Informe de McAfee Labs sobre amenazas Agosto de 2015

Transcription

Informe de McAfee Labs sobre amenazas Agosto de 2015
Informe
Informe de McAfee Labs
sobre amenazas
Agosto de 2015
El ransomware
sigue creciendo
a gran velocidad:
en el 2.º trimestre el
número de muestras
nuevas creció
un 58 %.
Acerca de McAfee Labs
Introducción
McAfee Labs es uno de los líderes mundiales en investigación
e información sobre amenazas, e innovación en ciber­
seguridad. Gracias a la información que recibe de millones de
sensores situados en los principales vectores de amenazas:
archivos, Web, mensajería y redes, McAfee Labs proporciona
información sobre amenazas en tiempo real, análisis críticos
y opiniones de expertos que permiten mejorar la protección
y reducir los riesgos.
Este mes se cumple el quinto aniversario del anuncio de la
adquisición de McAfee por parte de Intel. Desde entonces,
el mundo de la seguridad ha cambiado mucho, así que
hemos decidido hacer balance de estos años y comparar
nuestras predicciones con lo que realmente ha ocurrido.
McAfee forma ahora parte de Intel Security.
www.mcafee.com/es/mcafee-labs.aspx
Siga a McAfee Labs
Hemos entrevistado a doce personas con cargos relevantes
en Intel o McAfee desde la adquisición para conocer su
opinión sobre las principales transformaciones que han
tenido lugar en el panorama de las ciberamenazas en
los últimos cinco años: cómo han cambiado los tipos de
creadores de amenazas, los objetivos y comportamientos
de los agresores, la economía de la ciberdelincuencia
y la respuesta del sector. También queríamos saber qué
acontecimientos fueron incapaces de prever y qué les
ha sorprendido por completo. Esperamos que disfrute
de esta retrospectiva.
Este trimestre también cubrimos dos temas de gran interés.
En los Informes de McAfee Labs sobre amenazas dedicamos
mucho tiempo a examinar los métodos que emplean los
agresores para introducirse en una red o un sistema de
confianza, pero muy poco a averiguar cómo extraen la
información que desean robar una vez que han logrado
infiltrarse. En este tema principal, aprovechamos la amplia
experiencia de los analistas forenses del equipo de McAfee
Foundstone para describir las tácticas y técnicas específicas
que utilizan los agresores para hacerse con los datos que
buscan sin levantar sospechas.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 2
Los ataques de malware a las unidades de procesamiento
gráfico (GPU) llevan años produciéndose sin llamar mucho
la atención. Hace poco se publicó en GitHub una prueba de
concepto que supuestamente demuestra cómo utilizan los
agresores las GPU para evitar la detección a base de ejecutar
malware y almacenar datos en estos dispositivos. En este
tema principal analizamos estas afirmaciones y explicamos
las posibilidades reales de esta forma de ataque.
■■
Otros temas de interés:
■■
■■
A principios de agosto se celebró la conferencia
Black Hat USA 2015. Intel presentó dos sesiones,
una de las cuales demuestra cómo las investigaciones
que realizan conjuntamente Intel e Intel Security
permiten mejorar la protección del hardware.
La sesión "Attacking Hypervisors Using Firmware
and Hardware" (Ataques a los hipervisores a través
del firmware y el hardware) analiza la superficie
de ataque de los hipervisores modernos desde la
perspectiva de las vulnerabilidades del firmware
del sistema, como la BIOS, y de la emulación de
hardware. La presentación está disponible aquí
desde la clausura de Black Hat.
Como ya informamos el pasado trimestre,
la infraestructura en la nube de McAfee Global
Threat Intelligence ha sido sustituida para
poder gestionar más consultas, más datos sobre
amenazas y más tipos de reputaciones. Asimismo
se ha modificado su arquitectura para hacerla
más rápida, más segura, más resiliente y más
fácil de administrar. La base para ello ha sido
la nueva arquitectura RESTful. Esta arquitectura
se implementó íntegramente en McAfee GTI
en todo el mundo durante el 2.º trimestre.
En 2014, creamos un equipo de ciencia de los
datos encargado de comprender y aprovechar
mejor los datos de McAfee GTI. Este equipo ha
desarrollado instrumentos de McAfee GTI en la
nube y ha creado un panel que nos permite ver
y analizar los patrones de ataque del mundo real,
lo que después sirve para mejorar la protección
de los clientes. Las cifras siguientes dan una idea
del volumen de los ataques que sufren nuestros
clientes. Durante el 2.º trimestre, estos fueron
los volúmenes registrados:
––Cada hora se produjeron más de 6,7 millones
de intentos de engañar a nuestros clientes
para que se conectaran a URL peligrosas
(a través de mensajes de correo electrónico,
búsquedas en el navegador, etc.).
––Cada hora las redes de nuestros clientes
estuvieron expuestas a más de 19,2 millones
de archivos infectados.
––Cada hora, además, intentaron instalarse
o iniciarse 7 millones de programas
potencialmente no deseados.
––Cada hora nuestros clientes realizaron
2,3 millones de intentos de conexión
a direcciones IP peligrosas o esas
direcciones intentaron conectarse
a las redes de nuestros clientes.
■■
A través de las encuestas que realizamos seguimos
recibiendo opiniones de nuestros lectores acerca
del Informe sobre amenazas, que son de gran utilidad
para nosotros. Si desea hacernos llegar su opinión
sobre este informe, haga clic aquí para rellenar un
cuestionario que le llevará apenas cinco minutos.
—Vincent Weafer, Vicepresidente primero, McAfee Labs
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 3
Índice
Informe de McAfee Labs
sobre amenazas
Agosto de 2015
En la investigación y redacción de
este informe han participado:
Brad Antoniewicz
Christiaan Beek
Dave Bull
Torry Campbell
Cedric Cochin
Carric Dooley
Douglas Frosst
Robert Gresham
Paula Greve
Steve Grobman
Dave Marcus
François Paget
Eric Peterson
Matthew Rosenquist
Raj Samani
Craig Schmugar
Mike Sentonas
Rick Simon
Bruce Snell
Dan Sommer
James Walter
Vincent Weafer
Resumen ejecutivo
5
Temas principales 6
Intel + McAfee: retrospectiva de los últimos cinco años
7
La filtración de datos: un paso importante en el
desarrollo de un ciberdelito
16
Malware para la GPU: mitos y realidades
26
Estadísticas sobre amenazas
30
Resumen ejecutivo
Intel + McAfee: retrospectiva de los últimos cinco años
En esta retrospectiva de los
últimos cinco años, echamos
la vista atrás y comparamos
nuestras predicciones con lo que
realmente ha ocurrido. Analizamos
las principales transformaciones
de la ciberseguridad: cómo han
cambiado los tipos de creadores
de amenazas, el comportamiento
y los objetivos de los agresores,
la economía de la ciberdelincuencia
y la respuesta del sector.
En agosto se cumple el quinto aniversario del anuncio de adquisición de McAfee
por parte de Intel. Desde entonces, el mundo de la ciberseguridad ha cambiado
mucho. Para esta retrospectiva hemos reunido a doce líderes de opinión con
cargos relevantes en Intel y McAfee desde antes de la adquisición para explicar
cómo han evolucionado el mercado de la ciberseguridad y nuestro trabajo juntos.
Con ellos hemos hablado de la evolución de nuestro concepto de seguridad
del hardware, de la idea que teníamos en aquel momento sobre la "tormenta
perfecta" que se cernía sobre el mundo de la ciberseguridad y de cómo se
ha desplegado finalmente esa tormenta, así como de nuestras expectativas
en cuanto a nuevos tipos de dispositivos en 2010 frente a la realidad del
mercado. También hemos examinado lo que nos ha sorprendido, sobre todo,
la transformación de la ciberdelincuencia en una industria en toda regla.
La filtración de datos: un paso importante en el desarrollo de
un ciberdelito
En este tema principal, describimos
las tácticas y técnicas específicas
que utilizan los agresores para
hacerse con los datos que buscan
sin levantar sospechas.
Durante los últimos diez años se ha producido un aumento colosal de las fugas
de datos de gran magnitud, así como del volumen de registros robados, desde
la sustracción de 94 millones de registros de TJ Maxx en 2007 hasta la filtración
este año de 80 millones de historias de pacientes de Anthem. Este tema gira en
torno a un paso importante en el proceso del robo de datos: la filtración de la
información. Es el modo en que el ciberdelincuente copia o traslada los datos
desde la red del propietario a una red que está bajo su control. Examinamos los
tipos de agresores, sus motivaciones y sus objetivos más probables, los métodos
y mecanismos que utilizan para robar datos, y las políticas que deberían aplicar
las empresas para detectar mejor una filtración.
Malware para la GPU: mitos y realidades
En este tema principal aclaramos
las posibilidades reales de los
ataques a las GPU en la actualidad.
Los ataques de malware a las unidades de procesamiento gráfico (GPU) llevan años
produciéndose. De hecho, hay una forma de malware para la GPU circulando desde
hace al menos cuatro años: los troyanos mineros de bitcoins que aprovechan
el rendimiento de la GPU para incrementar las ganancias que obtienen de cada
sistema infectado.
Hace poco un grupo publicó tres proyectos de prueba de concepto que,
conjuntamente, afirman utilizar las GPU como instrumento de evasión a base
de ejecutar código y almacenar datos en estas unidades, que nadie vigila. En este
tema principal, analizamos detalladamente estas afirmaciones para dilucidar qué
puede conseguirse realmente con el uso de estos módulos de software.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 5
Temas principales
Intel + McAfee: retrospectiva de los últimos
cinco años
La filtración de datos: un paso importante
en el desarrollo de un ciberdelito
Malware para la GPU: mitos y realidades
Compartir opinión
Temas principales
Intel + McAfee: retrospectiva de los
últimos cinco años
—McAfee Labs
El 19 de agosto de 2010, Intel anunció su intención de comprar McAfee. En aquel
momento, McAfee e Intel ya trabajaban juntos en algunos proyectos y nos dimos
cuenta de que podíamos mejorar y agilizar nuestros esfuerzos si la colaboración
era permanente. Desde entonces ha sido fascinante conocer los puntos fuertes
de cada empresa. Hemos resuelto hipótesis, hemos abandonado expectativas
poco realistas y hemos desarrollado la confianza necesaria para trazar ambiciosos
planes para el futuro.
Doce líderes de opinión con cargos
relevantes en Intel y McAfee desde
antes de la adquisición han
colaborado en este análisis sobre
la evolución del mercado de la
ciberseguridad y el desarrollo
de nuestro trabajo juntos.
