Your SlideShare is downloading. ×
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Informe anual de seguridad de 2014 de Cisco

4,278

Published on

En este informe, Cisco ofrece datos y perspectivas de las principales preocupaciones de seguridad, como los cambios de malware, las tendencias en vulnerabilidades y el resurgimiento de ataques de …

En este informe, Cisco ofrece datos y perspectivas de las principales preocupaciones de seguridad, como los cambios de malware, las tendencias en vulnerabilidades y el resurgimiento de ataques de denegación de servicio distribuido (DDoS). En el informe también se analizan las campañas orientadas a organizaciones, grupos y sectores específicos, y la creciente sofisticación de quienes intentan robar información confidencial. El informe finaliza con recomendaciones para examinar los modelos de seguridad de manera integral y obtener visibilidad de la secuencia completa de los ataques: antes, durante y después de un ataque.

Published in: Technology
1 Comment
8 Likes
Statistics
Notes
No Downloads
Views
Total Views
4,278
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
129
Comments
1
Likes
8
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Informe anual de seguridad de 2014 de Cisco
  • 2. 2 Informe anual de seguridad de 2014 de Cisco Resumen ejecutivo El problema de la confianza La explotación de la confianza es un modo frecuente de operación para los atacantes en línea y otros actores malintencionados. Ellos se aprovechan de la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios con los que interactúan regularmente. Y este enfoque funciona: existe amplia evidencia de que los adversarios están ideando nuevos métodos para integrar su malware en las redes y permanecer sin que se los detecte durante largos períodos, mientras roban datos o desbaratan sistemas críticos. Mediante el uso de métodos que varían desde el robo con ingeniería social de contraseñas y credenciales hasta infiltraciones sigilosas y “ocultas a simple vista” que se ejecutan en minutos, los actores malintencionados continúan vulnerando la confianza pública con el fin de lograr consecuencias perjudiciales. Sin embargo, el problema de la confianza va más allá de los delincuentes que explotan las vulnerabilidades o se aprovechan de los usuarios a través de ingeniería social: debilita la confianza en organizaciones tanto públicas como privadas. Las redes actuales enfrentan dos maneras de deterioro de la confianza. La primera es una disminución de la confianza de los clientes en la integridad de los productos. La segunda es abundante evidencia acerca de que los actores malintencionados están venciendo los mecanismos de confianza, lo que cuestiona la eficacia de la red y la seguridad de las aplicaciones, la autenticación y las arquitecturas de autorización. En este informe, Cisco ofrece datos y perspectivas de las principales preocupaciones de seguridad, como los cambios de malware, las tendencias en vulnerabilidades y el resurgimiento de ataques de denegación de servicio distribuido (DDoS). En el informe también se analizan las campañas orientadas a organizaciones, grupos y sectores específicos, y la creciente sofisticación de quienes intentan robar información confidencial. El informe finaliza con recomendaciones para examinar los modelos de seguridad de manera integral y obtener visibilidad de la secuencia completa de los ataques: antes, durante y después de un ataque. Los actores maliciosos continúan innovando en maneras de explotar la confianza pública con el fin de provocar consecuencias dañinas.
  • 3. 3 Informe anual de seguridad de 2014 de Cisco Descubrimientos clave A continuación se presentan tres hallazgos clave del Informe anual de seguridad de 2014 de Cisco: Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet. • Las explotaciones malintencionadas están ganando acceso a servidores de alojamiento web, servidores de nombres y centros de datos. Esto sugiere la formación de überbots que buscan alta reputación y activos ricos en recursos. • Los errores de búfer son una amenaza principal, en el 21% de las categorías de amenazas de Common Weakness Enumeration (CWE). • Los hallazgos de malware se están moviendo hacia la fabricación de productos electrónicos y los sectores de agricultura y minería en aproximadamente seis veces la tasa promedio de hallazgos en los mercados verticales del sector. Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral. • El correo electrónico no deseado sigue su tendencia descendente, aunque la proporción de correo electrónico no deseado malintencionado permanece constante. • Java comprende el 91% de las explotaciones web; el 76% de las compañías que usan servicios de Cisco Web Security ejecutan Java 6, una versión descontinuada y sin soporte. • Los ataques “watering hole” están dirigidos a sitios web específicos, relacionados con el sector, a fin de distribuir malware. Las investigaciones de empresas multinacionales muestran evidencia de compromiso interno. El tráfico sospechoso emana de sus redes e intenta conectarse a sitios cuestionables (el 100% de las empresas están llamando a hosts de malware malintencionados). • Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados. • Las alertas de amenazas aumentan un 14% de un año a otro; están surgiendo alertas nuevas (no alertas actualizadas). • El 99% de todo el malware móvil en 2013 estuvo dirigido a dispositivos Android. Los usuarios de Android también tienen la tasa más alta de hallazgos (71%) con todas las maneras de malware basado en la web.
  • 4. 4 Informe anual de seguridad de 2014 de Cisco Contenido del informe El Informe anual de seguridad de 2014 de Cisco presenta perspectivas de seguridad en cuatro áreas clave: Confianza Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego. En esta área, abordamos tres presiones que hacen que sean aún más desafiantes los intentos por parte de los profesionales de seguridad de ayudar a sus organizaciones a lograr este equilibrio: • Mayor área de superficie de ataques • Proliferación y sofisticación del modelo del ataque • Complejidad de amenazas y soluciones Inteligencia contra amenazas Mediante el conjunto más grande de telemetría de detección disponible, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado: • Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet. • Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral. • Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados.
  • 5. 5 Informe anual de seguridad de 2014 de Cisco Sector En esta sección, los investigadores de Cisco Security Intelligence Operations (SIO) elevan el debate en torno a las tendencias del sector que se extienden más allá de la telemetría de Cisco, pero que aún así afectan las prácticas de seguridad: desde intentos de inicio de sesión por fuerza bruta, actividad de DDoS a gran escala y esfuerzos de ransomware hasta la creciente dependencia de la nube, falta de personal calificado en seguridad y otras preocupaciones. Recomendaciones Las organizaciones están enfrentando una superficie de ataque más amplia, la creciente proliferación y sofisticación de los modelos de ataque, y mayor complejidad dentro de la red. Muchos se están esforzando por solidificar una visión de seguridad respaldada por una estrategia efectiva que use nuevas tecnologías, simplifique su arquitectura y sus operaciones, y fortalezca sus equipos de seguridad. En esta sección se describe cómo un modelo de seguridad centrado en amenazas permite a los defensores abordar la secuencia completa de los ataques, a través de todos los vectores de ataque, y responder en cualquier momento, todo el tiempo, de manera continua: antes, durante y después de un ataque.
  • 6. 6 Informe anual de seguridad de 2014 de Cisco Cómo Cisco evalúa el panorama de amenazas Cisco desempeña un rol crítico en la evaluación de amenazas, dada la prevalencia de sus soluciones y la amplitud de su inteligencia de seguridad: • 16 000 millones de solicitudes web inspeccionadas cada día a través de Cisco Cloud Web Security • 93 000 millones de correos electrónicos inspeccionados cada día por la solución alojada de correo electrónico de Cisco • 200 000 direcciones IP evaluadas por día • 400 000 muestras de malware evaluadas por día • 33 millones de archivos de terminales evaluados cada día por FireAMP • 28 millones de conexiones de red evaluadas cada día por FireAMP Esta actividad deriva en la detección de las siguientes amenazas por parte de Cisco: • 4500 millones de correos electrónicos bloqueados cada día • 80 millones de solicitudes web bloqueadas cada día • 6450 detecciones de archivos terminales realizadas cada día en FireAMP • 3186 detecciones de redes de terminales realizadas cada día en FireAMP • 50 000 intrusiones de red detectadas cada día
  • 7. 7 Informe anual de seguridad de 2014 de Cisco Contenido Confianza................................................................................................................ 8 Nuevas maneras de hacer negocios, nuevas brechas de seguridad.................................................... 9 Erosión de la confianza...................................................................................................... 11 Principales desafíos de seguridad para 2014.............................................................................. 12 Sistemas transparentes y confiables.......................................................................................16 Inteligencia contra amenazas....................................................................... 20 Aumento de alertas de amenazas..........................................................................................21 Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenaza..............................................................................24 Explotaciones web: Java lidera el grupo.................................................................................. 29 BYOD y movilidad: la maduración de dispositivos beneficia el ciberdelito............................................. 33 Ataques dirigidos: el desafío de desalojar “visitantes” ubicuos y persistentes..........................................37 Instantánea de malware: tendencias observadas en 2013.............................................................. 39 Objetivos principales: mercados verticales del sector....................................................................42 Fracturas en un ecosistema frágil.......................................................................................... 44 Tráfico malintencionado, con frecuencia un signo de ataques dirigidos, detectado en todas las redes empresariales............................................................................................................... 49 Sector.................................................................................................................... 53 Intentos de inicio de sesión por fuerza bruta, una táctica preferida para vulnerar sitios web........................ 54 Ataques de DDoS: lo antiguo vuelve a ser nuevo........................................................................ 56 DarkSeoul.................................................................................................................... 58 La escasez de personal calificado en seguridad y la brecha de soluciones............................................61 La nube como un nuevo perímetro........................................................................................ 62 Recomendaciones............................................................................................ 64 Objetivos para 2014: verificar la confiabilidad y mejorar la visibilidad................................................... 65 Apéndice.............................................................................................................. 68 Las organizaciones de seguridad necesitan científicos de datos....................................................... 69 Acerca de Cisco SIO....................................................................................... 78 Cisco SIO.....................................................................................................................79 Acerca de este documento Este documento incluye contenido que permite búsquedas y se puede compartir. Busque este icono para abrir la función de búsqueda en Adobe Acrobat. Software recomendado Adobe Acrobat versión 7.0 y posteriores Busque estos iconos para compartir contenido.[ ]
  • 8. 8 Informe anual de seguridad de 2014 de Cisco Confianza Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego.
  • 9. 9 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Nuevas maneras de hacer negocios, nuevas brechas de seguridad Los débiles enlaces en la cadena de suministro de tecnología son una faceta del complejo panorama actual de riesgo y ciberamenazas. También lo es el surgimiento de una infraestructura cualquiera con cualquiera (any-to-any), en la que cualquier dispositivo de cualquier ubicación puede afectar cualquier creación de instancias de la red.1 Además, existe una creciente abundancia de dispositivos habilitados para Internet —smartphones, tablets y más— que intentan conectarse a aplicaciones que podrían estar ejecutándose en cualquier lugar, incluidas una nube pública de software como servicio (SaaS), una nube privada o una nube híbrida.2 Incluso los servicios básicos de infraestructura de Internet se han convertido en un objetivo para los piratas informáticos, que quieren aprovecharse de la reputación, el ancho de banda y el tiempo de actividad, y la disponibilidad continuos de servidores de alojamiento web, servidores de nombres y centros de datos para lanzar campañas cada vez más grandes. (Consulte “Fracturas en un ecosistema frágil”, página 44). Si bien las tendencias como computación en la nube y movilidad están reduciendo la visibilidad y aumentando la complejidad de la seguridad, aún así, las organizaciones deben adoptarlas, porque ellas son fundamentales para desarrollar ventaja competitiva y éxito comercial. No obstante, están surgiendo brechas de seguridad, que se amplían día a día, dado que los equipos de seguridad intentan ajustar las soluciones tradicionales con maneras novedosas y en constante evolución para hacer negocios. Mientras tanto, los actores malintencionados están trabajando más rápido para explotar las brechas que las soluciones puntuales no integradas simplemente no pueden reducir. Y están teniendo éxito, porque cuentan con los recursos para ser más ágiles. La red de ciberdelito se está expandiendo, fortaleciendo, y está funcionando cada vez más como cualquier red empresarial legítima y sofisticada. La jerarquía de ciberdelincuentes actual es como una pirámide (consulte la Figura 1). En la parte inferior se encuentran los oportunistas no técnicos y los usuarios de “crimeware como un servicio” que desean hacer dinero, La infraestructura básica de Internet se ha convertido en un objetivo para los piratas informáticos. [ ]
  • 10. 10 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza una declaración, o ambos con sus campañas. En el medio están los resellers y mantenedores de infraestructuras: los “intermediarios”. En la parte superior se hallan los innovadores técnicos, los jugadores principales más buscados por las autoridades encargadas del orden público, y que más difícil resulta encontrar. Por lo general, los ciberdelincuentes modernos tienen objetivos comerciales claros cuando lanzan sus ataques. Saben qué información están buscando y qué resultados desean obtener, y conocen la ruta que deben tomar para alcanzar estos objetivos. Los adversarios dedicarán una importante cantidad de tiempo en investigar a sus víctimas, con frecuencia a través de información disponible públicamente en redes sociales, y en planificar estratégicamente sus objetivos. Muchos actores en la denominada “economía sumergida” ahora también envían malware de vigilancia para recopilar información acerca de un entorno, incluida la tecnología de seguridad implementada, con el fin de idear sus ataques. Este reconocimiento previo a la explotación es la manera que tienen algunos escritores de malware para estar seguros de que su malware funcionará. Una vez integrado en una red, el malware avanzado que diseñan se puede comunicar con servidores de comando y control en el exterior y extenderse lateralmente en la infraestructura para ejecutar su misión: ya sea el robo de datos esenciales o la interrupción de sistemas críticos. FIGURA 1 La jerarquía de ciberdelincuentes Innovadores de servicios Resellers/mantenedores de infraestructura Oportunistas no técnicos/usuarios de Crimeware como servicio [ ]
  • 11. 11 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Erosión de la confianza Las amenazas diseñadas para aprovechar la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios que conocen constituyen, hoy en día, elementos permanentes del mundo cibernético. Examine casi cualquier esquema y, en el centro, encontrará cierto abuso de confianza: malware enviado a usuarios que navegan legítimamente sitios web convencionales. Correos electrónicos no deseados que parecen enviados por empresas muy conocidas, pero que contienen vínculos a sitios malintencionados. Aplicaciones móviles de terceros vinculadas con malware y descargadas de populares catálogos de soluciones en línea. Personas de una organización que tienen privilegios de acceso a información confidencial y los usan para robar propiedad intelectual de los empleados. Todos los usuarios deben suponer que es probable que nada del mundo cibernético sea de confianza. Y los profesionales de seguridad pueden hacerle un favor a sus organizaciones al no confiar en ningún tráfico de red3 , o no teniendo plena fe en las prácticas de seguridad de los proveedores o las cadenas de suministro que proporcionan tecnología a la empresa. Sin embargo, las organizaciones en los sectores público y privado, los usuarios individuales, e incluso los estados nación querrán asegurarse de que pueden confiar en las tecnologías fundamentales en las que confían todos los días. Esta necesidad de confianza en la seguridad ha permitido promover el avance de los “Criterios comunes” (Common Criteria for Information Technology Security Evaluation), el lenguaje y el marco que permite que los organismos estatales y otros grupos definan los requisitos que deben cumplir los productos tecnológicos para garantizar que sean confiables. Hoy, 26 países, incluido Estados Unidos, están participando en el Acuerdo de Reconocimiento de Criterios Comunes (Common Criteria Recognition Arrangement), un acuerdo multilateral que proporciona el reconocimiento mutuo de los productos evaluados por parte de los gobiernos que participan. Sin embargo, en 2013, la confianza en general sufrió un revés. El catalizador: Edward Snowden. El excontratista del Gobierno de EE. UU. filtró información secreta al periódico británico The Guardian; esta información la obtuvo mientras trabajaba en una misión para la Agencia Nacional de Seguridad (NSA) de EE. UU.4 Los usuarios deberían suponer que no se puede ni debe confiar en nada en el mundo cibernético.
