o a toda otra entidad que corresponda, sobre cualquier indicio de un
posible incidente de seguridad
Adherir a estándares internacionales y mantener una constante actualización de recursos y
capacitación del personal
Monitorear y evaluar la seguridad regularmente para garantizar que se implementen controles
adecuados
Para los Usuarios








Adoptar un actitud responsable frente al uso de las tecnologías de información, capacitándose para
minimizar los riesgos que las acompañan
Cuidar la información propia y la de otras personas, cualquiera sea el soporte
Denunciar los incidentes de seguridad ante las instancias que correspondan, permitiendo su
seguimiento y contribuyendo así a su resolución
Enseñar a los menores los peligros de las redes sociales y entrenarlos en una adecuada utilización de
las tecnologías de la información.
Revisar de manera regular las liquidaciones de los bancos y compañías emisoras de tarjetas de
crédito y contactar inmediatamente a dichas organizaciones ante movimientos sospechosos
No navegar en sitios desconocidos, no abrir archivos origen dudoso y ser precavido en el uso de las
redes sociales
Elegir cuidadosamente las contraseñas, utilizándolas en forma exclusiva, y realizar resguardos
periódicos de la información
Instalar software antivirus y antispyware, así como de protección frente a Internet y mantenerlos
permanentemente actualizados, al igual que a los sistemas operativos.
Junio 2011 – Pág. Nº 75/84