Nuestro equipo:
Christiaan Beek
Torry Campbell
Carric Dooley
Steve Grobman
Dave Marcus
Matthew Rosenquist
Raj Samani
Mike Sentonas
Craig Schmugar
Bruce Snell
James Walter
Vincent Weafer
Ya han pasado cinco años: ¿qué tal funciona la alianza? Doce líderes de opinión con
cargos relevantes en Intel y McAfee desde antes de la adquisición han colaborado en
este análisis sobre la evolución del mercado de la ciberseguridad y el desarrollo de
nuestro trabajo juntos. En esta retrospectiva examinamos nuestras previsiones sobre
el panorama de las amenazas, lo que ha ocurrido realmente y qué acontecimientos
nos han sorprendido.
Lo que Intel vio en McAfee
Intel se nutre del crecimiento continuo del conjunto del mercado de la tecnología.
A lo largo de nuestra historia, hemos adoptado medidas para resolver todo aquello
que pudiera ralentizar el mercado o constituir un obstáculo para el crecimiento
permanente. La velocidad de los procesadores, la capacidad de la memoria,
el consumo de energía, las conexiones de periféricos y el tamaño de los chips
son obstáculos que hemos superado. Hace cinco años veíamos la seguridad
como un impedimento inminente. Creíamos que si los usuarios empezaban
a perder confianza en sus dispositivos, conexiones o servicios por miedo a perder
su privacidad, seguridad o incluso su integridad física, el resto del mercado se
vería afectado. A diferencia de algunos de los problemas propios del hardware
que Intel resolvía fácilmente de forma global, nos dimos cuenta de que este
escollo no podríamos superarlo solos; necesitábamos la experiencia en seguridad
de McAfee para eliminar ese obstáculo para el crecimiento.
Lo que McAfee vio en Intel
Hace cinco años, al constatar que los ataques estaban mejorando su capacidad
para eludir las defensas, que aumentaban con rapidez los tipos de dispositivos
que necesitaban protección y que crecía la presencia de amenazas de bajo nivel
como los rootkits, McAfee se dio cuenta de que tenía que ampliar el alcance y la
cobertura de su seguridad. Por sí solos, el antimalware basado en firmas y las
defensas perimetrales no podrían garantizar un entorno seguro durante mucho
más tiempo. Pensábamos que el malware llegaría a ser tan sofisticado que
atravesaría las defensas del perímetro. Queríamos que la seguridad fuera más
profunda, que abarcara el hardware y las nuevas plataformas, que pudiera detener
los ataques en las redes de confianza y reparar los daños causados. Para ello
necesitábamos entender mucho mejor las posibilidades y el comportamiento
del hardware. Ya colaborábamos con Intel en algunos proyectos para la seguridad
de los procesadores y sabíamos que sus conocimientos y su capacidad podrían
resultarnos de gran ayuda.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 7
Temas principales
Consideraciones
Cuando Intel anunció la adquisición, expusimos nuestros motivos a técnicos,
analistas e inversores. Uno de los motivos fundamentales era acercar el software
al hardware para reforzar la seguridad y contrarrestar con más eficacia las
amenazas avanzadas. Estas amenazas, junto al importante aumento del número
y tipo de dispositivos, estaban sentando las bases de una "tormenta perfecta"
de vulnerabilidades y brechas de seguridad. Creíamos que estas nuevas
amenazas serían más difíciles de detectar, que requerirían nuevas estrategias
de ciberdefensa. También pensábamos que el panorama de las tecnologías de
la información iba a cambiar drásticamente, ya que se estaban conectando a las
redes miles de millones de dispositivos que no eran PC. Juntos, todos estos
elementos impulsarían el desarrollo económico y técnico de las ciberamenazas.
Así pues, ¿qué dirección tomamos?
La seguridad en el hardware
Desde el principio, un eje importante de la adquisición era desplazar la tecnología de
seguridad al hardware. Este paso era difícil, dada la velocidad con que la comunidad
de ciberdelincuentes puede copiar y mejorar las amenazas más sofisticadas,
a menudo a los pocos días de su descubrimiento público. El hardware de seguridad
tarda mucho más en desarrollarse, comercializarse y desplegarse que el software,
y el sector de la seguridad depende de la agilidad y la capacidad de adaptación del
software para combatir las amenazas nuevas e imprevistas. Los clientes necesitan
actualizar sus defensas con rapidez para protegerse de ataques que ayer mismo
eran inimaginables, así que no digamos dentro de cinco años, que es la duración
típica del ciclo de diseño del hardware.
En lugar de esforzarnos por incorporar antimalware en los chips, consideramos
que sería más lógico aumentar el rendimiento del cifrado asistido por hardware,
mejorar las medidas antimanipulación y la supervisión del kernel con funciones
de bajo nivel y diseñar componentes primitivos de seguridad en el interior de
los chips de próxima generación que después aprovecharían el software de
seguridad y el sistema operativo.
Desde la adquisición, hemos
lanzado el marco de código
abierto CHIPSEC para analizar los
componentes de hardware y de
firmware, y evaluar los riesgos de
seguridad de bajo nivel, así como
la tecnología Intel Kernel Guard,
para garantizar la integridad en
tiempo de ejecución.
Los ataques de bajo nivel al firmware y la BIOS permiten que la amenaza persista
y por eso son atractivos para el ciberespionaje y otros delitos con proyección a largo
plazo. Al comprobar que este tipo de malware se introducía más profundamente
en el sistema operativo para permanecer oculto y sobrevivir a limpiezas y reinicios,
lanzamos CHIPSEC, un marco de código abierto para analizar los componentes de
hardware y firmware, y evaluar los riesgos de seguridad de bajo nivel, la tecnología
Intel Kernel Guard, que asegura la integridad en tiempo de ejecución, y BIOS Guard,
que facilita la autenticación y la protección. La combinación de los conocimientos,
la experiencia y la presencia en el mercado de Intel y McAfee nos ha otorgado un
punto de vista único para observar, adaptarnos y anticiparnos a los cambios en
el panorama de las amenazas. Nuestro objetivo sigue siendo distribuir software
de seguridad para los nuevos prototipos —dispositivos móviles, el Internet de las
cosas y la nube— mientras llegan al mercado los chips con seguridad mejorada.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 8
Temas principales
Tormenta perfecta a la vista
Todos creíamos que dada la proliferación de usuarios, el incremento de datos,
el crecimiento de las redes y la explosión de tipos de dispositivos y blancos,
como la nube, combinado con un aumento de los ataques, nuevo malware
inteligente y ciberdelincuentes cada vez más sofisticados, la "tormenta perfecta"
de seguridad estaba asegurada. La mayoría de estas predicciones se hicieron
realidad. La adopción de la computación en la nube, los dispositivos del Internet
de las cosas y los dispositivos móviles fue incluso más veloz de lo esperado.
En 2010 calculamos que para 2020 habría 31 000 millones de dispositivos
conectados a Internet, previsiones que ahora parecen haberse quedado cortas.
Acertamos al predecir la tormenta
de seguridad perfecta, pero
infravaloramos su velocidad
y su fuerza.
Está claro que los ciberdelincuentes han aprovechado este incremento enorme
de blancos potenciales y han ampliado su superficie de ataque. Al principio,
estas amenazas eran preocupantes sobre todo para los gobiernos, las instituciones
financieras y los proveedores de seguridad, pero ahora también lo son para
empresas y consumidores, ya que pueden afectar significativamente al valor de un
negocio y ocasionar importantes quebraderos de cabeza en nuestra vida privada.
Actualmente nos enfrentamos a una ciberguerra entre países que incluye ataques
estatales muy notorios, aunque negados enérgicamente, y espionaje a largo plazo.
También aquí, aunque predijimos la mayoría de estos acontecimientos, nos han
sorprendido la rápida evolución del malware, el aumento del volumen de ataques
y la escala de los ataques perpetrados por países.
Cambio del perfil de los agresores
Financiados
Q4
2014
por países
Crimen
organizado
Hacktivistas
Delincuentes
Diversión
• Fama y notoriedad
• Recursos técnicos
limitados
• Exploits conocidos
• Reivindicaciones
• Implacables,
muy implicados
• Vandalismo
• Redes de
• Conocimientos
gran tamaño
técnicos limitados
• Ataques
selectivos
• Beneficio
económico
• Conocimientos
y recursos
técnicos
considerables
• Organizaciones
establecidas
• Adware,
crimeware,
robo de
propiedad
intelectual
• Ciberquerra,
secretos de
estado, espionaje
industrial
• Muy sofisticados
• Recursos
prácticamente
ilimitados
• Amenazas
persistentes
avanzadas
AUMENTO DE RECURSOS Y SOFISTICACIÓN
La proliferación de tipos de agresores, sus recursos y su sofisticación
Detectar lo indetectable
Para responder en parte a la tormenta perfecta, nos pareció que debíamos aumentar
rápidamente el antimalware basado en firmas añadiendo tecnología que detectara
lo indetectable, ya que el malware estaba evolucionando y adaptándose para
evitar las defensas de seguridad tradicionales. A fin de cuentas, y a diferencia de
la mayoría de los ataques, las defensas suelen estar disponibles para que cualquiera
las pruebe y las evalúe. Cualquier agresor puede llevar un producto de seguridad
a un laboratorio y probarlo de todas las maneras posibles, buscando sus puntos
débiles para aprovecharlos o las formas de eludir su detección.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 9
Temas principales
A pesar de esta preocupación, la mayoría de los ataques de seguridad de
los últimos años han resultado fácilmente detectables. Eran sofisticados en
planificación, elección del objetivo, persecución y ejecución; algunos incluso
eran muy técnicos o evasivos. Sin embargo, en los dos últimos años hemos
observado un cambio, un aumento considerable del número de ataques
técnicamente sofisticados. Muchos de ellos están diseñados con el único fin
de evadir las defensas avanzadas. Se infiltran por partes, se ocultan en código
aparentemente inerte y esperan cualquier momento de desprotección para
salir a la luz. Estas amenazas también evitan las trampas basadas en firmas
de sus antepasados, ya que emplean el cifrado y la modificación dinámica de
código para cambiar con cada nuevo despliegue y ocultar datos que las delaten.