  • 12. 12 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Las revelaciones de Snowden a los medios hasta la fecha incluyen detalles acerca de la vigilancia electrónica de la NSA y del programa de recolección de datos, PRISM5 , así como también de un programa separado de la NSA-GCHQ6 conocido como MUSCULAR, a través del cual supuestamente se interceptaban las redes de fibra óptica que transportan tráfico de los centros de datos en el extranjero de las principales empresas de Internet.7 Estas y otras revelaciones realizadas por Snowden acerca de las prácticas de vigilancia del gobierno han minado la confianza en muchos niveles: entre estados nación, entre gobiernos y el sector privado, entre ciudadanos particulares y sus gobiernos, y entre ciudadanos particulares y las organizaciones en los sectores público y privado. Naturalmente, también han generado preocupaciones acerca de la presencia y los riesgos potenciales tanto de las vulnerabilidades no intencionales como de las puertas traseras o “backdoors” intencionales en los productos tecnológicos, y acerca de si los proveedores están haciendo lo suficiente para evitar estas debilidades y proteger a los usuarios finales. Principales desafíos de seguridad para 2014 Mientras se socava la confianza, y a medida que se vuelve más difícil definir qué sistemas y relaciones son confiables y cuáles no, las organizaciones se enfrentan a varios problemas clave que debilitan su capacidad para abordar la seguridad: 1 |  Mayor área de superficie de ataque 2 |  Proliferación y sofisticación del modelo del ataque 3 |  Complejidad de amenazas y soluciones Estos problemas combinados crean y exacerban las brechas de seguridad, que permiten que los actores malintencionados lancen explotaciones con más rapidez de lo que las organizaciones pueden abordar sus debilidades de seguridad. Estos riesgos y amenazas se examinan con más detalles en las páginas siguientes. [ ]
  • 13. 13 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza 1 | Mayor área de superficie de ataque La superficie de ataque actual presenta infinidad de posibilidades para que los actores malintencionados debiliten un ecosistema de seguridad grande y frágil. La superficie ha crecido de manera exponencial y continúa expandiéndose: demasiados terminales, demasiados avances, demasiados datos fuera del control de la empresa. Los datos representan el premio que la mayoría de los adversarios desea alcanzar a través de sus campañas, porque equivalen básicamente a dinero. Si los datos tienen algún “valor en la calle” —ya sea si se trata de propiedad intelectual de una corporación importante o de los datos de servicios de salud de una persona—, son deseables y, en consecuencia, están en riesgo. Si el valor del objetivo es mayor que el riesgo de comprometerlo, será pirateado. Incluso las organizaciones pequeñas están en riesgo de ser pirateadas. Y a la mayoría de las organizaciones —grandes y pequeñas— ya las han vulnerado sin siquiera tener conocimiento de ello: el 100% de las redes comerciales que analizó Cisco envían tráfico a sitios web que alojan malware. FIGURA 2 La anatomía de una amenaza moderna Internet y aplicaciones en la nube Red pública Campus Perímetro Empresas Centro de datos El punto de entrada de infección ocurre fuera de la empresa La ciberamenaza avanzada traspasa la defensa perimetral La amenaza se extiende e intenta exfiltrar datos de valor
  • 14. 14 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza La anatomía de una amenaza moderna, esbozada en la Figura 2, subraya cómo el objetivo final de muchas campañas de ciberdelito es alcanzar el centro de datos y exfiltrar datos de valor. En este ejemplo, ocurre una acción malintencionada en un dispositivo fuera de la red de la empresa. Provoca una infección, que se mueve a una red del campus. Dicha red funciona como plataforma de lanzamiento hacia la red de la empresa y, luego, la amenaza se abre camino hacia el tesoro escondido: el centro de datos. En vista del área en expansión de la superficie de ataque y de la selección de datos de gran valor como objetivo por parte de los piratas informáticos, los expertos en seguridad de Cisco recomiendan que las empresas busquen dar respuesta a dos preguntas importantes en 2014: “¿Dónde residen nuestros datos críticos?” y “Cómo podemos crear un entorno seguro para proteger dichos datos, especialmente cuando los nuevos modelos empresariales, como la computación en la nube y la movilidad, nos dejan con poco control sobre ellos?” 2 | Proliferación y sofisticación del modelo de ataque El panorama de amenazas actual no se parece en nada al de solo 10 años atrás. Los ataques simples que provocaban daño controlable han dado lugar a operaciones modernas de ciberdelito, que son sofisticadas, están bien financiadas y son capaces de generar interrupciones importantes en las organizaciones. Las empresas se han convertido en el foco de los ataques dirigidos. Estos ataques son muy difíciles de detectar, permanecen en las redes durante períodos prolongados y acumulan recursos de la red para lanzar ataques en otros lugares. Para cubrir la secuencia completa de los ataques, las organizaciones deben abordar una amplia gama de vectores de ataque, con soluciones que operen en cualquier lugar en el que pueda manifestarse la amenaza: en la red, en terminales, en dispositivos móviles y en entornos virtuales. “¿Dónde residen nuestros datos críticos?” y “¿cómo podemos crear un entorno seguro para proteger esos datos, en especial cuando los nuevos modelos empresariales, como la computación en nube y la movilidad, solo nos permiten tener poco control sobre ellos?”. Expertos en seguridad de Cisco El objetivo final de muchas campañas de delitos informáticos es tener acceso al centro de datos y filtrar datos valiosos.
  • 15. 15 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza 3 | Complejidad de amenazas y soluciones Lejos han quedado los días en que los bloqueadores de correo electrónico no deseado y el software antivirus podían ayudar a proteger un perímetro de red fácilmente definido de la mayoría de las amenazas. Las redes actuales van más allá de los límites tradicionales, y evolucionan constantemente para generar nuevos vectores de ataque: dispositivos móviles, aplicaciones móviles y habilitadas para la web, hipervisores, medios sociales, navegadores web, computadoras domésticas e incluso vehículos. Las soluciones de un momento dado (point-in- time) no pueden responder a los miles de tipos de tecnologías y estrategias que usan los actores malintencionados. Esto dificulta aún más la supervisión y la administración de la seguridad de la información para los equipos de seguridad. Las vulnerabilidades organizativas están en aumento porque las empresas están trabajando a través de soluciones puntuales desagregadas y diversas plataformas de administración. El resultado: un conjunto de tecnologías dispares en puntos de control que nunca se diseñaron para trabajar juntas. Esto aumenta el potencial de comprometer la información del cliente, la propiedad intelectual y otra información confidencial, y pone en riesgo la reputación de la empresa. Se requiere una capacidad continua que proporcione la mejor oportunidad para satisfacer los desafíos de los complejos entornos de amenazas. Los ataques incesantes no ocurren en un momento específico; son continuos. De manera que también deben ser continuas las defensas de la empresa. Con la complejidad de las amenazas y las soluciones correspondientes que alcanzaron un máximo histórico, las organizaciones deben repensar sus estrategias de seguridad. En lugar de confiar en soluciones puntuales, pueden minimizar la complejidad mediante la integración continua de la seguridad en la estructura de la red misma, de manera que la red pueda: • Supervisar y analizar archivos continuamente e identificar el subsiguiente comportamiento malintencionado ni bien se produzca. • Ayudar a las organizaciones a escalar el cumplimiento de la ley mediante la expansión de la superficie en la que se pueden colocar los dispositivos de red. • Acelerar el tiempo de detección, porque puede ver más tráfico. • Otorgar a las organizaciones la capacidad de agregar reconocimiento único del contexto que no es posible obtener mediante la sola confianza en dispositivos específicos de seguridad. Las soluciones de un momento dado no pueden responder al sinnúmero de tecnologías y estrategias que utilizan los actores maliciosos.
  • 16. 16 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza El cambio hacia la movilidad y los servicios en la nube está imponiendo una carga mayor de seguridad en los terminales y dispositivos móviles que, en algunos casos, pueden no tocar nunca la red de la empresa. El hecho es que los dispositivos móviles introducen riesgo de seguridad cuando se usan para acceder a los recursos de la empresa; se conectan fácilmente con servicios de terceros en la nube y computadoras con posturas de seguridad que son potencialmente desconocidas y están fuera del control de la empresa. Además, el malware móvil está creciendo rápidamente, lo que aumenta aún más el riesgo. Dada la falta de visibilidad —siquiera básica—, la mayoría de los equipos de seguridad de TI no cuentan con la capacidad para identificar amenazas potenciales de estos dispositivos. Los enfoques avanzados, como la capacidad continua, desempeñarán un papel más importante gracias a que abordan el malware avanzado a través del análisis de los datos masivos que agregan datos y eventos en la red ampliada para proporcionar una mayor visibilidad incluso después de que se ha movido un archivo a la red o entre terminales. Esto difiere de la seguridad en los terminales en un momento dado que analiza archivos en un momento específico inicial para determinar una disposición de malware. El malware avanzado puede evadir este análisis para establecerse rápidamente en los terminales y extenderse a través de las redes. Sistemas transparentes y confiables En vista de la mayor área de superficie de ataque, la creciente proliferación y sofisticación del modelo de ataque, y la complejidad de las amenazas y soluciones, debemos confiar en la información que consumimos, junto con los sistemas que la distribuyen, sin importar cómo accedemos a los servicios en red. La creación de un entorno de red verdaderamente seguro se vuelve incluso más compleja a medida que los gobiernos y las empresas invierten en movilidad, colaboración, computación en la nube y otras maneras de virtualización. Estas funcionalidades permiten mejorar la Los dispositivos móviles aportan riesgos de seguridad cuando se los utiliza para tener acceso a los recursos de la empresa.
  • 17. 17 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza recuperabilidad, aumentar la eficiencia y reducir los costos, pero también pueden introducir riesgos adicionales. La seguridad de los procesos de fabricación que crean productos de TI también está en riesgo, y los productos falsificados y alterados constituyen un problema en aumento. Como resultado, la mayoría de los líderes actuales de gobiernos y empresas identifican los problemas de la ciberseguridad y la confianza asociada como las preocupaciones principales. La pregunta que deberían hacer los profesionales de seguridad es: ¿Qué haríamos diferente si supiéramos que un compromiso fuera inminente? Los actores maliciosos buscarán y explotarán cualquier debilidad de seguridad en la cadena de abastecimiento tecnológico. Las vulnerabilidades y puertas traseras intencionales en productos de tecnología pueden proporcionarles, en última instancia, el acceso a “toda la casa”. Las puertas traseras han sido un problema de seguridad por mucho tiempo y deberían ser una preocupación para las organizaciones, porque existen solamente para ayudar a facilitar la actividad furtiva o delictiva. El desarrollo de sistemas confiables significa crear seguridad desde cero, desde el principio hasta el final del ciclo de vida de un producto. Cisco Secure Development Lifecycle (CSDL)8 recomienda una metodología repetible y medible diseñada para desarrollar la seguridad del producto en la etapa de concepto del producto, minimizar las vulnerabilidades durante el desarrollo y aumentar la recuperabilidad de los productos ante un ataque. Los sistemas confiables proporcionan la base para un enfoque de mejora continua de la seguridad, que anticipe y prevenga nuevas amenazas. Dichas infraestructuras no solo protegen información fundamental, sino que también, y más importante, ayudan a evitar interrupciones de servicios críticos. Los productos confiables respaldados por proveedores confiables permiten a sus usuarios minimizar los costos y los daños a la reputación como consecuencia de la apropiación indebida de información, los cortes de servicio y las violaciones de información. Los sistemas confiables, sin embargo, no deben confundirse con la inmunidad a un ataque externo. Los clientes de TI y los usuarios tienen un papel importante que desempeñar a fin de mantener la eficacia de los sistemas confiables para rechazar los intentos de corromper sus operaciones. Esto incluye la instalación oportuna de actualizaciones y parches de seguridad, la constante vigilancia para reconocer comportamientos anormales del sistema y la adopción de contramedidas eficaces contra los ataques. Los actores maliciosos buscarán y explotarán cualquier debilidad de seguridad en la cadena de abastecimiento tecnológico.
  • 18. 18 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Las tecnologías no se quedan quietas; tampoco los atacantes. La garantía de confiabilidad de un sistema debe cubrir el ciclo de vida completo de una red, desde el diseño inicial hasta la fabricación, la integración del sistema, la operación diaria, el mantenimiento y las actualizaciones, y, en última instancia, la retirada de la solución. La necesidad de sistemas confiables se extiende más allá de la red propia de una organización para incluir aquellas redes con las que una organización puede conectarse. Los equipos de Cisco Security Research and Operations han observado, en el último año, un aumento del uso de pivoting. La técnica de pivoting en el ciberdelito involucra el uso de una puerta trasera, vulnerabilidad o explotación simple de la confianza en algún punto de la secuencia de ataque como un trampolín para lanzar una campaña más sofisticada contra objetivos mucho más grandes, como la red de una firma de energía importante o el centro de datos de una institución financiera. Algunos piratas informáticos usan la confianza que existe entre las organizaciones como la base para una operación de pivoting, explotando a un socio comercial de confianza para atacar y explotar a otro partner empresarial o gubernamental de confianza desprevenido. La vigilancia es apropiada en el panorama de amenaza moderno. La seguridad debe adaptarse a todos los estados transitorios que forman parte del entorno de TI de la empresa, y debe validar perceptible y objetivamente la confianza del sistema, en función de datos y procesos confirmados e independientes. El enfoque más sostenible es una defensa dinámica adaptada al entorno único de una organización, que incluya controles de seguridad en constante evolución para que sigan siendo relevantes.9 Los sistemas confiables pueden existir en este entorno, y la transparencia es esencial para poder desarrollarlos. “Un sistema confiable debe diseñarse sobre una base sólida: prácticas de desarrollo de productos, una cadena de suministro confiable y un enfoque arquitectónico que conste de diseño de red, implementación y políticas”, dice John N. Preocupaciones principales para 2014 de los CISO actuales A medida que los jefes de seguridad de la información (CISO) miden el panorama de amenazas actual, se enfrentan a una creciente presión de proteger terabytes de datos, respetar las estrictas normas de cumplimiento y evaluar los riesgos de trabajar con proveedores externos; todo esto con presupuestos cada vez más reducidos y equipos de TI austeros. Los CISO tienen que realizar más tareas que nunca antes y administrar amenazas complejas y sofisticadas. Los principales estrategas de seguridad de los servicios de seguridad de Cisco, quienes asesoran a los CISO sobre los enfoques de seguridad para sus organizaciones, proporcionan esta lista de las preocupaciones y desafíos más exigentes para 2014: Administración del cumplimiento La preocupación más generalizada entre los CISO probablemente sea la necesidad de proteger los datos que residen en una red cada vez más porosa, mientras que gastan recursos valiosos en cumplimiento. El cumplimiento por sí mismo no significa que es seguro, simplemente es una línea de base mínima que se centra en las necesidades de un entorno regulado especial. Por otro lado, la seguridad es un enfoque global que abarca todas las actividades comerciales. Confianza en la nube Los CISO deben tomar decisiones sobre cómo administrar la información Continúa en la página siguiente.
  • 19. 19 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Stewart, vicepresidente sénior y jefe de seguridad de Cisco. “Pero el atributo más importante es la transparencia del proveedor”. El precio de mayor transparencia es menos privacidad, pero el equilibrio adecuado se puede alcanzar mediante cooperación, que deriva en mayores oportunidades para ajustar la inteligencia contra amenazas y las mejores prácticas de seguridad. Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego. A largo plazo, se puede alcanzar mayor ciberseguridad para todos los usuarios, y se puede aprovechar el potencial completo de la economía emergente de Internet de Todo10 . Pero el logro de estos objetivos dependerá de políticas de privacidad eficaces y defensas de red sólidas que distribuyan con inteligencia la carga de seguridad en los terminales y la red. A corto plazo, y tal vez más cerca del hogar, se encuentra la necesidad que tienen las empresas modernas de usar los mejores métodos y datos disponibles para ayudar a proteger sus recursos más valiosos, y asegurarse de no contribuir directamente a desafíos más amplios de ciberseguridad. Las organizaciones actuales deben considerar el impacto que pueden tener sus prácticas de seguridad en el ecosistema de ciberseguridad más amplio y cada vez más complejo e interconectado. No tener en cuenta esta vista de “panorama general” puede hacer que una organización reciba una puntuación de mala reputación, lo que significa que ningún proveedor de seguridad líder permitirá a los usuarios acceder a su sitio. Para las empresas no es fácil salir de la lista negra, y algunas nunca se recuperan completamente. Para conocer más sobre las prácticas de los sistemas confiables de Cisco, visite www.cisco.com/go/trustworthy. de manera segura con presupuestos limitados y el tiempo que tienen asignado. Por ejemplo, la nube se ha convertido en una manera rentable y ágil de administrar almacenes de datos cada vez más crecientes pero trae más preocupaciones para los CISO. Los directores generales y las juntas directivas tienen el concepto de que la nube es una panacea para eliminar el hardware costoso. Desean obtener los beneficios de descargar datos en la nube y esperan que los CISO lo hagan de manera rápida y segura. Confianza en los proveedores Al igual que con la nube, las organizaciones recurren a los proveedores para que les proporcionen soluciones especializadas. El modelo de costos para recurrir a terceros tiene sentido. Sin embargo, estos proveedores son objetivos de gran valor para los delincuentes, quienes conocen que las defensas de terceros no siempre son sólidas. Recuperación de infracciones de seguridad Todas las organizaciones deben asumir que su seguridad se ha vulnerado o, por lo menos, reconocer que no se trata de determinar si serán el objetivo de un ataque, sino cuándo. Los CISO tienen presentes los actos de piratería recientes, como Operation Night Dragon, la infracción a RSA y el ataque Shamoon contra una importante empresa de gas y petróleo en 2012. (Consulte el informe de Cisco sobre la prevalencia de actividad maliciosa en las redes corporativas en la página 49). Continúa desde la página anterior. [ ]
  • 20. 20 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Mediante el conjunto más grande de telemetría de detección con el que es posible trabajar, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado.
