Informe de McAfee Labs sobre amenazas Agosto de 2015
Transcription
Informe de McAfee Labs sobre amenazas Agosto de 2015
Informe Informe de McAfee Labs sobre amenazas Agosto de 2015 El ransomware sigue creciendo a gran velocidad: en el 2.º trimestre el número de muestras nuevas creció un 58 %. Acerca de McAfee Labs Introducción McAfee Labs es uno de los líderes mundiales en investigación e información sobre amenazas, e innovación en ciber seguridad. Gracias a la información que recibe de millones de sensores situados en los principales vectores de amenazas: archivos, Web, mensajería y redes, McAfee Labs proporciona información sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos. Este mes se cumple el quinto aniversario del anuncio de la adquisición de McAfee por parte de Intel. Desde entonces, el mundo de la seguridad ha cambiado mucho, así que hemos decidido hacer balance de estos años y comparar nuestras predicciones con lo que realmente ha ocurrido. McAfee forma ahora parte de Intel Security. www.mcafee.com/es/mcafee-labs.aspx Siga a McAfee Labs Hemos entrevistado a doce personas con cargos relevantes en Intel o McAfee desde la adquisición para conocer su opinión sobre las principales transformaciones que han tenido lugar en el panorama de las ciberamenazas en los últimos cinco años: cómo han cambiado los tipos de creadores de amenazas, los objetivos y comportamientos de los agresores, la economía de la ciberdelincuencia y la respuesta del sector. También queríamos saber qué acontecimientos fueron incapaces de prever y qué les ha sorprendido por completo. Esperamos que disfrute de esta retrospectiva. Este trimestre también cubrimos dos temas de gran interés. En los Informes de McAfee Labs sobre amenazas dedicamos mucho tiempo a examinar los métodos que emplean los agresores para introducirse en una red o un sistema de confianza, pero muy poco a averiguar cómo extraen la información que desean robar una vez que han logrado infiltrarse. En este tema principal, aprovechamos la amplia experiencia de los analistas forenses del equipo de McAfee Foundstone para describir las tácticas y técnicas específicas que utilizan los agresores para hacerse con los datos que buscan sin levantar sospechas. Informe de McAfee Labs sobre amenazas, agosto de 2015 | 2 Los ataques de malware a las unidades de procesamiento gráfico (GPU) llevan años produciéndose sin llamar mucho la atención. Hace poco se publicó en GitHub una prueba de concepto que supuestamente demuestra cómo utilizan los agresores las GPU para evitar la detección a base de ejecutar malware y almacenar datos en estos dispositivos. En este tema principal analizamos estas afirmaciones y explicamos las posibilidades reales de esta forma de ataque. ■■ Otros temas de interés: ■■ ■■ A principios de agosto se celebró la conferencia Black Hat USA 2015. Intel presentó dos sesiones, una de las cuales demuestra cómo las investigaciones que realizan conjuntamente Intel e Intel Security permiten mejorar la protección del hardware. La sesión "Attacking Hypervisors Using Firmware and Hardware" (Ataques a los hipervisores a través del firmware y el hardware) analiza la superficie de ataque de los hipervisores modernos desde la perspectiva de las vulnerabilidades del firmware del sistema, como la BIOS, y de la emulación de hardware. La presentación está disponible aquí desde la clausura de Black Hat. Como ya informamos el pasado trimestre, la infraestructura en la nube de McAfee Global Threat Intelligence ha sido sustituida para poder gestionar más consultas, más datos sobre amenazas y más tipos de reputaciones. Asimismo se ha modificado su arquitectura para hacerla más rápida, más segura, más resiliente y más fácil de administrar. La base para ello ha sido la nueva arquitectura RESTful. Esta arquitectura se implementó íntegramente en McAfee GTI en todo el mundo durante el 2.º trimestre. En 2014, creamos un equipo de ciencia de los datos encargado de comprender y aprovechar mejor los datos de McAfee GTI. Este equipo ha desarrollado instrumentos de McAfee GTI en la nube y ha creado un panel que nos permite ver y analizar los patrones de ataque del mundo real, lo que después sirve para mejorar la protección de los clientes. Las cifras siguientes dan una idea del volumen de los ataques que sufren nuestros clientes. Durante el 2.º trimestre, estos fueron los volúmenes registrados: ––Cada hora se produjeron más de 6,7 millones de intentos de engañar a nuestros clientes para que se conectaran a URL peligrosas (a través de mensajes de correo electrónico, búsquedas en el navegador, etc.). ––Cada hora las redes de nuestros clientes estuvieron expuestas a más de 19,2 millones de archivos infectados. ––Cada hora, además, intentaron instalarse o iniciarse 7 millones de programas potencialmente no deseados. ––Cada hora nuestros clientes realizaron 2,3 millones de intentos de conexión a direcciones IP peligrosas o esas direcciones intentaron conectarse a las redes de nuestros clientes. ■■ A través de las encuestas que realizamos seguimos recibiendo opiniones de nuestros lectores acerca del Informe sobre amenazas, que son de gran utilidad para nosotros. Si desea hacernos llegar su opinión sobre este informe, haga clic aquí para rellenar un cuestionario que le llevará apenas cinco minutos. —Vincent Weafer, Vicepresidente primero, McAfee Labs Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 3 Índice Informe de McAfee Labs sobre amenazas Agosto de 2015 En la investigación y redacción de este informe han participado: Brad Antoniewicz Christiaan Beek Dave Bull Torry Campbell Cedric Cochin Carric Dooley Douglas Frosst Robert Gresham Paula Greve Steve Grobman Dave Marcus François Paget Eric Peterson Matthew Rosenquist Raj Samani Craig Schmugar Mike Sentonas Rick Simon Bruce Snell Dan Sommer James Walter Vincent Weafer Resumen ejecutivo 5 Temas principales 6 Intel + McAfee: retrospectiva de los últimos cinco años 7 La filtración de datos: un paso importante en el desarrollo de un ciberdelito 16 Malware para la GPU: mitos y realidades 26 Estadísticas sobre amenazas 30 Resumen ejecutivo Intel + McAfee: retrospectiva de los últimos cinco años En esta retrospectiva de los últimos cinco años, echamos la vista atrás y comparamos nuestras predicciones con lo que realmente ha ocurrido. Analizamos las principales transformaciones de la ciberseguridad: cómo han cambiado los tipos de creadores de amenazas, el comportamiento y los objetivos de los agresores, la economía de la ciberdelincuencia y la respuesta del sector. En agosto se cumple el quinto aniversario del anuncio de adquisición de McAfee por parte de Intel. Desde entonces, el mundo de la ciberseguridad ha cambiado mucho. Para esta retrospectiva hemos reunido a doce líderes de opinión con cargos relevantes en Intel y McAfee desde antes de la adquisición para explicar cómo han evolucionado el mercado de la ciberseguridad y nuestro trabajo juntos. Con ellos hemos hablado de la evolución de nuestro concepto de seguridad del hardware, de la idea que teníamos en aquel momento sobre la "tormenta perfecta" que se cernía sobre el mundo de la ciberseguridad y de cómo se ha desplegado finalmente esa tormenta, así como de nuestras expectativas en cuanto a nuevos tipos de dispositivos en 2010 frente a la realidad del mercado. También hemos examinado lo que nos ha sorprendido, sobre todo, la transformación de la ciberdelincuencia en una industria en toda regla. La filtración de datos: un paso importante en el desarrollo de un ciberdelito En este tema principal, describimos las tácticas y técnicas específicas que utilizan los agresores para hacerse con los datos que buscan sin levantar sospechas. Durante los últimos diez años se ha producido un aumento colosal de las fugas de datos de gran magnitud, así como del volumen de registros robados, desde la sustracción de 94 millones de registros de TJ Maxx en 2007 hasta la filtración este año de 80 millones de historias de pacientes de Anthem. Este tema gira en torno a un paso importante en el proceso del robo de datos: la filtración de la información. Es el modo en que el ciberdelincuente copia o traslada los datos desde la red del propietario a una red que está bajo su control. Examinamos los tipos de agresores, sus motivaciones y sus objetivos más probables, los métodos y mecanismos que utilizan para robar datos, y las políticas que deberían aplicar las empresas para detectar mejor una filtración. Malware para la GPU: mitos y realidades En este tema principal aclaramos las posibilidades reales de los ataques a las GPU en la actualidad. Los ataques de malware a las unidades de procesamiento gráfico (GPU) llevan años produciéndose. De hecho, hay una forma de malware para la GPU circulando desde hace al menos cuatro años: los troyanos mineros de bitcoins que aprovechan el rendimiento de la GPU para incrementar las ganancias que obtienen de cada sistema infectado. Hace poco un grupo publicó tres proyectos de prueba de concepto que, conjuntamente, afirman utilizar las GPU como instrumento de evasión a base de ejecutar código y almacenar datos en estas unidades, que nadie vigila. En este tema principal, analizamos detalladamente estas afirmaciones para dilucidar qué puede conseguirse realmente con el uso de estos módulos de software. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 5 Temas principales Intel + McAfee: retrospectiva de los últimos cinco años La filtración de datos: un paso importante en el desarrollo de un ciberdelito Malware para la GPU: mitos y realidades Compartir opinión Temas principales Intel + McAfee: retrospectiva de los últimos cinco años —McAfee Labs El 19 de agosto de 2010, Intel anunció su intención de comprar McAfee. En aquel momento, McAfee e Intel ya trabajaban juntos en algunos proyectos y nos dimos cuenta de que podíamos mejorar y agilizar nuestros esfuerzos si la colaboración era permanente. Desde entonces ha sido fascinante conocer los puntos fuertes de cada empresa. Hemos resuelto hipótesis, hemos abandonado expectativas poco realistas y hemos desarrollado la confianza necesaria para trazar ambiciosos planes para el futuro. Doce líderes de opinión con cargos relevantes en Intel y McAfee desde antes de la adquisición han colaborado en este análisis sobre la evolución del mercado de la ciberseguridad y el desarrollo de nuestro trabajo juntos. Nuestro equipo: Christiaan Beek Torry Campbell Carric Dooley Steve Grobman Dave Marcus Matthew Rosenquist Raj Samani Mike Sentonas Craig Schmugar Bruce Snell James Walter Vincent Weafer Ya han pasado cinco años: ¿qué tal funciona la alianza? Doce líderes de opinión con cargos relevantes en Intel y McAfee desde antes de la adquisición han colaborado en este análisis sobre la evolución del mercado de la ciberseguridad y el desarrollo de nuestro trabajo juntos. En esta retrospectiva examinamos nuestras previsiones sobre el panorama de las amenazas, lo que ha ocurrido realmente y qué acontecimientos nos han sorprendido. Lo que Intel vio en McAfee Intel se nutre del crecimiento continuo del conjunto del mercado de la tecnología. A lo largo de nuestra historia, hemos adoptado medidas para resolver todo aquello que pudiera ralentizar el mercado o constituir un obstáculo para el crecimiento permanente. La velocidad de los procesadores, la capacidad de la memoria, el consumo de energía, las conexiones de periféricos y el tamaño de los chips son obstáculos que hemos superado. Hace cinco años veíamos la seguridad como un impedimento inminente. Creíamos que si los usuarios empezaban a perder confianza en sus dispositivos, conexiones o servicios por miedo a perder su privacidad, seguridad o incluso su integridad física, el resto del mercado se vería afectado. A diferencia de algunos de los problemas propios del hardware que Intel resolvía fácilmente de forma global, nos dimos cuenta de que este escollo no podríamos superarlo solos; necesitábamos la experiencia en seguridad de McAfee para eliminar ese obstáculo para el crecimiento. Lo que McAfee vio en Intel Hace cinco años, al constatar que los ataques estaban mejorando su capacidad para eludir las defensas, que aumentaban con rapidez los tipos de dispositivos que necesitaban protección y que crecía la presencia de amenazas de bajo nivel como los rootkits, McAfee se dio cuenta de que tenía que ampliar el alcance y la cobertura de su seguridad. Por sí solos, el antimalware basado en firmas y las defensas perimetrales no podrían garantizar un entorno seguro durante mucho más tiempo. Pensábamos que el malware llegaría a ser tan sofisticado que atravesaría las defensas del perímetro. Queríamos que la seguridad fuera más profunda, que abarcara el hardware y las nuevas plataformas, que pudiera detener los ataques en las redes de confianza y reparar los daños causados. Para ello necesitábamos entender mucho mejor las posibilidades y el comportamiento del hardware. Ya colaborábamos con Intel en algunos proyectos para la seguridad de los procesadores y sabíamos que sus conocimientos y su capacidad podrían resultarnos de gran ayuda. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 7 Temas principales Consideraciones Cuando Intel anunció la adquisición, expusimos nuestros motivos a técnicos, analistas e inversores. Uno de los motivos fundamentales era acercar el software al hardware para reforzar la seguridad y contrarrestar con más eficacia las amenazas avanzadas. Estas amenazas, junto al importante aumento del número y tipo de dispositivos, estaban sentando las bases de una "tormenta perfecta" de vulnerabilidades y brechas de seguridad. Creíamos que estas nuevas amenazas serían más difíciles de detectar, que requerirían nuevas estrategias de ciberdefensa. También pensábamos que el panorama de las tecnologías de la información iba a cambiar drásticamente, ya que se estaban conectando a las redes miles de millones de dispositivos que no eran PC. Juntos, todos estos elementos impulsarían el desarrollo económico y técnico de las ciberamenazas. Así pues, ¿qué dirección tomamos? La seguridad en el hardware Desde el principio, un eje importante de la adquisición era desplazar la tecnología de seguridad al hardware. Este paso era difícil, dada la velocidad con que la comunidad de ciberdelincuentes puede copiar y mejorar las amenazas más sofisticadas, a menudo a los pocos días de su descubrimiento público. El hardware de seguridad tarda mucho más en desarrollarse, comercializarse y desplegarse que el software, y el sector de la seguridad depende de la agilidad y la capacidad de adaptación del software para combatir las amenazas nuevas e imprevistas. Los clientes necesitan actualizar sus defensas con rapidez para protegerse de ataques que ayer mismo eran inimaginables, así que no digamos dentro de cinco años, que es la duración típica del ciclo de diseño del hardware. En lugar de esforzarnos por incorporar antimalware en los chips, consideramos que sería más lógico aumentar el rendimiento del cifrado asistido por hardware, mejorar las medidas antimanipulación y la supervisión del kernel con funciones de bajo nivel y diseñar componentes primitivos de seguridad en el interior de los chips de próxima generación que después aprovecharían el software de seguridad y el sistema operativo. Desde la adquisición, hemos lanzado el marco de código abierto CHIPSEC para analizar los componentes de hardware y de firmware, y evaluar los riesgos de seguridad de bajo nivel, así como la tecnología Intel Kernel Guard, para garantizar la integridad en tiempo de ejecución. Los ataques de bajo nivel al firmware y la BIOS permiten que la amenaza persista y por eso son atractivos para el ciberespionaje y otros delitos con proyección a largo plazo. Al comprobar que este tipo de malware se introducía más profundamente en el sistema operativo para permanecer oculto y sobrevivir a limpiezas y reinicios, lanzamos CHIPSEC, un marco de código abierto para analizar los componentes de hardware y firmware, y evaluar los riesgos de seguridad de bajo nivel, la tecnología Intel Kernel Guard, que asegura la integridad en tiempo de ejecución, y BIOS Guard, que facilita la autenticación y la protección. La combinación de los conocimientos, la experiencia y la presencia en el mercado de Intel y McAfee nos ha otorgado un punto de vista único para observar, adaptarnos y anticiparnos a los cambios en el panorama de las amenazas. Nuestro objetivo sigue siendo distribuir software de seguridad para los nuevos prototipos —dispositivos móviles, el Internet de las cosas y la nube— mientras llegan al mercado los chips con seguridad mejorada. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 8 Temas principales Tormenta perfecta a la vista Todos creíamos que dada la proliferación de usuarios, el incremento de datos, el crecimiento de las redes y la explosión de tipos de dispositivos y blancos, como la nube, combinado con un aumento de los ataques, nuevo malware inteligente y ciberdelincuentes cada vez más sofisticados, la "tormenta perfecta" de seguridad estaba asegurada. La mayoría de estas predicciones se hicieron realidad. La adopción de la computación en la nube, los dispositivos del Internet de las cosas y los dispositivos móviles fue incluso más veloz de lo esperado. En 2010 calculamos que para 2020 habría 31 000 millones de dispositivos conectados a Internet, previsiones que ahora parecen haberse quedado cortas. Acertamos al predecir la tormenta de seguridad perfecta, pero infravaloramos su velocidad y su fuerza. Está claro que los ciberdelincuentes han aprovechado este incremento enorme de blancos potenciales y han ampliado su superficie de ataque. Al principio, estas amenazas eran preocupantes sobre todo para los gobiernos, las instituciones financieras y los proveedores de seguridad, pero ahora también lo son para empresas y consumidores, ya que pueden afectar significativamente al valor de un negocio y ocasionar importantes quebraderos de cabeza en nuestra vida privada. Actualmente nos enfrentamos a una ciberguerra entre países que incluye ataques estatales muy notorios, aunque negados enérgicamente, y espionaje a largo plazo. También aquí, aunque predijimos la mayoría de estos acontecimientos, nos han sorprendido la rápida evolución del malware, el aumento del volumen de ataques y la escala de los ataques perpetrados por países. Cambio del perfil de los agresores Financiados Q4 2014 por países Crimen organizado Hacktivistas Delincuentes Diversión • Fama y notoriedad • Recursos técnicos limitados • Exploits conocidos • Reivindicaciones • Implacables, muy implicados • Vandalismo • Redes de • Conocimientos gran tamaño técnicos limitados • Ataques selectivos • Beneficio económico • Conocimientos y recursos técnicos considerables • Organizaciones establecidas • Adware, crimeware, robo de propiedad intelectual • Ciberquerra, secretos de estado, espionaje industrial • Muy sofisticados • Recursos prácticamente ilimitados • Amenazas persistentes avanzadas AUMENTO DE RECURSOS Y SOFISTICACIÓN La proliferación de tipos de agresores, sus recursos y su sofisticación Detectar lo indetectable Para responder en parte a la tormenta perfecta, nos pareció que debíamos aumentar rápidamente el antimalware basado en firmas añadiendo tecnología que detectara lo indetectable, ya que el malware estaba evolucionando y adaptándose para evitar las defensas de seguridad tradicionales. A fin de cuentas, y a diferencia de la mayoría de los ataques, las defensas suelen estar disponibles para que cualquiera las pruebe y las evalúe. Cualquier agresor puede llevar un producto de seguridad a un laboratorio y probarlo de todas las maneras posibles, buscando sus puntos débiles para aprovecharlos o las formas de eludir su detección. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 9 Temas principales A pesar de esta preocupación, la mayoría de los ataques de seguridad de los últimos años han resultado fácilmente detectables. Eran sofisticados en planificación, elección del objetivo, persecución y ejecución; algunos incluso eran muy técnicos o evasivos. Sin embargo, en los dos últimos años hemos observado un cambio, un aumento considerable del número de ataques técnicamente sofisticados. Muchos de ellos están diseñados con el único fin de evadir las defensas avanzadas. Se infiltran por partes, se ocultan en código aparentemente inerte y esperan cualquier momento de desprotección para salir a la luz. Estas amenazas también evitan las trampas basadas en firmas de sus antepasados, ya que emplean el cifrado y la modificación dinámica de código para cambiar con cada nuevo despliegue y ocultar datos que las delaten. Retrospectiva: cinco años de amenazas Tendencias y malware destacado 2010 2011 2012 Aumento de infecciones MBR 2013 2014 2015 Debajo del SO (MBR, BIOS, firmware) Descargas desapercibidas Amenazas permanentes en el navegador Explosión de kits de exploits Amenazas sin archivos/intrusiones sin malware Polimorfismo del lado del servidor/hashbusters Malware de un solo uso Malware de "raspado" de memoria (amenazas contra TPV) Macros y malware de mejora de secuencias de comandos PowerShell Antivirus falso Amenazas relacionadas con moneda digital/bitcoin Ransomware Malware para TPV Aumentan las amenazas contra Mac Diversificación de plataformas de malware y ataques multiplataforma Amenazas para móviles (malware, aplicaciones potencialmente peligrosas y potencialmente no deseadas) Amenazas del Internet de las cosas Vulnerabilidades principales 2011 2012 2013 2014 2015 BEAST—CVE-2011-3389 CRIME—CVE-2012-4929, CVE-2012-4930 RC4—CVE-2013-2566 HeartBleed—CVE-2014-0160, CVE-2014-0346 