Destruir toda información personal, sensible y/o confidencial antes de desecharla, cualquiera sea el
soporte en el que se encuentre, de manera que no sea posible su reconstrucción.
Finalmente, una de las mayores dificultades que acompañaron la realización de este informe fue la
escasez de información sobre la ocurrencia de los ciberdelitos, sus características y reales
consecuencias. Sin datos es imposible dimensionar la magnitud del problema, estimar el riesgo para
asignar prioridades y recursos y adoptar así, decisiones certeras para proteger la confidencialidad,
integridad y disponibilidad de la información. La base de este problema, si bien atribuible a diversos
motivos, es que no se comparten datos. Esta responsabilidad recae tanto en los gobiernos como en las
empresas dedicadas a las tecnologías de la información y su aseguramiento, en las organizaciones de
todo tipo y en todos nosotros, como usuarios de información y servicios en línea.
Sea entonces la recomendación con la que se cierra este informe, un llamado a crear mecanismos
confiables de reporte y a colaborar compartiendo información, contribuyendo así a un mayor
conocimiento colectivo que permita contrarrestar los peligros de las tecnologías de la información y
aprovechar a pleno todos de sus beneficios.
Junio 2011 – Pág. Nº 76/84
Especialistas y Fuentes Consultados
Se agradece a los siguientes especialistas por su desinteresada colaboración, la cual permitió mejorar y
ratificar los conceptos vertidos.
•
Antonio E. Cerezo - Director Cyber Crime Investigations - American Express
•
Cristian Borghello – CISSP-MVP - Director Segu-Info
•
Cristine Hoepers – CERT.br - Brasil
•
Diego Taich
•
Federico Pacheco – Gerente de Educación e Investigación de ESET Latinoamérica
•
Fernando Cibeira
•
Gastón Franco
•
Iris Cidale
•
José Luis Chávez
•
Julio Ardita – Cybsec
•
Mariano Quesada
•
Peter Cassidy – APWG
•
Ronnie Manning- APWG
•
Rubén Aquino Luna – UNAM Cert – México
A continuación se incluye una lista de las fuentes de las cuales se extrajo información:
•
1080b bloggresivo – www.1080b.com
•
AllSpammedUp – www.allspammedup.com
•
Asociación Colombiana de Ingenieros de Sistemas (ACIS) – www.acis.org.co
•
Antiphishing Working Group (AWPG) – www.antiphishing.org
•
Australian Crime Comisión - www.crimecommission.gov.au
•
b:secure - www.bsecure.com.mx
•
BBC Mundo - www.bbc.co.uk
•
Cabinet Office of United Kingdom - www.cabinetoffice.gov.uk
•
CDS Comunicaciones – www.cds11.com
•
CIFAS – www.cifas.org.uk
•
CISCO - www.cisco.com
Junio 2011 – Pág. Nº 77/84
•
CNN – www.cnnexpansion.com
•
Computer Laboratory, University of Cambridge - citeseer.ist.psu.edu
•
Computerworld – blogs.computerworld.com
•
Cybersourse - www.cybersource.com
•
Deferencia.com - www.degerencia.com
•
Diario La República – www.larepublica.com.co
•
Ebanking News – www.ebanking.cl
•
Ecommerce Journal - ecommerce-journal.com
•
elmundo.es – www.elmundo.es
•
El país.com - www.elpais.com
•
ESET Latinoamérica – www.eset-la.com
•
Federal Trade Commission – www.ftc.gov
•
Global Collect International Payment Service - www.globalcollect.com
•
HMGovernment - www.direct.gov.uk
•
Homeland Security Newswire - www.homelandsecuritynewswire.com
•
Identidad Robada - www.identidadrobada.com
•
Info Spyware – www.infospyware.com
•
InformationWeek - www.informationweek.com
•
Internet Crime Complaint Center (IC3 – USA) – www.ic3.gov
•
Internet World Stats - www.internetworldstats.com
•
iProfesional.com – www.negocios.iprofesional.com
•
Federal Reserve Bank of Boston - www.bos.frb.org
•
Felaban - www.felaban.com
•
Foro de Liquidación de Pagos y Valores del Hemisferio Occidental - www.forodepagos.org
•
Frost and Sullivan - www.frost.com
•
MasPorMas - www.maspormas.com.mx
•
McAfee, Inc. – http://www.mcafee.com
•
NOW!DIGITAL BUSINESS – www.idgnow.uol.com.br
•
Open Networks – www.opennetla.com
•
Panda Security – http://www.pandasecurity.com/
•
Parliament of Australia House of Representatives - www.aph.gov.au
Junio 2011 – Pág. Nº 78/84
•
PC World - www.pcwla.com
•
Pingdom – www.royal.pingdom.com
•
PWC – www.pwc.com/ar/es
•
Radio Fe y Alegría Noticias - www.radiofeyalegrianoticias.net
•
Symantec Corporation - www.symantec.com
•
Tendencia Digital - www.tendenciadigital.com.ar
•
The Bismark Tribune - www.bismarcktribune.com
•
The Shadowserver Foundation – www.shadowserver.org
•
Trusteer Inc - www.trusteer.com
•
University of Cambridge – www.cam.ac.uk
•
Websense Inc – www.websense.com
•
YouTube Videos – www.youtube.com
•
ZDNET – www.zdnet.com
A continuación se incluye una lista de las páginas consultadas a modo referencial, existiendo la
posibilidad de que algunas fueran descartadas por haber considerado que su contenido no era útil para
los propósitos del informe.
•
Antifraude - www.antifraude.org
•
CERT – Software Engineering Institute – Carnegie Mellon - www.cert.org
•
Cnet News - www.news.cnet.com
•
Comisión Económica para América Latina (CEPAL) - www.cepal.org
•
Credit Repair - www.creditrepair.org
•
Defending the Kingdom - www.defendingthekingdom.com
•
Estrategia para la sociedad de la información en América Latina y el Caribe (eLAC) www.eclac.org/socinfo/elac
•
Infobae Profesional - www.iprofesional.com
•
Ingeniería Comercial - www.ingenieriacomercial.com
•
Internet Storm Center - www.isc.sans.edu
•
Javelin Strategy & Research - www.javelinstrategy.com
•
National Institute of Standards and Technology – www.nist.gov
•
Population Reference Bureau - www.prb.org
•
PWC - www.pwc.com/ar/es