  • 21. 21 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Aumento de alertas de amenaza Las vulnerabilidades y amenazas informadas por Cisco IntelliShield® mostraron un crecimiento sostenido en 2013: a partir de octubre de 2013; los totales de alertas anuales acumulados aumentaron un 14% interanual desde 2012 (Figura 3). Las alertas de octubre de 2013 estuvieron en su nivel más alto desde que IntelliShield comenzó a registrarlas en mayo de 2000. También es notable el aumento significativo en las alertas nuevas en oposición a las alertas actualizadas, según los controles de IntelliShield (Figura 4). Los proveedores de tecnología e investigadores están buscando un mayor número de nuevas vulnerabilidades (Figura 5); los descubrimientos son el resultado del mayor énfasis en el uso de un ciclo de vida de desarrollo altamente seguro, así como también de las mejoras en seguridad de sus propios productos. El mayor número de vulnerabilidades nuevas también puede ser un signo de que los proveedores están examinando su código de producto y están corrigiendo las vulnerabilidades antes de lanzar los productos, y de que dichas vulnerabilidades se aprovechen. FIGURA 3 Totales de alertas anuales acumulados: 2010-2013 0 Jan. Dic.Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 1000 2000 3000 4000 5000 6000 7000 Mes 2013 2012 2011 2010
  • 22. 22 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 4 Alertas nuevas y actualizadas: 2013 Jan. Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Nuevo Alerta de amenaza Actualizado Alerta Mes 224303 386212 333281 387256 221324 366291 293391 215286 278437 320517 0 400 200 800 600 1000 211347 Más atención en el desarrollo de software seguro puede permitir generar confianza en las soluciones del proveedor. Un ciclo de vida de desarrollo seguro no solo mitiga el riesgo de vulnerabilidades y permite a los proveedores detectar defectos potenciales en las primeras etapas del desarrollo, sino que también le dice a los compradores que pueden confiar en estas soluciones.
  • 23. 23 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 5 Categorías de amenazas comunes controladas por Cisco IntelliShield NOTA: Estas categorías de amenazas de CWE (Common Weakness Enumeration), según lo definido por la National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), concuerdan con los métodos que usan los actores malintencionados para atacar las redes. 1 1 5 2 3 4 6 7 8 2 34 5 6 7 8 9 CWE-119: Errores de búfer Otras alertas de Intellishield (actividad, problemas, CRR, AMB) CWE-399: Errores de administración de recursos CWE-20: Validación de entrada 9 CWE: Error de diseño CWE-310: Problemas criptográficos CWE-287: Problemas de autenticación CWE-352: Falsificación de solicitud entre sitios (CSRF) CWE-22: Cruce seguro de ruta CWE-78: Inserciones de comandos de sistema operativo CWE-89: Inserción de SQL CWE-362: Condiciones de carrera CWE-255: Administración de credenciales CWE-59: Seguimiento de enlaces CWE-16: Configuración CWE: Información insuficiente CWE: Otros CWE-189: Errores numéricos CWE-264: Permisos, privilegios y control de acceso CWE-200: Divulgación/pérdida de información CWE-79: Scripting entre sitios (XSS) CWE-94: Inserción de códigos
  • 24. 24 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenaza El volumen de correo electrónico no deseado se encontraba en una tendencia mundial descendente en 2013. Sin embargo, si bien el volumen total puede haber disminuido, la proporción de correo electrónico no deseado malintencionado permanece constante. Los individuos que envían correo electrónico no deseado usan la velocidad como una herramienta, para aprovecharse de la confianza de los usuarios de correo electrónico, enviando grandes cantidades de correo electrónico no deseado cuando los eventos de noticias o las tendencias disminuyen la resistencia de los destinatarios a las estafas de correo electrónico no deseado. Después del atentado de la maratón de Boston del 15 de abril de 2013, comenzaron dos campañas de correo electrónico no deseado a gran escala: una el 16 de abril y la otra el 17 de abril, diseñadas para atraer a usuarios de correo electrónico ávidos de noticias sobre el impacto del evento. Los investigadores de Cisco primero detectaron el registro de cientos de nombres de dominios relacionados con el bombardeo a solo horas de que ocurrieran los ataques de la maratón de Boston.11 Ambas campañas de correo electrónico no deseado llevaban líneas de asunto acerca de supuestos boletines de noticias relacionados con los bombardeos, mientras que los mensajes contenían supuestos enlaces a videos de las explosiones o noticias de fuentes de medios acreditados. Los enlaces dirigían a los destinatarios a páginas web que incluían enlaces a noticias o videos verdaderos, pero también iframes Los spammers (principales fuentes de correo no deseado) se aprovechan del deseo de obtener más información después de un suceso importante.
  • 25. 25 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas malintencionados diseñados para infectar las computadoras de los visitantes. En su punto máximo, el correo electrónico no deseado relacionado con el atentado de la maratón de Boston constituyó el 40% de todos los mensajes de correo electrónico no deseado enviados en todo el mundo el 17 de abril de 2013. Figura 6: se muestra una de las campañas de correo electrónico no deseado de botnet disfrazada como un mensaje de CNN.12 Figure 7: se muestra el HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston. El iframe final (parcialmente ilegible) es de un sitio web malintencionado.13 Debido a que el correo electrónico no deseado sobre noticias de última hora es tan inmediato, los usuarios de correo electrónico están más propensos a creer que los mensajes de correo electrónico no deseado son legítimos. Los spammers (principales fuentes de correo no deseado) se aprovechan del deseo de las personas de obtener más información después de un suceso importante. Cuando en el correo electrónico no deseado se proporciona a los usuarios en línea lo que ellos desean, es mucho más fácil engañarlos para que realicen una acción determinada, como hacer clic en un enlace infectado. También es mucho más fácil evitar que sospechen que algo anda mal con el mensaje.
  • 26. 26 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 6 Correo electrónico no deseado de las explosiones en la maratón de Boston FIGURA 7 HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston iframe width=640 height=360 src=https://www.youtube.com/embed/H4Mx5qbgeNo iframe iframe width=640 height=360 src=https://www.youtube.com/embed/JVU7rQ6wUcE iframe iframe width=640 height=360 src=https://bostonmarathonbombing.html iframe
  • 27. 27 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Correo electrónico no deseado: números El volumen de correo electrónico no deseado global está descendiendo de acuerdo con los datos recopilados por Cisco Threat Research Analysis and Communications (TRAC)/SIO (Figura 8), aunque las tendencias varían de un país a otro (Figura 9). FIGURA 8 Volumen de correo electrónico no deseado global: 2013 Fuente: Cisco TRAC/SIO 0 Jan. Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 20 40 60 80 100 120 140 160 Mes Milmillonespordía FIGURA 9 Tendencias de volumen: 2013 Fuente: Cisco TRAC/SIO 0 Jan. Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 5 10 15 20 25 Mes Volumenenporcentaje Estados Unidos Corea, República de China Italia España
  • 28. 28 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 10 Temas principales para mensajes de correo electrónico no deseado en todo el mundo 1. Notificaciones de pagos/depósitos bancarios Notificaciones de depósitos, transferencias, pagos, cheque devuelto, alerta de fraude. 2. Compra de productos en línea Confirmación de pedidos de productos, solicitud de orden de compra, cotización, prueba. 3. Fotografía adjunta Fotografía maliciosa adjunta. 4. Notificaciones de envío Facturas, entrega o recolección, seguimiento. 5. Citas en línea Sitios de citas en línea. 6. Impuestos Documentos fiscales, reembolsos, informes, información de deuda, declaraciones de impuestos en línea. 7. Facebook Estado de cuenta, actualizaciones, notificaciones, software de seguridad. 8. Tarjeta de regalo o vale Alertas de diversas tiendas (Apple fue la más popular). 9. PayPal Actualización de cuenta, confirmación, notificación de pago, reclamación de pago.
  • 29. 29 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Explotaciones web: Java lidera el grupo De todas las amenazas basadas en la web que debilitan la seguridad, las vulnerabilidades en el lenguaje de programación Java siguen siendo los objetivos explotados con más frecuencia por los delincuentes en línea, de acuerdo con los datos de Cisco. Las explotaciones de Java sobrepasan en gran medida las detectadas en documentos de Flash o Adobe PDF, que también son vectores populares de actividad delictiva (Figura 11). Los datos de Sourcefire, ahora parte de Cisco, también muestran que las explotaciones de Java constituyen la amplia mayoría (91%) de los indicadores de compromiso (IoC) que son supervisados por la solución FireAMP de Sourcefire para análisis y protección avanzados de malware (Figura 12). FireAMP detecta los compromisos activos en los terminales y, luego, registra el tipo de software que provocó cada compromiso. FIGURA 11 Ataques malintencionados generados a través de PDF, Flash y Java 2013 Fuente: Informes de Cisco Cloud Web Security Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Memoria flash PDF Mes Java Jan. 0 2% 4% 6% 10% 8% 14% 12% 16%
  • 30. 30 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Para amenazas como las explotaciones de Java, los problemas más significativos que enfrentan los profesionales de seguridad son cómo se introduce el malware en su entorno de red y dónde deberán centrar sus esfuerzos para minimizar la infección. Las acciones individuales pueden no parecer malintencionadas, pero seguir una secuencia de eventos puede arrojar luz sobre la historia del malware. Determinar la secuencia de eventos es la capacidad para dirigir un análisis retrospectivo de la información que conecta la ruta que toman los actores malintencionados para traspasar la seguridad perimetral e infiltrar la red. Por sí solos, los IoC pueden demostrar que ir a un sitio web específico es seguro. A su vez, el lanzamiento de Java puede ser una acción segura, al igual que el lanzamiento de un archivo ejecutable. Sin embargo, una organización está en riesgo si un usuario visita un sitio web con una inyección de iframe, que luego lanza Java; a continuación, Java descarga un archivo ejecutable y el archivo ejecuta acciones malintencionadas. FIGURA 12 Indicadores de compromiso, por tipo Fuente: Sourcefire (solución FireAMP) 3% Microsoft Excel 1% Microsoft PowerPoint 3% Adobe Reader 2% Microsoft Word 91% Vulnerabilidad de Java
  • 31. 31 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas La ubicuidad de Java lo mantiene en los primeros puestos en la lista de herramientas favoritas para los delincuentes, lo que hace que los compromisos de Java sean, con mucho, la actividad de “secuencia de eventos” más malintencionada en 2013. Como lo explica la página web “About Java” (Acerca de Java), el 97% de los equipos de escritorio empresariales ejecutan Java, al igual que el 89% de las computadoras de escritorio generales en Estados Unidos.14 Java proporciona una superficie de ataque que es demasiado grande como para que los delincuentes la ignoren. Tienden a crear soluciones que ejecutan explotaciones en orden; por ejemplo, primero intentan violar una red o robar datos a través de la vulnerabilidad más fácil o más conocida antes de pasar a otros métodos. En algunos casos, Java es la explotación que los delincuentes eligen en primer lugar, ya que proporciona el mejor rendimiento de la inversión. Mitigación del problema de Java A pesar de que las explotaciones basadas en Java son comunes, y las vulnerabilidades son difíciles de eliminar, existen métodos para reducir su impacto: • Si resulta práctico, deshabilitar Java en los navegadores de toda la red puede evitar que se lancen estas explotaciones. • Las herramientas de telemetría, como Cisco NetFlow, integradas en muchas soluciones de seguridad, pueden supervisar el tráfico asociado a Java y otorgar a los profesionales de seguridad una mayor comprensión de las fuentes de amenazas. • La administración integral de parches puede cerrar muchas brechas de seguridad. • Las herramientas de supervisión y análisis de terminales, que continúan controlando y analizando archivos después de que ingresan en la red, pueden detectar en retrospectiva y detener las amenazas que pasaron como seguras pero luego exhibieron comportamiento malintencionado. • Se puede generar una lista prioritaria de dispositivos potencialmente comprometidos mediante el uso de IoC para correlacionar inteligencia de malware (incluso eventos aparentemente benignos) y para identificar una infección de día cero sin firmas antivirus existentes. Actualizar a la última versión de Java también ayudará a evitar las vulnerabilidades. De acuerdo con la investigación de Cisco TRAC/SIO, el 90% de los clientes de Cisco usan una versión del entorno Java 7 Runtime Environment, la versión más reciente del programa. Esto es bueno desde el punto de vista de la seguridad, ya que esta versión puede ofrecer más protección contra vulnerabilidades.
  • 32. 32 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Sin embargo, la investigación de Cisco TRAC/SIO también muestra que el 76% de las empresas que usan soluciones de Cisco también usan Java 6 Runtime Environment, además de Java 7. Java 6 es la versión anterior que se discontinuó y ya no cuenta con soporte. Por lo general, las empresas usan ambas versiones del entorno Java Runtime Environment porque las diferentes aplicaciones dependen de diferentes versiones para ejecutar el código Java. Sin embargo, dado que más de tres cuartos de las empresas encuestadas por Cisco usan una solución descontinuada y con vulnerabilidades que puede que nunca se revisen públicamente, los delincuentes tienen amplias oportunidades para explotar las debilidades. En 2013, los hallazgos de malware web de Java llegaron a su punto máximo en abril, en el 14% de todos los hallazgos de malware web. Estos hallazgos descendieron a su punto más bajo en mayo y junio de 2013, en aproximadamente el 6% y el 5% de todos los hallazgos de malware web, respectivamente (Figura 13). (A principios de este año, Oracle anunció que ya no publicaría actualizaciones de Java SE 6 en su sitio de descargas público, aunque las actualizaciones de Java SE 6 existentes estarán disponibles en el archivo de Java en la red de tecnología de Oracle). Si los profesionales de seguridad que tienen tiempo limitado para combatir las explotaciones web deciden centrar más su atención en Java, estarán colocando sus recursos en el lugar adecuado. FIGURA 13 Hallazgos de malware web Java: 2013 Fuente: Cisco TRAC/SIO Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Mes Jan. 7,50% 6,75% 9,00% 14,00% 6,00% 5,00% 12,25% 7,50% 6,25% 9,50% 6,50% 0 2% 4% 6% 10% 8% 12% 14%
  • 33. 33 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas BYOD y movilidad: la maduración de dispositivos beneficia el ciberdelito Los ciberdelincuentes y sus víctimas comparten un desafío común: ambos intentan entender cómo usar mejor las tendencias BYOD (Traiga su propio dispositivo) y movilidad para obtener ventaja comercial. Existen dos factores que parecen estar ayudando a los delincuentes a lograr una ventaja. En primer lugar está la maduración de las plataformas móviles. Los expertos de seguridad de Cisco observan que cuanto más se asemeja el funcionamiento de smartphones, tablets y otros dispositivos al de los equipos de escritorio y las computadoras portátiles tradicionales, más fácil resulta diseñar malware para ellos. En segundo lugar, el creciente uso de aplicaciones móviles. Cuando los usuarios descargan aplicaciones móviles, básicamente están colocando un cliente ligero en el terminal y descargando código. Otro desafío: muchos usuarios descargan aplicaciones móviles con regularidad sin pensar en la seguridad. Mientras tanto, los equipos de seguridad actual están lidiando con el problema de cualquiera con cualquiera (any-to-any): cómo asegurar a cualquier usuario, en cualquier dispositivo, ubicado en cualquier, con acceso a cualquier aplicación o recurso.15 La tendencia BYOD no hace más que complicar estos esfuerzos. Resulta difícil administrar todos estos tipos de equipos, especialmente con un presupuesto de TI limitado. En un entorno BYOD, el gerente de seguridad de la información (CISO), debe estar especialmente seguro de que la sala de datos esté controlada rigurosamente. La movilidad ofrece nuevas maneras de comprometer a los usuarios y a los datos. Los investigadores de Cisco han observado a determinados actores usar canales inalámbricos para obtener acceso a datos que se intercambian a través de esos canales. La movilidad también presenta una gama de problemas de seguridad para las organizaciones, incluida la pérdida de propiedad intelectual y otra información confidencial si el dispositivo de un empleado se pierde o lo roban y no está asegurado. Muchos usuarios descargan aplicaciones móviles con frecuencia sin pensar en la seguridad.