Retrospectiva: cinco años de amenazas
Tendencias y malware destacado
2010
2011
2012
Aumento de infecciones MBR
2013
2014
2015
Debajo del SO (MBR, BIOS, firmware)
Descargas desapercibidas
Amenazas permanentes en el navegador
Explosión de kits de exploits
Amenazas sin archivos/intrusiones sin malware
Polimorfismo del lado del servidor/hashbusters
Malware de un solo uso
Malware de "raspado" de memoria (amenazas contra TPV)
Macros y malware de mejora de secuencias de comandos PowerShell
Antivirus falso
Amenazas relacionadas con moneda digital/bitcoin
Ransomware
Malware para TPV
Aumentan las amenazas
contra Mac
Diversificación
de plataformas
de malware
y ataques
multiplataforma
Amenazas para móviles (malware, aplicaciones potencialmente peligrosas y potencialmente no deseadas)
Amenazas del
Internet de las cosas
Vulnerabilidades principales
2011
2012
2013
2014
2015
BEAST—CVE-2011-3389
CRIME—CVE-2012-4929, CVE-2012-4930
RC4—CVE-2013-2566
HeartBleed—CVE-2014-0160,
CVE-2014-0346
Shellshock—
CVE-2014-6271,
CVE-2014-6277,
CVE-2014-6278,
CVE-2014-7169,
CVE-2014-7186,
CVE-2014-7187
BERserk—CVE-2006-4339,
CVE-2014-1568
Poodle—
CVE-2014-3566,
CVE-2014-8730
FREAK—
CVE-2015-0204,
CVE-2015-1637
Logjam—
CVE-20154000
Principales ataques contra el núcleo de Internet
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 10
Temas principales
El aumento del malware evasivo
y de los ataques de larga duración
no nos ha sorprendido, sin embargo,
algunas de las tácticas y técnicas
empleadas eran inimaginables
hace cinco años.
Cada vez hay más ataques de larga duración que se prolongan durante meses
o ataques a largo plazo que esperan y observan antes de actuar maliciosamente.
Probablemente, la mayoría de ellos pretenden desempeñar una labor de espionaje
permanente en lugar de vender los datos filtrados. Aunque en 2010 ya preveíamos
la existencia de los ataques de larga duración, algunas de las tácticas y técnicas
utilizadas en estos ataques eran inimaginables hace cinco años. Documentamos
uno de estos ataques en "El Equation Group: ataques al firmware de los discos duros
y de las unidades en estado sólido", un tema principal del Informe de McAfee Labs
sobre amenazas de mayo de 2015. En el informe Disección de la operación Troy:
el ciberespionaje en Corea del Sur se describe otro de estos ataques a largo plazo.
Evolución de los tipos de dispositivos
Como hemos visto, uno de los aspectos de la tormenta perfecta era el enorme
aumento de los tipos y el volumen de dispositivos, además de la tremenda
expansión de la virtualización y las nubes públicas.
Los consumidores han adoptado las últimas tecnologías con gran rapidez.
Ya había sucedido lo mismo con los teléfonos móviles, después con los
smartphones y las tablets, y ahora con los "wearables". La rápida adopción de
dispositivos está conectando nuestros hogares y organizaciones al Internet de
las cosas, tanto en sanidad, energía y logística como en distribución, urbanismo,
transporte, automoción y fabricación. Ahora la gente depende tanto de los
dispositivos en su entorno que no les importa sacrificar seguridad y privacidad.
Creíamos —y seguimos creyendo— que cuando hubiera suficientes dispositivos
de un determinado tipo para crear un mercado lucrativo, comenzarían a ser
blanco de ataques. Durante los últimos cinco años, los resultados han sido
los esperados en algunas áreas y sorprendentes en otras.
Aunque el volumen de los
dispositivos móviles ha aumentado
incluso a más velocidad de la
esperada, el incremento de los
ataques graves generalizados contra
estos dispositivos ha sido mucho
más lento de lo que creíamos.
Esto es solo el principio de los
ataques contra los dispositivos
del Internet de las cosas (IoT).
Comparta este informe
Dispositivos móviles: aunque los dispositivos móviles han experimentado un
aumento muy rápido de ataques de malware, la mayoría de ellos siguen en
etapa exploratoria o con un impacto comparativamente pequeño. El valor de los
datos recuperables de un smartphone es relativamente bajo y los smartphones
no representan un vector de ataque importante para las empresas. La función
de copia de seguridad automática de muchos smartphones y tablets los hace
fáciles de limpiar y recuperar si se infectan o los secuestran, al menos hasta
que los delincuentes logren atacar las copias de seguridad basadas en la nube.
Los mercados de aplicaciones para smartphones y tablets también son mucho
más restrictivos, ya que actúan como servicios de listas blancas para limitar las
descargas de aplicaciones maliciosas. Estas restricciones no son 100 % eficaces,
pero sí limitan el incremento de los ataques a dispositivos móviles. Aunque el
volumen de los dispositivos móviles ha aumentado incluso a más velocidad
de la esperada, el incremento de los ataques graves generalizados contra estos
dispositivos ha sido mucho más lento de lo que creíamos.
Internet de las cosas: los ataques a los dispositivos IoT no han hecho más que
empezar. La variedad de dispositivos, sistemas operativos y versiones constituye
una resistencia a corto plazo a los ataques, porque pocos cuentan con una base
instalada lo suficientemente amplia para atraer a los ciberdelincuentes. No obstante,
el volumen de dispositivos ha aumentado más deprisa de lo previsto y en sectores
que no esperábamos, por lo que se ha creado una superficie de ataque enorme;
es solo cuestión de tiempo que las amenazas se extiendan a estos dispositivos.
Por supuesto, los agresores no van detrás de los dispositivos propiamente
dichos, sino de sus datos o de su capacidad para actuar como puerta de enlace.
Buscan la manera más fácil de entrar, y estos dispositivos a menudo brindan un
acceso desprotegido a redes que contienen abundantes blancos. Tan solo estamos
presenciando el inicio de las brechas de seguridad y los ataques contra ellos.
PC y sistemas de centros de datos: aun con el increíble crecimiento de los
dispositivos que no son PC, tal y como esperábamos los PC y los sistemas
de los centros de datos siguen siendo el objetivo más lucrativo para los
ciberdelincuentes. Contienen los mejores datos, las vulnerabilidades más
visibles y el sistema de parches más débil.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 11
Temas principales
La adopción de la nube ha
cambiado la naturaleza de algunos
ataques, ya que su objetivo no
es la pequeña cantidad de datos
que albergan los dispositivos,
sino que sirven como vía para
llegar al lugar donde residen
los datos importantes.
La virtualización y la nube: el aumento de dispositivos viene acompañado de un
enorme crecimiento de la virtualización y la computación en la nube. Habíamos
previsto el rápido crecimiento de la virtualización, especialmente en el centro
de datos, pero nos ha sorprendido la rapidez del despliegue y la adopción de la
computación y el almacenamiento en la nube. La virtualización tenía gran sentido
desde el punto de vista económico y optimizamos el hardware con ese fin. El paso
a la nube también era lógico desde el punto de vista operativo y financiero, pero
creíamos que las empresas lo adoptarían con más lentitud. La adopción de la
nube ha cambiado la naturaleza de algunos ataques, ya que su objetivo no es la
pequeña cantidad de datos que albergan los dispositivos, sino que sirven como
vía para llegar al lugar donde residen los datos importantes.
Si un agresor logra acceder a las credenciales de una víctima en la nube, puede
espiar actividades y transacciones, manipular datos, devolver información
falsificada y redirigir a los clientes a sitios ilegítimos. Las instancias del servicio
o la cuenta de la víctima pueden convertirse en la nueva base del agresor, que
de este modo puede aprovechar la reputación de la víctima para lanzar ataques
posteriores. Predijimos las vulnerabilidades de la nube bajo ataque antes incluso
de la adquisición y, tal como esperábamos, siguen aquí.
Evolución y economía de las ciberamenazas
Todos preveíamos un crecimiento importante del volumen y la capacidad
técnica de los ciberataques. Las condiciones eran demasiado tentadoras para
dejarlas pasar. Las amenazas han evolucionado como en la clásica carrera
armamentística: los delincuentes han desarrollado nuevos ataques, el sector de
la seguridad ha respondido con nuevas defensas, y así sucesivamente. Internet
y la "Internet profunda" han contribuido decisivamente a impulsar esta carrera,
pues han facilitado que los delincuentes compartan técnicas y aprendan unos
de otros. En cuanto aparecía un ataque en escena, aunque fuera del grupo
delictivo más sofisticado técnicamente, otros podían observarlo, descodificarlo,
reutilizarlo e incluso mejorarlo. Poco después de que se descubriera una
vulnerabilidad, a menudo ya se había vendido a los delincuentes para que la
explotaran. Los proveedores de tecnología empezaron a lanzar programas de
recompensas a cambio de errores y ahora la compra de vulnerabilidades por
proveedores o delincuentes se ha convertido en un negocio mucho mayor de
lo que habíamos previsto.
Tipo de vulnerabilidad
Precio por exploit de tipo zero-day
Adobe Reader
5000–30 000 dólares
Mac OS X
20 000–50 000 dólares
Android
30 000–60 000 dólares
Complementos Flash o Java
para navegadores
40 000–100 000 dólares
Word
50 000–100 000 dólares
Windows
60 000–120 000 dólares
Firefox o Safari
60 000–150 000 dólares
Chrome o Internet Explorer
80 000–200 000 dólares
iOS
100 000–250 000 dólares
Precios de exploits de tipo zero-day en 2013
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 12
Temas principales
Asistimos a la transformación de la
ciberdelincuencia en una industria
en toda regla, con sus distribuidores,
mercados, proveedores de servicios,
sistema de financiación y comercio,
y una proliferación de modelos
de negocio.
Lo que no esperábamos era la transformación de la ciberdelincuencia en una
industria en toda regla, con sus distribuidores, mercados, proveedores de servicios
("la ciberdelincuencia como servicio"), financiación, sistemas comerciales y toda
una proliferación de modelos de negocio. Por supuesto, el delito pretende siempre
conseguir dinero de la forma más fácil posible y ha de estar suficientemente
bien pagado, porque si no la gente dejaría de practicarlo. Lamentablemente,
la ciberdelincuencia se paga muy bien. Según un proveedor de seguridad, una
campaña hipotética, aunque realista, de malware puede obtener una rentabilidad
del 1425 %. Y en un estudio encargado por Intel Security se calculó que
el coste anual de la ciberdelincuencia para la economía mundial alcanza los
400 000 millones de dólares.
Aunque Internet ha sido fundamental para la ciberdelincuencia, los ataques se
han visto impulsados por el acceso a tecnologías que permiten a los delincuentes
permanecer en el anonimato. En concreto, las redes de anonimización —en especial
Tor— y las monedas virtuales se han convertido en un factor clave de la capacidad
de los ciberdelincuentes para permanecer ocultos de las fuerzas de seguridad.