Shellshock— CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 BERserk—CVE-2006-4339, CVE-2014-1568 Poodle— CVE-2014-3566, CVE-2014-8730 FREAK— CVE-2015-0204, CVE-2015-1637 Logjam— CVE-20154000 Principales ataques contra el núcleo de Internet Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 10 Temas principales El aumento del malware evasivo y de los ataques de larga duración no nos ha sorprendido, sin embargo, algunas de las tácticas y técnicas empleadas eran inimaginables hace cinco años. Cada vez hay más ataques de larga duración que se prolongan durante meses o ataques a largo plazo que esperan y observan antes de actuar maliciosamente. Probablemente, la mayoría de ellos pretenden desempeñar una labor de espionaje permanente en lugar de vender los datos filtrados. Aunque en 2010 ya preveíamos la existencia de los ataques de larga duración, algunas de las tácticas y técnicas utilizadas en estos ataques eran inimaginables hace cinco años. Documentamos uno de estos ataques en "El Equation Group: ataques al firmware de los discos duros y de las unidades en estado sólido", un tema principal del Informe de McAfee Labs sobre amenazas de mayo de 2015. En el informe Disección de la operación Troy: el ciberespionaje en Corea del Sur se describe otro de estos ataques a largo plazo. Evolución de los tipos de dispositivos Como hemos visto, uno de los aspectos de la tormenta perfecta era el enorme aumento de los tipos y el volumen de dispositivos, además de la tremenda expansión de la virtualización y las nubes públicas. Los consumidores han adoptado las últimas tecnologías con gran rapidez. Ya había sucedido lo mismo con los teléfonos móviles, después con los smartphones y las tablets, y ahora con los "wearables". La rápida adopción de dispositivos está conectando nuestros hogares y organizaciones al Internet de las cosas, tanto en sanidad, energía y logística como en distribución, urbanismo, transporte, automoción y fabricación. Ahora la gente depende tanto de los dispositivos en su entorno que no les importa sacrificar seguridad y privacidad. Creíamos —y seguimos creyendo— que cuando hubiera suficientes dispositivos de un determinado tipo para crear un mercado lucrativo, comenzarían a ser blanco de ataques. Durante los últimos cinco años, los resultados han sido los esperados en algunas áreas y sorprendentes en otras. Aunque el volumen de los dispositivos móviles ha aumentado incluso a más velocidad de la esperada, el incremento de los ataques graves generalizados contra estos dispositivos ha sido mucho más lento de lo que creíamos. Esto es solo el principio de los ataques contra los dispositivos del Internet de las cosas (IoT). Comparta este informe Dispositivos móviles: aunque los dispositivos móviles han experimentado un aumento muy rápido de ataques de malware, la mayoría de ellos siguen en etapa exploratoria o con un impacto comparativamente pequeño. El valor de los datos recuperables de un smartphone es relativamente bajo y los smartphones no representan un vector de ataque importante para las empresas. La función de copia de seguridad automática de muchos smartphones y tablets los hace fáciles de limpiar y recuperar si se infectan o los secuestran, al menos hasta que los delincuentes logren atacar las copias de seguridad basadas en la nube. Los mercados de aplicaciones para smartphones y tablets también son mucho más restrictivos, ya que actúan como servicios de listas blancas para limitar las descargas de aplicaciones maliciosas. Estas restricciones no son 100 % eficaces, pero sí limitan el incremento de los ataques a dispositivos móviles. Aunque el volumen de los dispositivos móviles ha aumentado incluso a más velocidad de la esperada, el incremento de los ataques graves generalizados contra estos dispositivos ha sido mucho más lento de lo que creíamos. Internet de las cosas: los ataques a los dispositivos IoT no han hecho más que empezar. La variedad de dispositivos, sistemas operativos y versiones constituye una resistencia a corto plazo a los ataques, porque pocos cuentan con una base instalada lo suficientemente amplia para atraer a los ciberdelincuentes. No obstante, el volumen de dispositivos ha aumentado más deprisa de lo previsto y en sectores que no esperábamos, por lo que se ha creado una superficie de ataque enorme; es solo cuestión de tiempo que las amenazas se extiendan a estos dispositivos. Por supuesto, los agresores no van detrás de los dispositivos propiamente dichos, sino de sus datos o de su capacidad para actuar como puerta de enlace. Buscan la manera más fácil de entrar, y estos dispositivos a menudo brindan un acceso desprotegido a redes que contienen abundantes blancos. Tan solo estamos presenciando el inicio de las brechas de seguridad y los ataques contra ellos. PC y sistemas de centros de datos: aun con el increíble crecimiento de los dispositivos que no son PC, tal y como esperábamos los PC y los sistemas de los centros de datos siguen siendo el objetivo más lucrativo para los ciberdelincuentes. Contienen los mejores datos, las vulnerabilidades más visibles y el sistema de parches más débil. Informe de McAfee Labs sobre amenazas, agosto de 2015 | 11 Temas principales La adopción de la nube ha cambiado la naturaleza de algunos ataques, ya que su objetivo no es la pequeña cantidad de datos que albergan los dispositivos, sino que sirven como vía para llegar al lugar donde residen los datos importantes. La virtualización y la nube: el aumento de dispositivos viene acompañado de un enorme crecimiento de la virtualización y la computación en la nube. Habíamos previsto el rápido crecimiento de la virtualización, especialmente en el centro de datos, pero nos ha sorprendido la rapidez del despliegue y la adopción de la computación y el almacenamiento en la nube. La virtualización tenía gran sentido desde el punto de vista económico y optimizamos el hardware con ese fin. El paso a la nube también era lógico desde el punto de vista operativo y financiero, pero creíamos que las empresas lo adoptarían con más lentitud. La adopción de la nube ha cambiado la naturaleza de algunos ataques, ya que su objetivo no es la pequeña cantidad de datos que albergan los dispositivos, sino que sirven como vía para llegar al lugar donde residen los datos importantes. Si un agresor logra acceder a las credenciales de una víctima en la nube, puede espiar actividades y transacciones, manipular datos, devolver información falsificada y redirigir a los clientes a sitios ilegítimos. Las instancias del servicio o la cuenta de la víctima pueden convertirse en la nueva base del agresor, que de este modo puede aprovechar la reputación de la víctima para lanzar ataques posteriores. Predijimos las vulnerabilidades de la nube bajo ataque antes incluso de la adquisición y, tal como esperábamos, siguen aquí. Evolución y economía de las ciberamenazas Todos preveíamos un crecimiento importante del volumen y la capacidad técnica de los ciberataques. Las condiciones eran demasiado tentadoras para dejarlas pasar. Las amenazas han evolucionado como en la clásica carrera armamentística: los delincuentes han desarrollado nuevos ataques, el sector de la seguridad ha respondido con nuevas defensas, y así sucesivamente. Internet y la "Internet profunda" han contribuido decisivamente a impulsar esta carrera, pues han facilitado que los delincuentes compartan técnicas y aprendan unos de otros. En cuanto aparecía un ataque en escena, aunque fuera del grupo delictivo más sofisticado técnicamente, otros podían observarlo, descodificarlo, reutilizarlo e incluso mejorarlo. Poco después de que se descubriera una vulnerabilidad, a menudo ya se había vendido a los delincuentes para que la explotaran. Los proveedores de tecnología empezaron a lanzar programas de recompensas a cambio de errores y ahora la compra de vulnerabilidades por proveedores o delincuentes se ha convertido en un negocio mucho mayor de lo que habíamos previsto. Tipo de vulnerabilidad Precio por exploit de tipo zero-day Adobe Reader 5000–30 000 dólares Mac OS X 20 000–50 000 dólares Android 30 000–60 000 dólares Complementos Flash o Java para navegadores 40 000–100 000 dólares Word 50 000–100 000 dólares Windows 60 000–120 000 dólares Firefox o Safari 60 000–150 000 dólares Chrome o Internet Explorer 80 000–200 000 dólares iOS 100 000–250 000 dólares Precios de exploits de tipo zero-day en 2013 Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 12 Temas principales Asistimos a la transformación de la ciberdelincuencia en una industria en toda regla, con sus distribuidores, mercados, proveedores de servicios, sistema de financiación y comercio, y una proliferación de modelos de negocio. Lo que no esperábamos era la transformación de la ciberdelincuencia en una industria en toda regla, con sus distribuidores, mercados, proveedores de servicios ("la ciberdelincuencia como servicio"), financiación, sistemas comerciales y toda una proliferación de modelos de negocio. Por supuesto, el delito pretende siempre conseguir dinero de la forma más fácil posible y ha de estar suficientemente bien pagado, porque si no la gente dejaría de practicarlo. Lamentablemente, la ciberdelincuencia se paga muy bien. Según un proveedor de seguridad, una campaña hipotética, aunque realista, de malware puede obtener una rentabilidad del 1425 %. Y en un estudio encargado por Intel Security se calculó que el coste anual de la ciberdelincuencia para la economía mundial alcanza los 400 000 millones de dólares. Aunque Internet ha sido fundamental para la ciberdelincuencia, los ataques se han visto impulsados por el acceso a tecnologías que permiten a los delincuentes permanecer en el anonimato. En concreto, las redes de anonimización —en especial Tor— y las monedas virtuales se han convertido en un factor clave de la capacidad de los ciberdelincuentes para permanecer ocultos de las fuerzas de seguridad. Algunos de nosotros nos percatamos del desarrollo inicial de las monedas virtuales y vimos inmediatamente su potencial para transacciones ilegales de muchos tipos. Los bitcoins y los intermediarios anónimos también han revitalizado el mercado del ransomware, haciéndolo comercialmente viable y fomentando un crecimiento inesperadamente elevado. Hace cinco años se produjeron numerosos robos importantes de datos de tarjetas de crédito que se vendían a granel lo antes posible a quienes querían hacer compras fraudulentas. Los emisores de tarjetas de crédito han hecho un esfuerzo importante para bloquear rápidamente el uso de las tarjetas robadas, por lo que ahora pierden pronto su valor. Como consecuencia, algunos agresores han empezado a robar otros datos de valor, como las historias médicas personales, que no se devalúan con tanta rapidez. Siguiendo el ejemplo de la comunidad empresarial, los ciberdelincuentes también están optando por almacenar los datos para combinarlos, correlacionarlos y así convertirlos en algo mucho más valioso. Muchos de los robos de datos más destacados que se han llevado a cabo recientemente, como llos de declaraciones de la renta o certificados de antecedentes penales, no se han convertido de inmediato en dinero, lo que posiblemente indica una mayor madurez delictiva. Eso es algo que no habíamos previsto. Otro indicador de la madurez del negocio de la ciberdelincuencia ha sido la disminución de las aptitudes técnicas necesarias para participar en él. En la Internet profunda han aparecido toolkits comerciales de malware, programas de afiliación a ransomware, formularios de creación de ataques y otras conocidas ofertas para permitir una distribución más rápida, fácil y amplia de los ataques. Ahora no hace falta saber mucho para ser ciberdelincuente. (Para obtener más información sobre paquetes de malware en venta, lea "Tras la desaparición de Blacole: el kit de exploits Angler" en el Informe de McAfee Labs sobre amenazas de febrero de 2015). Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 13 Temas principales El asequible precio de los paquetes de malware ha contribuido enormemente a los ciberataques. En general, los países tienen motivos distintos para sus ataques, pero normalmente emplean la misma infraestructura delictiva. Los países no suelen actuar motivados por la rentabilidad directa y pueden iniciar acciones a más largo plazo con recursos enormemente diferentes. Para nosotros el espionaje es la actividad discreta de un pequeño número de personas, y ese ha sido en general el caso del ciberespionaje. Sin embargo, la escala del ciberespionaje patrocinado por países ha superado nuestras expectativas: en solo los dos últimos años ha cobrado mucha más visibilidad, incluso para el público en general. Más sorpresas Empresas y consumidores por igual siguen sin prestar suficiente atención a actualizaciones, parches, protección con contraseñas, alertas de seguridad, configuraciones predeterminadas y otros medios sencillos pero indispensables para proteger los activos electrónicos y físicos. El descubrimiento y el aprovechamiento de vulnerabilidades básicas de Internet han puesto de manifiesto que algunas tecnologías fundamentales carecen de la financiación y del personal que precisan. Nos hemos llevado algunas sorpresas que no encajan del todo en las categorías descritas. Posiblemente la mayor de ellas es la continua falta de atención que empresas y consumidores por igual prestan a actualizaciones, parches, protección de contraseñas, alertas de seguridad, configuraciones predeterminadas y otras formas fáciles pero indispensables de proteger activos electrónicos y físicos. Esto no es nuevo en el sector de la seguridad: llevamos décadas insistiendo en ello y sin embargo siguen siendo los vectores más probables de que un ataque prospere. Cuando se trata de recursos físicos, nos asombra que no se haya producido con éxito un ataque catastrófico a alguna infraestructura crítica. Este tipo de ataques no son convenientes para los ciberdelincuentes porque no reportan beneficios fáciles, pero desde luego sí lo son para los terroristas y quizá para algunos países. Aunque hemos observado actividades de exploración electrónica de infraestructuras críticas, suponemos que hay motivos políticos o estratégicos que han impedido que se lleven a cabo... hasta ahora. En lo que respecta a las infraestructuras, el inesperado y reciente descubrimiento de vulnerabilidades en el núcleo de Internet —en código que tiene décadas de antigüedad— y su explotación han demostrado cómo algunas tecnologías básicas carecen de la financiación y el personal que necesitan. El reconocimiento de este riesgo ha generado el patrocinio de software y una mayor colaboración entre importantes organizaciones que dependen de Internet para todas sus actividades. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 14 Temas principales Estamos muy satisfechos de la colaboración positiva y cada vez mayor entre el sector de la seguridad, las universidades, las fuerzas de seguridad y los gobiernos para desmantelar las operaciones de la ciberdelincuencia. Finalmente, estamos muy satisfechos de la colaboración positiva y cada vez mayor entre el sector de la seguridad, las universidades, las fuerzas de seguridad y los gobiernos para desmantelar las operaciones de la ciberdelincuencia. Los delincuentes pueden y quieren compartir sus códigos y sus conocimientos; nosotros tenemos que hacer lo mismo con las defensas. Puede que "La unión hace la fuerza" no sea más que una frase hecha, pero en este caso no puede ser más acertada. Conclusión Hace cinco años acertamos con algunas de nuestras predicciones, no así con otras. Muchos de los componentes anunciados de la tormenta perfecta se han hecho realidad, mientras que otros nos han tomado por sorpresa. Tres elementos han continuado desafiando el panorama de la ciberseguridad: el crecimiento de la superficie de ataque, la industrialización de la ciberdelincuencia y la complejidad y fragmentación del mercado de la seguridad de TI. La ciberdelincuencia ha madurado mucho antes de lo que esperábamos; de ser una afición ha pasado a ser una industria que prueba diferentes modelos de negocio y funciona con una mezcla de motivos delictivos, políticos y militares. La conciencia sobre la ciberseguridad está en su apogeo, en parte por los medios de comunicación, por las nuevas normativas que exigen la divulgación de las intrusiones y por un mayor conocimiento y madurez. Sin embargo, hoy hay mucho más en juego, el panorama ha cambiado en favor de los agresores y sus capacidades y recursos han crecido más que nunca. Las batallas de seguridad siguen siendo un tremendo reto, pero la guerra no ha terminado. Entre los factores beneficiosos cabe mencionar una mayor sensibilización, la incorporación de más profesionales de la seguridad, las innovaciones tecnológicas y el reconocimiento de los gobiernos de su papel para proteger a los ciudadanos en el ciberespacio. La fusión de Intel y McAfee forma parte de una evolución cuyo fin es proporcionar seguridad para proteger a las personas y las tecnologías en el futuro. Informe de McAfee Labs sobre amenazas, agosto de 2015 | 15 Temas principales La filtración de datos: un paso importante en el desarrollo de un ciberdelito —Brad Antoniewicz Durante los últimos 10 años hemos sido testigos de una adopción de tecnología sin precedentes en todo el mundo. El uso de Internet se ha disparado del 15 % a más del 40 % de la población mundial y, con él, empresas de todos los tamaños han creado redes conectadas a Internet para comunicarse con sus clientes y suministrar los datos que impulsan su negocio. Esta recopilación y digitalización de información, junto con la enormidad y el alcance de las redes modernas, genera una atractiva oportunidad para los ladrones: robar datos. Los ciberdelincuentes han robado casi todos los tipos de datos personales: nombres, fechas de nacimiento, direcciones, números de teléfono, números de documentos de identidad, números de tarjetas de crédito y débito, información sanitaria, credenciales de cuentas e incluso preferencias sexuales. Los últimos 10 años también han registrado un aumento tremendo del número de fugas de datos importantes. En 2007, TJ Maxx sufrió una de las primeras brechas de seguridad a gran escala, en la que se robó información de tarjetas de crédito y débito de hasta 94 millones de clientes. Tan solo dos años después, Heartland Payment Systems, el gigante de procesamiento de pagos, sufrió un ataque en el que perdió datos de aproximadamente 130 millones de clientes. Durante los años siguientes se descubrieron fugas aún mayores cuyo blanco eran redes de información más extensas. Además de números de tarjetas de crédito y débito, los ciberdelincuentes han robado casi todos los demás tipos de datos personales: nombres, fechas de nacimiento, direcciones, números de teléfono, números de documentos de identidad, información sanitaria, credenciales de cuentas e incluso preferencias sexuales. Ahora sabemos que los ciberdelincuentes no son solo grupos o personas que pretenden lucrarse. Los motivos que los mueven han creado distintas categorías de delincuentes, cada una con una intención propia para robar datos. Como demuestra la reciente oferta de trabajo de un gobierno extranjero para "agente de inteligencia estadounidense", los datos personales robados tienen una finalidad diferente cuando las víctimas son empleados de un organismo público y los ciberdelincuentes actúan en nombre de un país. El éxito de Internet y la evolución de la ciberdelincuencia también han dado nuevas alas al ciberespionaje, lo que convierte el robo de propiedad intelectual digital en una amenaza real. Se han robado secretos comerciales de organizaciones de todos los tipos —desde Google, Microsoft y Sony hasta Boeing, Lockheed Martin y DuPont— lo que demuestra que los ciberdelincuentes encuentran valor en todos los lugares donde lo hay. Este tema principal gira en torno a un paso importante en el proceso de un robo de datos: la filtración o fuga de la información. En esta fase, el ciberdelincuente copia o traslada los datos de la red del propietario a una red que está bajo su control. La filtración de datos la llevan a cabo delincuentes cuya intención es robar datos, no se trata de pérdidas de datos accidentales en equipos extraviados u olvidados (en las que el ladrón está más interesado en sacarle rentabilidad al hardware). Creadores de amenazas Orígenes de la amenaza, creadores de la amenaza y agentes de la amenaza son los términos empleados para describir a un grupo o individuo que pretende conseguir acceso no autorizado a redes informáticas y sistemas. Entre las distintas publicaciones, tanto del sector público como privado, que intentan clasificar dichas amenazas, encontramos que generalmente los autores se clasifican en tres tipos: países, delincuentes organizados y hacktivistas. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 16 Temas principales Motivación La motivación es una de las características fundamentales que distinguen a los creadores de las amenazas. Aunque no todos ellos necesitan robar datos durante cada una de las campañas para conseguir su objetivo, suele ser el caso en muchas de las campañas. Países Motivación general Ejemplo de tipos de datos ■■ Ciberespionaje ■■ Ventajas estratégicas ■■ Código fuente ■■ Mensajes de correo electrónico ■■ Documentos internos ■■ Actividad militar ■■ Información de identificación personal de empleados de la administración Cuando se requiere el robo de datos, el autor del ataque normalmente intenta encontrar los tipos de datos más atractivos. Sin embargo, los tipos de datos que persigue un autor pueden cambiar; no es raro observar cómo un miembro de una banda de delincuentes organizada se interesa por el robo de propiedad intelectual, por ejemplo, con el fin de incrementar sus ganancias. Crimen organizado ■■ ■■ ■■ ■■ Económica Información de cuentas bancarias Números de tarjetas de crédito Información de identificación personal (números de documentos de identidad, datos sanitarios, etc.) Hacktivistas ■■ Reputación ■■ Social ■■ ■■ ■■ Mensajes de correo electrónico Información de los empleados Cualquier tipo de información confidencial interna Volumen de datos buscados Pequeño-grande Grande Pequeño-grande Sofisticación de las técnicas de filtración Alta Media-baja Media-baja Ubicación de la red Desconocida/dispersa Conocida Conocida y desconocida/ dispersa El objetivo de los países es generalmente conseguir una ventaja estratégica que con frecuencia implica apoderarse de propiedad intelectual. Dada la variadísima información de la que puede aprovecharse un creador de este tipo, es difícil calcular el volumen de datos que puede salir de una organización; por ejemplo, mientras que el diagrama o el plano de un nuevo producto es relativamente pequeño, el código fuente de una aplicación importante es enorme. Este tipo de información es difícil de organizar y, además, suele estar distribuida en varias redes, por lo que los creadores se ven obligados a dedicar bastante tiempo a investigar su ubicación, a menos que cuenten con información privilegiada de empleados internos. Los objetivos financieros de los responsables del crimen organizado son bastante más fáciles de entender. En este caso se suelen centrar en hallar el cofre del tesoro lleno de números de tarjetas de crédito, información bancaria o datos de identificación personal. La mayoría de los tipos de datos siguen un formato estándar y estructurado que facilita su búsqueda. Además, los datos suelen estar sujetos a normativas, lo que significa que se encuentran en ubicaciones establecidas de la red. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 17 Temas principales Los más difíciles de detener posiblemente sean los hacktivistas, ya que cualquier información interna puede afectar a la reputación de una organización. Por este motivo, todos los tipos de datos, de cualquier tamaño, desde números de tarjetas de crédito hasta mensajes de correo electrónico son susceptibles de ser robados por estos creadores de amenazas. Acceso físico Si el creador de una amenaza tiene la posibilidad de acceder físicamente a un sistema, aunque sea a través de un proxy, ya cuenta con una ventaja enorme. Los dispositivos de almacenamiento USB ofrecen un método fácil para filtrar grandes cantidades de datos sorteando los controles de seguridad de la red. Para iniciar un ataque, un ciberdelincuente puede darle un soporte extraíble a un empleado que no sospeche nada y, de manera inadvertida, lance el ataque al insertar el dispositivo. Conocimiento del entorno Para conocer el entorno de las redes y los sistemas, los creadores se sirven de técnicas de ingeniería social, la ayuda de personal interno e información de código abierto. Dichas técnicas reducen el tiempo que necesitan para descubrir los datos, obtener acceso a los sistemas y realizar la filtración. Filtración de datos Copiar datos de una red que ha sufrido un ataque puede una tarea complicada. Requiere un conocimiento detallado de la configuración de seguridad de la organización, los puntos débiles en la segmentación de su red, la ubicación y configuración de los controles de seguridad, y los privilegios que conceden acceso a los sistemas. Para entender y clasificar estas complejas técnicas, hemos dividido los componentes en cinco áreas principales: ■■ ■■ ■■ ■■ ■■ Objetivos de datos: sistemas que contienen datos que persigue el agresor, como recursos compartidos de archivos, repositorios, sistemas punto de venta, etc. Infraestructura: sistemas que posee la empresa y que el agresor utiliza para obtener y transmitir datos desde la empresa hasta los servidores de volcado. Servidores de volcado: sistemas a los que el agresor puede acceder y que se emplean para almacenar los datos de manera temporal hasta que estén totalmente bajo control del agresor. Transportes de datos: protocolos de red o dispositivos de almacenamiento de datos utilizados para transportar los datos de una ubicación a otra. Manipulación de datos: técnicas que alteran o enmascaran los datos, como el cifrado, la ocultación, la compresión y la fragmentación. Componentes de la filtración de datos Objetivo de datos Infraestructura intermedia Internet Servidores de volcado Transportes/manipulación de datos Componentes principales de la filtración de datos Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 18 Temas principales Objetivos de datos Una vez que el agresor ataca a un sistema de la red, la puerta está abierta para explorar otros sistemas y descubrir los que albergan datos interesantes. Una red completa contiene diversos tipos de datos, por lo que este proceso es largo para los ciberdelincuentes que no disponen de información privilegiada. Entre los principales objetivos de datos se encuentran los siguientes: Objetivo de datos Tipos de datos Intereses del agresor Sistemas de base de datos Varían: datos sanitarios protegidos, información de identificación personal, tarjetas de crédito, información bancaria y cuentas de usuario Crimen organizado, hacktivistas Repositorios de código fuente Código fuente, credenciales, claves Países, hacktivistas Sistemas especializados Varían Todo, según el tipo de endpoint Recursos de archivos compartidos y sistemas similares Código fuente, diseños, comunicaciones, etc. Países, hacktivistas Correo electrónico y comunicaciones Diseños, comunicaciones Países, hacktivistas Sistemas de base de datos Estos sistemas almacenan grandes cantidades de datos estructurados, lo que los convierte en un objetivo inmediato, especialmente para delincuentes organizados. Los sistemas realizan numerosas funciones empresariales: ■■ ■■ ■■ ■■ ■■ ■■ Autenticación: sistemas que contienen información como nombres de usuario y contraseñas asociada a la autenticación de los usuarios. Seguimiento de pacientes: sistemas empleados para el seguimiento de la toma de medicamentos, administración y alta de los pacientes en el sector de la sanidad. Procesamiento de pagos: sistemas que aceptan, emiten y procesan transacciones financieras de clientes o proveedores. Procesamiento/fidelidad de clientes: sistemas que contienen datos de clientes para su seguimiento o para campañas de marketing o fines similares. Administración de recursos humanos/finanzas: sistemas responsables de la administración de los empleados y las nóminas Tecnología no empleada en producción/sistemas no aprobados: sistemas de testing y no aprobados que contienen datos de producción y otra información de la empresa que puede ser igualmente útil para el agresor y más vulnerable ante un ataque. Informe de McAfee Labs sobre amenazas, agosto de 2015 | 19 Temas principales Repositorios de código fuente Los repositorios de código fuente internos se dejan en ocasiones desprotegidos incluso aunque contengan datos de mucho valor, como el código fuente de aplicaciones, claves API, credenciales de bases de datos y servidores de autenticación y claves de cifrado. Sistemas especializados Los ataques contra comercios minoristas y fabricantes demuestran que los autores persiguen datos que se almacenan en sistemas especializados o endpoints específicos para un sector concreto. Entre ellos se incluyen: ■■ ■■ ■■ Sistemas terminales punto de venta: posiblemente el punto más vulnerable del procesamiento de pagos sean los terminales punto de venta, ya que los datos de tarjetas de crédito no suelen cifrarse en la memoria una vez que el lector los ha leído. Estaciones de trabajo de desarrolladores: en las estaciones de trabajo de los desarrolladores puede haber multitud de información de propiedad intelectual y del entorno, lo que las convierte en objetivos muy valiosos. Sistemas de control: los puntos de ajuste y la lógica de los programas ofrecen información de gran valor y pueden modificarse con consecuencias devastadores en los ataques a industrias. Repositorios de archivos Para un ciberdelincuente, el ingente volumen de datos de los grandes repositorios de archivos ofrece ventajas y desventajas. Por una parte, pueden contener multitud de información; y por otra, filtrarla de forma manual puede ser una tarea inacabable, ya que se incluyen datos no estructurados. Los sistemas que se agrupan en esta categoría son: ■■ ■■ ■■ Recursos compartidos de archivos de red: estos sistemas contienen carpetas de grupos y usuarios, junto a documentos, diagramas y otros datos de la empresa almacenados en dichas carpetas. Sistemas de gestión de contenidos: Microsoft SharePoint y otros albergan contenido similar a los recursos compartidos de archivos, pero generalmente para los ciberdelincuentes es más difícil desenmarañarlo. Nube de terceros: los servicios para compartir archivos alojados en la nube, como Google Drive, Dropbox y Box.com también pueden poner los datos en riesgo, pero normalmente son objetivo de agresores externos con información privilegiada de personal interno y no de agresores de una red interna. Correo electrónico y comunicaciones Las estaciones de trabajo de los usuarios, servidores de correo electrónico y sistemas de mensajería instantánea, como Skype for Business suelen ser blanco de ataques, ya que en su memoria caché se guardan datos confidenciales de la empresa, información sobre operaciones y comunicaciones privadas. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 20 Temas principales Infraestructura intermedia Cuanto más segmentado y profundo esté el objetivo en la red, más difícil será para el creador de la amenaza filtrar los datos. Cuanto más segmentado y profundo esté el objetivo en la red, más difícil será para el creador de la amenaza filtrar los datos. Cuando es necesario, los ciberdelincuentes desarrollan una infraestructura provisional para un fin específico, mediante el empleo de hosts que actúan como intermediarios entre los segmentos de la red y un servidor de volcado controlado por el delincuente. Esta infraestructura puede ser sencilla o muy complicada. En los casos de fuga de datos avanzados, hemos observado sistemas con las siguientes funciones: ■■ ■■ ■■ Endpoints: uno o varios objetivos de datos en el mismo segmento, o en un segmento que se pueda direccionar al agregador. Agregador: actúa como un punto de recopilación de los datos de los endpoints atacados y carga dichos datos en el agente de filtración. El agregador puede tener acceso a Internet, aunque no necesariamente. En las campañas más sofisticadas, puede haber varios agregadores que transfieran los datos a varios agentes de filtración con el fin de ocultar la ruta de los datos de salida. Agente de filtración: recoge los datos del agregador y facilita su transferencia al servidor de volcado del agresor. Puede realizarse mediante una transferencia sencilla o bien retener los datos hasta que el agresor los recupere. Arquitectura de filtrado de datos Agregador Agente de filtración Internet Servidores de volcado Endpoints Arquitectura típica de filtración de datos de red Este diagrama representa una arquitectura de filtración de datos típica, pero existen otras. Por ejemplo, una campaña que se diseccionó públicamente establecía una red especial de agentes de filtración y agregadores dispersa geográficamente que operaba con una planificación rotativa al transferir los datos entre los sistemas y a los servidores de volcado. En otro caso, se utilizaba un servidor de contenido accesible a través de Internet, propiedad de una empresa, como agente de filtración mediante la incrustación de datos en el flujo de vídeo del contenido saliente. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 21 Temas principales Servidores de volcado Un servidor de volcado es el primer punto en el que residen los datos robados cuando ya no están bajo control de la empresa. Sin embargo, es posible que tampoco estén bajo el control del agresor, sino simplemente en un lugar al que este puede acceder fácilmente. Los servidores de volcado pueden ser: ■■ ■■ ■■ ■■ ■■ Sistemas comprometidos: sistemas que han sufrido un ataque del agresor durante otra campaña diferente. Estos sistemas pueden ser desde blogs de WordPress personales hasta servidores que pertenecen a empresas que no disponen de controles de seguridad eficaces. Sistemas alojados en determinados países: los países en los que la legislación sobre la privacidad es muy restrictiva son muy atractivos para los delincuentes, ya que esta circunstancia les permite alojar los sistemas dentro de sus fronteras y que no les molesten mientras gozan de un cierto grado de protección. Sistemas alojados temporalmente: sistemas temporales que se alojan en la nube a través de proveedores como AWS, Digital Ocean o Azure. Servicios para compartir archivos en la nube: sitios para compartir archivos online a los que puede acceder el público general, como DropBox, Box.com o Paste Bin. Servicios alojados en la nube: otros servicios que funcionan a través de Internet, como Twitter y Facebook, que permiten a los usuarios publicar información. Los hosts comprometidos, sistemas alojados en determinados países y sistemas alojados de manera temporal funcionan bien como servidores de volcado, ya que ofrecen el máximo control sobre los datos, lo que permite a los agresores personalizar completamente los transportes utilizados desde el agente de filtrado. Los servicios de alojamiento y para compartir archivos en la nube dificultan a los sistemas de seguridad el bloqueo de los hosts de destino debido a que están muy distribuidos geográficamente. Sin embargo, dichos servicios suelen contar con métodos de fácil acceso para denunciar conductas delictivas y permiten desactivar rápidamente una cuenta maliciosa. La desventaja de utilizar hosts dedicados como servidores de volcado es que una vez que se descubren, pueden bloquearse o cerrarse. Para sortear este obstáculo se pueden utilizar algoritmos de generación de dominios. Estos algoritmos se crean en el interior del malware que se ejecuta en la empresa elegida como víctima y generan una lista de nombres de dominio posibles que se pueden consultar con el fin de identificar servidores de control o de volcado activos. Informe de McAfee Labs sobre amenazas, agosto de 2015 | 22 Temas principales Transportes de datos Los transportes de datos son los protocolos y métodos empleados para copiar la información de una ubicación o sistema en otro, como entre un agente de filtración y el servidor de volcado o entre el endpoint y el agregador. En la tabla siguiente se resumen muchos de los medios de transporte habituales utilizados en la actualidad, así como sus redes: Transporte Descripción Interno HTTP/HTTPS Debido a la prevalencia de HTTP en las comunicaciones de red es el protocolo ideal para ocultar los datos filtrados entre otro tipo de tráfico. Se ha utilizado como transporte de filtración general mediante la incrustación de comandos en encabezados HTTP y métodos GET/POST/PUT. FTP El protocolo FTP se emplea habitualmente en los servidores empresariales y es fácil de utilizar mediante comandos nativos del sistema, por lo que es un medio de transporte sencillo. USB Los dispositivos de almacenamiento USB se utilizan con frecuencia para la filtración de datos cuando se atraviesan redes aisladas. Hemos observado malware que busca un dispositivo de almacenamiento USB con un marcador específico y que, a continuación, copia los datos que se van a filtrar en un sector oculto del mismo. La filtración comienza cuando el dispositivo se coloca en otro sistema infectado con acceso a la red. Externo Los dispositivos de almacenamiento USB también pueden ser utilizados por personal interno para copiar fácilmente grandes cantidades de datos y sacarlos físicamente de la empresa. DNS Hay registros DNS específicos, como TXT o incluso los registros A y CNAME, que pueden almacenar datos en su interior hasta cierto punto. Con el control de un dominio y un nombre de servidor, un agresor puede transmitir pequeñas cantidades de datos realizando consultas específicas en el sistema atacado. Tor La red Tor es cada vez más popular. Esto permite a los agresores enviar datos filtrados a servidores que son difíciles de localizar. Sin embargo, el tráfico Tor en redes empresariales no suele ser legítimo por lo que puede detectarse y detenerse fácilmente. SMTP/correo electrónico Los servidores SMTP, tanto si son propiedad de la empresa como si no, pueden utilizarse para enviar datos fuera de la empresa como adjuntos o en el cuerpo de los mensajes de correo electrónico. SMB SMB es un protocolo extremadamente común en entornos Windows y puede estar disponible en los sistemas. RDP El protocolo RDP permite realizar varias actividades, como copiar/pegar y compartir archivos y, en algunos casos, los sistemas que admiten RDP pueden estar desprotegidos en Internet. Transportes personalizados En ocasiones se utilizan transportes personalizados en comunicaciones con los servidores de control y en algunos tipos sofisticados de malware. Un transporte robusto requiere una gran cantidad de trabajo y debido a su exclusividad el protocolo es fácil de identificar en la red, inclinando la balanza hacia un tipo de transporte ya establecido. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 23 Temas principales Los transportes que ofrecen alternativas cifradas (como HTTPS) pueden incrementar la dificultad de detección para las organizaciones. Hemos observado un aumento, aunque limitado, en el uso del cifrado a nivel de transporte. La falta de cifrado implica que la detección será más fácil, pero también supone un riesgo añadido para los datos, ya que en ocasiones se transmiten a través de Internet. Muchos transportes requieren el uso de credenciales válidas o bien alguna forma de acceso abierto/anónimo para poder utilizarse en el servidor. En este caso, si el agresor desea automatizar la filtración de datos, deberá dejar un nombre de usuario/contraseña en el host atacado o bien se arriesga a que alguien no autorizado acceda al sistema de forma remota. Manipulación de datos La manipulación de los datos antes de su transferencia contribuye a evitar la detección, reduce el tiempo de transferencia y aumenta el tiempo de análisis. La manipulación de los datos antes de su transferencia contribuye a evitar la detección, reduce el tiempo de transferencia y aumenta el tiempo de análisis. Aunque lo más frecuente es que los datos se manipulen cuando se transfieren por Internet, sigue siendo habitual el uso de la manipulación en la red interna. Una vez que los datos originales han sido manipulados, se envían empleando el transporte hasta su destino. Entre las técnicas de manipulación habituales se pueden citar: Técnicas Descripción Compresión La compresión con el formato ZIP estándar no solo ofrece un nivel de ocultación sino que además acelera las transferencias de archivos. Fragmentación La división de los datos en pequeñas partes antes de su envío permite que la transferencia se confunda en la actividad habitual de la red. Codificación/ ocultación El tipo de manipulación de datos más común es el empleo de un algoritmo de codificación u ocultación básico. Mediante el empleo de sencillas técnicas, como realizar una operación XOR con una clave estática, emplear codificación Base64 o simplemente convertir todos los caracteres en código hexadecimal, se pueden manipular los datos lo suficientemente para evitar la detección. Cifrado Es sorprendente que el cifrado no se utilice siempre durante la filtración. Es posible que esto se deba a que el rendimiento es menor o simplemente a que no es necesario. Cuando se emplea, lo habitual es observar un cifrado con RC4 o AES. Conclusión La información digital se ha convertido en el objetivo principal de los ciber delicuentes. Los datos que se roban incluyen desde grandes bases de datos de empleados a memoria volátil en sistemas TPV. En cuanto los sistemas de defensa crean una nueva capa de seguridad en sus redes, los agresores encuentran la forma de poner a los sistemas de confianza contra la organización convirtiéndolos en sus propios cómplices. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 24 Temas principales El primer paso para hacerse con el control es entender quiénes son los creadores de las amenazas, cuáles son sus motivaciones y qué técnicas emplean. Aunque la filtración de datos puede ser un pequeño componente de una campaña global, es también el más importante que debe ejecutar el agresor y bloquear el sistema de defensa. Establecer directivas y procedimientos eficaces, además de crear una línea de defensa alrededor de los activos y los datos críticos permite a las organizaciones priorizar sus esfuerzos de manera que se otorgue más atención a los sistemas que son más importantes. Descubra cómo puede protegerle Intel Security frente a esta amenaza. Prácticas y procedimientos recomendados Identificar las fuentes de datos Lleve a cabo una evaluación de riesgos que obligue a los principales implicados a identificar los datos confidenciales de su red, y dónde están almacenados. ■■ Control de inventario de activos ■■ Sistemas y arquitectura de red Considere el uso de software de descubrimiento de datos para identificar la información confidencial y su ubicación. Determinar los flujos de datos Identifique el flujo de datos confidenciales que cruzan y salen de la red. ■■ Sistemas y arquitectura de red Considere utilizar software de supervisión de flujos de datos en tiempo real para conocer los movimientos de datos. Identificar los requisitos normativos y de protección de la privacidad Conozca los requisitos normativos que afectan a su empresa y los controles de seguridad necesarios. Clasificar los datos Establezca una política de clasificación de los datos por confidencialidad, tipo e importancia. Asignar propietarios de los datos Garantizar la protección de los datos ■■ Política de protección de datos ■■ Política de clasificación de datos Desarrolle un programa que detalle los propietarios de los datos y sus responsabilidades. ■■ Propietarios de los datos ■■ Inventario y mantenimiento de activos de datos Establezca una política para definir los requisitos de seguridad de los datos en movimiento y en reposo. ■■ Política de cifrado de datos Instale software de prevención de pérdida de datos para impedir la filtración de datos no autorizada. Revisar el acceso a los datos Revisar el programa con regularidad Defina un proceso en el que el acceso a los datos se supervise y autorice formalmente. ■■ Autorización de los datos ■■ Gestión de cambios Defina un proceso de gestión de riesgos para los datos de manera que se revisen anualmente las políticas y los procedimientos. ■■ Gestión de riesgos Considere el uso de un software de gestión de riesgos para evaluar los riesgos y administrar el cumplimiento de normativas. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 25 Temas principales Malware para la GPU: mitos y realidades —Craig Schmugar El autor agradece especialmente al grupo Visual and Parallel Computing Group de Intel su contribución. Una unidad de procesamiento gráfico (GPU) es un componente de hardware especializado diseñado para acelerar la creación de la imágenes que se ven en una pantalla. En un ordenador personal, una GPU se encuentra en una tarjeta de vídeo dedicada, en la placa madre, o en ocasiones en el mismo compartimento que la CPU. Casi todo el malware actual ha sido diseñado para ejecutarse desde la memoria del sistema principal y en la CPU. Ocurre así desde hace décadas y por este motivo, la inmensa mayoría de las herramientas de defensa y de análisis forense basadas en el host se desarrollan partiendo de esta idea. Cualquier excepción a esta norma hay que estudiarla con detenimiento y ha dado quebraderos de cabeza a muchos profesionales de la seguridad de la información este año. Ya hace años que se observan ataques de malware a unidades de procesamiento gráfico (GPU) con mayor o menor intensidad. De hecho, ese tipo de malware lleva en circulación y activo desde hace al menos cuatro años: troyanos mineros de bitcoins que aprovechan el fantástico rendimiento de la GPU para incrementar las ganancias que obtienen de cada sistema infectado. Últimamente se ha despertado de nuevo el interés por este tema, tras la aparición de los principios del código de prueba de concepto en GitHub, el host de código más grande del mundo. "Team JellyFish" publicó tres proyectos sobre este asunto por entonces. Se supone que este nuevo código va un paso más allá y no se limita a aprovechar la eficacia de la GPU para el procesamiento bruto, sino que emplea la arquitectura como instrumento de evasión mediante la ejecución de código y el almacenamiento de los datos, en un lugar que nadie controla. En las páginas de cada proyecto de GitHub aparecen las siguientes descripciones: Demon, un registrador de pulsaciones (keylogger) para GPU que se describe con las siguientes funciones: ■■ Módulo bootstrap de kernel de la CPU para localizar el búfer del teclado a través de DMA en la estructura de USB. ■■ Búfer del teclado almacenado en el archivo userland. ■■ El módulo de kernel se elimina automáticamente. ■■ OpenCL almacena el búfer del teclado en el interior de la unidad GPU y elimina el archivo. JellyFish, descrito como un rootkit para GPU basado en Linux, que ofrece algunas ventajas: ■■ ■■ ■■ ■■ Ausencia de herramientas de análisis de la GPU online. Capacidad para acceder a la memoria del host de la CPU a través de acceso directo a memoria (DMA). El rendimiento de la GPU es mejor que el de la CPU por los cálculos matemáticos. Persistencia tras los reinicios en caliente WIN_JELLY, que se describe como una herramienta de acceso remoto a GPU Windows, con almacenamiento de código ejecutable persistente en GPU que posteriormente puede asignarse al espacio de usuario tras reiniciar. Notas del proyecto GitHub para pruebas de concepto relativas a los ataques a la GPU Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 26 Temas principales Posteriormente, se publicaron numerosos artículos que reiteraban las afirmaciones de los autores. Fuera de contexto, es fácil manipular estos puntos para dar la imagen de un fantástico fallo indetectable, que se ejecuta de manera autónoma y se oculta de las defensas actuales, pero la realidad difiere bastante de las apariencias. Las afirmaciones pueden resumirse en cuatro puntos: La arquitectura unificada de dispositivos de cómputo (CUDA, Compute Unified Device Architecture), de NVIDIA, es una plataforma informática en paralelo y un modelo de API que permite a los desarrolladores de software utilizar unidades GPU con CUDA para procesamiento con fines generales. La plataforma CUDA ofrece acceso directo al conjunto de instrucciones virtuales y elementos computacionales en paralelo de la GPU. ■■ Acceso a la memoria del host de la CPU desde la GPU ■■ Eliminación posterior de los archivos del host de la CPU ■■ Persistencia tras los reinicios en caliente ■■ Ausencia de herramientas de análisis de la GPU Para responder a estas afirmaciones, McAfee Labs creó una lista de miembros del grupo Visual and Parallel Computing Group (VPG) de Intel por su experiencia para ayudar a determinar su validez. En el apartado siguiente se exponen las respuestas sobre las áreas de especialización que ofrece Intel, concretamente gráficos integrados y OpenCL, aunque la mayoría de los datos afectan a tarjetas gráficas específicas y a la plataforma CUDA de NVIDIA. Acceso a la memoria del host de la CPU desde la GPU Por su diseño, los programas que acceden a la GPU requieren que un proceso principal se ejecute en la CPU. Dicho proceso principal puede funcionar de la misma forma que otras amenazas, leyendo y escribiendo en la memoria, de manera que los productos de seguridad pueden con frecuencia supervisarlo o limitarlo. Sin embargo, una ventaja del uso de la GPU para este fin es su capacidad para ocultar la actividad maliciosa y sortear estas medidas de protección. Sin embargo, para distribuir la carga útil que suele ir asociada al malware mediante el uso de métodos no tradicionales y aprovechar la GPU, es preciso que la memoria física esté asignada a la GPU. Además, el acceso al código sin derechos se limita a las páginas de memoria asignadas al espacio de direcciones virtuales de un proceso, por lo que el acceso al anillo 0 es obligatorio para poder asignar memoria del sistema operativo crítica a la GPU para lectura/escritura, lo que contribuye a que el malware deje rastro en el host. Esta dependencia está sujeta a las protecciones del kernel implementadas. Lo que nos lleva al punto siguiente. Eliminación posterior de los archivos del host de la CPU Una vez que un programa se está ejecutando en la GPU, ya pueden eliminarse los archivos necesarios para instalar la aplicación. Entre dichos archivos se incluye el controlador del kernel responsable de la asignación de memoria, así como el proceso de modo de usuario principal. Sin embargo, en este punto el código que se ejecuta en la GPU queda "huérfano" y en el caso de Microsoft Windows pondrá en marcha una detección de tiempo de espera agotado y el proceso de recuperación que reinicia la tarjeta gráfica. En Windows, el tiempo de espera límite es de 2 segundos, aunque se puede configurar. Según Microsoft, la modificación de la configuración del TDR se debe limitar a los casos de testing y depuración. Por lo tanto, cualquier modificación de estos valores se considerará como un comportamiento sospechoso, sobre el que los productos de seguridad pueden avisar o incluso bloquearlo. Además, cuando las cargas de trabajo de la GPU se ejecutan durante un período prolongado, se hace evidente, ya que la interfaz deja de responder correctamente. Ocurre igual con otros sistemas operativos. Para superar estos obstáculos, el código de modo de usuario (aunque mínimo) debe seguir ejecutándose, lo que ofrece un indicio al sistema de protección de endpoints para su identificación. Esto no ocurriría en el caso de los sistemas con varias GPU y/o sin interfaz, en los que puede pasar desapercibido el acceso del sistema operativo a la GPU y, por consiguiente, el riesgo. Sin embargo, la presencia de valores de TDR alterados en Windows sigue siendo indicio de un problema potencial. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 27 Temas principales Persistencia tras los reinicios en caliente A primera vista, es posible que la afirmación más cuestionable sea la que se refiere a que el malware que reside en la GPU puede persistir después de reiniciar el sistema operativo. Recordemos la afirmación de WIN_JELLY: "El almacenamiento de código ejecutable persistente en la GPU, que puede volver a asignarse después al espacio de usuario tras reiniciar". Si no se analiza detenidamente, suena mal desde el punto de vista de la seguridad; sin embargo, cuando se lee dos veces, la afirmación no es lo que parece. "Persistente" no se refiere al código en ejecución, sino al almacenamiento de datos. Recuerde el punto anterior: de forma predeterminada para que el programa de la GPU siga ejecutándose, se requiere un proceso de host. La idea de persistencia a la que se refiere este texto está relacionada con una aplicación host que se ejecuta al iniciar el sistema, recuperando datos de la memoria de la GPU y asignándolos de nuevo al espacio de usuario, lo que no es en absoluto tan alarmante, ya que el código de modo de usuario malicioso debe persistir también fuera de la GPU. Ausencia de herramientas de análisis de la GPU Aunque algunas herramientas ofrecen supervisión del rendimiento de la GPU y depuración, son muy pocas las que ofrecen análisis forense y de malware. Tradicionalmente, estas herramientas se creaban por necesidad o por los que pretendían racionalizar un proceso más rutinario. En este caso, se requieren herramientas de análisis de amenazas para comprender mejor la actividad de una amenaza en la GPU. Sin embargo, los productos de seguridad no necesitan depender de este tipo de herramientas para la clasificación e identificación de las amenazas, ya que el uso de este vector de ataque proporciona otros indicadores de amenaza. Resumiendo Las amenazas contra las GPU son una preocupación real. Sin embargo, ese tipo de ataques todavía no ha alcanzado el nivel de la