  • 34. 34 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Establecer un programa formal para administrar dispositivos móviles a fin de garantizar que todos los dispositivos sean seguros antes de que accedan a la red es una solución para mejorar la seguridad de la empresa, de acuerdo con los expertos de Cisco. Como mínimo, se debe requerir un bloqueo del número de identificación personal (PIN) para la autenticación del usuario, y el equipo de seguridad debe ser capaz de desactivar o limpiar el dispositivo de manera remota si se pierde o lo roban. Tendencias de malware móvil: 2013 La siguiente investigación sobre tendencias de malware móvil durante 2013 fue realizada por Cisco TRAC/SIO y por Sourcefire, ahora parte de Cisco. El malware móvil que se dirige a dispositivos específicos solo constituye el 1,2% del total de malware web detectado en 2013. Si bien no es un porcentaje significativo, aún merece mencionarse porque el malware móvil es claramente un área emergente —y lógica— de exploración para los desarrolladores de malware. De acuerdo con los investigadores de Cisco TRAC/SIO, cuando el malware móvil tiene la intención de comprometer un dispositivo, el 99% de todos los hallazgos se dirigen a dispositivos Android. Los troyanos dirigidos a dispositivos compatibles con Java Micro Edition (J2ME) sostuvieron el segundo lugar en 2013, con el 0,84% de todos los hallazgos de malware móvil. Sin embargo, no todo el malware móvil está diseñado para dirigirse a dispositivos específicos. Muchos hallazgos involucran phishing, likejacking u otros usos de ingeniería social, o redireccionamientos forzosos a sitios web distintos de los esperados. Un análisis de agentes de usuario realizado por Cisco TRAC/SIO revela que los usuarios de Android, en el 71%, tienen las tasas más altas de hallazgos con todas las maneras de malware basado en la web, seguidos por los usuarios de Apple iPhone, en el 14% de todos los hallazgos de malware web (Figura 14). Los investigadores de Cisco TRAC/SIO también informaron evidencia de esfuerzos por rentabilizar los compromisos de Android durante 2013, incluidos los lanzamientos de adware y spyware relacionado con pequeñas y medianas empresas (SME). En el 43,8%, Andr/Qdplugin-A fue el malware móvil hallado con más frecuencia, de acuerdo con la investigación de Cisco TRAC/SIO. Los hallazgos típicos se realizaron a través de copias reempaquetadas de aplicaciones legítimas distribuidas a través de catálogos de soluciones no oficiales (Figura 15). El malware móvil que se dirige a dispositivos específicos solo constituye el 1,2% del total de malware web detectado en 2013.
  • 35. 35 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 14 Hallazgos de malware web por dispositivo móvil Fuente: Informes de Cisco Cloud Web Security Android iPhone iPad BlackBerry Nokia Symbian iPod Huawei Windows Teléfono Motorola Playstation Nook ZuneWP Kindle WindowsCE 0 40% 20% 80% 60% 100% FIGURA 15 Principales 10 hallazgos de malware móvil: 2013 Fuente: Informes de Cisco Cloud Web Security Andr/Qdplugin-A Andr/NewyearL-B Andr/SmsSpy-J Andr/SMSSend-B Andr/Spy-AAH Trojan.AndroidOS. Plangton.a Andr/DroidRt-A Andr/Gmaster-E AndroidOS. Wooboo.a Trojan-SMS.AndroidOS. Agent.ao Andr/DroidRt-C 0 20% 10% 40% 30% 50%
  • 36. 36 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 16 Principales familias de malware Android observadas en 2013 NOTA: SMSSend representa el 98% de todo el malware Android; el 2% restante se muestra proporcionalmente. Fuente: Sourcefire 16% 14% 11% 10% 7% 7% 6% 4% 4% 4% 4% Andr.TrojanDroidKungFu Andr.Trojan.Opfake Andr.Trojan.Anserver Andr.Exploit.Gingerbreak Andr.Exploit.Ratc BC.Exploit.Andr Andr.Exploit.ExploidAndr.Trojan.StelsAndr.Trojan.Geinimi Adnr.Trojan.DroidDreamLight (1%)Andr.Trojan.NotCompatible (1%)Andr.Trojan.RogueSPPush (1%)Andr.Trojan.TGLoader (1%)Andr.Trojan.Ackposts (1%)Andr.Trojan.OBad (1%)Andr.Trojan.Chuli (1%)Andr.Trojan.GingerMaster (1%)Andr.Trojan.Badnews (1%)Andr.Trojan.FakeTimer (1%)Andr.Trojan.Gonesixty (1%)Andr.Trojan.Kmin (1%)Andr.Trojan.Zsone(1%)Andr.Trojan.Plankton Andr.Trojan.Adrd Andr.Trojan.Golddream Andr.Trojan.Androrat (2%)Andr.Trojan.Pjapps (2%)Andr.Trojan.YZHC 3% 3% 3% 98% Andr.SMSSend
  • 37. 37 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Ataques dirigidos: el desafío de desalojar “visitantes” ubicuos y persistentes Son altas las probabilidades de que los ataques dirigidos ya se hayan infiltrado en sus redes. Y cuando realmente se alojan en el interior de una red, tienden a quedarse cerca, robar datos furtivamente o usar los recursos de la red como trampolín para luego atacar a otras entidades (para más información sobre pivoting, consulte la página 18). El daño va más allá del robo de datos o la interrupción de la actividad comercial: la confianza entre partners y clientes se puede evaporar si estos ataques no se desalojan de las redes de manera oportuna. Los ataques dirigidos amenazan la propiedad intelectual, los datos del cliente y la información sensible del gobierno. Sus creadores usan herramientas sofisticadas que burlan la infraestructura de seguridad de una organización. Los delincuentes hacen todo lo posible para asegurarse de que estas violaciones pasen desapercibidas y usan métodos que derivan en “indicadores de compromiso” o IoC casi imperceptibles. Su enfoque metódico para obtener acceso a las redes y llevar a cabo su misión involucra una “secuencia de ataque”: la secuencia de eventos previos a un ataque y que determinan sus fases. Una vez que estos ataques dirigidos encuentran un lugar para ocultarse en la red, llevan a cabo sus tareas con eficacia, y generalmente las realizan sin que se los detecte. Los delincuentes hacen un gran esfuerzo para asegurarse de que no se detecten sus infracciones.
  • 38. 38 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 17 La secuencia de ataque Para comprender la selección de amenazas actuales y defender con eficiencia la red, los profesionales de seguridad de TI deben pensar como atacantes. Con una comprensión más profunda del enfoque metódico que usan los actores malintencionados para ejecutar su misión, las organizaciones pueden identificar maneras de fortalecer sus defensas. La secuencia de ataque, una versión simplificada de la secuencia de ciberguerra (“cyber kill chain”), describe los eventos previos a un ataque y que determinan sus fases. 1. Encuesta Obtenga un panorama completo de un entorno: redes, terminal, dispositivos móviles y virtuales, entre otras, las tecnologías implementadas para asegurar el entorno. 2. Escribir Cree malware dirigido y sensible al contexto. 3. Prueba Asegúrese de que el malware funcione como está previsto, en especial, de manera que pueda evadir las herramientas de seguridad implementadas. 4. Ejecutar Navegue por la red extendida, tenga en cuenta el entorno, evada las detecciones y muévase lateralmente hasta alcanzar el objetivo. 5. Cumplir la misión Reúna datos, cree interrupciones o cause destrucción.
  • 39. 39 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Instantánea de malware: tendencias observadas en 2013 Los expertos de seguridad de Cisco realizan investigaciones y análisis continuos del tráfico de malware y otras amenazas descubiertas, que pueden proporcionar perspectivas sobre el posible comportamiento delictivo futuro y ayudar en la detección de amenazas. FIGURA 18 Categorías principales de malware En esta figura se muestran las categorías principales de malware. Los troyanos son el malware más frecuente, seguidos por el adware. Fuente: Sourcefire (soluciones ClamAV y FireAMP) Troyano Adware Gusano Virus Descargador Instaladordemalware(0%) 64% 20% 8% 4% 4% FIGURA 19 Familias principales de malware de Windows En esta figura se muestran las familias principales de malware para Windows. La más grande, Trojan.Onlinegames, comprende principalmente a ladrones de contraseñas. La detecta la solución de antivirus ClamAV de Sourcefire. Fuente: Sourcefire (solución ClamAV) Onlinegames Multiplug (Adware) Syfro Megasearch Zeusbot Gamevance Blackhole Hupigon Spyeye(1%) 41% 14% 11% 10% 10% 7% 4% 3%
  • 40. 40 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 20 10 categorías principales de hosts de malware web: 2013 En esta figura se muestran los hosts de malware más frecuentes, de acuerdo con la investigación de Cisco TRAC/SIO. Fuente: Informes de Cisco Cloud Web Security 0 Jan. Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 5% 10% 15% 20% 25% 30% 35% 40% Mes Publicidad Negocios e industria Comunidades en Internet Computadoras e Internet Infraestructura Noticias Compras Motores de búsqueda y portales Alojamiento web Sin clasificar Otro Nov. 45% FIGURA 21 Categorías de malware, por porcentaje de hallazgos totales: 2013 Fuente: Cisco TRAC/SIO Troyanosparavariosusos iFrames yexploits Troyanospararobodedatos Descargador einstaladordemalware Ransomware yscareware Gusanosyvirus (1%) SMS,suplantacióndeidentidad (phishing)ylikejacking (1%) Constructores yherramientasdepiratería 27% 23% 22% 17% 5% 3%
  • 41. 41 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 22 Hosts de malware y direcciones IP únicos: 2013 Fuente: Informes de Cisco Cloud Web Security Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Único Host Mes Único IP Jan. 0 10 000 30 000 20 000 50 000 40 000 60 000 La investigación de Cisco TRAC/SIO durante 2013 muestra que los troyanos multipropósito fueron el malware basado en la web hallado con más frecuencia, en el 27% del total de hallazgos. Los scripts malintencionados, como explotaciones e iframes, fueron la segunda categoría que se halló con más frecuencia, en el 23%. Los troyanos de robo de datos, como los ladrones de contraseñas y las puertas traseras, constituyen hasta el 22% del total de hallazgos de malware web, y los troyanos descargadores e instaladores de malware se encuentran en el cuarto lugar con el 17% del total de hallazgos (consultar la Figura 21). El descenso sostenido en los hosts de malware y las direcciones IP únicos —un descenso del 30% entre enero de 2013 y septiembre de 2013— sugiere que el malware está concentrado en menos hosts y menos direcciones IP (Figura 22). (Nota: Una dirección IP puede servir a sitios web de múltiples dominios). A medida que disminuye la cantidad de hosts —incluso cuando el malware permanece sin cambios—, se vuelve más importante el valor y la reputación de estos hosts, ya que los hosts buenos ayudan a los delincuentes a lograr sus objetivos.
  • 42. 42 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Objetivos principales: mercados verticales del sector Las empresas en mercados verticales de grandes ganancias, como el sector de productos farmacéuticos y químicos y la fabricación de productos electrónicos, tienen altas tasas de hallazgos de malware web, de acuerdo con la investigación de Cisco TRAC/SIO. La tasa sube o baja a medida que aumenta o disminuye el valor de los productos y servicios de un mercado vertical en particular. Los investigadores de Cisco TRAC/SIO observaron un notable crecimiento en los hallazgos de malware para el sector de agricultura y minería, que anteriormente era un sector de riesgo relativamente bajo. Atribuyen el aumento en los hallazgos de malware para este sector a que los ciberdelincuentes aprovechan las tendencias, como el descenso de los recursos de metales preciosos y las interrupciones relacionadas con el clima en el suministro de alimentos. Además, continúan aumentando los hallazgos de malware en el sector de los productos electrónicos. Los expertos de seguridad de Cisco informan que el malware dirigido a este mercado vertical generalmente está diseñado para ayudar a los actores a obtener acceso a propiedad intelectual, que a su vez usan para obtener ventaja competitiva o venden al mejor postor. Para determinar las tasas de hallazgo de malware específicas de un sector, los investigadores de Cisco TRAC/ SIO comparan la tasa mediana de hallazgos para todas las organizaciones que transmiten a través de Cisco Cloud Web Security con la tasa mediana de hallazgos para todas Watering holes: no son un oasis para las empresas dirigidas Una manera en que los actores malintencionados intentan distribuir malware a las organizaciones en mercados verticales específicos del sector es a través del uso de ataques “watering hole”. Como cuando se observa a una presa en caza mayor, los ciberdelincuentes que buscan dirigir sus ataques a un grupo en particular (por ejemplo, personas que trabajan en el sector de aviación) supervisarán los sitios web que frecuenta dicho grupo, infectarán uno o más de estos sitios con malware y, luego, se sentarán a esperar que al menos un usuario del grupo objetivo visite el sitio y se vea comprometido. Un ataque “watering hole” es básicamente una explotación de la confianza, porque emplea sitios web legítimos. También es una manera de spear phishing. Sin embargo, si bien el spear phishing se dirige hacia individuos específicos, los watering holes se diseñaron para comprometer a grupos de personas con intereses comunes. Los ataques “watering hole” no discriminan con respecto a sus objetivos: cualquiera que visite un sitio infectado está en riesgo. A finales de abril, se lanzó un ataque “watering hole” desde páginas específicas que alojaban contenido nuclear en el sitio web del Departamento de Trabajo de EE. UU.16 A continuación, desde principios de mayo de 2013, los investigadores de Cisco TRAC/SIO Continúa en la página siguiente.
