Informe anual de seguridad de 2014 de Cisco

5,122 views

Published on

En este informe, Cisco ofrece datos y perspectivas de las principales preocupaciones de seguridad, como los cambios de malware, las tendencias en vulnerabilidades y el resurgimiento de ataques de denegación de servicio distribuido (DDoS). En el informe también se analizan las campañas orientadas a organizaciones, grupos y sectores específicos, y la creciente sofisticación de quienes intentan robar información confidencial. El informe finaliza con recomendaciones para examinar los modelos de seguridad de manera integral y obtener visibilidad de la secuencia completa de los ataques: antes, durante y después de un ataque.

Published in: Technology

Informe anual de seguridad de 2014 de Cisco

  1. 1. Informe anual de seguridad de 2014 de Cisco
  2. 2. 2 Informe anual de seguridad de 2014 de Cisco Resumen ejecutivo El problema de la confianza La explotación de la confianza es un modo frecuente de operación para los atacantes en línea y otros actores malintencionados. Ellos se aprovechan de la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios con los que interactúan regularmente. Y este enfoque funciona: existe amplia evidencia de que los adversarios están ideando nuevos métodos para integrar su malware en las redes y permanecer sin que se los detecte durante largos períodos, mientras roban datos o desbaratan sistemas críticos. Mediante el uso de métodos que varían desde el robo con ingeniería social de contraseñas y credenciales hasta infiltraciones sigilosas y “ocultas a simple vista” que se ejecutan en minutos, los actores malintencionados continúan vulnerando la confianza pública con el fin de lograr consecuencias perjudiciales. Sin embargo, el problema de la confianza va más allá de los delincuentes que explotan las vulnerabilidades o se aprovechan de los usuarios a través de ingeniería social: debilita la confianza en organizaciones tanto públicas como privadas. Las redes actuales enfrentan dos maneras de deterioro de la confianza. La primera es una disminución de la confianza de los clientes en la integridad de los productos. La segunda es abundante evidencia acerca de que los actores malintencionados están venciendo los mecanismos de confianza, lo que cuestiona la eficacia de la red y la seguridad de las aplicaciones, la autenticación y las arquitecturas de autorización. En este informe, Cisco ofrece datos y perspectivas de las principales preocupaciones de seguridad, como los cambios de malware, las tendencias en vulnerabilidades y el resurgimiento de ataques de denegación de servicio distribuido (DDoS). En el informe también se analizan las campañas orientadas a organizaciones, grupos y sectores específicos, y la creciente sofisticación de quienes intentan robar información confidencial. El informe finaliza con recomendaciones para examinar los modelos de seguridad de manera integral y obtener visibilidad de la secuencia completa de los ataques: antes, durante y después de un ataque. Los actores maliciosos continúan innovando en maneras de explotar la confianza pública con el fin de provocar consecuencias dañinas.
  3. 3. 3 Informe anual de seguridad de 2014 de Cisco Descubrimientos clave A continuación se presentan tres hallazgos clave del Informe anual de seguridad de 2014 de Cisco: Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet. • Las explotaciones malintencionadas están ganando acceso a servidores de alojamiento web, servidores de nombres y centros de datos. Esto sugiere la formación de überbots que buscan alta reputación y activos ricos en recursos. • Los errores de búfer son una amenaza principal, en el 21% de las categorías de amenazas de Common Weakness Enumeration (CWE). • Los hallazgos de malware se están moviendo hacia la fabricación de productos electrónicos y los sectores de agricultura y minería en aproximadamente seis veces la tasa promedio de hallazgos en los mercados verticales del sector. Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral. • El correo electrónico no deseado sigue su tendencia descendente, aunque la proporción de correo electrónico no deseado malintencionado permanece constante. • Java comprende el 91% de las explotaciones web; el 76% de las compañías que usan servicios de Cisco Web Security ejecutan Java 6, una versión descontinuada y sin soporte. • Los ataques “watering hole” están dirigidos a sitios web específicos, relacionados con el sector, a fin de distribuir malware. Las investigaciones de empresas multinacionales muestran evidencia de compromiso interno. El tráfico sospechoso emana de sus redes e intenta conectarse a sitios cuestionables (el 100% de las empresas están llamando a hosts de malware malintencionados). • Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados. • Las alertas de amenazas aumentan un 14% de un año a otro; están surgiendo alertas nuevas (no alertas actualizadas). • El 99% de todo el malware móvil en 2013 estuvo dirigido a dispositivos Android. Los usuarios de Android también tienen la tasa más alta de hallazgos (71%) con todas las maneras de malware basado en la web.
  4. 4. 4 Informe anual de seguridad de 2014 de Cisco Contenido del informe El Informe anual de seguridad de 2014 de Cisco presenta perspectivas de seguridad en cuatro áreas clave: Confianza Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego. En esta área, abordamos tres presiones que hacen que sean aún más desafiantes los intentos por parte de los profesionales de seguridad de ayudar a sus organizaciones a lograr este equilibrio: • Mayor área de superficie de ataques • Proliferación y sofisticación del modelo del ataque • Complejidad de amenazas y soluciones Inteligencia contra amenazas Mediante el conjunto más grande de telemetría de detección disponible, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado: • Los ataques contra infraestructura están dirigidos a recursos significativos a través de Internet. • Los actores malintencionados están usando aplicaciones de confianza para explotar las brechas en la seguridad perimetral. • Los indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante períodos prolongados.
  5. 5. 5 Informe anual de seguridad de 2014 de Cisco Sector En esta sección, los investigadores de Cisco Security Intelligence Operations (SIO) elevan el debate en torno a las tendencias del sector que se extienden más allá de la telemetría de Cisco, pero que aún así afectan las prácticas de seguridad: desde intentos de inicio de sesión por fuerza bruta, actividad de DDoS a gran escala y esfuerzos de ransomware hasta la creciente dependencia de la nube, falta de personal calificado en seguridad y otras preocupaciones. Recomendaciones Las organizaciones están enfrentando una superficie de ataque más amplia, la creciente proliferación y sofisticación de los modelos de ataque, y mayor complejidad dentro de la red. Muchos se están esforzando por solidificar una visión de seguridad respaldada por una estrategia efectiva que use nuevas tecnologías, simplifique su arquitectura y sus operaciones, y fortalezca sus equipos de seguridad. En esta sección se describe cómo un modelo de seguridad centrado en amenazas permite a los defensores abordar la secuencia completa de los ataques, a través de todos los vectores de ataque, y responder en cualquier momento, todo el tiempo, de manera continua: antes, durante y después de un ataque.
  6. 6. 6 Informe anual de seguridad de 2014 de Cisco Cómo Cisco evalúa el panorama de amenazas Cisco desempeña un rol crítico en la evaluación de amenazas, dada la prevalencia de sus soluciones y la amplitud de su inteligencia de seguridad: • 16 000 millones de solicitudes web inspeccionadas cada día a través de Cisco Cloud Web Security • 93 000 millones de correos electrónicos inspeccionados cada día por la solución alojada de correo electrónico de Cisco • 200 000 direcciones IP evaluadas por día • 400 000 muestras de malware evaluadas por día • 33 millones de archivos de terminales evaluados cada día por FireAMP • 28 millones de conexiones de red evaluadas cada día por FireAMP Esta actividad deriva en la detección de las siguientes amenazas por parte de Cisco: • 4500 millones de correos electrónicos bloqueados cada día • 80 millones de solicitudes web bloqueadas cada día • 6450 detecciones de archivos terminales realizadas cada día en FireAMP • 3186 detecciones de redes de terminales realizadas cada día en FireAMP • 50 000 intrusiones de red detectadas cada día
  7. 7. 7 Informe anual de seguridad de 2014 de Cisco Contenido Confianza................................................................................................................ 8 Nuevas maneras de hacer negocios, nuevas brechas de seguridad.................................................... 9 Erosión de la confianza...................................................................................................... 11 Principales desafíos de seguridad para 2014.............................................................................. 12 Sistemas transparentes y confiables.......................................................................................16 Inteligencia contra amenazas....................................................................... 20 Aumento de alertas de amenazas..........................................................................................21 Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenaza..............................................................................24 Explotaciones web: Java lidera el grupo.................................................................................. 29 BYOD y movilidad: la maduración de dispositivos beneficia el ciberdelito............................................. 33 Ataques dirigidos: el desafío de desalojar “visitantes” ubicuos y persistentes..........................................37 Instantánea de malware: tendencias observadas en 2013.............................................................. 39 Objetivos principales: mercados verticales del sector....................................................................42 Fracturas en un ecosistema frágil.......................................................................................... 44 Tráfico malintencionado, con frecuencia un signo de ataques dirigidos, detectado en todas las redes empresariales............................................................................................................... 49 Sector.................................................................................................................... 53 Intentos de inicio de sesión por fuerza bruta, una táctica preferida para vulnerar sitios web........................ 54 Ataques de DDoS: lo antiguo vuelve a ser nuevo........................................................................ 56 DarkSeoul.................................................................................................................... 58 La escasez de personal calificado en seguridad y la brecha de soluciones............................................61 La nube como un nuevo perímetro........................................................................................ 62 Recomendaciones............................................................................................ 64 Objetivos para 2014: verificar la confiabilidad y mejorar la visibilidad................................................... 65 Apéndice.............................................................................................................. 68 Las organizaciones de seguridad necesitan científicos de datos....................................................... 69 Acerca de Cisco SIO....................................................................................... 78 Cisco SIO.....................................................................................................................79 Acerca de este documento Este documento incluye contenido que permite búsquedas y se puede compartir. Busque este icono para abrir la función de búsqueda en Adobe Acrobat. Software recomendado Adobe Acrobat versión 7.0 y posteriores Busque estos iconos para compartir contenido.[ ]
  8. 8. 8 Informe anual de seguridad de 2014 de Cisco Confianza Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego.