Algunos de nosotros nos percatamos del desarrollo inicial de las monedas virtuales
y vimos inmediatamente su potencial para transacciones ilegales de muchos tipos.
Los bitcoins y los intermediarios anónimos también han revitalizado el mercado
del ransomware, haciéndolo comercialmente viable y fomentando un crecimiento
inesperadamente elevado.
Hace cinco años se produjeron numerosos robos importantes de datos de tarjetas
de crédito que se vendían a granel lo antes posible a quienes querían hacer compras
fraudulentas. Los emisores de tarjetas de crédito han hecho un esfuerzo importante
para bloquear rápidamente el uso de las tarjetas robadas, por lo que ahora pierden
pronto su valor. Como consecuencia, algunos agresores han empezado a robar otros
datos de valor, como las historias médicas personales, que no se devalúan con tanta
rapidez. Siguiendo el ejemplo de la comunidad empresarial, los ciberdelincuentes
también están optando por almacenar los datos para combinarlos, correlacionarlos
y así convertirlos en algo mucho más valioso. Muchos de los robos de datos más
destacados que se han llevado a cabo recientemente, como llos de declaraciones
de la renta o certificados de antecedentes penales, no se han convertido de
inmediato en dinero, lo que posiblemente indica una mayor madurez delictiva.
Eso es algo que no habíamos previsto.
Otro indicador de la madurez del negocio de la ciberdelincuencia ha sido la
disminución de las aptitudes técnicas necesarias para participar en él. En la Internet
profunda han aparecido toolkits comerciales de malware, programas de afiliación
a ransomware, formularios de creación de ataques y otras conocidas ofertas para
permitir una distribución más rápida, fácil y amplia de los ataques. Ahora no hace
falta saber mucho para ser ciberdelincuente. (Para obtener más información sobre
paquetes de malware en venta, lea "Tras la desaparición de Blacole: el kit de exploits
Angler" en el Informe de McAfee Labs sobre amenazas de febrero de 2015).
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 13
Temas principales
El asequible precio de los paquetes de malware ha contribuido enormemente
a los ciberataques.
En general, los países tienen motivos distintos para sus ataques, pero normalmente
emplean la misma infraestructura delictiva. Los países no suelen actuar motivados
por la rentabilidad directa y pueden iniciar acciones a más largo plazo con recursos
enormemente diferentes. Para nosotros el espionaje es la actividad discreta de un
pequeño número de personas, y ese ha sido en general el caso del ciberespionaje.
Sin embargo, la escala del ciberespionaje patrocinado por países ha superado
nuestras expectativas: en solo los dos últimos años ha cobrado mucha más
visibilidad, incluso para el público en general.
Más sorpresas
Empresas y consumidores por
igual siguen sin prestar suficiente
atención a actualizaciones, parches,
protección con contraseñas, alertas
de seguridad, configuraciones
predeterminadas y otros medios
sencillos pero indispensables para
proteger los activos electrónicos
y físicos.
El descubrimiento y el
aprovechamiento de
vulnerabilidades básicas de
Internet han puesto de manifiesto
que algunas tecnologías
fundamentales carecen de
la financiación y del personal
que precisan.
Nos hemos llevado algunas sorpresas que no encajan del todo en las categorías
descritas. Posiblemente la mayor de ellas es la continua falta de atención que
empresas y consumidores por igual prestan a actualizaciones, parches, protección
de contraseñas, alertas de seguridad, configuraciones predeterminadas y otras
formas fáciles pero indispensables de proteger activos electrónicos y físicos.
Esto no es nuevo en el sector de la seguridad: llevamos décadas insistiendo
en ello y sin embargo siguen siendo los vectores más probables de que un
ataque prospere.
Cuando se trata de recursos físicos, nos asombra que no se haya producido con
éxito un ataque catastrófico a alguna infraestructura crítica. Este tipo de ataques
no son convenientes para los ciberdelincuentes porque no reportan beneficios
fáciles, pero desde luego sí lo son para los terroristas y quizá para algunos
países. Aunque hemos observado actividades de exploración electrónica de
infraestructuras críticas, suponemos que hay motivos políticos o estratégicos
que han impedido que se lleven a cabo... hasta ahora.
En lo que respecta a las infraestructuras, el inesperado y reciente descubrimiento
de vulnerabilidades en el núcleo de Internet —en código que tiene décadas de
antigüedad— y su explotación han demostrado cómo algunas tecnologías básicas
carecen de la financiación y el personal que necesitan. El reconocimiento de este
riesgo ha generado el patrocinio de software y una mayor colaboración entre
importantes organizaciones que dependen de Internet para todas sus actividades.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 14
Temas principales
Estamos muy satisfechos de
la colaboración positiva y cada
vez mayor entre el sector de la
seguridad, las universidades,
las fuerzas de seguridad y los
gobiernos para desmantelar las
operaciones de la ciberdelincuencia.
Finalmente, estamos muy satisfechos de la colaboración positiva y cada
vez mayor entre el sector de la seguridad, las universidades, las fuerzas
de seguridad y los gobiernos para desmantelar las operaciones de la
ciberdelincuencia. Los delincuentes pueden y quieren compartir sus códigos
y sus conocimientos; nosotros tenemos que hacer lo mismo con las defensas.
Puede que "La unión hace la fuerza" no sea más que una frase hecha, pero en
este caso no puede ser más acertada.
Conclusión
Hace cinco años acertamos con algunas de nuestras predicciones, no así con otras.
Muchos de los componentes anunciados de la tormenta perfecta se han hecho
realidad, mientras que otros nos han tomado por sorpresa. Tres elementos han
continuado desafiando el panorama de la ciberseguridad: el crecimiento de la
superficie de ataque, la industrialización de la ciberdelincuencia y la complejidad
y fragmentación del mercado de la seguridad de TI. La ciberdelincuencia ha
madurado mucho antes de lo que esperábamos; de ser una afición ha pasado
a ser una industria que prueba diferentes modelos de negocio y funciona con
una mezcla de motivos delictivos, políticos y militares.
La conciencia sobre la ciberseguridad está en su apogeo, en parte por los medios
de comunicación, por las nuevas normativas que exigen la divulgación de las
intrusiones y por un mayor conocimiento y madurez. Sin embargo, hoy hay mucho
más en juego, el panorama ha cambiado en favor de los agresores y sus capacidades
y recursos han crecido más que nunca. Las batallas de seguridad siguen siendo
un tremendo reto, pero la guerra no ha terminado. Entre los factores beneficiosos
cabe mencionar una mayor sensibilización, la incorporación de más profesionales
de la seguridad, las innovaciones tecnológicas y el reconocimiento de los gobiernos
de su papel para proteger a los ciudadanos en el ciberespacio. La fusión de Intel
y McAfee forma parte de una evolución cuyo fin es proporcionar seguridad para
proteger a las personas y las tecnologías en el futuro.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 15
Temas principales
La filtración de datos: un paso importante
en el desarrollo de un ciberdelito
—Brad Antoniewicz
Durante los últimos 10 años hemos sido testigos de una adopción de tecnología sin
precedentes en todo el mundo. El uso de Internet se ha disparado del 15 % a más
del 40 % de la población mundial y, con él, empresas de todos los tamaños han
creado redes conectadas a Internet para comunicarse con sus clientes y suministrar
los datos que impulsan su negocio. Esta recopilación y digitalización de información,
junto con la enormidad y el alcance de las redes modernas, genera una atractiva
oportunidad para los ladrones: robar datos.
Los ciberdelincuentes han robado
casi todos los tipos de datos
personales: nombres, fechas
de nacimiento, direcciones,
números de teléfono, números
de documentos de identidad,
números de tarjetas de crédito
y débito, información sanitaria,
credenciales de cuentas e incluso
preferencias sexuales.
Los últimos 10 años también han registrado un aumento tremendo del número de
fugas de datos importantes. En 2007, TJ Maxx sufrió una de las primeras brechas
de seguridad a gran escala, en la que se robó información de tarjetas de crédito
y débito de hasta 94 millones de clientes. Tan solo dos años después, Heartland
Payment Systems, el gigante de procesamiento de pagos, sufrió un ataque en
el que perdió datos de aproximadamente 130 millones de clientes. Durante los
años siguientes se descubrieron fugas aún mayores cuyo blanco eran redes de
información más extensas.
Además de números de tarjetas de crédito y débito, los ciberdelincuentes
han robado casi todos los demás tipos de datos personales: nombres, fechas
de nacimiento, direcciones, números de teléfono, números de documentos
de identidad, información sanitaria, credenciales de cuentas e incluso
preferencias sexuales.
Ahora sabemos que los ciberdelincuentes no son solo grupos o personas
que pretenden lucrarse. Los motivos que los mueven han creado distintas
categorías de delincuentes, cada una con una intención propia para robar
datos. Como demuestra la reciente oferta de trabajo de un gobierno extranjero
para "agente de inteligencia estadounidense", los datos personales robados
tienen una finalidad diferente cuando las víctimas son empleados de un
organismo público y los ciberdelincuentes actúan en nombre de un país.
El éxito de Internet y la evolución de la ciberdelincuencia también han dado nuevas
alas al ciberespionaje, lo que convierte el robo de propiedad intelectual digital
en una amenaza real. Se han robado secretos comerciales de organizaciones de
todos los tipos —desde Google, Microsoft y Sony hasta Boeing, Lockheed Martin
y DuPont— lo que demuestra que los ciberdelincuentes encuentran valor en todos
los lugares donde lo hay.
Este tema principal gira en torno a un paso importante en el proceso de un robo de
datos: la filtración o fuga de la información. En esta fase, el ciberdelincuente copia
o traslada los datos de la red del propietario a una red que está bajo su control.
La filtración de datos la llevan a cabo delincuentes cuya intención es robar datos,
no se trata de pérdidas de datos accidentales en equipos extraviados u olvidados
(en las que el ladrón está más interesado en sacarle rentabilidad al hardware).
Creadores de amenazas
Orígenes de la amenaza, creadores de la amenaza y agentes de la amenaza
son los términos empleados para describir a un grupo o individuo que pretende
conseguir acceso no autorizado a redes informáticas y sistemas. Entre las distintas
publicaciones, tanto del sector público como privado, que intentan clasificar dichas
amenazas, encontramos que generalmente los autores se clasifican en tres tipos:
países, delincuentes organizados y hacktivistas.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 16
Temas principales
Motivación
La motivación es una de las características fundamentales
que distinguen a los creadores de las amenazas. Aunque
no todos ellos necesitan robar datos durante cada una de
las campañas para conseguir su objetivo, suele ser el caso
en muchas de las campañas.