  • 43. 43 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas observaron otro ataque “watering hole” que provenía de varios otros sitios centrados en el sector de energía y petróleo. Las similitudes, incluido el diseño específico de una explotación usada en ambos ataques, da crédito a la posibilidad de que los dos ataques estaban relacionados. La investigación de Cisco TRAC/ SIO también indicó que muchos de los sitios usaron el mismo diseñador web y proveedor de alojamiento. Esto podría implicar que el compromiso inicial se debió a phishing o robo de credenciales de dicho proveedor.17 Proteger a los usuarios de estos ataques involucra actualizar las máquinas y los navegadores web con los últimos parches para minimizar la cantidad de vulnerabilidades que un atacante puede aprovechar. También resulta fundamental garantizar que el tráfico web se filtre y verifique en busca de malware antes de su envío al navegador del usuario. Continúa desde la página anterior. las empresas de un sector específico que transmiten a través del servicio. Una tasa de hallazgos del sector que sea superior al 100% refleja un riesgo mayor de lo normal de hallazgos de malware web, mientras que una tasa inferior al 100% refleja un riesgo menor. Por ejemplo, una empresa con una tasa de hallazgos del 170% tiene un riesgo de un 70% por arriba de la mediana. A la inversa, una empresa con una tasa de hallazgos del 70% se encuentra un 30% por debajo de la mediana (Figure 23). FIGURA 23 Riesgo del sector y hallazgos de malware web: 2013 Fuente: Informes de Cisco Cloud Web Security Contabilidad Agricultura y minería Automotriz Aviación Banca y finanzas Instituciones benéficas y ONG Clubes y organizaciones Educación Productos electrónicos Energía, petróleo y gas Ingeniería y construcción Entretenimiento Alimentos y bebidas Gobierno Servicios de salud Calefacción, plomería y A/A TI y telecomunicaciones Industrial Seguros Legales Manufactura Medios de comunicación y publicación Productos farmacéuticos y químicos Servicios profesionales Bienes raíces y gestión de tierras Comercio minorista y mayorista Transporte y envío Viajes y ocio Servicios públicos 0 100% 200% 300% 400% 500% 600% 700%
  • 44. 44 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Fracturas en un ecosistema frágil Los ciberdelincuentes están aprendiendo que aprovechar el poder de la infraestructura de Internet genera muchos más beneficios que simplemente obtener acceso a computadoras individuales. El nuevo giro en las explotaciones malintencionadas es la obtención de acceso a servidores de alojamiento web, servidores de nombres y centros de datos, con el objetivo de aprovechar el tremendo poder de procesamiento y ancho de banda que estos proporcionan. A través de este enfoque, las explotaciones pueden alcanzar a muchos más usuarios de computadoras desprevenidos y tener un impacto mucho mayor en las organizaciones objetivo, ya sea que el objetivo sea realizar una declaración política, debilitar a un adversario o generar ingresos. FIGURA 24 Estrategia de infección de alta eficacia Servidor host comprometido comprometido Sitio web comprometido Sitio web comprometido Sitio web comprometido Sitio web comprometido Sitio web
  • 45. 45 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas En esencia, esta tendencia de convertir a la infraestructura de Internet en objetivo de los ataques significa que la base misma de la web no es confiable. Los métodos usados para obtener, en última instancia, acceso a raíz en los servidores de alojamiento son variados e incluyen tácticas como troyanos en las estaciones de trabajo de administración que roban credenciales de inicio de sesión del servidor, vulnerabilidades en las herramientas de administración de terceros usadas en los servidores e intentos de inicio de sesión por fuerza bruta (consulte la página 54). Las vulnerabilidades desconocidas en el mismo software de servidor también pueden proporcionar avances. Un servidor de alojamiento comprometido puede infectar miles de sitios web y propietarios de sitios en todo el mundo (Figura 24). Los sitios web alojados en servidores comprometidos actúan como un redirector (el intermediario en la secuencia de infección) y un repositorio de malware. En lugar de tener muchos sitios comprometidos que cargan malware solamente de algunos dominios malintencionados (una relación de muchos a algunos [many-to-few]), la relación se volvió de muchos a muchos (many-to-many), lo que dificulta los esfuerzos de bloqueo. Los servidores de nombres de dominio son objetivos principales en esta nueva variedad de ataque, cuyos métodos exactos aún se encuentran en investigación. Todo indica que, además de los sitios web y los servidores de alojamiento individuales, también están comprometidos los servidores de nombres en ciertos proveedores de alojamiento. Los investigadores de seguridad de Cisco dicen que esta tendencia hacia la selección de la infraestructura de Internet como objetivo cambia el panorama de las amenazas, dado que está proporcionando a los ciberdelincuentes el control sobre una parte para nada insignificante de la base misma de la Web. “El ciberdelito se ha vuelto tan lucrativo y generalizado que necesita una infraestructura poderosa que lo mantenga a flote”, dice Gavin Reid, director de inteligencia contra amenazas de Cisco. “Mediante el compromiso de servidores de alojamiento y centros de datos, los atacantes obtienen no solo acceso a grandes cantidades de ancho de banda, sino también el beneficio de un tiempo de actividad continuo para estos recursos”. “El delito informático se ha convertido en algo tan lucrativo y generalizado que requiere una sólida infraestructura para mantenerlo a flote”. Gavin Reid, director de inteligencia de amenazas de Cisco [ ]
  • 46. 46 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Atando cabos: DarkLeech y Linux/CDorked La campaña de ataque de DarkLeech que informó Cisco en 201318 subraya cómo el compromiso de servidores de alojamiento puede servir como un trampolín para una campaña más grande. Se estima que los ataques de DarkLeech comprometieron, en un breve período, al menos 20 00019 sitios web legítimos de todo el mundo que usan el software de servidor HTTP Apache. Los sitios se infectaron con una puerta trasera de servicio de shell seguro (SSHD) que permitió que atacantes remotos cargaran y configuraran módulos Apache malintencionados. El compromiso permitió que los atacantes inyectaran dinámicamente iframes (elementos HTML) en tiempo real en los sitios web alojados, lo que envió código de explotación y otro contenido malintencionado por medio del juego de explotación Blackhole. Debido a que las inyecciones de iframes de DarkLeech ocurrieron solamente en el momento de la visita a un sitio, los signos de la infección pueden no advertirse fácilmente. Además, para evitar la detección del compromiso, los delincuentes usan una selección sofisticada de criterios condicionales, por ejemplo, inyectar el iframe solamente si el visitante llega de la FIGURA 25 Compromisos del servidor DarkLeech por país: 2013 Fuente: Cisco TRAC/SIO 58% Estados Unidos 2% Italia ,5% Turquía ,5% Chipre 1% Suiza ,5% Otro 2% España 1% Australia 1% Japón ,5% Malasia 1% Lituania ,5% Dinamarca 1% Holanda 9% Alemania1% Bélgica 2% Singapur 2% Tailandia 3% Canadá 10% Reino Unido 2% Francia ,5% Irlanda
  • 47. 47 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 26 Respuestas del servidor comprometido: DarkLeech Fuente: Cisco TRAC/SIO 0,5% Apache/CentOS 43% Apache/2.2.3 CentOS 39% Apache-unspecified 8% Apache/2.2.3 RedHat 7% Apache/2.2.22 2% Apache/2.2.8 página de resultados de un motor de búsqueda, no inyectar el iframe si la dirección IP del visitante coincide con la del propietario del sitio o la del proveedor de alojamiento, e inyectar el iframe solamente una vez cada 24 horas para los visitantes individuales. La investigación de Cisco TRAC/SIO reveló que los compromisos de DarkLeech se extendieron por todo el mundo; lógicamente, los países con la mayor cantidad de proveedores de alojamiento experimentaron la tasa más alta de infección. Los investigadores de Cisco SIO/TRAC consultaron a miles de servidores comprometidos para determinar la distribución de las versiones de software de servidor afectadas. En abril de 2013, se detectó otra puerta trasera que infectó cientos de servidores que ejecutaban el software de servidor HTTP Apache. Linux/CDorked20 reemplazó el binario HTTPD en las versiones de Apache con cPanel instalado. También se descubrieron puertas traseras similares dirigidas a Nginx y Lighttpd. Tan selectivo como DarkLeech en sus métodos de ataque, CDorked también usa criterios condicionales para inyectar en forma dinámica
  • 48. 48 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas iframes en sitios web alojados en el servidor afectado. Cualquier visitante que navegue un sitio web afectado luego tendrá contenido malintencionado enviado por otro sitio web malintencionado, donde un juego de herramientas de crimeware intentará comprometer aún más la PC del usuario.21 Una característica exclusiva de Linux/CDorked es que rota a través de los dominios de sitios web en 24 horas, en promedio. Menos sitios comprometidos se usan durante más tiempo. Por lo tanto, aunque se informe un dominio de malware, los atacantes ya estarán en otro lugar. Además, con Linux/CDorked, se cambian con frecuencia los proveedores de alojamiento (aproximadamente cada dos semanas), rotando a través de los hosts comprometidos para evitar detecciones. Los servidores de nombres comprometidos en estos mismos proveedores de alojamiento permiten que los actores malintencionados se muevan de un host a otro sin perder el control de los dominios durante la transición. Una vez que se encuentran en un host nuevo, los atacantes comienzan un ciclo de nuevos dominios, generalmente mediante el uso de nombres de dominio estilo typosquatting22 en un intento por parecer legítimos para los observadores ocasionales. El análisis de Cisco TRAC/SIO de los patrones de tráfico con CDorked sugiere enfáticamente una conexión con DarkLeech. La dirección URL de referencia codificada especialmente y empleada por CDorked denota específicamente tráfico de DarkLeech. No obstante, ese no es el giro más interesante acerca del malware: tanto CDorked como DarkLeech parecen ser parte de una estrategia mucho más grande y compleja. “La sofisticación de estos compromisos sugiere que los ciberdelincuentes han ganado un control significativo sobre miles de sitios web y múltiples servidores de alojamiento, incluidos los servidores de nombres empleados por estos hosts”, dice Gavin Reid, director de inteligencia contra amenazas de Cisco. “Combinado con el reciente aluvión de ataques de inicio de sesión por fuerza bruta a sitios web independientes, pareciera que estamos evidenciando una nueva tendencia, en la que la infraestructura de la Web se utiliza para formar lo que solo puede describirse como un gran (y muy poderoso) botnet. Este überbot se puede utilizar para enviar correo electrónico no deseado, malware y lanzar ataques por DDoS en una magnitud nunca antes vista”. CDorked y DarkLeech parecen ser parte de una estrategia mucho más amplia y mucho más compleja.
  • 49. 49 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas El tráfico malicioso, a menudo un signo de ataques dirigidos, se detecta en todas las redes corporativas Según un análisis de tendencias de inteligencia contra amenazas realizado por Cisco, el tráfico malicioso se observa en la totalidad de las redes corporativas. Esto significa que hay evidencia de que delincuentes sofisticados u otros individuos han penetrado en esas redes y es posible que operen sin que se los detecte durante un largo tiempo. Todas las organizaciones deben suponer que han sido vulneradas o por lo menos deben aceptar que no se trata de determinar si serán objeto de un ataque, sino de cuándo y por cuánto tiempo. En un proyecto reciente de revisión de búsquedas del servicio de nombres de dominio (DNS) que se originaron dentro de las redes corporativas, los expertos en inteligencia contra amenazas de Cisco observaron que, en todos los casos, las organizaciones evidenciaron que sus redes se habían utilizado mal o perdieron su carácter confidencial (Figura 27). Por ejemplo, la totalidad de las redes empresariales analizadas por Cisco presentaban tráfico hacia sitios web que alojan malware, mientras que el 92% muestra tráfico hacia páginas web sin contenido, que por lo general aloja actividad maliciosa. El 96% de las redes revisadas evidenció tráfico hacia servidores vulnerados. Asimismo, Cisco detectó tráfico hacia sitios web militares o del gobierno en empresas que habitualmente no hacen negocios con esas entidades, así como también el tráfico a sitios web de áreas geográficas de alto riesgo, como países con prohibición de hacer negocios con Estados Unidos. Cisco ha observado que, por lo general, estos sitios pueden utilizarse debido a la muy buena reputación de la que gozan las organizaciones públicas o gubernamentales. Es posible que el tráfico hacia estos sitios no sea un signo definitivo de riesgo, pero en el caso de organizaciones que habitualmente no hacen negocios con el gobierno o las fuerzas armadas, ese tráfico podría indicar que delincuentes han vulnerado las redes y las están utilizando para infringir sitios web y redes del gobierno o militares. [ ]
  • 50. 50 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas A pesar de haber hecho su mejor esfuerzo para mantener sus redes libres de amenazas maliciosas, todas las organizaciones examinadas por Cisco durante 2013 mostraron signos de tráfico sospechoso. El tráfico identificado a través de las búsquedas de DNS puede proporcionar IoC sólidos y merece una investigación más exhaustiva por parte de las organizaciones que desean poner un freno a estas amenazas difíciles de detectar en sus redes. Es un método de aumentar la visibilidad del movimiento delictivo que habitualmente es muy difícil de localizar. FIGURA 27 La propagación del tráfico malicioso 100% 100% 96% 92% 88% 79% 71% 50% Malware de gran amenaza Conexiones a dominios que son sitios conocidos de amenaza de malware o vectores de amenaza. Gobierno y militar Tráfico sospechoso y excesivo dirigido a lugares habitualmente no contactados por el público. Infraestructura asaltada Conexiones a infraestructura asaltada o sitios comprometidos conocidos. Sitios sin contenido Conexiones a sitios en blanco que pueden tener código para inyectar malware en los sistemas. FTP sospechosa Conexiones inesperadas a sitios FTP irregulares. VPN sospechosa Conexiones desde el interior de una organización a sitios VPN sospechosos. Educación a través de amenazas Conexiones a universidades en lugares sospechosos, que potencialmente sirven como puntos pivote para otros tipos de malware. Pornografía Volumen muy alto de intentos de conexión a sitios conocidos de pornografía.
  • 51. 51 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas INVESTIGACIÓN ESPECIAL DE SEGURIDAD DE CISCO: Nuevos giros en bitsquatting y nuevas maneras de detener ataques Cybersquatting, la práctica de registrar nombres de dominio que son idénticos o similares de manera confusa a una marca distintiva, es desde hace tiempo una herramienta para los delincuentes informáticos. Recientemente, “bitsquatting”, el registro de nombres de dominio que difieren en un dígito binario del dominio original, se ha convertido en otra manera de redirigir el tráfico de Internet a sitios que alojan malware o estafas. Bitsquatting es una manera de cybersquatting que tiene como objetivo generar errores de bits en la memoria del equipo. Un error de memoria se produce cada vez que uno o más bits que se leen desde la memoria han cambiado su estado en comparación con lo que se escribió previamente. Estos errores en la memoria pueden deberse a muchos factores, incluidos rayos cósmicos (partículas de alta energía que impactan en la Tierra con una frecuencia de 10 000 por metro cuadrado por segundo), un dispositivo que se utiliza fuera de sus parámetros ambientales recomendados, defectos de fabricación e incluso explosiones nucleares de baja magnitud. Con la modificación de un solo bit, un dominio como “twitter.com” puede convertirse en el dominio confusamente similar “twitte2.com”. Un atacante puede simplemente registrar un dominio confusamente similar, esperar a que se produzca un error en la memoria y luego interceptar el tráfico de Internet. Los investigadores abocados a la seguridad creen que los ataques de bitsquatting se producen mayormente contra nombres de dominio resueltos con frecuencia, ya que estos dominios son los que aparecen con más probabilidad en la memoria cuando se producen errores de bits. Sin embargo, la investigación reciente de Cisco predice que los dominios que anteriormente no se consideraban lo suficientemente “populares” para atacar, producirán verdaderas cantidades de tráfico de dominios confusamente similares. Esto se debe a que tanto la cantidad de memoria por dispositivo como la cantidad de dispositivos conectados a Internet se encuentran en aumento; según los cálculos de Cisco, habrá 37 000 millones de “elementos inteligentes” conectados a Internet para el año 2020.23 Vectores de ataques de bitsquatting Cisco TRAC/SIO ha identificado nuevos vectores de ataques de bitsquatting, entre los que se incluyen los siguientes: • Bitsquatting de delimitador de subdominio: de conformidad con la sintaxis aceptada para las etiquetas de nombres de dominio, los únicos caracteres válidos en un nombre de dominio son A-Z, a-z, 0-9 y el guión. No obstante, cuando se comprueba la existencia de dominios confusamente similares y se limita la búsqueda a estos caracteres, se omite un carácter importante que también es válido en los nombres de dominio: el punto. Una nueva técnica de bitsquatting se basa en errores de bits que provocan que una letra “n” (binario 01101110) se convierta en un punto “.” (binario 00101110) y viceversa. • Delimitadores de subdominio en los que “n” cambia a “.”: en una variación de la técnica anterior, si un nombre de dominio de segundo nivel contiene la letra “n” y hay dos o más caracteres luego de la letra “n”, es posiblemente un dominio confusamente similar. Por ejemplo, “windowsupdate.com” podría convertirse en “dowsupdate.com”. • Dominios confusamente similares de delimitadores de URL: un contexto popular para los nombres de dominios es dentro de una URL. Dentro de una URL típica, las barras diagonales como “/” actúan como delimitadores, ya que separan el esquema del nombre del host de la ruta de la URL. La barra diagonal (binario 00101111) puede, con la alteración de un carácter, convertirse en la letra “o” (binario 01101111) y viceversa. Continúa en la página siguiente.