  9. 9. 9 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Nuevas maneras de hacer negocios, nuevas brechas de seguridad Los débiles enlaces en la cadena de suministro de tecnología son una faceta del complejo panorama actual de riesgo y ciberamenazas. También lo es el surgimiento de una infraestructura cualquiera con cualquiera (any-to-any), en la que cualquier dispositivo de cualquier ubicación puede afectar cualquier creación de instancias de la red.1 Además, existe una creciente abundancia de dispositivos habilitados para Internet —smartphones, tablets y más— que intentan conectarse a aplicaciones que podrían estar ejecutándose en cualquier lugar, incluidas una nube pública de software como servicio (SaaS), una nube privada o una nube híbrida.2 Incluso los servicios básicos de infraestructura de Internet se han convertido en un objetivo para los piratas informáticos, que quieren aprovecharse de la reputación, el ancho de banda y el tiempo de actividad, y la disponibilidad continuos de servidores de alojamiento web, servidores de nombres y centros de datos para lanzar campañas cada vez más grandes. (Consulte “Fracturas en un ecosistema frágil”, página 44). Si bien las tendencias como computación en la nube y movilidad están reduciendo la visibilidad y aumentando la complejidad de la seguridad, aún así, las organizaciones deben adoptarlas, porque ellas son fundamentales para desarrollar ventaja competitiva y éxito comercial. No obstante, están surgiendo brechas de seguridad, que se amplían día a día, dado que los equipos de seguridad intentan ajustar las soluciones tradicionales con maneras novedosas y en constante evolución para hacer negocios. Mientras tanto, los actores malintencionados están trabajando más rápido para explotar las brechas que las soluciones puntuales no integradas simplemente no pueden reducir. Y están teniendo éxito, porque cuentan con los recursos para ser más ágiles. La red de ciberdelito se está expandiendo, fortaleciendo, y está funcionando cada vez más como cualquier red empresarial legítima y sofisticada. La jerarquía de ciberdelincuentes actual es como una pirámide (consulte la Figura 1). En la parte inferior se encuentran los oportunistas no técnicos y los usuarios de “crimeware como un servicio” que desean hacer dinero, La infraestructura básica de Internet se ha convertido en un objetivo para los piratas informáticos. [ ]
  10. 10. 10 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza una declaración, o ambos con sus campañas. En el medio están los resellers y mantenedores de infraestructuras: los “intermediarios”. En la parte superior se hallan los innovadores técnicos, los jugadores principales más buscados por las autoridades encargadas del orden público, y que más difícil resulta encontrar. Por lo general, los ciberdelincuentes modernos tienen objetivos comerciales claros cuando lanzan sus ataques. Saben qué información están buscando y qué resultados desean obtener, y conocen la ruta que deben tomar para alcanzar estos objetivos. Los adversarios dedicarán una importante cantidad de tiempo en investigar a sus víctimas, con frecuencia a través de información disponible públicamente en redes sociales, y en planificar estratégicamente sus objetivos. Muchos actores en la denominada “economía sumergida” ahora también envían malware de vigilancia para recopilar información acerca de un entorno, incluida la tecnología de seguridad implementada, con el fin de idear sus ataques. Este reconocimiento previo a la explotación es la manera que tienen algunos escritores de malware para estar seguros de que su malware funcionará. Una vez integrado en una red, el malware avanzado que diseñan se puede comunicar con servidores de comando y control en el exterior y extenderse lateralmente en la infraestructura para ejecutar su misión: ya sea el robo de datos esenciales o la interrupción de sistemas críticos. FIGURA 1 La jerarquía de ciberdelincuentes Innovadores de servicios Resellers/mantenedores de infraestructura Oportunistas no técnicos/usuarios de Crimeware como servicio [ ]
  11. 11. 11 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Erosión de la confianza Las amenazas diseñadas para aprovechar la confianza que tienen los usuarios en sistemas, aplicaciones, y las personas y los negocios que conocen constituyen, hoy en día, elementos permanentes del mundo cibernético. Examine casi cualquier esquema y, en el centro, encontrará cierto abuso de confianza: malware enviado a usuarios que navegan legítimamente sitios web convencionales. Correos electrónicos no deseados que parecen enviados por empresas muy conocidas, pero que contienen vínculos a sitios malintencionados. Aplicaciones móviles de terceros vinculadas con malware y descargadas de populares catálogos de soluciones en línea. Personas de una organización que tienen privilegios de acceso a información confidencial y los usan para robar propiedad intelectual de los empleados. Todos los usuarios deben suponer que es probable que nada del mundo cibernético sea de confianza. Y los profesionales de seguridad pueden hacerle un favor a sus organizaciones al no confiar en ningún tráfico de red3 , o no teniendo plena fe en las prácticas de seguridad de los proveedores o las cadenas de suministro que proporcionan tecnología a la empresa. Sin embargo, las organizaciones en los sectores público y privado, los usuarios individuales, e incluso los estados nación querrán asegurarse de que pueden confiar en las tecnologías fundamentales en las que confían todos los días. Esta necesidad de confianza en la seguridad ha permitido promover el avance de los “Criterios comunes” (Common Criteria for Information Technology Security Evaluation), el lenguaje y el marco que permite que los organismos estatales y otros grupos definan los requisitos que deben cumplir los productos tecnológicos para garantizar que sean confiables. Hoy, 26 países, incluido Estados Unidos, están participando en el Acuerdo de Reconocimiento de Criterios Comunes (Common Criteria Recognition Arrangement), un acuerdo multilateral que proporciona el reconocimiento mutuo de los productos evaluados por parte de los gobiernos que participan. Sin embargo, en 2013, la confianza en general sufrió un revés. El catalizador: Edward Snowden. El excontratista del Gobierno de EE. UU. filtró información secreta al periódico británico The Guardian; esta información la obtuvo mientras trabajaba en una misión para la Agencia Nacional de Seguridad (NSA) de EE. UU.4 Los usuarios deberían suponer que no se puede ni debe confiar en nada en el mundo cibernético.
  12. 12. 12 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Las revelaciones de Snowden a los medios hasta la fecha incluyen detalles acerca de la vigilancia electrónica de la NSA y del programa de recolección de datos, PRISM5 , así como también de un programa separado de la NSA-GCHQ6 conocido como MUSCULAR, a través del cual supuestamente se interceptaban las redes de fibra óptica que transportan tráfico de los centros de datos en el extranjero de las principales empresas de Internet.7 Estas y otras revelaciones realizadas por Snowden acerca de las prácticas de vigilancia del gobierno han minado la confianza en muchos niveles: entre estados nación, entre gobiernos y el sector privado, entre ciudadanos particulares y sus gobiernos, y entre ciudadanos particulares y las organizaciones en los sectores público y privado. Naturalmente, también han generado preocupaciones acerca de la presencia y los riesgos potenciales tanto de las vulnerabilidades no intencionales como de las puertas traseras o “backdoors” intencionales en los productos tecnológicos, y acerca de si los proveedores están haciendo lo suficiente para evitar estas debilidades y proteger a los usuarios finales. Principales desafíos de seguridad para 2014 Mientras se socava la confianza, y a medida que se vuelve más difícil definir qué sistemas y relaciones son confiables y cuáles no, las organizaciones se enfrentan a varios problemas clave que debilitan su capacidad para abordar la seguridad: 1 |  Mayor área de superficie de ataque 2 |  Proliferación y sofisticación del modelo del ataque 3 |  Complejidad de amenazas y soluciones Estos problemas combinados crean y exacerban las brechas de seguridad, que permiten que los actores malintencionados lancen explotaciones con más rapidez de lo que las organizaciones pueden abordar sus debilidades de seguridad. Estos riesgos y amenazas se examinan con más detalles en las páginas siguientes. [ ]
  13. 13. 13 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza 1 | Mayor área de superficie de ataque La superficie de ataque actual presenta infinidad de posibilidades para que los actores malintencionados debiliten un ecosistema de seguridad grande y frágil. La superficie ha crecido de manera exponencial y continúa expandiéndose: demasiados terminales, demasiados avances, demasiados datos fuera del control de la empresa. Los datos representan el premio que la mayoría de los adversarios desea alcanzar a través de sus campañas, porque equivalen básicamente a dinero. Si los datos tienen algún “valor en la calle” —ya sea si se trata de propiedad intelectual de una corporación importante o de los datos de servicios de salud de una persona—, son deseables y, en consecuencia, están en riesgo. Si el valor del objetivo es mayor que el riesgo de comprometerlo, será pirateado. Incluso las organizaciones pequeñas están en riesgo de ser pirateadas. Y a la mayoría de las organizaciones —grandes y pequeñas— ya las han vulnerado sin siquiera tener conocimiento de ello: el 100% de las redes comerciales que analizó Cisco envían tráfico a sitios web que alojan malware. FIGURA 2 La anatomía de una amenaza moderna Internet y aplicaciones en la nube Red pública Campus Perímetro Empresas Centro de datos El punto de entrada de infección ocurre fuera de la empresa La ciberamenaza avanzada traspasa la defensa perimetral La amenaza se extiende e intenta exfiltrar datos de valor
  14. 14. 14 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza La anatomía de una amenaza moderna, esbozada en la Figura 2, subraya cómo el objetivo final de muchas campañas de ciberdelito es alcanzar el centro de datos y exfiltrar datos de valor. En este ejemplo, ocurre una acción malintencionada en un dispositivo fuera de la red de la empresa. Provoca una infección, que se mueve a una red del campus. Dicha red funciona como plataforma de lanzamiento hacia la red de la empresa y, luego, la amenaza se abre camino hacia el tesoro escondido: el centro de datos. En vista del área en expansión de la superficie de ataque y de la selección de datos de gran valor como objetivo por parte de los piratas informáticos, los expertos en seguridad de Cisco recomiendan que las empresas busquen dar respuesta a dos preguntas importantes en 2014: “¿Dónde residen nuestros datos críticos?” y “Cómo podemos crear un entorno seguro para proteger dichos datos, especialmente cuando los nuevos modelos empresariales, como la computación en la nube y la movilidad, nos dejan con poco control sobre ellos?” 2 | Proliferación y sofisticación del modelo de ataque El panorama de amenazas actual no se parece en nada al de solo 10 años atrás. Los ataques simples que provocaban daño controlable han dado lugar a operaciones modernas de ciberdelito, que son sofisticadas, están bien financiadas y son capaces de generar interrupciones importantes en las organizaciones. Las empresas se han convertido en el foco de los ataques dirigidos. Estos ataques son muy difíciles de detectar, permanecen en las redes durante períodos prolongados y acumulan recursos de la red para lanzar ataques en otros lugares. Para cubrir la secuencia completa de los ataques, las organizaciones deben abordar una amplia gama de vectores de ataque, con soluciones que operen en cualquier lugar en el que pueda manifestarse la amenaza: en la red, en terminales, en dispositivos móviles y en entornos virtuales. “¿Dónde residen nuestros datos críticos?” y “¿cómo podemos crear un entorno seguro para proteger esos datos, en especial cuando los nuevos modelos empresariales, como la computación en nube y la movilidad, solo nos permiten tener poco control sobre ellos?”. Expertos en seguridad de Cisco El objetivo final de muchas campañas de delitos informáticos es tener acceso al centro de datos y filtrar datos valiosos.