Países
Motivación general
Ejemplo de tipos de datos
■■
Ciberespionaje
■■
Ventajas estratégicas
■■
Código fuente
■■
Mensajes de correo
electrónico
■■
Documentos internos
■■
Actividad militar
■■
Información de
identificación
personal de
empleados de la
administración
Cuando se requiere el robo de datos, el autor del ataque
normalmente intenta encontrar los tipos de datos más
atractivos. Sin embargo, los tipos de datos que persigue
un autor pueden cambiar; no es raro observar cómo un
miembro de una banda de delincuentes organizada se
interesa por el robo de propiedad intelectual, por ejemplo,
con el fin de incrementar sus ganancias.
Crimen organizado
■■
■■
■■
■■
Económica
Información de
cuentas bancarias
Números de tarjetas
de crédito
Información de
identificación
personal (números
de documentos de
identidad, datos
sanitarios, etc.)
Hacktivistas
■■
Reputación
■■
Social
■■
■■
■■
Mensajes de
correo electrónico
Información de
los empleados
Cualquier tipo
de información
confidencial interna
Volumen de datos buscados
Pequeño-grande
Grande
Pequeño-grande
Sofisticación de las
técnicas de filtración
Alta
Media-baja
Media-baja
Ubicación de la red
Desconocida/dispersa
Conocida
Conocida y desconocida/
dispersa
El objetivo de los países es generalmente conseguir una
ventaja estratégica que con frecuencia implica apoderarse
de propiedad intelectual. Dada la variadísima información
de la que puede aprovecharse un creador de este tipo,
es difícil calcular el volumen de datos que puede salir de
una organización; por ejemplo, mientras que el diagrama
o el plano de un nuevo producto es relativamente
pequeño, el código fuente de una aplicación importante
es enorme. Este tipo de información es difícil de organizar
y, además, suele estar distribuida en varias redes, por lo
que los creadores se ven obligados a dedicar bastante
tiempo a investigar su ubicación, a menos que cuenten
con información privilegiada de empleados internos.
Los objetivos financieros de los responsables del crimen
organizado son bastante más fáciles de entender. En este
caso se suelen centrar en hallar el cofre del tesoro lleno
de números de tarjetas de crédito, información bancaria
o datos de identificación personal. La mayoría de los
tipos de datos siguen un formato estándar y estructurado
que facilita su búsqueda. Además, los datos suelen estar
sujetos a normativas, lo que significa que se encuentran
en ubicaciones establecidas de la red.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 17
Temas principales
Los más difíciles de detener posiblemente sean los hacktivistas, ya que cualquier
información interna puede afectar a la reputación de una organización. Por este
motivo, todos los tipos de datos, de cualquier tamaño, desde números de tarjetas
de crédito hasta mensajes de correo electrónico son susceptibles de ser robados
por estos creadores de amenazas.
Acceso físico
Si el creador de una amenaza tiene la posibilidad de acceder físicamente a un
sistema, aunque sea a través de un proxy, ya cuenta con una ventaja enorme.
Los dispositivos de almacenamiento USB ofrecen un método fácil para filtrar
grandes cantidades de datos sorteando los controles de seguridad de la red.
Para iniciar un ataque, un ciberdelincuente puede darle un soporte extraíble
a un empleado que no sospeche nada y, de manera inadvertida, lance el ataque
al insertar el dispositivo.
Conocimiento del entorno
Para conocer el entorno de las redes y los sistemas, los creadores se sirven de
técnicas de ingeniería social, la ayuda de personal interno e información de código
abierto. Dichas técnicas reducen el tiempo que necesitan para descubrir los datos,
obtener acceso a los sistemas y realizar la filtración.
Filtración de datos
Copiar datos de una red que ha sufrido un ataque puede una tarea complicada.
Requiere un conocimiento detallado de la configuración de seguridad de la
organización, los puntos débiles en la segmentación de su red, la ubicación
y configuración de los controles de seguridad, y los privilegios que conceden
acceso a los sistemas.
Para entender y clasificar estas complejas técnicas, hemos dividido los componentes
en cinco áreas principales:
■■
■■
■■
■■
■■
Objetivos de datos: sistemas que contienen datos que persigue
el agresor, como recursos compartidos de archivos, repositorios,
sistemas punto de venta, etc.
Infraestructura: sistemas que posee la empresa y que el agresor
utiliza para obtener y transmitir datos desde la empresa hasta los
servidores de volcado.
Servidores de volcado: sistemas a los que el agresor puede acceder
y que se emplean para almacenar los datos de manera temporal
hasta que estén totalmente bajo control del agresor.
Transportes de datos: protocolos de red o dispositivos de almacenamiento
de datos utilizados para transportar los datos de una ubicación a otra.
Manipulación de datos: técnicas que alteran o enmascaran los datos,
como el cifrado, la ocultación, la compresión y la fragmentación.
Componentes de la filtración de datos
Objetivo
de datos
Infraestructura
intermedia
Internet
Servidores
de volcado
Transportes/manipulación de datos
Componentes principales de la filtración de datos
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 18
Temas principales
Objetivos de datos
Una vez que el agresor ataca a un sistema de la red, la puerta está abierta para
explorar otros sistemas y descubrir los que albergan datos interesantes. Una red
completa contiene diversos tipos de datos, por lo que este proceso es largo para
los ciberdelincuentes que no disponen de información privilegiada.
Entre los principales objetivos de datos se encuentran los siguientes:
Objetivo de datos
Tipos de datos
Intereses del agresor
Sistemas de base
de datos
Varían: datos sanitarios
protegidos, información
de identificación personal,
tarjetas de crédito,
información bancaria
y cuentas de usuario
Crimen organizado,
hacktivistas
Repositorios de
código fuente
Código fuente,
credenciales, claves
Países, hacktivistas
Sistemas
especializados
Varían
Todo, según el tipo
de endpoint
Recursos de archivos
compartidos
y sistemas similares
Código fuente, diseños,
comunicaciones, etc.
Países, hacktivistas
Correo electrónico
y comunicaciones
Diseños, comunicaciones
Países, hacktivistas
Sistemas de base de datos
Estos sistemas almacenan grandes cantidades de datos estructurados, lo que los
convierte en un objetivo inmediato, especialmente para delincuentes organizados.
Los sistemas realizan numerosas funciones empresariales:
■■
■■
■■
■■
■■
■■
Autenticación: sistemas que contienen información como nombres
de usuario y contraseñas asociada a la autenticación de los usuarios.
Seguimiento de pacientes: sistemas empleados para el seguimiento
de la toma de medicamentos, administración y alta de los pacientes
en el sector de la sanidad.
Procesamiento de pagos: sistemas que aceptan, emiten y procesan
transacciones financieras de clientes o proveedores.
Procesamiento/fidelidad de clientes: sistemas que contienen datos
de clientes para su seguimiento o para campañas de marketing
o fines similares.
Administración de recursos humanos/finanzas: sistemas responsables
de la administración de los empleados y las nóminas
Tecnología no empleada en producción/sistemas no aprobados:
sistemas de testing y no aprobados que contienen datos de
producción y otra información de la empresa que puede ser
igualmente útil para el agresor y más vulnerable ante un ataque.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 19
Temas principales
Repositorios de código fuente
Los repositorios de código fuente internos se dejan en ocasiones desprotegidos
incluso aunque contengan datos de mucho valor, como el código fuente
de aplicaciones, claves API, credenciales de bases de datos y servidores de
autenticación y claves de cifrado.
Sistemas especializados
Los ataques contra comercios minoristas y fabricantes demuestran que los autores
persiguen datos que se almacenan en sistemas especializados o endpoints
específicos para un sector concreto. Entre ellos se incluyen:
■■
■■
■■
Sistemas terminales punto de venta: posiblemente el punto más
vulnerable del procesamiento de pagos sean los terminales punto
de venta, ya que los datos de tarjetas de crédito no suelen cifrarse
en la memoria una vez que el lector los ha leído.
Estaciones de trabajo de desarrolladores: en las estaciones de trabajo de
los desarrolladores puede haber multitud de información de propiedad
intelectual y del entorno, lo que las convierte en objetivos muy valiosos.
Sistemas de control: los puntos de ajuste y la lógica de los programas
ofrecen información de gran valor y pueden modificarse con
consecuencias devastadores en los ataques a industrias.
Repositorios de archivos
Para un ciberdelincuente, el ingente volumen de datos de los grandes repositorios
de archivos ofrece ventajas y desventajas. Por una parte, pueden contener multitud
de información; y por otra, filtrarla de forma manual puede ser una tarea inacabable,
ya que se incluyen datos no estructurados. Los sistemas que se agrupan en esta
categoría son:
■■
■■
■■
Recursos compartidos de archivos de red: estos sistemas contienen
carpetas de grupos y usuarios, junto a documentos, diagramas
y otros datos de la empresa almacenados en dichas carpetas.
Sistemas de gestión de contenidos: Microsoft SharePoint y otros
albergan contenido similar a los recursos compartidos de archivos,
pero generalmente para los ciberdelincuentes es más difícil
desenmarañarlo.
Nube de terceros: los servicios para compartir archivos alojados en la
nube, como Google Drive, Dropbox y Box.com también pueden poner
los datos en riesgo, pero normalmente son objetivo de agresores
externos con información privilegiada de personal interno y no de
agresores de una red interna.
Correo electrónico y comunicaciones
Las estaciones de trabajo de los usuarios, servidores de correo electrónico
y sistemas de mensajería instantánea, como Skype for Business suelen ser
blanco de ataques, ya que en su memoria caché se guardan datos confidenciales
de la empresa, información sobre operaciones y comunicaciones privadas.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 20
Temas principales
Infraestructura intermedia
Cuanto más segmentado
y profundo esté el objetivo en
la red, más difícil será para el
creador de la amenaza filtrar
los datos.
Cuanto más segmentado y profundo esté el objetivo en la red, más difícil será para
el creador de la amenaza filtrar los datos. Cuando es necesario, los ciberdelincuentes
desarrollan una infraestructura provisional para un fin específico, mediante el
empleo de hosts que actúan como intermediarios entre los segmentos de la red
y un servidor de volcado controlado por el delincuente.
Esta infraestructura puede ser sencilla o muy complicada. En los casos de fuga
de datos avanzados, hemos observado sistemas con las siguientes funciones:
■■
■■
■■
Endpoints: uno o varios objetivos de datos en el mismo segmento,
o en un segmento que se pueda direccionar al agregador.
Agregador: actúa como un punto de recopilación de los datos de los
endpoints atacados y carga dichos datos en el agente de filtración.