  • 52. 52 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Prevención de ataques de bitsquatting: creación de una zona RPZ (zona de políticas de respuesta) de dominios confusamente similares Las dos técnicas de mitigación que se han utilizado comúnmente para prevenir los ataques de bitsquatting tienen su lugar en el arsenal de seguridad, pero ninguno de esos métodos es óptimo: • Uso de memoria de corrección de errores (ECC): toda la base de dispositivos instalados debería cambiar de versión simultáneamente en todo el mundo para que esta solución fuera eficaz. • Registro del dominio confusamente similar para que un tercero no pueda registrarlo: esto no siempre es posible, debido a que muchos de los dominios populares confusamente similares ya se han registrado. Según la longitud del nombre de dominio, esto puede, además, ser costoso. La buena noticia es que estas técnicas de mitigación no son las únicas que puede implementar un profesional de seguridad para proteger a los usuarios del mal redireccionamiento accidental del tráfico de Internet. Si se adoptan de manera suficiente, las nuevas técnicas de mitigación podrían eliminar el problema de bitsquatting casi por completo. Por ejemplo, las zonas de políticas de respuesta (RPZ) han sido una opción de configuración desde la versión 9.8.1 de BIND, y existen parches para las versiones anteriores de BIND. (BIND es un software de DNS ampliamente utilizado en Internet). Las zonas RPZ son archivos de zonas locales que permiten al solucionador de DNS responder a solicitudes específicas de DNS mediante el mensaje de que el nombre de dominio no existe (NXDOMAIN), el redireccionamiento del usuario a un “jardín vallado” (una plataforma cerrada) u otras posibilidades. Para mitigar los efectos de errores de un solo bit en el caso de usuarios de un solucionador de DNS, el administrador del solucionador puede crear una zona RPZ que proteja contra dominios confusamente similares de nombres de dominio frecuentemente resueltos o solo internos. Por ejemplo, se puede configurar la zona RPZ para que cada solicitud que se hace al solucionador de DNS para variantes confusamente similares de estos dominios obtengan una respuesta NXDOMAIN, que “corrija” los errores de bits automáticamente sin intervención del cliente que experimenta el error.24 Continúa desde la página anterior.
  • 53. 53 Informe anual de seguridad de 2014 de Cisco Sector Los investigadores de Cisco SIO elevan la conversación acerca de las tendencias del sector que se extienden más allá de la telemetría de Cisco.
  • 54. 54 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector Intentos de inicio de sesión por fuerza bruta, una táctica preferida para vulnerar sitios web A pesar de que los intentos de inicio de sesión por fuerza bruta no son una nueva táctica para los delincuentes informáticos, su uso aumentó el triple en el primer semestre de 2013. Durante la investigación, los investigadores y Cisco TRAC/SIO detectaron un concentrador de datos utilizado para alimentar esas acciones. Incluía 8,9 millones de combinaciones posibles de nombres de usuario y contraseñas, incluidas contraseñas seguras y no solo la variedad de “contraseña123” fáciles de vulnerar. Las credenciales de usuario robadas permiten mantener la lista bien provista, así como a otras como esta. FIGURA 28 Cómo funcionan los intentos de inicio de sesión por fuerza bruta El equipo se conecta con el servidor de comando y control y descarga un troyano. Las futuras víctimas reciben los descargadores y el ciclo se repite. Los sitios web afectados se convierten en relés de correo no deseado. Al completarse satisfactoriamente, el equipo carga el bot PHP y otros scripts al sitio web recientemente comprometido. El equipo ataca al sitio con varias vulnerabilidades de seguridad CMS/intentos de inicio de sesión de fuerza bruta. El equipo obtiene los nombres de los sitios objetivo desde el servidor de comando y control.
  • 55. 55 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector Los objetivos clave de recientes intentos de inicio de sesión por fuerza bruta son las plataformas de sistemas de administración de contenidos (CMS) como WordPress y Joomla. Los intentos con éxito de obtener acceso no autorizado a través de un CMS proporcionan a los atacantes la capacidad de cargar puertas traseras de PHP (preprocesador de hypertexto) y otros scripts maliciosos a los sitios web comprometidos. En algunos casos, la vulnerabilidad puede permitir a los atacantes encontrar una ruta al servidor de alojamiento, que luego se puede controlar (Figure 28). Si se tiene en cuenta que hay más de 67 000 000 de sitios de WordPress en todo el mundo (y que los editores utilizan la plataforma para crear blogs, sitios nuevos, sitios de empresas, revistas, redes sociales, sitios deportivos, entre otros), no es sorprendente que muchos delincuentes informáticos apunten a obtener acceso a través de este CMS.25 Drupal, una plataforma de CMS de rápido crecimiento, también ha sido el objetivo de estos delincuentes; por ejemplo, en mayo, se recomendó a los usuarios que cambien sus contraseñas debido a un “acceso no autorizado [a Drupal] a través de software de terceros instalado en la infraestructura del servidor de Drupal.org”.26 Sin embargo no es solo la popularidad de estos sistemas la que los convierte en objetivos deseables. Muchos de estos sitios (aunque siguen activos) han sido desatendidos en gran manera por sus propietarios. Probablemente haya millones de blogs desatendidos y dominios comprados que permanecen inactivos; es posible que muchos de ellos sean hoy propiedad de delincuentes informáticos. Los expertos en seguridad de Cisco predicen que el problema solo empeorará a medida que cada vez más personas en mercados emergentes de Internet en todo el mundo creen un blog o un sitio web, solo para luego dejarlos perecer. Se ha comprobado además que el uso generalizado de complementos, diseñados para ampliar la funcionalidad de un CMS y potenciar videos, animaciones y juegos, es un beneficio para las personas malintencionadas que buscan obtener acceso no autorizado a plataformas como WordPress y Joomla. Muchas vulnerabilidades de CMS que observaron los investigadores de Cisco en 2013 se pueden retrotraer a complementos escritos en lenguaje de scripting web PHP mal diseñados y sin tener en cuenta la seguridad. Muchos delincuentes informáticos centran su atención en obtener acceso a través de CMS. [ ]
  • 56. 56 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector Ataques por DDoS: lo antiguo vuelve a ser moderno Los ataques por denegación de servicio distribuido (DDoS), que interrumpen el tráfico hacia y desde sitios web determinados y que pueden paralizar los ISP (proveedores de servicios de Internet), se han incrementado tanto en volumen como en gravedad. Debido a que los ataques por DDoS durante mucho tiempo se han considerado “viejas noticias” en términos de técnicas de delitos informáticos, muchas empresas confiaron en que las medidas de seguridad que habían implementado podían brindarles la protección adecuada. No obstante, esa confianza se vio sacudida por ataques por DDoS a gran escala en 2012 y 2013, incluido el ataque conocido como Operation Ababil, que fue dirigido a varias instituciones financieras y fue probablemente motivado por cuestiones políticas.27 “Los ataques por DDoS deben ser una cuestión de máxima seguridad para las organizaciones de los sectores público y privado en 2014”, comenta John N. Stewart, vicepresidente sénior y jefe de seguridad de Cisco. “Se espera que las campañas futuras sean incluso más exhaustivas y que duren períodos prolongados. Las organizaciones, en particular aquellas que trabajan con sectores o tiene intereses en sectores que ya son objetivos principales, como el de servicios financieros y el energético, deben preguntarse, ‘¿podemos ser flexibles frente a un ataque por DDoS?’” Un nuevo giro: algunos ataques por DDoS se utilizan probablemente para esconder otra actividad maliciosa, como AMPLIFICACIÓN DE DNS: Técnicas de mitigación Los ataques iniciados a través de la amplificación de DNS seguirán siendo una preocupación en 2014, según los expertos en seguridad de Cisco. El proyecto Open Resolver Project (openresolverproject.org) informa que, hasta octubre de 2013, 28 000 000 de solucionadores abiertos en Internet representan una “amenaza significativa”. (Tenga en cuenta que el ataque Spamhaus por DDoS de 300 Gbps utilizó solamente 30 000 solucionadores abiertos). Si un solucionador es abierto, significa que no filtra dónde se envían las respuestas. El DNS usa el protocolo UDP, que no tiene estado, es decir que se puede hacer una solicitud en nombre de otra persona. Esa persona recibe luego una cantidad amplificada de tráfico. Es por este motivo que identificar a los solucionadores abiertos (y tomar medidas para cerrarlos) es algo con lo que el sector deberá lidiar durante el próximo tiempo. Las empresas pueden reducir la posibilidad de ataques iniciados mediante amplificación de DNS de varias maneras; entre ellas, la implementación de la Mejor práctica actual (BCP) 38 del Grupo de Trabajo de Ingeniería de Internet (Internet Engineering Task Force) para evitar ser el origen de los ataques. En esta práctica BCP se recomienda que los proveedores de corriente arriba de conectividad IP filtren los Continúa en la página siguiente. [ ]
  • 57. 57 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector paquetes que ingresan a sus redes desde clientes de corriente abajo y que descarten cualquier paquete que tenga una dirección de origen que no esté asignada a ese cliente.30 La práctica BCP se estableció en colaboración con Cisco, que ofrece pautas para implementar el URPF, es decir, su implementación.31 Otra técnica de mitigación es la configuración de todos los servidores de DNS autoritativos para que limiten las tasas. El servidor de nombres autoritativo, que sirve al dominio de una empresa, está abierto generalmente a todas las solicitudes. El límite de tasa de respuesta de DNS (DNS RRL) es una característica que puede activarse para evitar que un servidor DNS responda a la misma consulta de la misma entidad demasiadas veces; de esta manera, se protege a la empresa de se la utilice como un intermediario de ataques por DDoS. La característica del DNS RRL se habilita en servidores DNS y es una manera, para que un administrador de servidores limite la eficacia con la que los atacantes pueden usar un servidor en ataques de amplificación. El límite de tasa de respuesta DNS es una característica más nueva y no es compatible con todos los servidores DNS; sin embargo, es compatible con ISC BIND, un servidor DNS popular. Asimismo, todos los servidores DNS recursivos deben configurarse con una lista de control de acceso (ACL) de manera que solo respondan a Continúa en la página siguiente. Continúa desde la página anterior. el fraude por medios electrónicos antes, durante o después de una campaña. (Consulte “DarkSeoul” en la página 58). Estos ataques pueden abrumar al personal de una entidad bancaria, evitar que se envíen notificaciones de transferencias a los clientes y evitar que los clientes puedan informar fraudes. Para el momento en que la institución se recupera de tal evento, no se puede recuperar de su pérdida financiera. Uno de estos ataques que se produjo el 24 de diciembre de 2012, estuvo dirigido al sitio web de una institución financiera regional de California y “ayudó a distraer a los empleados del banco de la toma de una cuenta en línea de uno de sus clientes, de la que se embolsaron más de USD 900 000”.28 Los conocimientos sobre servidores de alojamiento malintencionados que se acrecientan rápidamente solo harán que sea más fácil para los delincuentes informáticos los ataques por DDoS y los robos a organizaciones determinadas (consulte “Quiebres en un ecosistema frágil” en la página 44). Mediante el control de una parte de la infraestructura de Internet, los actores maliciosos pueden aprovechar grandes volúmenes de ancho de banda, lo que los coloca en posición para lanzar cualquier cantidad de poderosas campañas. Ya está ocurriendo: en agosto de 2013, el gobierno chino informó que el mayor ataque por DDoS que tuvo que enfrentar bloqueó Internet china durante horas.29 Incluso los spammers (fuentes de correo no deseado) utilizan los ataques por DDoS para derribar organizaciones a las que consideran un obstáculo para su generación de ganancias. En marzo de 2013, la organización sin fines de lucro Spamhaus, que rastrea spammers y creó la Lista de bloqueo Spamhaus, un directorio de direcciones IP sospechosas, fue el objetivo de un ataque por DDoS que desactivó temporalmente su sitio web y redujo la velocidad del tráfico de Internet en todo el mundo. Los atacantes estaban supuestamente afiliados a CyberBunker con base en Holanda, un proveedor de hosting con condiciones de uso permisivas, y a STOPhaus, que ha expresado abiertamente su disconformidad con las actividades de
  • 58. 58 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector consultas de los hosts de su propia red. Una lista ACL mal administrada puede ser un factor principal en ataques a DNS, en especial en grandes servidores con grandes volúmenes de ancho de banda disponible. Esta técnica ayuda además a reducir las posibilidades de convertirse en un intermediario en un ataque por DDoS. “Debido a que existen conversaciones en el sector de la seguridad acerca de permitir que los servidores de nombres autoritativos desactiven el servicio a entidades que terminan convirtiéndose en intermediarios de ataques por DDoS, las empresas deben implementar las técnicas de mitigación simples descritas anteriormente”, comenta Gavin Reid, director de inteligencia contra amenazas de Cisco. Para más información sobre las mejores prácticas de DNS, consulte “Mejores prácticas de DNS, protecciones de red e identificación de ataques”: http://www.cisco.com/ web/about/security/intelligence/dns- bcp.html. Continúa desde la página anterior. Spamhaus. El ataque por DDoS ocurrió luego de que el ampliamente utilizado servicio de Spamhaus incluyera a CyberBunker en su lista negra. En aparente represalia, los supuestos spammers intentaron dejar a Spamhaus sin conexión a través de un ataque por DDoS. Este incidente de DDoS utilizó un ataque por amplificación de DNS, que explota solucionadores abiertos de DNS que responden incluso a las consultas fuera de su intervalo IP. Mediante el envío a un solucionador abierto de una muy pequeña consulta, deliberadamente formada por una dirección de origen falsificada del destino, los atacantes pueden provocar una respuesta significativamente mayor que el objetivo esperado. Luego de que los intentos iniciales de dejar a Spamhaus sin conexión no tuvieran éxito, los atacantes utilizaron un ataque por amplificación de DNS dirigido al nivel 1 y a otros proveedores de corriente arriba de Spamhaus. DarkSeoul Como se anunció en “Ataques por DDoS: lo antiguo vuelve a ser moderno”, el nuevo enfoque y los conocimientos cada vez mayores de los delincuentes informáticos acerca de la vulnerabilidad de servidores de alojamiento solo hace que sea más sencillo el lanzamiento de ataques por DDoS y el robo a organizaciones. Los investigadores abocados a la seguridad de Cisco advierten que es probable que campañas futuras de DDoS sean capaces de crear tanto interrupciones como daños, incluidas pérdidas financieras por robo. Los ataques dirigidos a DarkSeoul en marzo de 2013 implicaron malware “limpiador” diseñado para destruir los datos en los discos duros de decenas de miles de equipos y servidores. Los ataques estaban dirigidos a instituciones
  • 59. 59 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector financieras y medios de comunicación en Corea del Sur, con la carga útil configurada para activarse al mismo tiempo. Sin embargo, el malware limpiador aparentemente es solo una faceta del ataque. Al mismo tiempo que se lanzaba el malware, se alteró el sitio web del proveedor de red coreano LG U+ y las redes de otras organizaciones objetivo comenzaron a dejar de funcionar (funcionalidades que no se pueden reproducir en el malware limpiador).32 Algunos creen que los ataques fueron el resultado de una guerra cibernética llevada a cabo por Corea del Norte para provocar interrupciones económicas en Corea del Sur o un acto de sabotaje provocado por otro país. Sin embargo, existe la posibilidad de que los ataques DarkSeoul tuvieran la intención de ocultar una ganancia financiera.33 Los investigadores abocados a la seguridad todavía siguen tratando de entender estos ataques (y de descubrir quién es el responsable), pero las pruebas indican que los planes de DarkSeoul podrían haberse puesto en marcha en 2011. Durante ese año, la Oficina Federal de Investigación (FBI) de EE. UU. advirtió por primera vez sobre la existencia de troyanos bancarios diseñados para ocultar la transferencia fraudulenta de fondos de las cuentas de las víctimas.34 Más tarde, en 2012, la empresa de seguridad RSA informó sobre una nueva raza de delincuentes informáticos que construía una campaña sofisticada de troyanos que iniciaría un ataque en un día programado y que intentaría “retirar dinero de tantas cuentas vulneradas como fuera posible antes de que los sistemas de seguridad detuvieran sus operaciones”.35 Y en la Nochebuena de 2012, ladrones informáticos utilizaron un ataque por DDoS como cubierta mientras robaban a una institución financiera regional de California.36 Un malware binario identificado en los ataques de DarkSeoul dirigidos a organizaciones de medios e instituciones financieras es un troyano bancario que apuntó específicamente a clientes de esos mismos bancos coreanos, según los investigadores de Cisco TRAC/SIO. Ese hecho, junto con la línea de tiempo de tendencias de delitos informáticos que apunta a DarkSeoul, indica que ladrones podrían haber lanzado la campaña para que simulara ser algo más. Ransomware Durante 2013, los atacantes se han alejado cada vez más de las infecciones tradicionales de equipos impulsadas por botnet. Parte de este cambio incluyó un mayor uso de ransomware como la carga útil de malware final de sitios web comprometidos, correo electrónico malicioso y descargadores troyanos. El ransomware es una categoría de malware que evita el funcionamiento normal de los sistemas infectados hasta que se paga una suma determinada. Durante 2013, los atacantes se han alejado cada vez más de las infecciones tradicionales de equipos impulsadas por botnet. [ ]