  15. 15. 15 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza 3 | Complejidad de amenazas y soluciones Lejos han quedado los días en que los bloqueadores de correo electrónico no deseado y el software antivirus podían ayudar a proteger un perímetro de red fácilmente definido de la mayoría de las amenazas. Las redes actuales van más allá de los límites tradicionales, y evolucionan constantemente para generar nuevos vectores de ataque: dispositivos móviles, aplicaciones móviles y habilitadas para la web, hipervisores, medios sociales, navegadores web, computadoras domésticas e incluso vehículos. Las soluciones de un momento dado (point-in- time) no pueden responder a los miles de tipos de tecnologías y estrategias que usan los actores malintencionados. Esto dificulta aún más la supervisión y la administración de la seguridad de la información para los equipos de seguridad. Las vulnerabilidades organizativas están en aumento porque las empresas están trabajando a través de soluciones puntuales desagregadas y diversas plataformas de administración. El resultado: un conjunto de tecnologías dispares en puntos de control que nunca se diseñaron para trabajar juntas. Esto aumenta el potencial de comprometer la información del cliente, la propiedad intelectual y otra información confidencial, y pone en riesgo la reputación de la empresa. Se requiere una capacidad continua que proporcione la mejor oportunidad para satisfacer los desafíos de los complejos entornos de amenazas. Los ataques incesantes no ocurren en un momento específico; son continuos. De manera que también deben ser continuas las defensas de la empresa. Con la complejidad de las amenazas y las soluciones correspondientes que alcanzaron un máximo histórico, las organizaciones deben repensar sus estrategias de seguridad. En lugar de confiar en soluciones puntuales, pueden minimizar la complejidad mediante la integración continua de la seguridad en la estructura de la red misma, de manera que la red pueda: • Supervisar y analizar archivos continuamente e identificar el subsiguiente comportamiento malintencionado ni bien se produzca. • Ayudar a las organizaciones a escalar el cumplimiento de la ley mediante la expansión de la superficie en la que se pueden colocar los dispositivos de red. • Acelerar el tiempo de detección, porque puede ver más tráfico. • Otorgar a las organizaciones la capacidad de agregar reconocimiento único del contexto que no es posible obtener mediante la sola confianza en dispositivos específicos de seguridad. Las soluciones de un momento dado no pueden responder al sinnúmero de tecnologías y estrategias que utilizan los actores maliciosos.
  16. 16. 16 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza El cambio hacia la movilidad y los servicios en la nube está imponiendo una carga mayor de seguridad en los terminales y dispositivos móviles que, en algunos casos, pueden no tocar nunca la red de la empresa. El hecho es que los dispositivos móviles introducen riesgo de seguridad cuando se usan para acceder a los recursos de la empresa; se conectan fácilmente con servicios de terceros en la nube y computadoras con posturas de seguridad que son potencialmente desconocidas y están fuera del control de la empresa. Además, el malware móvil está creciendo rápidamente, lo que aumenta aún más el riesgo. Dada la falta de visibilidad —siquiera básica—, la mayoría de los equipos de seguridad de TI no cuentan con la capacidad para identificar amenazas potenciales de estos dispositivos. Los enfoques avanzados, como la capacidad continua, desempeñarán un papel más importante gracias a que abordan el malware avanzado a través del análisis de los datos masivos que agregan datos y eventos en la red ampliada para proporcionar una mayor visibilidad incluso después de que se ha movido un archivo a la red o entre terminales. Esto difiere de la seguridad en los terminales en un momento dado que analiza archivos en un momento específico inicial para determinar una disposición de malware. El malware avanzado puede evadir este análisis para establecerse rápidamente en los terminales y extenderse a través de las redes. Sistemas transparentes y confiables En vista de la mayor área de superficie de ataque, la creciente proliferación y sofisticación del modelo de ataque, y la complejidad de las amenazas y soluciones, debemos confiar en la información que consumimos, junto con los sistemas que la distribuyen, sin importar cómo accedemos a los servicios en red. La creación de un entorno de red verdaderamente seguro se vuelve incluso más compleja a medida que los gobiernos y las empresas invierten en movilidad, colaboración, computación en la nube y otras maneras de virtualización. Estas funcionalidades permiten mejorar la Los dispositivos móviles aportan riesgos de seguridad cuando se los utiliza para tener acceso a los recursos de la empresa.
  17. 17. 17 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza recuperabilidad, aumentar la eficiencia y reducir los costos, pero también pueden introducir riesgos adicionales. La seguridad de los procesos de fabricación que crean productos de TI también está en riesgo, y los productos falsificados y alterados constituyen un problema en aumento. Como resultado, la mayoría de los líderes actuales de gobiernos y empresas identifican los problemas de la ciberseguridad y la confianza asociada como las preocupaciones principales. La pregunta que deberían hacer los profesionales de seguridad es: ¿Qué haríamos diferente si supiéramos que un compromiso fuera inminente? Los actores maliciosos buscarán y explotarán cualquier debilidad de seguridad en la cadena de abastecimiento tecnológico. Las vulnerabilidades y puertas traseras intencionales en productos de tecnología pueden proporcionarles, en última instancia, el acceso a “toda la casa”. Las puertas traseras han sido un problema de seguridad por mucho tiempo y deberían ser una preocupación para las organizaciones, porque existen solamente para ayudar a facilitar la actividad furtiva o delictiva. El desarrollo de sistemas confiables significa crear seguridad desde cero, desde el principio hasta el final del ciclo de vida de un producto. Cisco Secure Development Lifecycle (CSDL)8 recomienda una metodología repetible y medible diseñada para desarrollar la seguridad del producto en la etapa de concepto del producto, minimizar las vulnerabilidades durante el desarrollo y aumentar la recuperabilidad de los productos ante un ataque. Los sistemas confiables proporcionan la base para un enfoque de mejora continua de la seguridad, que anticipe y prevenga nuevas amenazas. Dichas infraestructuras no solo protegen información fundamental, sino que también, y más importante, ayudan a evitar interrupciones de servicios críticos. Los productos confiables respaldados por proveedores confiables permiten a sus usuarios minimizar los costos y los daños a la reputación como consecuencia de la apropiación indebida de información, los cortes de servicio y las violaciones de información. Los sistemas confiables, sin embargo, no deben confundirse con la inmunidad a un ataque externo. Los clientes de TI y los usuarios tienen un papel importante que desempeñar a fin de mantener la eficacia de los sistemas confiables para rechazar los intentos de corromper sus operaciones. Esto incluye la instalación oportuna de actualizaciones y parches de seguridad, la constante vigilancia para reconocer comportamientos anormales del sistema y la adopción de contramedidas eficaces contra los ataques. Los actores maliciosos buscarán y explotarán cualquier debilidad de seguridad en la cadena de abastecimiento tecnológico.
  18. 18. 18 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Las tecnologías no se quedan quietas; tampoco los atacantes. La garantía de confiabilidad de un sistema debe cubrir el ciclo de vida completo de una red, desde el diseño inicial hasta la fabricación, la integración del sistema, la operación diaria, el mantenimiento y las actualizaciones, y, en última instancia, la retirada de la solución. La necesidad de sistemas confiables se extiende más allá de la red propia de una organización para incluir aquellas redes con las que una organización puede conectarse. Los equipos de Cisco Security Research and Operations han observado, en el último año, un aumento del uso de pivoting. La técnica de pivoting en el ciberdelito involucra el uso de una puerta trasera, vulnerabilidad o explotación simple de la confianza en algún punto de la secuencia de ataque como un trampolín para lanzar una campaña más sofisticada contra objetivos mucho más grandes, como la red de una firma de energía importante o el centro de datos de una institución financiera. Algunos piratas informáticos usan la confianza que existe entre las organizaciones como la base para una operación de pivoting, explotando a un socio comercial de confianza para atacar y explotar a otro partner empresarial o gubernamental de confianza desprevenido. La vigilancia es apropiada en el panorama de amenaza moderno. La seguridad debe adaptarse a todos los estados transitorios que forman parte del entorno de TI de la empresa, y debe validar perceptible y objetivamente la confianza del sistema, en función de datos y procesos confirmados e independientes. El enfoque más sostenible es una defensa dinámica adaptada al entorno único de una organización, que incluya controles de seguridad en constante evolución para que sigan siendo relevantes.9 Los sistemas confiables pueden existir en este entorno, y la transparencia es esencial para poder desarrollarlos. “Un sistema confiable debe diseñarse sobre una base sólida: prácticas de desarrollo de productos, una cadena de suministro confiable y un enfoque arquitectónico que conste de diseño de red, implementación y políticas”, dice John N. Preocupaciones principales para 2014 de los CISO actuales A medida que los jefes de seguridad de la información (CISO) miden el panorama de amenazas actual, se enfrentan a una creciente presión de proteger terabytes de datos, respetar las estrictas normas de cumplimiento y evaluar los riesgos de trabajar con proveedores externos; todo esto con presupuestos cada vez más reducidos y equipos de TI austeros. Los CISO tienen que realizar más tareas que nunca antes y administrar amenazas complejas y sofisticadas. Los principales estrategas de seguridad de los servicios de seguridad de Cisco, quienes asesoran a los CISO sobre los enfoques de seguridad para sus organizaciones, proporcionan esta lista de las preocupaciones y desafíos más exigentes para 2014: Administración del cumplimiento La preocupación más generalizada entre los CISO probablemente sea la necesidad de proteger los datos que residen en una red cada vez más porosa, mientras que gastan recursos valiosos en cumplimiento. El cumplimiento por sí mismo no significa que es seguro, simplemente es una línea de base mínima que se centra en las necesidades de un entorno regulado especial. Por otro lado, la seguridad es un enfoque global que abarca todas las actividades comerciales. Confianza en la nube Los CISO deben tomar decisiones sobre cómo administrar la información Continúa en la página siguiente.