El agregador puede tener acceso a Internet, aunque no necesariamente.
En las campañas más sofisticadas, puede haber varios agregadores que
transfieran los datos a varios agentes de filtración con el fin de ocultar
la ruta de los datos de salida.
Agente de filtración: recoge los datos del agregador y facilita su
transferencia al servidor de volcado del agresor. Puede realizarse
mediante una transferencia sencilla o bien retener los datos hasta
que el agresor los recupere.
Arquitectura de filtrado de datos
Agregador
Agente de filtración
Internet
Servidores
de volcado
Endpoints
Arquitectura típica de filtración de datos de red
Este diagrama representa una arquitectura de filtración de datos típica, pero existen
otras. Por ejemplo, una campaña que se diseccionó públicamente establecía una
red especial de agentes de filtración y agregadores dispersa geográficamente que
operaba con una planificación rotativa al transferir los datos entre los sistemas
y a los servidores de volcado. En otro caso, se utilizaba un servidor de contenido
accesible a través de Internet, propiedad de una empresa, como agente de filtración
mediante la incrustación de datos en el flujo de vídeo del contenido saliente.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 21
Temas principales
Servidores de volcado
Un servidor de volcado es el primer punto en el que residen los datos robados
cuando ya no están bajo control de la empresa. Sin embargo, es posible que
tampoco estén bajo el control del agresor, sino simplemente en un lugar al que
este puede acceder fácilmente. Los servidores de volcado pueden ser:
■■
■■
■■
■■
■■
Sistemas comprometidos: sistemas que han sufrido un ataque del
agresor durante otra campaña diferente. Estos sistemas pueden ser
desde blogs de WordPress personales hasta servidores que pertenecen
a empresas que no disponen de controles de seguridad eficaces.
Sistemas alojados en determinados países: los países en los que la
legislación sobre la privacidad es muy restrictiva son muy atractivos
para los delincuentes, ya que esta circunstancia les permite alojar
los sistemas dentro de sus fronteras y que no les molesten mientras
gozan de un cierto grado de protección.
Sistemas alojados temporalmente: sistemas temporales que se alojan
en la nube a través de proveedores como AWS, Digital Ocean o Azure.
Servicios para compartir archivos en la nube: sitios para compartir
archivos online a los que puede acceder el público general, como
DropBox, Box.com o Paste Bin.
Servicios alojados en la nube: otros servicios que funcionan a través
de Internet, como Twitter y Facebook, que permiten a los usuarios
publicar información.
Los hosts comprometidos, sistemas alojados en determinados países y sistemas
alojados de manera temporal funcionan bien como servidores de volcado,
ya que ofrecen el máximo control sobre los datos, lo que permite a los agresores
personalizar completamente los transportes utilizados desde el agente de filtrado.
Los servicios de alojamiento y para compartir archivos en la nube dificultan a los
sistemas de seguridad el bloqueo de los hosts de destino debido a que están muy
distribuidos geográficamente. Sin embargo, dichos servicios suelen contar con
métodos de fácil acceso para denunciar conductas delictivas y permiten desactivar
rápidamente una cuenta maliciosa.
La desventaja de utilizar hosts dedicados como servidores de volcado es que una
vez que se descubren, pueden bloquearse o cerrarse. Para sortear este obstáculo
se pueden utilizar algoritmos de generación de dominios. Estos algoritmos se
crean en el interior del malware que se ejecuta en la empresa elegida como víctima
y generan una lista de nombres de dominio posibles que se pueden consultar con
el fin de identificar servidores de control o de volcado activos.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 22
Temas principales
Transportes de datos
Los transportes de datos son los protocolos y métodos
empleados para copiar la información de una ubicación
o sistema en otro, como entre un agente de filtración y el
servidor de volcado o entre el endpoint y el agregador.
En la tabla siguiente se resumen muchos de los medios de
transporte habituales utilizados en la actualidad, así como
sus redes:
Transporte
Descripción
Interno
HTTP/HTTPS
Debido a la prevalencia de HTTP en las comunicaciones de red es
el protocolo ideal para ocultar los datos filtrados entre otro tipo de
tráfico. Se ha utilizado como transporte de filtración general mediante
la incrustación de comandos en encabezados HTTP y métodos
GET/POST/PUT.
FTP
El protocolo FTP se emplea habitualmente en los servidores empresariales
y es fácil de utilizar mediante comandos nativos del sistema, por lo que es
un medio de transporte sencillo.
USB
Los dispositivos de almacenamiento USB se utilizan con frecuencia para la
filtración de datos cuando se atraviesan redes aisladas. Hemos observado
malware que busca un dispositivo de almacenamiento USB con un marcador
específico y que, a continuación, copia los datos que se van a filtrar en un
sector oculto del mismo. La filtración comienza cuando el dispositivo se
coloca en otro sistema infectado con acceso a la red.
Externo
Los dispositivos de almacenamiento USB también pueden ser utilizados
por personal interno para copiar fácilmente grandes cantidades de datos
y sacarlos físicamente de la empresa.
DNS
Hay registros DNS específicos, como TXT o incluso los registros A y CNAME,
que pueden almacenar datos en su interior hasta cierto punto. Con el
control de un dominio y un nombre de servidor, un agresor puede transmitir
pequeñas cantidades de datos realizando consultas específicas en el
sistema atacado.
Tor
La red Tor es cada vez más popular. Esto permite a los agresores enviar
datos filtrados a servidores que son difíciles de localizar. Sin embargo, el
tráfico Tor en redes empresariales no suele ser legítimo por lo que puede
detectarse y detenerse fácilmente.
SMTP/correo
electrónico
Los servidores SMTP, tanto si son propiedad de la empresa como si no,
pueden utilizarse para enviar datos fuera de la empresa como adjuntos
o en el cuerpo de los mensajes de correo electrónico.
SMB
SMB es un protocolo extremadamente común en entornos Windows
y puede estar disponible en los sistemas.
RDP
El protocolo RDP permite realizar varias actividades, como copiar/pegar
y compartir archivos y, en algunos casos, los sistemas que admiten RDP
pueden estar desprotegidos en Internet.
Transportes
personalizados
En ocasiones se utilizan transportes personalizados en comunicaciones
con los servidores de control y en algunos tipos sofisticados de malware.
Un transporte robusto requiere una gran cantidad de trabajo y debido
a su exclusividad el protocolo es fácil de identificar en la red, inclinando
la balanza hacia un tipo de transporte ya establecido.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 23
Temas principales
Los transportes que ofrecen alternativas cifradas (como HTTPS) pueden incrementar
la dificultad de detección para las organizaciones. Hemos observado un aumento,
aunque limitado, en el uso del cifrado a nivel de transporte. La falta de cifrado
implica que la detección será más fácil, pero también supone un riesgo añadido
para los datos, ya que en ocasiones se transmiten a través de Internet.
Muchos transportes requieren el uso de credenciales válidas o bien alguna forma
de acceso abierto/anónimo para poder utilizarse en el servidor. En este caso,
si el agresor desea automatizar la filtración de datos, deberá dejar un nombre
de usuario/contraseña en el host atacado o bien se arriesga a que alguien no
autorizado acceda al sistema de forma remota.
Manipulación de datos
La manipulación de los datos antes
de su transferencia contribuye
a evitar la detección, reduce el
tiempo de transferencia y aumenta
el tiempo de análisis.
La manipulación de los datos antes de su transferencia contribuye a evitar la
detección, reduce el tiempo de transferencia y aumenta el tiempo de análisis.
Aunque lo más frecuente es que los datos se manipulen cuando se transfieren
por Internet, sigue siendo habitual el uso de la manipulación en la red interna.
Una vez que los datos originales han sido manipulados, se envían empleando
el transporte hasta su destino. Entre las técnicas de manipulación habituales
se pueden citar:
Técnicas
Descripción
Compresión
La compresión con el formato ZIP estándar no solo ofrece
un nivel de ocultación sino que además acelera las
transferencias de archivos.
Fragmentación
La división de los datos en pequeñas partes antes de su
envío permite que la transferencia se confunda en la
actividad habitual de la red.
Codificación/
ocultación
El tipo de manipulación de datos más común es el empleo
de un algoritmo de codificación u ocultación básico.
Mediante el empleo de sencillas técnicas, como realizar
una operación XOR con una clave estática, emplear
codificación Base64 o simplemente convertir todos los
caracteres en código hexadecimal, se pueden manipular
los datos lo suficientemente para evitar la detección.
Cifrado
Es sorprendente que el cifrado no se utilice siempre
durante la filtración. Es posible que esto se deba a que
el rendimiento es menor o simplemente a que no es
necesario. Cuando se emplea, lo habitual es observar
un cifrado con RC4 o AES.
Conclusión
La información digital se ha convertido en el objetivo principal de los ciber­
delicuentes. Los datos que se roban incluyen desde grandes bases de datos
de empleados a memoria volátil en sistemas TPV. En cuanto los sistemas
de defensa crean una nueva capa de seguridad en sus redes, los agresores
encuentran la forma de poner a los sistemas de confianza contra la organización
convirtiéndolos en sus propios cómplices.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 24
Temas principales
El primer paso para hacerse con el control es entender quiénes son los creadores
de las amenazas, cuáles son sus motivaciones y qué técnicas emplean. Aunque la
filtración de datos puede ser un pequeño componente de una campaña global,
es también el más importante que debe ejecutar el agresor y bloquear el sistema
de defensa. Establecer directivas y procedimientos eficaces, además de crear
una línea de defensa alrededor de los activos y los datos críticos permite a las
organizaciones priorizar sus esfuerzos de manera que se otorgue más atención
a los sistemas que son más importantes. Descubra cómo puede
protegerle Intel Security
frente a esta amenaza.
Prácticas y procedimientos recomendados
Identificar las fuentes
de datos
Lleve a cabo una evaluación de riesgos que obligue a los principales implicados a identificar
los datos confidenciales de su red, y dónde están almacenados.
■■
Control de inventario de activos
■■
Sistemas y arquitectura de red
Considere el uso de software de descubrimiento de datos para identificar la información
confidencial y su ubicación.
Determinar los flujos
de datos
Identifique el flujo de datos confidenciales que cruzan y salen de la red.
■■
Sistemas y arquitectura de red
Considere utilizar software de supervisión de flujos de datos en tiempo real para conocer
los movimientos de datos.
Identificar los requisitos
normativos y de protección
de la privacidad
Conozca los requisitos normativos que afectan a su empresa y los controles de
seguridad necesarios.