Junio 2011 – Pág. Nº 79/84
•
Seguridad Informática - www.seguinfo.wordpress.com
•
Team CYMRU Community Services - www.team-cymru.org
•
United Nations Conference on Trade and Development (UNCTAD)- www.unctad.org
•
United Nations Statistics Division - http://unstats.un.org/
Junio 2011 – Pág. Nº 80/84
Glosario
Blackhat SEO - Este término hace referencia a una técnica de optimización de los motores de búsqueda
con fines maliciosos que se aprovecha de las funcionalidades de dichos motores para situar páginas
maliciosas en los primeros lugares de los resultados de las búsquedas.
Botnet - Es un conjunto de computadoras conectadas a Internet, que interactúan para realizar una tarea
distribuida, controladas por una computadora de “comando y control” (C&C) que las dirigirán para
ejecutar lo que necesiten. Estos sistemas son usados para propósitos ilegales y están compuestos por
máquinas comprometidas que son utilizadas sin que sus dueños lo sepan. Esas máquinas son
denominadas “zombis” y el software malicioso que corre en ellas “bot”.
Bot – Software malicioso que corre en una máquina comprometida que forma parte de una botnet.
También se utiliza este término para identificar a la computadora comprometida.
Exploit – Código malicioso que toma ventaja de las vulnerabilidades del software para infectar una
computadora.
Firma – Conjunto de características de los códigos maliciosos que pueden ser usadas para identificarlos
usando productos antivirus.
Gateway – Interfase que provee compatibilidad entre redes convirtiendo velocidades de transmisión,
protocolos, códigos o medidas de seguridad.
Honeypot – Sistema (por ej. un servidor Web) o recurso de sistema (por ej. un archivo en un servidor)
que es diseñado de manera tal que resulte atractivo a potenciales intrusos y que no tiene otros usuarios
autorizados que no sean los administradores.
Honeycliente – Dispositivos activos de seguridad en búsqueda de servidores maliciosos que atacan
clientes. El honeycliente se posiciona como un cliente e interactúa con el servidor para examinar si ha
ocurrido un ataque. Habitualmente el foco de un honeycliente se sitúa en los navegadores web, pero
cualquier cliente que interactúa con los servidores puede ser parte de un honeycliente (ftp, ssh, email,
etc.).
Ingeniería social – Una técnica que derrota las precauciones de seguridad tomadas, explotando las
vulnerabilidades humanas. Las estafas a través de la ingeniería social pueden suceder en línea (tal como
recibir correos electrónicos que solicitan abrir un adjunto, el cual es realmente un software malicioso) o
fuera de línea (como recibir una llamada telefónica de alguien que se hace pasar por un representante
de una compañía de tarjetas de crédito). Independientemente del método seleccionado, el propósito de
un ataque de ingeniería social es siempre el mismo: hacer que el usuario realice la acción que el
atacante desea.
Grid computing - Forma de computación distribuida, a través de la cual se genera una “super
computadora virtual” compuesta por muchas computadoras en red que actuán en conjunto para hacer
tareas de envergadura. Además este tipo de sistema es un tipo especial de computación paralela que se
monta sobre computadoras conectadas a una red a través de una interface estándar como por ej.
Ethernet. Esto es es contraste con la noción tradicional de supercomputadora, la cual tiene múltiples
procesadores conectados por un “bus” local de alta velocidad.
Junio 2011 – Pág. Nº 81/84
Gusano – Código malicioso que se distribuye espontáneamente enviando copias de si mismo a través
del correo electrónico o usando otros mecanismos de comunicación tales como la mensajería
instantánea o las aplicaciones peer-to-peer (P2P).
Keylogger - Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el
teclado, para memorizarlas en un fichero y/o enviarlas a través de Internet. Suele usarse como software
malicioso permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números
de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.
Machine learning – Es un tipo de inteligencia artificial que prove a las computadoras la habilidad de
aprender sin que sean explícitamente programadas. Se focalize en el desarrollo de programas de
computadoraas que pueden enseñarse a si mismos a crecer y cambiar cuando se exponent a nuevos
datos.
Este proceso de aprendizaje es similar al de data mining. Ambos sistemas buscan patrones a través de
los datos. Sin embargo, en vez de extraer datos que sean comprendidos por los humanos, como en el
caso de las aplicaciones de data mining, este sistema usa los datos para mejorar su propia comprensión;
detecta patrones en los datos y ajusta las acciones del programa de acuerdo con ellos.
Mail Spoofing – Suplantación, en el correo electrónico, de la dirección de correo electrónico de otras
personas o entidades.
Malware – Software malicioso o potencialmente no deseado, instalado sin el consentimiento del
usuario, con la intención de comprometer la seguridad de la información y/o los recursos del sistema.
Malicious code - Software or firmware que intenta ejecutar un proceso no autorizado que va a tener un
impacto adverso sobre la confidencialidad, integridad o disponibilidad de un sistema de información.
Virus, troyanos, gusanos u otras entidades basadas en código que infecte una computadora. También el
spyware y algunas formas de adware son ejemplos de código malicioso.
Malicious code intelligence – Conocimiento de la conformación del código: a qué familia pertenece, la