  19. 19. 19 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Confianza Stewart, vicepresidente sénior y jefe de seguridad de Cisco. “Pero el atributo más importante es la transparencia del proveedor”. El precio de mayor transparencia es menos privacidad, pero el equilibrio adecuado se puede alcanzar mediante cooperación, que deriva en mayores oportunidades para ajustar la inteligencia contra amenazas y las mejores prácticas de seguridad. Todas las organizaciones deben estar preocupadas por encontrar el equilibrio adecuado de confianza, transparencia y privacidad, porque es mucho lo que está en juego. A largo plazo, se puede alcanzar mayor ciberseguridad para todos los usuarios, y se puede aprovechar el potencial completo de la economía emergente de Internet de Todo10 . Pero el logro de estos objetivos dependerá de políticas de privacidad eficaces y defensas de red sólidas que distribuyan con inteligencia la carga de seguridad en los terminales y la red. A corto plazo, y tal vez más cerca del hogar, se encuentra la necesidad que tienen las empresas modernas de usar los mejores métodos y datos disponibles para ayudar a proteger sus recursos más valiosos, y asegurarse de no contribuir directamente a desafíos más amplios de ciberseguridad. Las organizaciones actuales deben considerar el impacto que pueden tener sus prácticas de seguridad en el ecosistema de ciberseguridad más amplio y cada vez más complejo e interconectado. No tener en cuenta esta vista de “panorama general” puede hacer que una organización reciba una puntuación de mala reputación, lo que significa que ningún proveedor de seguridad líder permitirá a los usuarios acceder a su sitio. Para las empresas no es fácil salir de la lista negra, y algunas nunca se recuperan completamente. Para conocer más sobre las prácticas de los sistemas confiables de Cisco, visite www.cisco.com/go/trustworthy. de manera segura con presupuestos limitados y el tiempo que tienen asignado. Por ejemplo, la nube se ha convertido en una manera rentable y ágil de administrar almacenes de datos cada vez más crecientes pero trae más preocupaciones para los CISO. Los directores generales y las juntas directivas tienen el concepto de que la nube es una panacea para eliminar el hardware costoso. Desean obtener los beneficios de descargar datos en la nube y esperan que los CISO lo hagan de manera rápida y segura. Confianza en los proveedores Al igual que con la nube, las organizaciones recurren a los proveedores para que les proporcionen soluciones especializadas. El modelo de costos para recurrir a terceros tiene sentido. Sin embargo, estos proveedores son objetivos de gran valor para los delincuentes, quienes conocen que las defensas de terceros no siempre son sólidas. Recuperación de infracciones de seguridad Todas las organizaciones deben asumir que su seguridad se ha vulnerado o, por lo menos, reconocer que no se trata de determinar si serán el objetivo de un ataque, sino cuándo. Los CISO tienen presentes los actos de piratería recientes, como Operation Night Dragon, la infracción a RSA y el ataque Shamoon contra una importante empresa de gas y petróleo en 2012. (Consulte el informe de Cisco sobre la prevalencia de actividad maliciosa en las redes corporativas en la página 49). Continúa desde la página anterior. [ ]
  20. 20. 20 Informe anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Mediante el conjunto más grande de telemetría de detección con el que es posible trabajar, Cisco y Sourcefire analizaron y recopilaron conjuntamente las perspectivas de seguridad del año pasado.
  21. 21. 21 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Aumento de alertas de amenaza Las vulnerabilidades y amenazas informadas por Cisco IntelliShield® mostraron un crecimiento sostenido en 2013: a partir de octubre de 2013; los totales de alertas anuales acumulados aumentaron un 14% interanual desde 2012 (Figura 3). Las alertas de octubre de 2013 estuvieron en su nivel más alto desde que IntelliShield comenzó a registrarlas en mayo de 2000. También es notable el aumento significativo en las alertas nuevas en oposición a las alertas actualizadas, según los controles de IntelliShield (Figura 4). Los proveedores de tecnología e investigadores están buscando un mayor número de nuevas vulnerabilidades (Figura 5); los descubrimientos son el resultado del mayor énfasis en el uso de un ciclo de vida de desarrollo altamente seguro, así como también de las mejoras en seguridad de sus propios productos. El mayor número de vulnerabilidades nuevas también puede ser un signo de que los proveedores están examinando su código de producto y están corrigiendo las vulnerabilidades antes de lanzar los productos, y de que dichas vulnerabilidades se aprovechen. FIGURA 3 Totales de alertas anuales acumulados: 2010-2013 0 Jan. Dic.Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 1000 2000 3000 4000 5000 6000 7000 Mes 2013 2012 2011 2010
  22. 22. 22 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 4 Alertas nuevas y actualizadas: 2013 Jan. Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Nuevo Alerta de amenaza Actualizado Alerta Mes 224303 386212 333281 387256 221324 366291 293391 215286 278437 320517 0 400 200 800 600 1000 211347 Más atención en el desarrollo de software seguro puede permitir generar confianza en las soluciones del proveedor. Un ciclo de vida de desarrollo seguro no solo mitiga el riesgo de vulnerabilidades y permite a los proveedores detectar defectos potenciales en las primeras etapas del desarrollo, sino que también le dice a los compradores que pueden confiar en estas soluciones.
  23. 23. 23 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 5 Categorías de amenazas comunes controladas por Cisco IntelliShield NOTA: Estas categorías de amenazas de CWE (Common Weakness Enumeration), según lo definido por la National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), concuerdan con los métodos que usan los actores malintencionados para atacar las redes. 1 1 5 2 3 4 6 7 8 2 34 5 6 7 8 9 CWE-119: Errores de búfer Otras alertas de Intellishield (actividad, problemas, CRR, AMB) CWE-399: Errores de administración de recursos CWE-20: Validación de entrada 9 CWE: Error de diseño CWE-310: Problemas criptográficos CWE-287: Problemas de autenticación CWE-352: Falsificación de solicitud entre sitios (CSRF) CWE-22: Cruce seguro de ruta CWE-78: Inserciones de comandos de sistema operativo CWE-89: Inserción de SQL CWE-362: Condiciones de carrera CWE-255: Administración de credenciales CWE-59: Seguimiento de enlaces CWE-16: Configuración CWE: Información insuficiente CWE: Otros CWE-189: Errores numéricos CWE-264: Permisos, privilegios y control de acceso CWE-200: Divulgación/pérdida de información CWE-79: Scripting entre sitios (XSS) CWE-94: Inserción de códigos
  24. 24. 24 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Descendió el volumen de correo electrónico no deseado, pero el correo electrónico no deseado malintencionado sigue siendo una amenaza El volumen de correo electrónico no deseado se encontraba en una tendencia mundial descendente en 2013. Sin embargo, si bien el volumen total puede haber disminuido, la proporción de correo electrónico no deseado malintencionado permanece constante. Los individuos que envían correo electrónico no deseado usan la velocidad como una herramienta, para aprovecharse de la confianza de los usuarios de correo electrónico, enviando grandes cantidades de correo electrónico no deseado cuando los eventos de noticias o las tendencias disminuyen la resistencia de los destinatarios a las estafas de correo electrónico no deseado. Después del atentado de la maratón de Boston del 15 de abril de 2013, comenzaron dos campañas de correo electrónico no deseado a gran escala: una el 16 de abril y la otra el 17 de abril, diseñadas para atraer a usuarios de correo electrónico ávidos de noticias sobre el impacto del evento. Los investigadores de Cisco primero detectaron el registro de cientos de nombres de dominios relacionados con el bombardeo a solo horas de que ocurrieran los ataques de la maratón de Boston.11 Ambas campañas de correo electrónico no deseado llevaban líneas de asunto acerca de supuestos boletines de noticias relacionados con los bombardeos, mientras que los mensajes contenían supuestos enlaces a videos de las explosiones o noticias de fuentes de medios acreditados. Los enlaces dirigían a los destinatarios a páginas web que incluían enlaces a noticias o videos verdaderos, pero también iframes Los spammers (principales fuentes de correo no deseado) se aprovechan del deseo de obtener más información después de un suceso importante.
  25. 25. 25 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas malintencionados diseñados para infectar las computadoras de los visitantes. En su punto máximo, el correo electrónico no deseado relacionado con el atentado de la maratón de Boston constituyó el 40% de todos los mensajes de correo electrónico no deseado enviados en todo el mundo el 17 de abril de 2013. Figura 6: se muestra una de las campañas de correo electrónico no deseado de botnet disfrazada como un mensaje de CNN.12 Figure 7: se muestra el HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston. El iframe final (parcialmente ilegible) es de un sitio web malintencionado.13 Debido a que el correo electrónico no deseado sobre noticias de última hora es tan inmediato, los usuarios de correo electrónico están más propensos a creer que los mensajes de correo electrónico no deseado son legítimos. Los spammers (principales fuentes de correo no deseado) se aprovechan del deseo de las personas de obtener más información después de un suceso importante. Cuando en el correo electrónico no deseado se proporciona a los usuarios en línea lo que ellos desean, es mucho más fácil engañarlos para que realicen una acción determinada, como hacer clic en un enlace infectado. También es mucho más fácil evitar que sospechen que algo anda mal con el mensaje.