Clasificar los datos
Establezca una política de clasificación de los datos por confidencialidad, tipo e importancia.
Asignar propietarios
de los datos
Garantizar la protección
de los datos
■■
Política de protección de datos
■■
Política de clasificación de datos
Desarrolle un programa que detalle los propietarios de los datos y sus responsabilidades.
■■
Propietarios de los datos
■■
Inventario y mantenimiento de activos de datos
Establezca una política para definir los requisitos de seguridad de los datos en
movimiento y en reposo.
■■
Política de cifrado de datos
Instale software de prevención de pérdida de datos para impedir la filtración de datos
no autorizada.
Revisar el acceso
a los datos
Revisar el programa
con regularidad
Defina un proceso en el que el acceso a los datos se supervise y autorice formalmente.
■■
Autorización de los datos
■■
Gestión de cambios
Defina un proceso de gestión de riesgos para los datos de manera que se revisen
anualmente las políticas y los procedimientos.
■■
Gestión de riesgos
Considere el uso de un software de gestión de riesgos para evaluar los riesgos
y administrar el cumplimiento de normativas.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 25
Temas principales
Malware para la GPU: mitos y realidades
—Craig Schmugar
El autor agradece especialmente
al grupo Visual and Parallel
Computing Group de Intel
su contribución.
Una unidad de procesamiento
gráfico (GPU) es un componente
de hardware especializado
diseñado para acelerar la creación
de la imágenes que se ven en una
pantalla. En un ordenador personal,
una GPU se encuentra en una
tarjeta de vídeo dedicada, en la
placa madre, o en ocasiones en el
mismo compartimento que la CPU.
Casi todo el malware actual ha sido diseñado para ejecutarse desde la memoria
del sistema principal y en la CPU. Ocurre así desde hace décadas y por este
motivo, la inmensa mayoría de las herramientas de defensa y de análisis forense
basadas en el host se desarrollan partiendo de esta idea. Cualquier excepción
a esta norma hay que estudiarla con detenimiento y ha dado quebraderos de
cabeza a muchos profesionales de la seguridad de la información este año.
Ya hace años que se observan ataques de malware a unidades de procesamiento
gráfico (GPU) con mayor o menor intensidad. De hecho, ese tipo de malware lleva
en circulación y activo desde hace al menos cuatro años: troyanos mineros de
bitcoins que aprovechan el fantástico rendimiento de la GPU para incrementar
las ganancias que obtienen de cada sistema infectado.
Últimamente se ha despertado de nuevo el interés por este tema, tras la aparición
de los principios del código de prueba de concepto en GitHub, el host de código
más grande del mundo.
"Team JellyFish" publicó tres proyectos sobre este asunto por entonces. Se supone
que este nuevo código va un paso más allá y no se limita a aprovechar la eficacia
de la GPU para el procesamiento bruto, sino que emplea la arquitectura como
instrumento de evasión mediante la ejecución de código y el almacenamiento
de los datos, en un lugar que nadie controla. En las páginas de cada proyecto de
GitHub aparecen las siguientes descripciones:
Demon, un registrador de pulsaciones (keylogger) para GPU que se describe
con las siguientes funciones:
■■
Módulo bootstrap de kernel de la CPU para localizar el búfer
del teclado a través de DMA en la estructura de USB.
■■
Búfer del teclado almacenado en el archivo userland.
■■
El módulo de kernel se elimina automáticamente.
■■
OpenCL almacena el búfer del teclado en el interior de
la unidad GPU y elimina el archivo.
JellyFish, descrito como un rootkit para GPU basado en Linux, que ofrece
algunas ventajas:
■■
■■
■■
■■
Ausencia de herramientas de análisis de la GPU online.
Capacidad para acceder a la memoria del host de la CPU
a través de acceso directo a memoria (DMA).
El rendimiento de la GPU es mejor que el de la CPU por
los cálculos matemáticos.
Persistencia tras los reinicios en caliente
WIN_JELLY, que se describe como una herramienta de acceso remoto a GPU
Windows, con almacenamiento de código ejecutable persistente en GPU que
posteriormente puede asignarse al espacio de usuario tras reiniciar.
Notas del proyecto GitHub para pruebas de concepto relativas a los ataques a la GPU
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 26
Temas principales
Posteriormente, se publicaron numerosos artículos que reiteraban las afirmaciones
de los autores. Fuera de contexto, es fácil manipular estos puntos para dar la imagen
de un fantástico fallo indetectable, que se ejecuta de manera autónoma y se oculta
de las defensas actuales, pero la realidad difiere bastante de las apariencias.
Las afirmaciones pueden resumirse en cuatro puntos:
La arquitectura unificada de
dispositivos de cómputo
(CUDA, Compute Unified Device
Architecture), de NVIDIA, es una
plataforma informática en paralelo
y un modelo de API que permite
a los desarrolladores de software
utilizar unidades GPU con CUDA
para procesamiento con fines
generales. La plataforma CUDA
ofrece acceso directo al conjunto
de instrucciones virtuales
y elementos computacionales
en paralelo de la GPU.
■■
Acceso a la memoria del host de la CPU desde la GPU
■■
Eliminación posterior de los archivos del host de la CPU
■■
Persistencia tras los reinicios en caliente
■■
Ausencia de herramientas de análisis de la GPU
Para responder a estas afirmaciones, McAfee Labs creó una lista de miembros
del grupo Visual and Parallel Computing Group (VPG) de Intel por su experiencia
para ayudar a determinar su validez. En el apartado siguiente se exponen las
respuestas sobre las áreas de especialización que ofrece Intel, concretamente
gráficos integrados y OpenCL, aunque la mayoría de los datos afectan a tarjetas
gráficas específicas y a la plataforma CUDA de NVIDIA.
Acceso a la memoria del host de la CPU desde la GPU
Por su diseño, los programas que acceden a la GPU requieren que un proceso
principal se ejecute en la CPU. Dicho proceso principal puede funcionar de la misma
forma que otras amenazas, leyendo y escribiendo en la memoria, de manera que los
productos de seguridad pueden con frecuencia supervisarlo o limitarlo. Sin embargo,
una ventaja del uso de la GPU para este fin es su capacidad para ocultar la actividad
maliciosa y sortear estas medidas de protección.
Sin embargo, para distribuir la carga útil que suele ir asociada al malware mediante
el uso de métodos no tradicionales y aprovechar la GPU, es preciso que la memoria
física esté asignada a la GPU. Además, el acceso al código sin derechos se limita a las
páginas de memoria asignadas al espacio de direcciones virtuales de un proceso,
por lo que el acceso al anillo 0 es obligatorio para poder asignar memoria del
sistema operativo crítica a la GPU para lectura/escritura, lo que contribuye a que
el malware deje rastro en el host. Esta dependencia está sujeta a las protecciones
del kernel implementadas. Lo que nos lleva al punto siguiente.
Eliminación posterior de los archivos del host de la CPU
Una vez que un programa se está ejecutando en la GPU, ya pueden eliminarse los
archivos necesarios para instalar la aplicación. Entre dichos archivos se incluye
el controlador del kernel responsable de la asignación de memoria, así como
el proceso de modo de usuario principal. Sin embargo, en este punto el código
que se ejecuta en la GPU queda "huérfano" y en el caso de Microsoft Windows
pondrá en marcha una detección de tiempo de espera agotado y el proceso de
recuperación que reinicia la tarjeta gráfica. En Windows, el tiempo de espera límite
es de 2 segundos, aunque se puede configurar. Según Microsoft, la modificación
de la configuración del TDR se debe limitar a los casos de testing y depuración.
Por lo tanto, cualquier modificación de estos valores se considerará como un
comportamiento sospechoso, sobre el que los productos de seguridad pueden
avisar o incluso bloquearlo. Además, cuando las cargas de trabajo de la GPU se
ejecutan durante un período prolongado, se hace evidente, ya que la interfaz
deja de responder correctamente. Ocurre igual con otros sistemas operativos.
Para superar estos obstáculos, el código de modo de usuario (aunque mínimo)
debe seguir ejecutándose, lo que ofrece un indicio al sistema de protección de
endpoints para su identificación. Esto no ocurriría en el caso de los sistemas
con varias GPU y/o sin interfaz, en los que puede pasar desapercibido el acceso
del sistema operativo a la GPU y, por consiguiente, el riesgo. Sin embargo,
la presencia de valores de TDR alterados en Windows sigue siendo indicio
de un problema potencial.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 27
Temas principales
Persistencia tras los reinicios en caliente
A primera vista, es posible que la afirmación más cuestionable sea la que
se refiere a que el malware que reside en la GPU puede persistir después
de reiniciar el sistema operativo. Recordemos la afirmación de WIN_JELLY:
"El almacenamiento de código ejecutable persistente en la GPU, que puede
volver a asignarse después al espacio de usuario tras reiniciar". Si no se analiza
detenidamente, suena mal desde el punto de vista de la seguridad; sin embargo,
cuando se lee dos veces, la afirmación no es lo que parece. "Persistente" no se
refiere al código en ejecución, sino al almacenamiento de datos. Recuerde el
punto anterior: de forma predeterminada para que el programa de la GPU siga
ejecutándose, se requiere un proceso de host. La idea de persistencia a la que
se refiere este texto está relacionada con una aplicación host que se ejecuta al
iniciar el sistema, recuperando datos de la memoria de la GPU y asignándolos
de nuevo al espacio de usuario, lo que no es en absoluto tan alarmante, ya que
el código de modo de usuario malicioso debe persistir también fuera de la GPU.
Ausencia de herramientas de análisis de la GPU
Aunque algunas herramientas ofrecen supervisión del rendimiento de la GPU
y depuración, son muy pocas las que ofrecen análisis forense y de malware.
Tradicionalmente, estas herramientas se creaban por necesidad o por los que
pretendían racionalizar un proceso más rutinario. En este caso, se requieren
herramientas de análisis de amenazas para comprender mejor la actividad de
una amenaza en la GPU. Sin embargo, los productos de seguridad no necesitan
depender de este tipo de herramientas para la clasificación e identificación
de las amenazas, ya que el uso de este vector de ataque proporciona otros
indicadores de amenaza.
Resumiendo
Las amenazas contra las GPU son una preocupación real. Sin embargo, ese tipo
de ataques todavía no ha alcanzado el nivel de la tormenta perfecta. Por un lado,
revertir su ingeniería y realizar el análisis forense de dichas amenazas es mucho
más complejo y complicado que en el caso de sus equivalentes contra la CPU,
y esto puede provocar que una infección pase desapercibida durante más tiempo.