estrategia de ataque, qué objetivo persigue, técnicas de desarrollo, etc.
Pharming - Es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name
System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de
dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un
determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la
página web que el atacante haya especificado para ese nombre de dominio.
Phishing - Acrónimo de “password harvesting fishing”, o "cosechar y pescar contraseñas". Es una técnica
que se usa con el propósito de recolectar ilegalmente información personal y financiera, tal como
nombres de usuarios, contraseñas, números de tarjeta de crédito, identificación bancaria, etc.
Phishing host: Es una computadora que provee servicios de sitio web, donde se copian los sitios de
conocidas y confiables organizaciones y/o marcas, para ser utilizados como sitios de phishing.
Reputation systems - La seguridad basada en la reputación es una estrategia de identificación de
amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son
probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de
los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego,
Junio 2011 – Pág. Nº 82/84
se combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificaciones
de reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que es
seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una
estrategia de seguridad estándar de múltiples niveles.
Rogue antivirus (Rogueware) – Es un software que aparece como beneficioso desde una perspective de
seguridad pero que provee limitada o ninguna capacidad de seguridad, generando un significativo
número de erróneas o engañosas alertas, o intenta convencer al usuario de participar en transacciones
fraudulentas a través de técnicas de ingeniería social.
Rootkit - Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma y
esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al
intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información
sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o
Microsoft Windows.
Spam – Correos electrónicos enviados de forma masiva. Los autores de software malicioso pueden usar
spam para distribuirlo, ya sea adjuntándolo al mensaje o bien enviando un mensaje que contenga un
link al software. También éste puede recolectar direcciones de correo para usar computadoras
comprometidas para enviar spam.
Spyware – Un tipo de código malicioso que es subrepticiamente en un sistema de inforamación para
juntar información sobre individuos u organizaciones sin su conocimiento.
SQL injection - Es una técnica de infiltración de código intruso que se vale de una vulnerabilidad
informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a
una base de datos.
Troyano - Códigos maliciosos que no se autopropagan pero toman acciones maliciosas sobre el
computador.
Trojan downloader/dropper – Una forma de troyano que instala otros archivos maliciosos en el sistema
infectado ya sea descargándolos desde ona computadora remota o bien bajándolos directamente de
una copia contenida en su propio código.
Virus – Código malicioso que se replica, comúnmente infectando otros archivos en el sistema,
permitiendo así la ejecución de código malicioso y su propagación cuando esos archivos son activados.
Vulnerability – Una debilidad, error o una técnica pobre de codificación que puede permitir a un
atacante explotarla con un código malicioso.
Web hosting service – es un tipo de servicio que provee la infraestructura que permite a individuos y
organizaciones crear su propio sitio web accesible a través de la World Wide Web. Las compañías que
proveen estos servicios, brindan espacio en servidores que les pertenecen o alquilan para uso de sus
clientes, agregando también conectividad a Internet, generalmente en un centro de procesamiento de
datos. También pueden proveer espacio en un centro de procesamiento de datos y conectividad a
Internet para que los clientes coloquen sus servidores. Este servicio es comúnmente denominado
“Housing” en Latinoamérica o Francia.
Junio 2011 – Pág. Nº 83/84
Zero-day (o zero-hour o day zero) ataque o amenaza – Es una amenaza que trata de explotar las
vulnerabilidades de aplicaciones que son desconocidas para otros o para el desarrollador del software.
El software que explota los Zero-day es usado o compartido por los atacantes antes que el desarrollador
del software receptor conozca la vulnerabilidad. El término deriva de la antigüedad de la amenaza de
explotación. Un ataque de “zero day” ocurre en o antes del primer día en que el desarrollador conoce la
vulnerabilidad, lo cual implica que el desarrollador no tuvo ninguna oportunidad de distribuir una
actualización de seguridad para los usuarios del software.
Zombi/Zombie - Máquinas comprometidas que componen las botnets (Ver botnet y bot en este mismo
Glosario) y que son utilizadas sin que sus dueños lo sepan para propósitos ilegales.
Junio 2011 – Pág. Nº 84/84

Panorama del ciberdelito en Latinoamérica

Transcription

Similar documents

El cambio climático en el eje del debate

RESUMEN Esta investigación busca determinar hemoglobina y

Leer más - Prensario Internacional

“they are a very festive people!” el baile perpetuo

Paradigmas, producción, demanda y uso de la - Vippal

Reconocimiento de patrones

View/Open - Tesis Institucionales

Documento IFARMA - Corporación Viva la Ciudadanía

Hacking Team: malware para la vigilancia en