  26. 26. 26 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 6 Correo electrónico no deseado de las explosiones en la maratón de Boston FIGURA 7 HTML de origen de un mensaje de correo electrónico no deseado del atentado de la maratón de Boston iframe width=640 height=360 src=https://www.youtube.com/embed/H4Mx5qbgeNo iframe iframe width=640 height=360 src=https://www.youtube.com/embed/JVU7rQ6wUcE iframe iframe width=640 height=360 src=https://bostonmarathonbombing.html iframe
  27. 27. 27 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Correo electrónico no deseado: números El volumen de correo electrónico no deseado global está descendiendo de acuerdo con los datos recopilados por Cisco Threat Research Analysis and Communications (TRAC)/SIO (Figura 8), aunque las tendencias varían de un país a otro (Figura 9). FIGURA 8 Volumen de correo electrónico no deseado global: 2013 Fuente: Cisco TRAC/SIO 0 Jan. Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 20 40 60 80 100 120 140 160 Mes Milmillonespordía FIGURA 9 Tendencias de volumen: 2013 Fuente: Cisco TRAC/SIO 0 Jan. Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 5 10 15 20 25 Mes Volumenenporcentaje Estados Unidos Corea, República de China Italia España
  28. 28. 28 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 10 Temas principales para mensajes de correo electrónico no deseado en todo el mundo 1. Notificaciones de pagos/depósitos bancarios Notificaciones de depósitos, transferencias, pagos, cheque devuelto, alerta de fraude. 2. Compra de productos en línea Confirmación de pedidos de productos, solicitud de orden de compra, cotización, prueba. 3. Fotografía adjunta Fotografía maliciosa adjunta. 4. Notificaciones de envío Facturas, entrega o recolección, seguimiento. 5. Citas en línea Sitios de citas en línea. 6. Impuestos Documentos fiscales, reembolsos, informes, información de deuda, declaraciones de impuestos en línea. 7. Facebook Estado de cuenta, actualizaciones, notificaciones, software de seguridad. 8. Tarjeta de regalo o vale Alertas de diversas tiendas (Apple fue la más popular). 9. PayPal Actualización de cuenta, confirmación, notificación de pago, reclamación de pago.
  29. 29. 29 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Explotaciones web: Java lidera el grupo De todas las amenazas basadas en la web que debilitan la seguridad, las vulnerabilidades en el lenguaje de programación Java siguen siendo los objetivos explotados con más frecuencia por los delincuentes en línea, de acuerdo con los datos de Cisco. Las explotaciones de Java sobrepasan en gran medida las detectadas en documentos de Flash o Adobe PDF, que también son vectores populares de actividad delictiva (Figura 11). Los datos de Sourcefire, ahora parte de Cisco, también muestran que las explotaciones de Java constituyen la amplia mayoría (91%) de los indicadores de compromiso (IoC) que son supervisados por la solución FireAMP de Sourcefire para análisis y protección avanzados de malware (Figura 12). FireAMP detecta los compromisos activos en los terminales y, luego, registra el tipo de software que provocó cada compromiso. FIGURA 11 Ataques malintencionados generados a través de PDF, Flash y Java 2013 Fuente: Informes de Cisco Cloud Web Security Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Memoria flash PDF Mes Java Jan. 0 2% 4% 6% 10% 8% 14% 12% 16%
  30. 30. 30 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Para amenazas como las explotaciones de Java, los problemas más significativos que enfrentan los profesionales de seguridad son cómo se introduce el malware en su entorno de red y dónde deberán centrar sus esfuerzos para minimizar la infección. Las acciones individuales pueden no parecer malintencionadas, pero seguir una secuencia de eventos puede arrojar luz sobre la historia del malware. Determinar la secuencia de eventos es la capacidad para dirigir un análisis retrospectivo de la información que conecta la ruta que toman los actores malintencionados para traspasar la seguridad perimetral e infiltrar la red. Por sí solos, los IoC pueden demostrar que ir a un sitio web específico es seguro. A su vez, el lanzamiento de Java puede ser una acción segura, al igual que el lanzamiento de un archivo ejecutable. Sin embargo, una organización está en riesgo si un usuario visita un sitio web con una inyección de iframe, que luego lanza Java; a continuación, Java descarga un archivo ejecutable y el archivo ejecuta acciones malintencionadas. FIGURA 12 Indicadores de compromiso, por tipo Fuente: Sourcefire (solución FireAMP) 3% Microsoft Excel 1% Microsoft PowerPoint 3% Adobe Reader 2% Microsoft Word 91% Vulnerabilidad de Java
  31. 31. 31 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas La ubicuidad de Java lo mantiene en los primeros puestos en la lista de herramientas favoritas para los delincuentes, lo que hace que los compromisos de Java sean, con mucho, la actividad de “secuencia de eventos” más malintencionada en 2013. Como lo explica la página web “About Java” (Acerca de Java), el 97% de los equipos de escritorio empresariales ejecutan Java, al igual que el 89% de las computadoras de escritorio generales en Estados Unidos.14 Java proporciona una superficie de ataque que es demasiado grande como para que los delincuentes la ignoren. Tienden a crear soluciones que ejecutan explotaciones en orden; por ejemplo, primero intentan violar una red o robar datos a través de la vulnerabilidad más fácil o más conocida antes de pasar a otros métodos. En algunos casos, Java es la explotación que los delincuentes eligen en primer lugar, ya que proporciona el mejor rendimiento de la inversión. Mitigación del problema de Java A pesar de que las explotaciones basadas en Java son comunes, y las vulnerabilidades son difíciles de eliminar, existen métodos para reducir su impacto: • Si resulta práctico, deshabilitar Java en los navegadores de toda la red puede evitar que se lancen estas explotaciones. • Las herramientas de telemetría, como Cisco NetFlow, integradas en muchas soluciones de seguridad, pueden supervisar el tráfico asociado a Java y otorgar a los profesionales de seguridad una mayor comprensión de las fuentes de amenazas. • La administración integral de parches puede cerrar muchas brechas de seguridad. • Las herramientas de supervisión y análisis de terminales, que continúan controlando y analizando archivos después de que ingresan en la red, pueden detectar en retrospectiva y detener las amenazas que pasaron como seguras pero luego exhibieron comportamiento malintencionado. • Se puede generar una lista prioritaria de dispositivos potencialmente comprometidos mediante el uso de IoC para correlacionar inteligencia de malware (incluso eventos aparentemente benignos) y para identificar una infección de día cero sin firmas antivirus existentes. Actualizar a la última versión de Java también ayudará a evitar las vulnerabilidades. De acuerdo con la investigación de Cisco TRAC/SIO, el 90% de los clientes de Cisco usan una versión del entorno Java 7 Runtime Environment, la versión más reciente del programa. Esto es bueno desde el punto de vista de la seguridad, ya que esta versión puede ofrecer más protección contra vulnerabilidades.
  32. 32. 32 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Sin embargo, la investigación de Cisco TRAC/SIO también muestra que el 76% de las empresas que usan soluciones de Cisco también usan Java 6 Runtime Environment, además de Java 7. Java 6 es la versión anterior que se discontinuó y ya no cuenta con soporte. Por lo general, las empresas usan ambas versiones del entorno Java Runtime Environment porque las diferentes aplicaciones dependen de diferentes versiones para ejecutar el código Java. Sin embargo, dado que más de tres cuartos de las empresas encuestadas por Cisco usan una solución descontinuada y con vulnerabilidades que puede que nunca se revisen públicamente, los delincuentes tienen amplias oportunidades para explotar las debilidades. En 2013, los hallazgos de malware web de Java llegaron a su punto máximo en abril, en el 14% de todos los hallazgos de malware web. Estos hallazgos descendieron a su punto más bajo en mayo y junio de 2013, en aproximadamente el 6% y el 5% de todos los hallazgos de malware web, respectivamente (Figura 13). (A principios de este año, Oracle anunció que ya no publicaría actualizaciones de Java SE 6 en su sitio de descargas público, aunque las actualizaciones de Java SE 6 existentes estarán disponibles en el archivo de Java en la red de tecnología de Oracle). Si los profesionales de seguridad que tienen tiempo limitado para combatir las explotaciones web deciden centrar más su atención en Java, estarán colocando sus recursos en el lugar adecuado. FIGURA 13 Hallazgos de malware web Java: 2013 Fuente: Cisco TRAC/SIO Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Mes Jan. 7,50% 6,75% 9,00% 14,00% 6,00% 5,00% 12,25% 7,50% 6,25% 9,50% 6,50% 0 2% 4% 6% 10% 8% 12% 14%
  33. 33. 33 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas BYOD y movilidad: la maduración de dispositivos beneficia el ciberdelito Los ciberdelincuentes y sus víctimas comparten un desafío común: ambos intentan entender cómo usar mejor las tendencias BYOD (Traiga su propio dispositivo) y movilidad para obtener ventaja comercial. Existen dos factores que parecen estar ayudando a los delincuentes a lograr una ventaja. En primer lugar está la maduración de las plataformas móviles. Los expertos de seguridad de Cisco observan que cuanto más se asemeja el funcionamiento de smartphones, tablets y otros dispositivos al de los equipos de escritorio y las computadoras portátiles tradicionales, más fácil resulta diseñar malware para ellos. En segundo lugar, el creciente uso de aplicaciones móviles. Cuando los usuarios descargan aplicaciones móviles, básicamente están colocando un cliente ligero en el terminal y descargando código. Otro desafío: muchos usuarios descargan aplicaciones móviles con regularidad sin pensar en la seguridad. Mientras tanto, los equipos de seguridad actual están lidiando con el problema de cualquiera con cualquiera (any-to-any): cómo asegurar a cualquier usuario, en cualquier dispositivo, ubicado en cualquier, con acceso a cualquier aplicación o recurso.15 La tendencia BYOD no hace más que complicar estos esfuerzos. Resulta difícil administrar todos estos tipos de equipos, especialmente con un presupuesto de TI limitado. En un entorno BYOD, el gerente de seguridad de la información (CISO), debe estar especialmente seguro de que la sala de datos esté controlada rigurosamente. La movilidad ofrece nuevas maneras de comprometer a los usuarios y a los datos. Los investigadores de Cisco han observado a determinados actores usar canales inalámbricos para obtener acceso a datos que se intercambian a través de esos canales. La movilidad también presenta una gama de problemas de seguridad para las organizaciones, incluida la pérdida de propiedad intelectual y otra información confidencial si el dispositivo de un empleado se pierde o lo roban y no está asegurado. Muchos usuarios descargan aplicaciones móviles con frecuencia sin pensar en la seguridad.