  • 60. 60 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector El ransomware ofrece a los atacantes una fuente de ingresos directa y difícil de rastrear sin la necesidad de usar servicios rentados de intermediarios, como los que proveen los botnets tradicionales. Los atacantes reflejan las economías legítimas locales que han observado un aumento significativo de empresas unipersonales como resultado de la pérdida de empleo y la recesión económica, pero la motivación de los delincuentes informáticos es la pérdida de la disponibilidad de botnet y de kits de explotación a los que se tiene acceso debido a bloqueos. En el otoño de 2013, un nuevo tipo de ransomware, denominado CryptoLocker, comenzó a cifrar archivos de las víctimas con una combinación de pares de claves de 2048 bits RSA y AES-256, que se considera imposible de quebrar. Cuando se activa, CryptoLocker mueve archivos de la máquina local para incluir tipos de archivos coincidentes en cualquier unidad asignada grabable. Una vez completada la rutina de cifrado, las víctimas observan una serie de cuadros de diálogo que proporcionan instrucciones detalladas para el pago del rescate (Figura 29). Aparece además un temporizador que le indica a la víctima que el pago debe efectuarse en un período específico (varía de 30 a 100 horas). El cuadro de diálogo también advierte que si no se paga el rescate en el tiempo asignado, se eliminará la clave privada del servidor de comando y control, en cuyo caso se perdería la posibilidad de descifrar los archivos. CryptoLocker surgió a mediados de octubre, posiblemente como respuesta a los kits de explotación Blackhole y Cool después del arresto del supuesto autor de esos marcos. FIGURA 29 Instrucciones de rescate de CryptoLocker
  • 61. 61 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector La escasez de personal calificado en seguridad y la falta de soluciones La sofisticación de la tecnología y las tácticas que utilizan los delincuentes informáticos (y sus intentos continuos de vulnerar la seguridad de la red y de robar datos) han superado la capacidad de hacer frente a estas amenazas de los profesionales de TI y seguridad. La mayoría de las organizaciones no tienen el personal o los sistemas para supervisar sus redes sistemáticamente y para determinar cómo los están infiltrando. La escasez de personal calificado en seguridad empeora el problema: aun cuando los presupuestos son generosos, los CISO deben luchar para contratar personas que tengan habilidades actualizadas en seguridad. Se prevé que para 2014, el sector tendrá una escasez de un millón de profesionales en seguridad en todo el mundo. También está en baja la cantidad de profesionales en seguridad con habilidades en datos científicos (la comprensión y el análisis de los datos de seguridad pueden ayudar a mejorar la alineación con los objetivos comerciales). (Consulte el apéndice de la página 69, “Las organizaciones de seguridad necesitan científicos de datos: herramientas preliminares de análisis de datos para profesionales en seguridad”). Los CISO deben luchar para contratar personas que tengan habilidades actualizadas en seguridad. [ ]
  • 62. 62 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector La nube como nuevo perímetro Como los CISO suelen decir a los expertos en seguridad de Cisco (consulte la página 18), transferir cantidades cada vez mayores de datos empresariales importantes a la nube es una cuestión de seguridad en crecimiento. La revolución de la nube, comenta Michael Fuhrman, vicepresidente de ingeniería de Cisco, se compara con el aumento de soluciones basadas en la Web de finales de la década de los noventa. “Este fue un cambio radical en el uso empresarial de la nueva tecnología; al mismo tiempo, observamos un aumento en ataques informáticos perpetrados por delincuentes”, dice Fuhrman. “En la actualidad, el cambio radical proviene de la nube. Las empresas no solo alojan muchas de sus aplicaciones críticas en la nube, sino que además utilizan la nube para consumir y analizar información empresarial importante”. El aumento de la computación en nube no se puede negar ni detener. Cisco ha previsto que el tráfico de red en la nube crecerá más del triple para el año 2017.37 Desde 2014 en adelante, los profesionales abocados a la seguridad pueden esperar que perímetros corporativos completos se transfieran a la nube. Estos perímetros de la red han experimentado el proceso de convertirse en mucho menos definidos en los años recientes. Sin embargo, con tantas aplicaciones y tantos datos en la nube, las organizaciones pierden rápidamente la capacidad de observar quién está moviendo qué cosa dentro y fuera de los límites de la empresa, y qué acciones realizan los usuarios. Esta transición a la nube cambia las reglas del juego ya que redefine dónde se almacenan, se transfieren y se tiene acceso a los datos, además de crear mayores oportunidades para los atacantes. Al temor de ceder el control de los datos a la nube se le suma la falta de información sobre cómo los proveedores de servicios en la nube defienden sus productos de las infracciones de seguridad. A menudo las organizaciones no hacen demasiadas preguntas acerca de los contenidos de los acuerdos de nivel de servicio de sus proveedores o sobre con qué frecuencia los proveedores cambian su software de seguridad de versión o revisan sus vulnerabilidades. El aumento de la computación en nube no se puede negar ni parar. [ ]
  • 63. 63 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector Las organizaciones deben asegurarse de que los proveedores de servicios en la nube utilizan las herramientas más sofisticadas y las estrategias disponibles para frustrar ataques o para detectar y detenerlos mientras están en curso. En el caso de los equipos de seguridad de la información, la decisión de avanzar con frecuencia se reduce a una pregunta: “¿Qué controles debo buscar en un proveedor para confiar en que puede administrar y proteger mis datos?” Por otro lado, los proveedores de servicios en la nube deben luchar para identificar e implementar un conjunto razonable de controles asignados a una creciente cantidad de normas internacionales, que se necesitan para abordar un entorno de amenazas cada vez más hostil. “Cuando elegimos proveedores para la seguridad y la infraestructura crítica, por lo general, lo hacemos en función de su certificación técnica y su reputación”, comenta John N. Stewart, vicepresidente sénior y jefe de seguridad de Cisco. “Últimamente, el proceso del proveedor y el enfoque evolutivo en la seguridad se han convertido también en factores cada vez más importantes”. Casualmente, las muchas cosas que hacen que la nube sea una amenaza (como la ubicación fuera del perímetro de la red y el creciente uso de la nube para datos importantes empresariales) permiten a las organizaciones tomar decisiones de seguridad más precisas y prácticamente en tiempo real. Con un tráfico mayor moviéndose en la nube, las soluciones de seguridad que también se basan en la nube pueden analizar rápida y fácilmente este tráfico y aprovechar esta información adicional. Asimismo, en el caso de organizaciones más pequeñas o de aquellas que tienen presupuestos limitados, un servicio en la nube bien protegido y bien administrado puede ofrecer una mayor protección de seguridad que los servidores y firewalls propios de la empresa. “Cuando elegimos proveedores para la seguridad y la infraestructura crítica, por lo general, lo hacemos en función de su certificación técnica y su reputación. Últimamente, el proceso del proveedor y el enfoque evolutivo en la seguridad se han convertido también en factores cada vez más importantes”. John N. Stewart, vicepresidente ejecutivo y jefe de seguridad de Cisco.
  • 64. 64 Informe anual de seguridad de 2014 de Cisco Recomendaciones Más organizaciones luchan para consolidar una visión de seguridad que se sustenta en una estrategia eficaz que utiliza nuevas tecnologías, simplifica su arquitectura y sus operaciones, y refuerza sus equipos de seguridad.
  • 65. 65 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Recomendaciones Objetivos para 2014: verificar la confianza y mejorar la visibilidad Actualmente, en un entorno en el que el nivel de confianza asociado a una red o un dispositivo se debe evaluar dinámicamente, las organizaciones se enfrentan a modelos fragmentados de seguridad que ofrecen cumplimiento heterogéneo, inteligencia contra amenazas aislada y una proliferación de proveedores y productos para administrar. Las conexiones entre las organizaciones, los datos y los ataques avanzados iniciados por actores maliciosos son demasiado complejas para que las aborde un solo dispositivo. Además, muchas organizaciones carecen de personal de seguridad con conocimientos y experiencia para ayudar a adaptar sus modelos de seguridad a los desafíos (y oportunidades) que presenta la computación en la nube, la movilidad y otras nuevas maneras de hacer negocios que están impulsadas por los avances tecnológicos. En el último año se han visto organizaciones de todo tipo tratando de comprender cómo aprovechar la innovación sin crear nuevas brechas de seguridad o acrecentar las que ya se conocen. En el 2013, surgió además el problema de confiar en la vanguardia. Usuarios de todo tipo tienden actualmente a cuestionar la confianza de la tecnología en la que se basan a diario, ya sea en el trabajo como en sus vidas personales. Es por lo tanto más importante que nunca antes, que los proveedores de tecnología ayuden a los clientes a garantizar que la seguridad sea una prioridad en sus procesos de fabricación y a estar preparados para respaldar esas garantías. “Nos encontramos en una transición del mercado en la que la confianza importa y los procesos y la tecnología deben ser características integrales del diseño de productos para que un proveedor pueda satisfacer las necesidades de las amenazas actuales”, comenta John N. Stewart, gerente de seguridad de Cisco. “La promesa de una empresa no es suficiente. Las empresas necesitan verificaciones a través de productos certificados, procesos de desarrollo integrados, tecnología innovadora y prestigio en el sector. Las organizaciones deben además lograr que la verificación de la confianza de los productos tecnológicos que utilizan y de los proveedores que los proporcionan sea una prioridad constante”. [ ]
  • 66. 66 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Recomendaciones Mejorar el ajuste entre las operaciones de seguridad y los objetivos comerciales es también una medida importante para fortalecer la seguridad empresarial. En un clima de recursos limitados y presupuestos ajustados, esta alineación puede ayudar a que los CISO y otros ejecutivos de seguridad de la organización identifiquen riesgos clave y enfoques de mitigación adecuados. Parte de este proceso es la aceptación del hecho de que no todos los recursos de la empresa se pueden proteger en todo momento. “Es necesario llegar a un acuerdo sobre lo que es más importante desde una perspectiva de seguridad informática”, expresa Gavin Reid, director de inteligencia de amenazas de Cisco. “Se trata de un enfoque más productivo que esperar encontrar una remedio mágico que pueda solucionarlo todo”. Para hacer frente a los desafíos de seguridad actuales, las organizaciones deben examinar integralmente sus modelos de seguridad y obtener visibilidad en toda la secuencia de los ataques: • Antes de un ataque: para defender sus redes, las organizaciones deben estar alertas de lo que incluyen; es decir, dispositivos, sistemas operativos, servicios, aplicaciones y usuarios, entre otras cosas. Además, deben implementar controles de acceso, hacer cumplir las políticas de seguridad y bloquear las aplicaciones y el acceso general a los activos fundamentales. No obstante, las políticas y los controles son solo una pequeña parte de un panorama más amplio. Estas medidas pueden ayudar a reducir el área expuesta al ataque, pero siempre habrá brechas que los atacantes encontrarán y utilizarán para lograr sus objetivos. • Durante un ataque: las organizaciones deben abordar una amplia gama de vectores de ataque con soluciones que funcionan cada vez que un ataque se manifiesta, ya sea en la red, en los terminales, desde dispositivos móviles y en los entornos virtuales. Gracias a la implementación de soluciones eficaces, los profesionales de seguridad estarán mejor posicionados para bloquear amenazas y ayudar a proteger el entorno. • Después de un ataque: constantemente, muchos ataques se realizan con éxito. Esto significa que las organizaciones deben poner en práctica un plan formal que les permita determinar el alcance del daño, contener el evento, corregirlo y reanudar el funcionamiento normal tan pronto como sea posible. “Los atacantes y sus herramientas han evolucionado para evadir las defensas tradicionales. La realidad es que ya no se trata de si los atacantes logran ingresar, sino de cuándo”, comenta Marty Roesch, arquitecto de seguridad ejecutivo del Grupo de Seguridad de Cisco. “Para proteger a los usuarios en toda la secuencia del ataque (antes, durante y después de un ataque), se necesita un enfoque de seguridad impulsado por la visibilidad y centrado en las amenazas”. [ ]
  • 67. 67 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Recomendaciones Cómo ayudan los servicios a superar los desafíos de seguridad Con un área mayor expuesta a los ataques, la creciente proliferación y sofisticación de los modelos de ataques, además de la cada vez mayor complejidad dentro de la red, muchas organizaciones luchan por consolidar una visión de seguridad que utilice nuevas tecnologías, simplifique su arquitectura y sus operaciones, y refuerce sus equipos. La falta de personal calificado en seguridad, como se explicó en la página 61, complica estas cuestiones. Asimismo, el sector de la seguridad está innovando de una manera más rápida de la que las organizaciones pueden adoptar y poner en funcionamiento estas nuevas herramientas. Encontrar al personal calificado adecuado para abordar el panorama de seguridad cambiante de manera eficaz puede ser todo un desafío. Incorporar recursos externos complementarios no solo puede ayudar a reducir costos, sino también a permitir que la empresa libere recursos para que se concentren en sus mayores prioridades. Refuerzo de puntos débiles La prevención de amenazas es por supuesto primordial para mantener la ciberseguridad. Por este motivo, con más delincuentes informáticos que cambian su enfoque para vulnerar la infraestructura de Internet en vez de equipos individuales, los expertos de seguridad de Cisco recomiendan que los ISP y las empresas de hosting tengan un rol más activo en términos de ayudar a proteger la integridad de Internet. Identificar amenazas difíciles de detectar, como DarkLeech y Linux/CDorked (consulte la página 46) requiere mucha más “capacidad de respuesta humana” por parte de los proveedores de hosting. Esta capacidad de respuesta incluye investigar exhaustivamente los informes de los usuarios y tomarlos en serio. Los proveedores deben además establecer mejores controles para asegurarse de que puedan verificar la integridad de las instalaciones de sistemas operativos en sus servidores. Los investigadores de Cisco sostienen que con el malware furtivo, como CDorked, los equipos de seguridad no hubieran tenido manera de detectar que se había reemplazado el código binario si no se hubiera implementado un control para verificar la integridad de la instalación. Los sistemas de usuarios individuales son susceptibles de ser vulnerados, obviamente, pero la debilidad de la cadena comienza por lo general mucho antes de que una amenaza los alcance. Actualmente es mucho más frecuente que el ataque suceda en el medio de la cadena; por este motivo, los proveedores deben tener una mayor consciencia de las posibles amenazas destinadas a la infraestructura de Internet.
  • 68. 68 Informe anual de seguridad de 2014 de Cisco Apéndice
  • 69. 69 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice Las organizaciones de seguridad necesitan científicos de datos Herramientas preliminares de análisis de datos para profesionales en seguridad Los equipos de jefes de seguridad de Cisco (CSO) están recopilando una cantidad de datos sin precedentes y la inteligencia que se obtiene de estos datos es demasiado valiosa como para no utilizarla. El análisis de datos relevantes para la seguridad aporta pistas sobre las actividades de los atacantes y proporciona una información que se puede procesar a fin de frustrar los ataques. El análisis de datos no es algo nuevo para los profesionales de seguridad. Existe además una expectativa entre los profesionales de seguridad de que los registros se generarán y etiquetarán. Los pentesters crean un registro de investigación después de una evaluación. Los diseñadores de sistemas operativos implementan subsistemas de auditorías. Los desarrolladores de aplicaciones diseñan aplicaciones que generan registros. Independientemente de cómo se denominen los registros, una cosa es cierta: los profesionales de seguridad tienen gran cantidad de datos y analizar esos datos puede llevar a importantes descubrimientos. Si bien el análisis de datos en sí mismo no es una novedad, la evolución del panorama de seguridad ha tenido un impacto en el proceso de análisis de datos: • El simple volumen de datos generados es asombroso. • La frecuencia con la que se necesita el análisis de datos ad hoc está en aumento. • Los informes estandarizados, si bien son útiles, resultan insuficientes. Los profesionales de seguridad tienen gran cantidad de datos y analizar esos datos puede llevar a importantes descubrimientos.