Al trasladar parte del código malicioso fuera de la CPU y la memoria del host,
se reduce la superficie de detección, lo que complica la detección de los ataques
a los sistemas de defensa basados en el host. Por otro lado, no se ha eliminado
completamente la superficie de detección. En el peor de los casos, quedan trazas
de la actividad maliciosa, lo que permite a los productos de seguridad para
endpoints detectar y corregir la amenaza.
Existen algunos paralelismos entre el malware para las GPU y los rootkits del
kernel de Windows que observábamos hace unos 10 años. Uno de los requisitos
de los rookits del kernel era la ejecución de código malicioso con privilegios que,
una vez ejecutado, podía ocultar su presencia. Además, las herramientas de
análisis de rootkits eran más limitadas. Ahora es más difícil que nunca que un
agresor consiga y ejecute código con privilegios (algo que sigue siendo necesario
en el caso del malware para GPU más catastrófico). Los productos de seguridad
incorporaron defensas específicas contra rootkits y Microsoft distribuyó una serie
de protecciones del kernel, incluida PatchGuard, la implementación de firma de
controladores, ELAM (Early Launch Anti-Malware), el arranque seguro y otras
funciones de defensa. Muchas de estas protecciones juegan un papel importante
contra los ataques a la GPU asistidos por kernel de Windows.
Un avance reciente que afecta a la viabilidad del malware para las GPU en
determinados sistemas es la función Device Guard de Microsoft, que aprovecha
la unidad de gestión de memoria de entrada/salida (en el caso de Intel, la
tecnología de virtualización para E/S dirigida o Intel VT-d) en hardware para
permitir a los administradores bloquear dispositivos de manera que únicamente
se ejecuten las aplicaciones de confianza y firmadas por Microsoft. Aunque esta
función solo está disponible en determinadas circunstancias, puede proporcionar
más seguridad a los encargados de proteger la información crítica.
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 28
Temas principales
Descubra cómo puede protegerle
Intel Security frente a esta amenaza.
Esta respuesta no pretende rechazar de plano todas las afirmaciones relativas
a los ataques contra la GPU, sino más bien ofrecer contexto sobre la amenaza
actual y las defensas disponibles. No cabe ninguna duda de que se producirán
avances en esta área, tanto por parte de los agresores como de los sistemas de
protección. Como mínimo, la atención recibida recientemente ha servido para
revisar su enfoque actual y para explorar nuevas formas de mejorar.
Prácticas seguras para proteger contra este tipo de ataque
McAfee Labs recomienda varias formas de protección de los sistemas contra
ataques a la GPU:
■■
■■
■■
■■
■■
Active las actualizaciones automáticas del sistema operativo o descargue
con regularidad las actualizaciones para que los sistemas operativos
cuenten con los parches necesarios para estar protegidos frente a las
vulnerabilidades conocidas.
Instale los parches de otros fabricantes de software en cuanto
se publiquen.
Instale software de seguridad en todos los endpoints y mantenga
actualizadas las firmas antivirus.
Considere utilizar listas blancas de aplicaciones para impedir la
ejecución de aplicaciones no autorizadas.
Evite ejecutar aplicaciones en modo de administrador siempre
que sea posible.
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 29
Estadísticas sobre amenazas
Amenazas contra dispositivos móviles
Malware
Amenazas web
Compartir opinión
Estadísticas sobre amenazas
Amenazas contra dispositivos móviles
Nuevo malware
paraMalware
móviles
New Mobile
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Total de malware
para móviles
Total Mobile
Malware
9 000 000
El número total de muestras de
malware para móviles creció un
17 % en el 2.º trimestre.
8 000 000
7 000 000
6 000 000
5 000 000
4 000 000
3 000 000
2 000 000
1 000 000
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 31
Estadísticas sobre amenazas
Tasas de infección por malware para móviles
en el 2.º trimestre de 2015,
región
Regional
Mobile Malware Infectionpor
Rates
in Q2 2015
12 %
Las tasas de infección por malware
disminuyeron un 1 % por región
este trimestre, excepto en América
del Norte, donde el descenso fue
de casi el 4 %, y en África, donde
no variaron.
10 %
8%
6%
4%
2%
0%
África
Asia
Australia
Europa
y África
América
del Norte
América
del Sur
Tasas mundiales
de infección
porInfection
malwareRates
para móviles
Global Mobile
Malware
30 %
25 %
20 %
15 %
10 %
5%
0%
4.º trim.
2013
1.er trim.
2.º trim.
3.er trim.
2014
4.º trim.
1.er trim.
2.º trim.
2015
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 32
Estadísticas sobre amenazas
Malware
Malware
NuevoNew
malware
60 000 000
50 000 000
40 000 000
30 000 000
20 000 000
10 000 000
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Total deTotal
malware
Malware
500 000 000
El zoo de malware de McAfee Labs
creció un 12 % en el último trimestre.
El número de muestras de malware
supera ya los 433 millones.
450 000 000
400 000 000
350 000 000
300 000 000
250 000 000
200 000 000
150 000 000
100 000 000
50 000 000
0
3.er trim. 4.º trim.
2013
1.er trim. 2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 33
Estadísticas sobre amenazas
New Rootkit
Nuevos
rootkitsMalware
120 000
100 000
80 000
60 000
40 000
20 000
0
3.er trim. 4.º trim. 1.er trim. 2.º trim. 3.er trim. 4.º trim. 1.er trim. 2.º trim.
2013
2014
2015
Total
Rootkit Malware
Total
de rootkits
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 34
Estadísticas sobre amenazas
Nuevo New
ransomware
Ransomware
1 400 000
El ransomware sigue creciendo
a gran velocidad: en el 2.º trimestre
el número de muestras nuevas se
incrementó un 58 %. Tal y como
afirmamos en el Informe de
McAfee Labs sobre amenazas
de mayo de 2015 , atribuimos
este incremento al rápido
crecimiento de nuevas familias
como CTB-Locker y CryptoWall,
entre otras. El número total de
muestras de ransomware creció
un 127 % el año pasado.
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4.º trim. 1.er trim.
2013
2.º trim. 3.er trim. 4.º trim. 1.er trim. 2.º trim.
2014
2015
Ransomware
Total deTotal
ransomware
4 500 000
4 000 000
3 500 000
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 35
Estadísticas sobre amenazas
Nuevos archivos
maliciosos
New binarios
Maliciousfirmados
Signed Binaries
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Total de archivos
maliciosos
Total binarios
Maliciousfirmados
Signed Binaries
20 000 000
18 000 000
16 000 000
14 000 000
12 000 000
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 36
Estadísticas sobre amenazas
Amenazas web
New
Suspect URLs
Nuevas URL
sospechosas
35 000 000
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
3.er trim. 4.º trim.
2013
URL
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Dominios asociados
New
Nuevas URL
dePhishing
phishingURLs
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
3.er trim. 4.º trim.
2013
URL
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Dominios asociados
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 37
Estadísticas sobre amenazas
New
Nuevas URL
deSpam
spamURLs
2 000 000
Las nuevas URL de spam y sus
dominios se dispararon un 380 %
en el 2.º trimestre. La mayor parte
de este aumento se debe a los
cientos de miles de dominios
autogenerados o secuenciales
dedicados a campañas de spam
que descubrimos tras mejorar
nuestra colección de listas
negras en tiempo real (Real-time
Blackhole Lists).
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
3.er trim. 4.º trim.
2013
URL
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim. 2.º trim.
2015
Dominios asociados
Volumen global de spam y correo electrónico
Global Spam and(billones
Email de
Volume
(trillions of messages)
mensajes)
12
10
8
6
4
2
0
3.er trim. 4.º trim.
2013
Spam
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
1.er trim.
2.º trim.
Correo electrónico legítimo
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 38
Estadísticas sobre amenazas
Mensajes
de spam
las 10
de bots principales
Spam
Emailsde
From
Topredes
10 Botnets
(millones
de mensajes)
(millions
of messages)
1 400
Con la red de bots Kelihos inactiva,
la tendencia descendente del
volumen de spam generado por
redes de bots continuó durante
el 2.º trimestre. El primer puesto
fue una vez más para Slenfbot,
seguida de cerca por Gamut, con
Cutwail cerrando los tres primeros
puestos. El tema principal del
spam de Slenfbot durante este
trimestre fue el "alargamiento
del pene", y la línea de asunto
más utilizada fue "Consejos para
noches de felicidad".
1 200
1 000
800
600
400
200
0
3.er trim. 4.º trim.
2013
1.er trim.
2.º trim. 3.er trim.
2014
4.º trim.
Kelihos
Gamut
Asprox
Cutwail
Otros
Stealrat
Slenfbot
Darkmailer
Dyre
1.er trim. 2.º trim.
2015
Darkmailer 2
Worldwide Botnet Prevalence
Prevalencia de redes de bots de spam a nivel mundial
Wapomi
22,0 %
19,9 %
Muieblackcat
Ramnit
2,0 %
Sality
2,7 %
18,4 %
5,1 %
Darkness
Maazben
7,5 %
10,2 %
12,2 %
Dorifel
H-Worm
Otros
Comparta este informe
Informe de McAfee Labs sobre amenazas, agosto de 2015 | 39
Acerca de Intel Security
Comentarios. Para saber en qué
dirección orientarnos, nos interesan
sus opiniones. Si desea transmitirnos
sus impresiones, haga clic aquí para
completar un rápido cuestionario de
solo cinco minutos sobre el informe
de amenazas.
Siga a McAfee Labs
McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected,
su innovador enfoque de seguridad reforzada por hardware y su exclusiva red
Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar
soluciones y servicios de seguridad proactivos que protejan los sistemas, las
redes y los dispositivos móviles de uso personal y empresarial en todo el mundo.
Intel Security combina la experiencia y los conocimientos de McAfee con la
innovación y el rendimiento demostrados de Intel para hacer de la seguridad
un ingrediente fundamental en todas las arquitecturas y plataformas informáticas.
La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar
de forma segura en el mundo digital. www.intelsecurity.com.
www.intelsecurity.com
1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_
Top_Threats_in_2013.pdf
McAfee. Part of Intel Security.
Avenida de Bruselas n.° 22
Edificio Sauce
28108 Alcobendas
Madrid, España
Teléfono: +34 91 347 8500
www.intelsecurity.com
La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los clientes
de McAfee. La información aquí contenida está sujeta a cambios sin previo aviso y se proporciona "TAL CUAL" sin garantías
respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta.
Intel y los logotipos de Intel y de McAfee son marcas comerciales registradas de Intel Corporation en EE. UU. y en otros
países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2015 McAfee, Inc.
62058rpt_qtr-q2_0815