  34. 34. 34 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Establecer un programa formal para administrar dispositivos móviles a fin de garantizar que todos los dispositivos sean seguros antes de que accedan a la red es una solución para mejorar la seguridad de la empresa, de acuerdo con los expertos de Cisco. Como mínimo, se debe requerir un bloqueo del número de identificación personal (PIN) para la autenticación del usuario, y el equipo de seguridad debe ser capaz de desactivar o limpiar el dispositivo de manera remota si se pierde o lo roban. Tendencias de malware móvil: 2013 La siguiente investigación sobre tendencias de malware móvil durante 2013 fue realizada por Cisco TRAC/SIO y por Sourcefire, ahora parte de Cisco. El malware móvil que se dirige a dispositivos específicos solo constituye el 1,2% del total de malware web detectado en 2013. Si bien no es un porcentaje significativo, aún merece mencionarse porque el malware móvil es claramente un área emergente —y lógica— de exploración para los desarrolladores de malware. De acuerdo con los investigadores de Cisco TRAC/SIO, cuando el malware móvil tiene la intención de comprometer un dispositivo, el 99% de todos los hallazgos se dirigen a dispositivos Android. Los troyanos dirigidos a dispositivos compatibles con Java Micro Edition (J2ME) sostuvieron el segundo lugar en 2013, con el 0,84% de todos los hallazgos de malware móvil. Sin embargo, no todo el malware móvil está diseñado para dirigirse a dispositivos específicos. Muchos hallazgos involucran phishing, likejacking u otros usos de ingeniería social, o redireccionamientos forzosos a sitios web distintos de los esperados. Un análisis de agentes de usuario realizado por Cisco TRAC/SIO revela que los usuarios de Android, en el 71%, tienen las tasas más altas de hallazgos con todas las maneras de malware basado en la web, seguidos por los usuarios de Apple iPhone, en el 14% de todos los hallazgos de malware web (Figura 14). Los investigadores de Cisco TRAC/SIO también informaron evidencia de esfuerzos por rentabilizar los compromisos de Android durante 2013, incluidos los lanzamientos de adware y spyware relacionado con pequeñas y medianas empresas (SME). En el 43,8%, Andr/Qdplugin-A fue el malware móvil hallado con más frecuencia, de acuerdo con la investigación de Cisco TRAC/SIO. Los hallazgos típicos se realizaron a través de copias reempaquetadas de aplicaciones legítimas distribuidas a través de catálogos de soluciones no oficiales (Figura 15). El malware móvil que se dirige a dispositivos específicos solo constituye el 1,2% del total de malware web detectado en 2013.
  35. 35. 35 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 14 Hallazgos de malware web por dispositivo móvil Fuente: Informes de Cisco Cloud Web Security Android iPhone iPad BlackBerry Nokia Symbian iPod Huawei Windows Teléfono Motorola Playstation Nook ZuneWP Kindle WindowsCE 0 40% 20% 80% 60% 100% FIGURA 15 Principales 10 hallazgos de malware móvil: 2013 Fuente: Informes de Cisco Cloud Web Security Andr/Qdplugin-A Andr/NewyearL-B Andr/SmsSpy-J Andr/SMSSend-B Andr/Spy-AAH Trojan.AndroidOS. Plangton.a Andr/DroidRt-A Andr/Gmaster-E AndroidOS. Wooboo.a Trojan-SMS.AndroidOS. Agent.ao Andr/DroidRt-C 0 20% 10% 40% 30% 50%
  36. 36. 36 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 16 Principales familias de malware Android observadas en 2013 NOTA: SMSSend representa el 98% de todo el malware Android; el 2% restante se muestra proporcionalmente. Fuente: Sourcefire 16% 14% 11% 10% 7% 7% 6% 4% 4% 4% 4% Andr.TrojanDroidKungFu Andr.Trojan.Opfake Andr.Trojan.Anserver Andr.Exploit.Gingerbreak Andr.Exploit.Ratc BC.Exploit.Andr Andr.Exploit.ExploidAndr.Trojan.StelsAndr.Trojan.Geinimi Adnr.Trojan.DroidDreamLight (1%)Andr.Trojan.NotCompatible (1%)Andr.Trojan.RogueSPPush (1%)Andr.Trojan.TGLoader (1%)Andr.Trojan.Ackposts (1%)Andr.Trojan.OBad (1%)Andr.Trojan.Chuli (1%)Andr.Trojan.GingerMaster (1%)Andr.Trojan.Badnews (1%)Andr.Trojan.FakeTimer (1%)Andr.Trojan.Gonesixty (1%)Andr.Trojan.Kmin (1%)Andr.Trojan.Zsone(1%)Andr.Trojan.Plankton Andr.Trojan.Adrd Andr.Trojan.Golddream Andr.Trojan.Androrat (2%)Andr.Trojan.Pjapps (2%)Andr.Trojan.YZHC 3% 3% 3% 98% Andr.SMSSend
  37. 37. 37 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Ataques dirigidos: el desafío de desalojar “visitantes” ubicuos y persistentes Son altas las probabilidades de que los ataques dirigidos ya se hayan infiltrado en sus redes. Y cuando realmente se alojan en el interior de una red, tienden a quedarse cerca, robar datos furtivamente o usar los recursos de la red como trampolín para luego atacar a otras entidades (para más información sobre pivoting, consulte la página 18). El daño va más allá del robo de datos o la interrupción de la actividad comercial: la confianza entre partners y clientes se puede evaporar si estos ataques no se desalojan de las redes de manera oportuna. Los ataques dirigidos amenazan la propiedad intelectual, los datos del cliente y la información sensible del gobierno. Sus creadores usan herramientas sofisticadas que burlan la infraestructura de seguridad de una organización. Los delincuentes hacen todo lo posible para asegurarse de que estas violaciones pasen desapercibidas y usan métodos que derivan en “indicadores de compromiso” o IoC casi imperceptibles. Su enfoque metódico para obtener acceso a las redes y llevar a cabo su misión involucra una “secuencia de ataque”: la secuencia de eventos previos a un ataque y que determinan sus fases. Una vez que estos ataques dirigidos encuentran un lugar para ocultarse en la red, llevan a cabo sus tareas con eficacia, y generalmente las realizan sin que se los detecte. Los delincuentes hacen un gran esfuerzo para asegurarse de que no se detecten sus infracciones.
  38. 38. 38 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 17 La secuencia de ataque Para comprender la selección de amenazas actuales y defender con eficiencia la red, los profesionales de seguridad de TI deben pensar como atacantes. Con una comprensión más profunda del enfoque metódico que usan los actores malintencionados para ejecutar su misión, las organizaciones pueden identificar maneras de fortalecer sus defensas. La secuencia de ataque, una versión simplificada de la secuencia de ciberguerra (“cyber kill chain”), describe los eventos previos a un ataque y que determinan sus fases. 1. Encuesta Obtenga un panorama completo de un entorno: redes, terminal, dispositivos móviles y virtuales, entre otras, las tecnologías implementadas para asegurar el entorno. 2. Escribir Cree malware dirigido y sensible al contexto. 3. Prueba Asegúrese de que el malware funcione como está previsto, en especial, de manera que pueda evadir las herramientas de seguridad implementadas. 4. Ejecutar Navegue por la red extendida, tenga en cuenta el entorno, evada las detecciones y muévase lateralmente hasta alcanzar el objetivo. 5. Cumplir la misión Reúna datos, cree interrupciones o cause destrucción.
  39. 39. 39 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Instantánea de malware: tendencias observadas en 2013 Los expertos de seguridad de Cisco realizan investigaciones y análisis continuos del tráfico de malware y otras amenazas descubiertas, que pueden proporcionar perspectivas sobre el posible comportamiento delictivo futuro y ayudar en la detección de amenazas. FIGURA 18 Categorías principales de malware En esta figura se muestran las categorías principales de malware. Los troyanos son el malware más frecuente, seguidos por el adware. Fuente: Sourcefire (soluciones ClamAV y FireAMP) Troyano Adware Gusano Virus Descargador Instaladordemalware(0%) 64% 20% 8% 4% 4% FIGURA 19 Familias principales de malware de Windows En esta figura se muestran las familias principales de malware para Windows. La más grande, Trojan.Onlinegames, comprende principalmente a ladrones de contraseñas. La detecta la solución de antivirus ClamAV de Sourcefire. Fuente: Sourcefire (solución ClamAV) Onlinegames Multiplug (Adware) Syfro Megasearch Zeusbot Gamevance Blackhole Hupigon Spyeye(1%) 41% 14% 11% 10% 10% 7% 4% 3%
  40. 40. 40 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 20 10 categorías principales de hosts de malware web: 2013 En esta figura se muestran los hosts de malware más frecuentes, de acuerdo con la investigación de Cisco TRAC/SIO. Fuente: Informes de Cisco Cloud Web Security 0 Jan. Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. 5% 10% 15% 20% 25% 30% 35% 40% Mes Publicidad Negocios e industria Comunidades en Internet Computadoras e Internet Infraestructura Noticias Compras Motores de búsqueda y portales Alojamiento web Sin clasificar Otro Nov. 45% FIGURA 21 Categorías de malware, por porcentaje de hallazgos totales: 2013 Fuente: Cisco TRAC/SIO Troyanosparavariosusos iFrames yexploits Troyanospararobodedatos Descargador einstaladordemalware Ransomware yscareware Gusanosyvirus (1%) SMS,suplantacióndeidentidad (phishing)ylikejacking (1%) Constructores yherramientasdepiratería 27% 23% 22% 17% 5% 3%
  41. 41. 41 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 22 Hosts de malware y direcciones IP únicos: 2013 Fuente: Informes de Cisco Cloud Web Security Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb. Único Host Mes Único IP Jan. 0 10 000 30 000 20 000 50 000 40 000 60 000 La investigación de Cisco TRAC/SIO durante 2013 muestra que los troyanos multipropósito fueron el malware basado en la web hallado con más frecuencia, en el 27% del total de hallazgos. Los scripts malintencionados, como explotaciones e iframes, fueron la segunda categoría que se halló con más frecuencia, en el 23%. Los troyanos de robo de datos, como los ladrones de contraseñas y las puertas traseras, constituyen hasta el 22% del total de hallazgos de malware web, y los troyanos descargadores e instaladores de malware se encuentran en el cuarto lugar con el 17% del total de hallazgos (consultar la Figura 21). El descenso sostenido en los hosts de malware y las direcciones IP únicos —un descenso del 30% entre enero de 2013 y septiembre de 2013— sugiere que el malware está concentrado en menos hosts y menos direcciones IP (Figura 22). (Nota: Una dirección IP puede servir a sitios web de múltiples dominios). A medida que disminuye la cantidad de hosts —incluso cuando el malware permanece sin cambios—, se vuelve más importante el valor y la reputación de estos hosts, ya que los hosts buenos ayudan a los delincuentes a lograr sus objetivos.