  • 70. 70 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice Afortunadamente, la barrera para que los profesionales de seguridad puedan analizar datos, aún en este entorno más complejo, es baja, y el ecosistema de herramientas de análisis de datos es valioso. A continuación, se incluye una descripción general de tan solo algunas de las herramientas gratuitas disponibles que los profesionales pueden usar para empezar a analizar los datos. Análisis de tráfico con Wireshark y Scapy Dos herramientas que se destacan en el análisis de tráfico son Wireshark y Scapy. Para Wireshark no se necesita presentación. Scapy es una herramienta basada en Python que se puede utilizar como un módulo de Python o de manera interactiva para diseñar o inspeccionar tráfico. Los valiosos conjuntos de herramientas de línea de comando y disectores de protocolo de Wireshark la hacen indispensable. Por ejemplo, gracias al campo de filtrado de visualización tcp.stream de Wireshark, un archivo pcap que contiene varias secuencias TCP se puede dividir en archivos más pequeños, cada uno de los cuales contiene todos los paquetes que corresponden a una sola secuencia TCP. En la Figura A1 se muestra este comando que imprime el índice de la secuencia TCP de los primeros cinco paquetes TCP en traffic_sample.pcap. FIGURA A1 Comando tshark para extraer el índice tcp.stream tshark -r traffic_sample.pcap -T fields -e tcp.stream tcp | head -n 5 tshark es una de las herramientas de línea de comandos de Wireshark. tcp.stream se refiere al campo de índice de transmisión de filtros de presentación TCP.
  • 71. 71 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice Con esta información, se puede escribir una secuencia que divida traffic_sample.pcap en archivos pcap independientes: $ cat ~/bin/uniq_stream.sh #!/bin/bash function getfile_name() { orig_name=$1 stream=$2 file_name=”$(echo $orig_name | cut -d’.’ -f1)” file_name+=”-${stream}.pcap” echo “${file_name}” return 0 } streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘n’ ‘ ‘) for x in ${streams} do file_name=$(getfile_name ${1} ${x}) echo “Creating ${file_name}...” tshark -r ${1} -w $file_name tcp.stream eq ${x} done $ La secuencia crea un solo archivo pcap para cada una de las 147 secuencias TCP en traffic_sample.pcap. Ahora es más fácil hacer una análisis más detallado de cada secuencia TCP. Tenga en cuenta que los paquetes que no son TCP de traffic_sample.pcap no aparecerán en ninguno de los nuevos archivos pcap: $ /bin/uniq_stream.sh traffic_sample.pcap Creating traffic_sample-1.pcap... Creating traffic_sample-2.pcap... … … Creating traffic_sample-146.pcap... Creating traffic_sample-147.pcap...
  • 72. 72 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice Scapy tiene sus propias fortalezas. Como está desarrollada en Python, se pueden utilizar todas las características del lenguaje Python y otras herramientas Python. En el siguiente fragmento se muestra cómo Scapy hace uso de la sobrecarga de operador de manera que se puede crear tráfico rápida e intuitivamente: # scapy dns_query = IP()/UDP()/DNS() from socket import gethostbyname,gethostname dns_query[IP].src = gethostbyname(gethostname()) dns_query[IP].dst = “8.8.8.8” import random random.seed() dns_query[UDP].sport = random.randint(0, 2**16) dns_query[DNS].id = random.randint(0, 2**16) dns_query[DNS].qdcount = 1 dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”) scapy.sendrecv.sr1(dns_query) response = scapy.sendrecv.sr1(dns_query) Begin emission: ............Finished to send 1 packets. .* Received 14 packets, got 1 answers, remaining 0 packets response[DNS].ar[DNSRR].rdata ‘64.102.255.44’ En este ejemplo se muestra cómo se pueden armar los paquetes y cómo se puede analizar el tráfico en vivo. Sin embargo, Scapy se puede utilizar para analizar archivos pcap así de simple.
  • 73. 73 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice Análisis de datos CSV Los valores delimitados por coma (CSV) son un formato popular para intercambiar datos. Muchas herramientas (entre ellas, tshark) permiten al usuario exportar datos en formato CSV. Por lo general, los profesionales de seguridad utilizan programas de hojas de cálculo, como Excel, para analizar los datos CSV. También es posible utilizar herramientas de línea de comando, como grep, cut, sed, awk, uniq y sort. Considere usar csvkit como alternativa. Csvkit ofrece varias utilidades que facilitan el procesamiento de datos CSV de la línea de comandos. Examine el siguiente archivo CSV y observe qué fácil es encontrar todas las líneas que tienen el host tty.example.org en la columna src: $ head -n 3 tcp_data.csv src,srcport,dst,dstport “tty.example.org”,“51816”,”vex.example.org”,”443” “vex.example.org”,”443”,”tty.example.org”,”51816” $ csvgrep -n tcp_data.csv 1: src 2: srcport 3: dst 4: dstport $ csvgrep -c 1 -r ‘tty.example.org’ tcp_data.csv | head -n 5 src,srcport,dst,dstport tty.example.org,51816,vex.example.org,443 tty.example.org,51816,vex.example.org,443 tty.example.org,51427,paz.example.org,5222 tty.example.org,51767,bid.example.org,80
  • 74. 74 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice Csvkit incluye un montón de utilidades. Csvstat es particularmente útil ya que calcula automáticamente varias estadísticas. Por ejemplo, es fácil calcular la frecuencia de los cinco hosts src principales: $ csvstat -c 1 tcp_data.csv 1. src type ‘unicode’ Nulls: False Unique values: 55 5 most frequent values: tty.example.org: 2866 lad.example.org: 1242 bin.example.org: 531 trw.example.org: 443 met.example.org: 363 Max length: 15 Row count: 6896 Matplotlib, Pandas, IPython y otros Está disponible un valioso conjunto de herramientas de visualización y análisis de datos basada en Python. Un lugar fabuloso para conocer estas herramientas es el sitio SciPy (http://www.scipy.org). Los paquetes Matplotlib, pandas y IPython revisten un interés particular: • Matplotlib permite una visualización fácil y flexible. • Pandas ofrece herramientas para manipular y examinar datos sin procesar. • IPython aporta características al intérprete de Python que facilitan el análisis interactivo de datos.
  • 75. 75 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice A continuación, se muestra cómo los profesionales de seguridad pueden utilizar estas tres herramientas para diseñar los principales hosts src en tcp_data.csv: In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”) In [4]: df Out[4]: class ‘pandas.core.frame.DataFrame’ Int64Index: 6896 entries, 0 to 6895 Data columns (total 4 columns): src 6896 non-null values srcport 6896 non-null values dst 6896 non-null values dstport 6896 non-null values dtypes: int64(2), object(2) In [5]: df[‘src’].value_counts()[0:10] Out[5]: tty.example.org 2866 lad.example.org 1242 bin.example.org 531 trw.example.org 443 met.example.org 363 gee.example.org 240 gag.example.org 126 and.example.org 107 cup.example.org 95 chi.example.org 93 dtype: int64 In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”) Out[6]: matplotlib.axes.AxesSubplot at 0x8479c30
  • 76. 76 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice FIGURA A2 Gráfico generado con trazado () 0 1000 500 1500 2000 2500 3000 tty.example.org lad.example.org bin.example.org trw.example.org met.example.org gee.example.org gag.example.org and.example.org cup.example.org chi.example.org El atractivo de pandas reside en la manera en que permite a los usuarios explorar los datos. Por ejemplo, se requiere muy poco esfuerzo para encontrar la cantidad de srcports únicos que tty. example.org conecta desde cada dst único y la combinación dstport con la que se comunica: In [229]: tty_df = df[df.src == “tty.example.org”] In [230]: num_ports = lambda x: len(set(x)) In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports) Out[231]: dst dstport add.example.org 80 2 ala.example.org 80 3 and.example.org 80 1 auk.example.org 80 2 bid.example.org 80 1 …
  • 77. 77 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Apéndice Inicio de análisis de datos Los ejemplos que aparecen en las páginas anteriores son simplemente una pequeña muestra y no están a la altura de las herramientas a las que se hace referencia. No obstante, son suficientes para que los profesionales de seguridad puedan comenzar a hacer un análisis significativo de datos. Los CSO deben lograr que sus profesionales de seguridad cumplan la función de científicos de datos. Ahondar en los datos disponibles proporcionará información que no sería posible obtener de otra manera. Con el tiempo, se desarrollará la intuición para reconocer qué porción de los datos se debe explorar. Algunas organizaciones pueden incluso descubrir que pueden beneficiarse de tener científicos de datos exclusivos en sus equipos.
  • 78. 78 Informe anual de seguridad de 2014 de Cisco Acerca de Cisco SIO
  • 79. 79 Informe anual de seguridad de 2014 de Cisco Acerca de Cisco SIO Cisco SIO Administrar y asegurar las redes ágiles y distribuidas en la actualidad se ha convertido en un desafío cada vez más difícil. Los delincuentes informáticos continúan explotando la confianza que tienen los usuarios en las aplicaciones y los dispositivos para consumidores, lo cual incrementa el riesgo para las empresas y los empleados. La seguridad tradicional, que depende de la disposición en capas de los productos y del uso de varios filtros, no es suficiente para defenderse de la última generación de software malicioso, que se disemina rápidamente, tiene objetivos mundiales y utiliza múltiples vectores para propagarse. Cisco se adelanta a las últimas amenazas por medio de la inteligencia de amenazas en tiempo real de Cisco Security Intelligence Operations (SIO). Cisco SIO es el ecosistema de seguridad basado en la nube más grande del mundo, el que utiliza más de 75 terabits de fuentes de datos en vivo provenientes de soluciones de sistema de prevención de intrusiones (IPS), firewall, Internet y correo electrónico de Cisco. Cisco SIO compara y procesa los datos, categoriza las amenazas automáticamente y crea reglas con más de 200 parámetros. Los investigadores de seguridad también recopilan y proporcionan información sobre eventos de seguridad que tienen el potencial de afectar en gran medida las redes, las aplicaciones y los dispositivos. Las reglas se distribuyen en forma dinámica en los dispositivos de seguridad de Cisco implementados cada tres a cinco minutos. El equipo de Cisco SIO también publica recomendaciones sobre las mejores prácticas de seguridad y pautas tácticas para frustrar las amenazas. Cisco se compromete a ofrecer soluciones de seguridad completas que se integren, que sean oportunas, integrales y eficaces, para habilitar la seguridad holística para las empresas en todo el mundo. Gracias a Cisco, las empresas pueden ahorrar tiempo de investigación de amenazas y vulnerabilidades y centrarse más en adoptar un enfoque proactivo hacia la seguridad. Si desea más información sobre la inteligencia de aviso temprano, análisis de amenazas y vulnerabilidades y soluciones de mitigación de Cisco comprobadas, visite: www.cisco.com/go/sio. La seguridad tradicional no es suficiente para defenderse de la última generación de software malicioso.
  • 80. 80 Informe anual de seguridad de 2014 de Cisco Notas 1 Para más información sobre la evolución de cualquiera con cualquiera, consulte “The Nexus of Devices, Clouds, and Applications” en el Informe anual de seguridad de 2013 de Cisco: https://www.cisco.com/web/offer/gist_ty2_asset/ Cisco_2013_ASR.pdf. 2 Ibídem. 3 No More Chewy Centers: Introducing The Zero Trust Model Of Information Security de John Kindervag, Forrester, 12 de noviembre de 2012 4 “Timeline of Edward Snowden’s Revelations”, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timeline- edward-snowden-revelations.html. 5 “NSA collecting phone records of millions of Verizon customers daily” de Glenn Greenwald, The Guardian, 5 de junio de 2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order. 6 GCHQ: Government Communications Headquarters, a British intelligence agency. 7 “NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say” de Barton Gellman y Ashkan Soltani, 30. de octubre de 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsa- infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3- 8b74-d89d714ca4dd_story.html. 8 Para más información, consulte “Ciclo de vida del desarrollo seguro de Cisco (CSDL)”: http://www.cisco.com/web/about/ security/cspo/csdl/index.html. 9 Ibídem. 10 Cisco define a Internet de Todo como “la próxima tendencia del crecimiento espectacular de Internet que vendrá de la mano de la confluencia de personas, procesos, datos y cosas”. 11 “Massive Spam and Malware Campaign Following the Boston Tragedy”, Cisco Security Blog, 17 de abril de 2013: http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/. 12 Ibídem. 13 Ibídem. 14 Página “Acerca de” del sitio web de Java: http://www.java.com/en/about/. 15 Conozca más sobre la “evolución de todo tipo”, consulte el Informe anual de seguridad 2013 de Cisco: http://www.cisco.com/ web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf. 16 “Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities” de Craig Williams, Cisco Security Blog, 4 de mayo de 2013: http://blogs.cisco.com/security/department-of-labor-watering- hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/. 17 “Watering-Hole Attacks Target Energy Sector” de Emmanuel Tacheau, Cisco Security Blog, 18 de septiembre de 2013: http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/. 18 “Apache DarkLeech Compromises” de Mary Landesman, Cisco Security Blog, 2 de abril de 2013: http://blogs.cisco.com/ security/apache-DarkLeech-compromises/. 19 “Ongoing malware attack targeting Apache hijacks 20,000 sites” de Dan Goodin, Ars Technica, 2 de abril de 2013: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/. 20 “Linux/CDorked FAQS” de Mary Landesman, Cisco Security Blog, 1 de mayo de 2013: http://blogs.cisco.com/security/ linuxcdorked-faqs/. 21 “DarkLeech Apache Attacks Intensify” de Matthew J. Schwartz, InformationWeek, 30 de abril de 2013: http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922. 22 Typosquatting es la práctica de registrar nombres de dominios que difieren en un carácter del nombre de un dominio popular. 23 “Thanks to IoE, the next decade looks positively ‘nutty’” de Dave Evans, Cisco Platform Blog, 12 de febrero de 2013: http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.
  • 81. 81 Informe anual de seguridad de 2014 de Cisco 24 Para más información sobre las estrategias de mitigación de bitsquatting, lea el informe técnico Cisco, Examining the Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_ Surface-whitepaper.pdf. 25 “WordPress Sites in the World” y “A Look at Activity Across WordPress.com”, WordPress.com: http://en.wordpress.com/stats/. 26 “Important Security Update: Reset Your Drupal.org Password”, Drupal.org, 29 mayo de 2013: https://drupal.org/news/130529SecurityUpdate. 27 Puede encontrar un informe detallado de los patrones y cargas útiles de la campaña Operation Ababil en “Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/web/about/security/ intelligence/ ERP-financial-DDoS.html. 28 “DDoS Attack on Bank Hid $900,000 Cyberheist” de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/. 29 “Chinese Internet Hit by Attack Over Weekend” de Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013: http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/. 30 Fuente: Wikipedia: “Ingress Filtering”: http://en.wikipedia.org/wiki/Ingress_filtering. 31 “Understanding Unicast Reverse Path Forwarding”, sitio web de Cisco: http://www.cisco.com/web/about/security/intelligence/ unicast-rpf.html. 32 “Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack” de Sean Gallagher, Ars Technica, 20 de marzo de 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean- cyber-attack/. 33 “Thoughts on DarkSeoul: Data Sharing and Targeted Attackers” de Seth Hanford, Cisco Security Blog, 27 de marzo de 2013: http://blogs.cisco.com/tag/darkseoul/. 34 Ibídem. 35 “Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks” de Mor Ahuvia, RSA, 4 de octubre de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u- s-banks/. 36 “DDoS Attack on Bank Hid $900,000 Cyberheist” de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013: http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/. 37 “Cisco projects data center-cloud traffic to triple by 2017”, ZDNet, 15 de octubre de 2013: http://www.zdnet.com/cisco- projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
  • 82. Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax están disponibles en el sitio web de Cisco en www.cisco.com/go/offices. La totalidad del contenido pertenece a Copyright © 2011–2014 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros países. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/ go/trademarks. Las marcas registradas de terceros mencionadas en este documento pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica la existencia de una asociación entre Cisco y cualquier otra compañía. (012114 v1) Sede Central en América Cisco Systems, Inc. San José, CA Sede Central en Asia Pacífico Cisco Systems (EE. UU.) Pte. Ltd. Singapur Sede Central en Europa Cisco Systems International BV Ámsterdam, Países Bajos

×