tormenta perfecta. Por un lado, revertir su ingeniería y realizar el análisis forense de dichas amenazas es mucho más complejo y complicado que en el caso de sus equivalentes contra la CPU, y esto puede provocar que una infección pase desapercibida durante más tiempo. Al trasladar parte del código malicioso fuera de la CPU y la memoria del host, se reduce la superficie de detección, lo que complica la detección de los ataques a los sistemas de defensa basados en el host. Por otro lado, no se ha eliminado completamente la superficie de detección. En el peor de los casos, quedan trazas de la actividad maliciosa, lo que permite a los productos de seguridad para endpoints detectar y corregir la amenaza. Existen algunos paralelismos entre el malware para las GPU y los rootkits del kernel de Windows que observábamos hace unos 10 años. Uno de los requisitos de los rookits del kernel era la ejecución de código malicioso con privilegios que, una vez ejecutado, podía ocultar su presencia. Además, las herramientas de análisis de rootkits eran más limitadas. Ahora es más difícil que nunca que un agresor consiga y ejecute código con privilegios (algo que sigue siendo necesario en el caso del malware para GPU más catastrófico). Los productos de seguridad incorporaron defensas específicas contra rootkits y Microsoft distribuyó una serie de protecciones del kernel, incluida PatchGuard, la implementación de firma de controladores, ELAM (Early Launch Anti-Malware), el arranque seguro y otras funciones de defensa. Muchas de estas protecciones juegan un papel importante contra los ataques a la GPU asistidos por kernel de Windows. Un avance reciente que afecta a la viabilidad del malware para las GPU en determinados sistemas es la función Device Guard de Microsoft, que aprovecha la unidad de gestión de memoria de entrada/salida (en el caso de Intel, la tecnología de virtualización para E/S dirigida o Intel VT-d) en hardware para permitir a los administradores bloquear dispositivos de manera que únicamente se ejecuten las aplicaciones de confianza y firmadas por Microsoft. Aunque esta función solo está disponible en determinadas circunstancias, puede proporcionar más seguridad a los encargados de proteger la información crítica. Informe de McAfee Labs sobre amenazas, agosto de 2015 | 28 Temas principales Descubra cómo puede protegerle Intel Security frente a esta amenaza. Esta respuesta no pretende rechazar de plano todas las afirmaciones relativas a los ataques contra la GPU, sino más bien ofrecer contexto sobre la amenaza actual y las defensas disponibles. No cabe ninguna duda de que se producirán avances en esta área, tanto por parte de los agresores como de los sistemas de protección. Como mínimo, la atención recibida recientemente ha servido para revisar su enfoque actual y para explorar nuevas formas de mejorar. Prácticas seguras para proteger contra este tipo de ataque McAfee Labs recomienda varias formas de protección de los sistemas contra ataques a la GPU: ■■ ■■ ■■ ■■ ■■ Active las actualizaciones automáticas del sistema operativo o descargue con regularidad las actualizaciones para que los sistemas operativos cuenten con los parches necesarios para estar protegidos frente a las vulnerabilidades conocidas. Instale los parches de otros fabricantes de software en cuanto se publiquen. Instale software de seguridad en todos los endpoints y mantenga actualizadas las firmas antivirus. Considere utilizar listas blancas de aplicaciones para impedir la ejecución de aplicaciones no autorizadas. Evite ejecutar aplicaciones en modo de administrador siempre que sea posible. Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 29 Estadísticas sobre amenazas Amenazas contra dispositivos móviles Malware Amenazas web Compartir opinión Estadísticas sobre amenazas Amenazas contra dispositivos móviles Nuevo malware paraMalware móviles New Mobile 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Total de malware para móviles Total Mobile Malware 9 000 000 El número total de muestras de malware para móviles creció un 17 % en el 2.º trimestre. 8 000 000 7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 31 Estadísticas sobre amenazas Tasas de infección por malware para móviles en el 2.º trimestre de 2015, región Regional Mobile Malware Infectionpor Rates in Q2 2015 12 % Las tasas de infección por malware disminuyeron un 1 % por región este trimestre, excepto en América del Norte, donde el descenso fue de casi el 4 %, y en África, donde no variaron. 10 % 8% 6% 4% 2% 0% África Asia Australia Europa y África América del Norte América del Sur Tasas mundiales de infección porInfection malwareRates para móviles Global Mobile Malware 30 % 25 % 20 % 15 % 10 % 5% 0% 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 32 Estadísticas sobre amenazas Malware Malware NuevoNew malware 60 000 000 50 000 000 40 000 000 30 000 000 20 000 000 10 000 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Total deTotal malware Malware 500 000 000 El zoo de malware de McAfee Labs creció un 12 % en el último trimestre. El número de muestras de malware supera ya los 433 millones. 450 000 000 400 000 000 350 000 000 300 000 000 250 000 000 200 000 000 150 000 000 100 000 000 50 000 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 33 Estadísticas sobre amenazas New Rootkit Nuevos rootkitsMalware 120 000 100 000 80 000 60 000 40 000 20 000 0 3.er trim. 4.º trim. 1.er trim. 2.º trim. 3.er trim. 4.º trim. 1.er trim. 2.º trim. 2013 2014 2015 Total Rootkit Malware Total de rootkits 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 34 Estadísticas sobre amenazas Nuevo New ransomware Ransomware 1 400 000 El ransomware sigue creciendo a gran velocidad: en el 2.º trimestre el número de muestras nuevas se incrementó un 58 %. Tal y como afirmamos en el Informe de McAfee Labs sobre amenazas de mayo de 2015 , atribuimos este incremento al rápido crecimiento de nuevas familias como CTB-Locker y CryptoWall, entre otras. El número total de muestras de ransomware creció un 127 % el año pasado. 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3.er trim. 4.º trim. 1.er trim. 2013 2.º trim. 3.er trim. 4.º trim. 1.er trim. 2.º trim. 2014 2015 Ransomware Total deTotal ransomware 4 500 000 4 000 000 3 500 000 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 35 Estadísticas sobre amenazas Nuevos archivos maliciosos New binarios Maliciousfirmados Signed Binaries 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Total de archivos maliciosos Total binarios Maliciousfirmados Signed Binaries 20 000 000 18 000 000 16 000 000 14 000 000 12 000 000 10 000 000 8 000 000 6 000 000 4 000 000 2 000 000 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 36 Estadísticas sobre amenazas Amenazas web New Suspect URLs Nuevas URL sospechosas 35 000 000 30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 3.er trim. 4.º trim. 2013 URL 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Dominios asociados New Nuevas URL dePhishing phishingURLs 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3.er trim. 4.º trim. 2013 URL 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Dominios asociados Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 37 Estadísticas sobre amenazas New Nuevas URL deSpam spamURLs 2 000 000 Las nuevas URL de spam y sus dominios se dispararon un 380 % en el 2.º trimestre. La mayor parte de este aumento se debe a los cientos de miles de dominios autogenerados o secuenciales dedicados a campañas de spam que descubrimos tras mejorar nuestra colección de listas negras en tiempo real (Real-time Blackhole Lists). 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3.er trim. 4.º trim. 2013 URL 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. 2015 Dominios asociados Volumen global de spam y correo electrónico Global Spam and(billones Email de Volume (trillions of messages) mensajes) 12 10 8 6 4 2 0 3.er trim. 4.º trim. 2013 Spam 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. 1.er trim. 2.º trim. Correo electrónico legítimo Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 38 Estadísticas sobre amenazas Mensajes de spam las 10 de bots principales Spam Emailsde From Topredes 10 Botnets (millones de mensajes) (millions of messages) 1 400 Con la red de bots Kelihos inactiva, la tendencia descendente del volumen de spam generado por redes de bots continuó durante el 2.º trimestre. El primer puesto fue una vez más para Slenfbot, seguida de cerca por Gamut, con Cutwail cerrando los tres primeros puestos. El tema principal del spam de Slenfbot durante este trimestre fue el "alargamiento del pene", y la línea de asunto más utilizada fue "Consejos para noches de felicidad". 1 200 1 000 800 600 400 200 0 3.er trim. 4.º trim. 2013 1.er trim. 2.º trim. 3.er trim. 2014 4.º trim. Kelihos Gamut Asprox Cutwail Otros Stealrat Slenfbot Darkmailer Dyre 1.er trim. 2.º trim. 2015 Darkmailer 2 Worldwide Botnet Prevalence Prevalencia de redes de bots de spam a nivel mundial Wapomi 22,0 % 19,9 % Muieblackcat Ramnit 2,0 % Sality 2,7 % 18,4 % 5,1 % Darkness Maazben 7,5 % 10,2 % 12,2 % Dorifel H-Worm Otros Comparta este informe Informe de McAfee Labs sobre amenazas, agosto de 2015 | 39 Acerca de Intel Security Comentarios. Para saber en qué dirección orientarnos, nos interesan sus opiniones. Si desea transmitirnos sus impresiones, haga clic aquí para completar un rápido cuestionario de solo cinco minutos sobre el informe de amenazas. Siga a McAfee Labs McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected, su innovador enfoque de seguridad reforzada por hardware y su exclusiva red Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar soluciones y servicios de seguridad proactivos que protejan los sistemas, las redes y los dispositivos móviles de uso personal y empresarial en todo el mundo. Intel Security combina la experiencia y los conocimientos de McAfee con la innovación y el rendimiento demostrados de Intel para hacer de la seguridad un ingrediente fundamental en todas las arquitecturas y plataformas informáticas. La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar de forma segura en el mundo digital. www.intelsecurity.com. www.intelsecurity.com 1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_ Top_Threats_in_2013.pdf McAfee. Part of Intel Security. Avenida de Bruselas n.° 22 Edificio Sauce 28108 Alcobendas Madrid, España Teléfono: +34 91 347 8500 www.intelsecurity.com La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los clientes de McAfee. La información aquí contenida está sujeta a cambios sin previo aviso y se proporciona "TAL CUAL" sin garantías respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta. Intel y los logotipos de Intel y de McAfee son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2015 McAfee, Inc. 62058rpt_qtr-q2_0815