  42. 42. 42 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Objetivos principales: mercados verticales del sector Las empresas en mercados verticales de grandes ganancias, como el sector de productos farmacéuticos y químicos y la fabricación de productos electrónicos, tienen altas tasas de hallazgos de malware web, de acuerdo con la investigación de Cisco TRAC/SIO. La tasa sube o baja a medida que aumenta o disminuye el valor de los productos y servicios de un mercado vertical en particular. Los investigadores de Cisco TRAC/SIO observaron un notable crecimiento en los hallazgos de malware para el sector de agricultura y minería, que anteriormente era un sector de riesgo relativamente bajo. Atribuyen el aumento en los hallazgos de malware para este sector a que los ciberdelincuentes aprovechan las tendencias, como el descenso de los recursos de metales preciosos y las interrupciones relacionadas con el clima en el suministro de alimentos. Además, continúan aumentando los hallazgos de malware en el sector de los productos electrónicos. Los expertos de seguridad de Cisco informan que el malware dirigido a este mercado vertical generalmente está diseñado para ayudar a los actores a obtener acceso a propiedad intelectual, que a su vez usan para obtener ventaja competitiva o venden al mejor postor. Para determinar las tasas de hallazgo de malware específicas de un sector, los investigadores de Cisco TRAC/ SIO comparan la tasa mediana de hallazgos para todas las organizaciones que transmiten a través de Cisco Cloud Web Security con la tasa mediana de hallazgos para todas Watering holes: no son un oasis para las empresas dirigidas Una manera en que los actores malintencionados intentan distribuir malware a las organizaciones en mercados verticales específicos del sector es a través del uso de ataques “watering hole”. Como cuando se observa a una presa en caza mayor, los ciberdelincuentes que buscan dirigir sus ataques a un grupo en particular (por ejemplo, personas que trabajan en el sector de aviación) supervisarán los sitios web que frecuenta dicho grupo, infectarán uno o más de estos sitios con malware y, luego, se sentarán a esperar que al menos un usuario del grupo objetivo visite el sitio y se vea comprometido. Un ataque “watering hole” es básicamente una explotación de la confianza, porque emplea sitios web legítimos. También es una manera de spear phishing. Sin embargo, si bien el spear phishing se dirige hacia individuos específicos, los watering holes se diseñaron para comprometer a grupos de personas con intereses comunes. Los ataques “watering hole” no discriminan con respecto a sus objetivos: cualquiera que visite un sitio infectado está en riesgo. A finales de abril, se lanzó un ataque “watering hole” desde páginas específicas que alojaban contenido nuclear en el sitio web del Departamento de Trabajo de EE. UU.16 A continuación, desde principios de mayo de 2013, los investigadores de Cisco TRAC/SIO Continúa en la página siguiente.
  43. 43. 43 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas observaron otro ataque “watering hole” que provenía de varios otros sitios centrados en el sector de energía y petróleo. Las similitudes, incluido el diseño específico de una explotación usada en ambos ataques, da crédito a la posibilidad de que los dos ataques estaban relacionados. La investigación de Cisco TRAC/ SIO también indicó que muchos de los sitios usaron el mismo diseñador web y proveedor de alojamiento. Esto podría implicar que el compromiso inicial se debió a phishing o robo de credenciales de dicho proveedor.17 Proteger a los usuarios de estos ataques involucra actualizar las máquinas y los navegadores web con los últimos parches para minimizar la cantidad de vulnerabilidades que un atacante puede aprovechar. También resulta fundamental garantizar que el tráfico web se filtre y verifique en busca de malware antes de su envío al navegador del usuario. Continúa desde la página anterior. las empresas de un sector específico que transmiten a través del servicio. Una tasa de hallazgos del sector que sea superior al 100% refleja un riesgo mayor de lo normal de hallazgos de malware web, mientras que una tasa inferior al 100% refleja un riesgo menor. Por ejemplo, una empresa con una tasa de hallazgos del 170% tiene un riesgo de un 70% por arriba de la mediana. A la inversa, una empresa con una tasa de hallazgos del 70% se encuentra un 30% por debajo de la mediana (Figure 23). FIGURA 23 Riesgo del sector y hallazgos de malware web: 2013 Fuente: Informes de Cisco Cloud Web Security Contabilidad Agricultura y minería Automotriz Aviación Banca y finanzas Instituciones benéficas y ONG Clubes y organizaciones Educación Productos electrónicos Energía, petróleo y gas Ingeniería y construcción Entretenimiento Alimentos y bebidas Gobierno Servicios de salud Calefacción, plomería y A/A TI y telecomunicaciones Industrial Seguros Legales Manufactura Medios de comunicación y publicación Productos farmacéuticos y químicos Servicios profesionales Bienes raíces y gestión de tierras Comercio minorista y mayorista Transporte y envío Viajes y ocio Servicios públicos 0 100% 200% 300% 400% 500% 600% 700%
  44. 44. 44 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Fracturas en un ecosistema frágil Los ciberdelincuentes están aprendiendo que aprovechar el poder de la infraestructura de Internet genera muchos más beneficios que simplemente obtener acceso a computadoras individuales. El nuevo giro en las explotaciones malintencionadas es la obtención de acceso a servidores de alojamiento web, servidores de nombres y centros de datos, con el objetivo de aprovechar el tremendo poder de procesamiento y ancho de banda que estos proporcionan. A través de este enfoque, las explotaciones pueden alcanzar a muchos más usuarios de computadoras desprevenidos y tener un impacto mucho mayor en las organizaciones objetivo, ya sea que el objetivo sea realizar una declaración política, debilitar a un adversario o generar ingresos. FIGURA 24 Estrategia de infección de alta eficacia Servidor host comprometido comprometido Sitio web comprometido Sitio web comprometido Sitio web comprometido Sitio web comprometido Sitio web
  45. 45. 45 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas En esencia, esta tendencia de convertir a la infraestructura de Internet en objetivo de los ataques significa que la base misma de la web no es confiable. Los métodos usados para obtener, en última instancia, acceso a raíz en los servidores de alojamiento son variados e incluyen tácticas como troyanos en las estaciones de trabajo de administración que roban credenciales de inicio de sesión del servidor, vulnerabilidades en las herramientas de administración de terceros usadas en los servidores e intentos de inicio de sesión por fuerza bruta (consulte la página 54). Las vulnerabilidades desconocidas en el mismo software de servidor también pueden proporcionar avances. Un servidor de alojamiento comprometido puede infectar miles de sitios web y propietarios de sitios en todo el mundo (Figura 24). Los sitios web alojados en servidores comprometidos actúan como un redirector (el intermediario en la secuencia de infección) y un repositorio de malware. En lugar de tener muchos sitios comprometidos que cargan malware solamente de algunos dominios malintencionados (una relación de muchos a algunos [many-to-few]), la relación se volvió de muchos a muchos (many-to-many), lo que dificulta los esfuerzos de bloqueo. Los servidores de nombres de dominio son objetivos principales en esta nueva variedad de ataque, cuyos métodos exactos aún se encuentran en investigación. Todo indica que, además de los sitios web y los servidores de alojamiento individuales, también están comprometidos los servidores de nombres en ciertos proveedores de alojamiento. Los investigadores de seguridad de Cisco dicen que esta tendencia hacia la selección de la infraestructura de Internet como objetivo cambia el panorama de las amenazas, dado que está proporcionando a los ciberdelincuentes el control sobre una parte para nada insignificante de la base misma de la Web. “El ciberdelito se ha vuelto tan lucrativo y generalizado que necesita una infraestructura poderosa que lo mantenga a flote”, dice Gavin Reid, director de inteligencia contra amenazas de Cisco. “Mediante el compromiso de servidores de alojamiento y centros de datos, los atacantes obtienen no solo acceso a grandes cantidades de ancho de banda, sino también el beneficio de un tiempo de actividad continuo para estos recursos”. “El delito informático se ha convertido en algo tan lucrativo y generalizado que requiere una sólida infraestructura para mantenerlo a flote”. Gavin Reid, director de inteligencia de amenazas de Cisco [ ]
  46. 46. 46 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Atando cabos: DarkLeech y Linux/CDorked La campaña de ataque de DarkLeech que informó Cisco en 201318 subraya cómo el compromiso de servidores de alojamiento puede servir como un trampolín para una campaña más grande. Se estima que los ataques de DarkLeech comprometieron, en un breve período, al menos 20 00019 sitios web legítimos de todo el mundo que usan el software de servidor HTTP Apache. Los sitios se infectaron con una puerta trasera de servicio de shell seguro (SSHD) que permitió que atacantes remotos cargaran y configuraran módulos Apache malintencionados. El compromiso permitió que los atacantes inyectaran dinámicamente iframes (elementos HTML) en tiempo real en los sitios web alojados, lo que envió código de explotación y otro contenido malintencionado por medio del juego de explotación Blackhole. Debido a que las inyecciones de iframes de DarkLeech ocurrieron solamente en el momento de la visita a un sitio, los signos de la infección pueden no advertirse fácilmente. Además, para evitar la detección del compromiso, los delincuentes usan una selección sofisticada de criterios condicionales, por ejemplo, inyectar el iframe solamente si el visitante llega de la FIGURA 25 Compromisos del servidor DarkLeech por país: 2013 Fuente: Cisco TRAC/SIO 58% Estados Unidos 2% Italia ,5% Turquía ,5% Chipre 1% Suiza ,5% Otro 2% España 1% Australia 1% Japón ,5% Malasia 1% Lituania ,5% Dinamarca 1% Holanda 9% Alemania1% Bélgica 2% Singapur 2% Tailandia 3% Canadá 10% Reino Unido 2% Francia ,5% Irlanda
  47. 47. 47 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas FIGURA 26 Respuestas del servidor comprometido: DarkLeech Fuente: Cisco TRAC/SIO 0,5% Apache/CentOS 43% Apache/2.2.3 CentOS 39% Apache-unspecified 8% Apache/2.2.3 RedHat 7% Apache/2.2.22 2% Apache/2.2.8 página de resultados de un motor de búsqueda, no inyectar el iframe si la dirección IP del visitante coincide con la del propietario del sitio o la del proveedor de alojamiento, e inyectar el iframe solamente una vez cada 24 horas para los visitantes individuales. La investigación de Cisco TRAC/SIO reveló que los compromisos de DarkLeech se extendieron por todo el mundo; lógicamente, los países con la mayor cantidad de proveedores de alojamiento experimentaron la tasa más alta de infección. Los investigadores de Cisco SIO/TRAC consultaron a miles de servidores comprometidos para determinar la distribución de las versiones de software de servidor afectadas. En abril de 2013, se detectó otra puerta trasera que infectó cientos de servidores que ejecutaban el software de servidor HTTP Apache. Linux/CDorked20 reemplazó el binario HTTPD en las versiones de Apache con cPanel instalado. También se descubrieron puertas traseras similares dirigidas a Nginx y Lighttpd. Tan selectivo como DarkLeech en sus métodos de ataque, CDorked también usa criterios condicionales para inyectar en forma dinámica
  48. 48. 48 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas iframes en sitios web alojados en el servidor afectado. Cualquier visitante que navegue un sitio web afectado luego tendrá contenido malintencionado enviado por otro sitio web malintencionado, donde un juego de herramientas de crimeware intentará comprometer aún más la PC del usuario.21 Una característica exclusiva de Linux/CDorked es que rota a través de los dominios de sitios web en 24 horas, en promedio. Menos sitios comprometidos se usan durante más tiempo. Por lo tanto, aunque se informe un dominio de malware, los atacantes ya estarán en otro lugar. Además, con Linux/CDorked, se cambian con frecuencia los proveedores de alojamiento (aproximadamente cada dos semanas), rotando a través de los hosts comprometidos para evitar detecciones. Los servidores de nombres comprometidos en estos mismos proveedores de alojamiento permiten que los actores malintencionados se muevan de un host a otro sin perder el control de los dominios durante la transición. Una vez que se encuentran en un host nuevo, los atacantes comienzan un ciclo de nuevos dominios, generalmente mediante el uso de nombres de dominio estilo typosquatting22 en un intento por parecer legítimos para los observadores ocasionales. El análisis de Cisco TRAC/SIO de los patrones de tráfico con CDorked sugiere enfáticamente una conexión con DarkLeech. La dirección URL de referencia codificada especialmente y empleada por CDorked denota específicamente tráfico de DarkLeech. No obstante, ese no es el giro más interesante acerca del malware: tanto CDorked como DarkLeech parecen ser parte de una estrategia mucho más grande y compleja. “La sofisticación de estos compromisos sugiere que los ciberdelincuentes han ganado un control significativo sobre miles de sitios web y múltiples servidores de alojamiento, incluidos los servidores de nombres empleados por estos hosts”, dice Gavin Reid, director de inteligencia contra amenazas de Cisco. “Combinado con el reciente aluvión de ataques de inicio de sesión por fuerza bruta a sitios web independientes, pareciera que estamos evidenciando una nueva tendencia, en la que la infraestructura de la Web se utiliza para formar lo que solo puede describirse como un gran (y muy poderoso) botnet. Este überbot se puede utilizar para enviar correo electrónico no deseado, malware y lanzar ataques por DDoS en una magnitud nunca antes vista”. CDorked y DarkLeech parecen ser parte de una estrategia mucho más amplia y mucho más compleja.
  49. 49. 49 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas El tráfico malicioso, a menudo un signo de ataques dirigidos, se detecta en todas las redes corporativas Según un análisis de tendencias de inteligencia contra amenazas realizado por Cisco, el tráfico malicioso se observa en la totalidad de las redes corporativas. Esto significa que hay evidencia de que delincuentes sofisticados u otros individuos han penetrado en esas redes y es posible que operen sin que se los detecte durante un largo tiempo. Todas las organizaciones deben suponer que han sido vulneradas o por lo menos deben aceptar que no se trata de determinar si serán objeto de un ataque, sino de cuándo y por cuánto tiempo. En un proyecto reciente de revisión de búsquedas del servicio de nombres de dominio (DNS) que se originaron dentro de las redes corporativas, los expertos en inteligencia contra amenazas de Cisco observaron que, en todos los casos, las organizaciones evidenciaron que sus redes se habían utilizado mal o perdieron su carácter confidencial (Figura 27). Por ejemplo, la totalidad de las redes empresariales analizadas por Cisco presentaban tráfico hacia sitios web que alojan malware, mientras que el 92% muestra tráfico hacia páginas web sin contenido, que por lo general aloja actividad maliciosa. El 96% de las redes revisadas evidenció tráfico hacia servidores vulnerados. Asimismo, Cisco detectó tráfico hacia sitios web militares o del gobierno en empresas que habitualmente no hacen negocios con esas entidades, así como también el tráfico a sitios web de áreas geográficas de alto riesgo, como países con prohibición de hacer negocios con Estados Unidos. Cisco ha observado que, por lo general, estos sitios pueden utilizarse debido a la muy buena reputación de la que gozan las organizaciones públicas o gubernamentales. Es posible que el tráfico hacia estos sitios no sea un signo definitivo de riesgo, pero en el caso de organizaciones que habitualmente no hacen negocios con el gobierno o las fuerzas armadas, ese tráfico podría indicar que delincuentes han vulnerado las redes y las están utilizando para infringir sitios web y redes del gobierno o militares. [ ]
  50. 50. 50 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas A pesar de haber hecho su mejor esfuerzo para mantener sus redes libres de amenazas maliciosas, todas las organizaciones examinadas por Cisco durante 2013 mostraron signos de tráfico sospechoso. El tráfico identificado a través de las búsquedas de DNS puede proporcionar IoC sólidos y merece una investigación más exhaustiva por parte de las organizaciones que desean poner un freno a estas amenazas difíciles de detectar en sus redes. Es un método de aumentar la visibilidad del movimiento delictivo que habitualmente es muy difícil de localizar. FIGURA 27 La propagación del tráfico malicioso 100% 100% 96% 92% 88% 79% 71% 50% Malware de gran amenaza Conexiones a dominios que son sitios conocidos de amenaza de malware o vectores de amenaza. Gobierno y militar Tráfico sospechoso y excesivo dirigido a lugares habitualmente no contactados por el público. Infraestructura asaltada Conexiones a infraestructura asaltada o sitios comprometidos conocidos. Sitios sin contenido Conexiones a sitios en blanco que pueden tener código para inyectar malware en los sistemas. FTP sospechosa Conexiones inesperadas a sitios FTP irregulares. VPN sospechosa Conexiones desde el interior de una organización a sitios VPN sospechosos. Educación a través de amenazas Conexiones a universidades en lugares sospechosos, que potencialmente sirven como puntos pivote para otros tipos de malware. Pornografía Volumen muy alto de intentos de conexión a sitios conocidos de pornografía.
  51. 51. 51 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas INVESTIGACIÓN ESPECIAL DE SEGURIDAD DE CISCO: Nuevos giros en bitsquatting y nuevas maneras de detener ataques Cybersquatting, la práctica de registrar nombres de dominio que son idénticos o similares de manera confusa a una marca distintiva, es desde hace tiempo una herramienta para los delincuentes informáticos. Recientemente, “bitsquatting”, el registro de nombres de dominio que difieren en un dígito binario del dominio original, se ha convertido en otra manera de redirigir el tráfico de Internet a sitios que alojan malware o estafas. Bitsquatting es una manera de cybersquatting que tiene como objetivo generar errores de bits en la memoria del equipo. Un error de memoria se produce cada vez que uno o más bits que se leen desde la memoria han cambiado su estado en comparación con lo que se escribió previamente. Estos errores en la memoria pueden deberse a muchos factores, incluidos rayos cósmicos (partículas de alta energía que impactan en la Tierra con una frecuencia de 10 000 por metro cuadrado por segundo), un dispositivo que se utiliza fuera de sus parámetros ambientales recomendados, defectos de fabricación e incluso explosiones nucleares de baja magnitud. Con la modificación de un solo bit, un dominio como “twitter.com” puede convertirse en el dominio confusamente similar “twitte2.com”. Un atacante puede simplemente registrar un dominio confusamente similar, esperar a que se produzca un error en la memoria y luego interceptar el tráfico de Internet. Los investigadores abocados a la seguridad creen que los ataques de bitsquatting se producen mayormente contra nombres de dominio resueltos con frecuencia, ya que estos dominios son los que aparecen con más probabilidad en la memoria cuando se producen errores de bits. Sin embargo, la investigación reciente de Cisco predice que los dominios que anteriormente no se consideraban lo suficientemente “populares” para atacar, producirán verdaderas cantidades de tráfico de dominios confusamente similares. Esto se debe a que tanto la cantidad de memoria por dispositivo como la cantidad de dispositivos conectados a Internet se encuentran en aumento; según los cálculos de Cisco, habrá 37 000 millones de “elementos inteligentes” conectados a Internet para el año 2020.23 Vectores de ataques de bitsquatting Cisco TRAC/SIO ha identificado nuevos vectores de ataques de bitsquatting, entre los que se incluyen los siguientes: • Bitsquatting de delimitador de subdominio: de conformidad con la sintaxis aceptada para las etiquetas de nombres de dominio, los únicos caracteres válidos en un nombre de dominio son A-Z, a-z, 0-9 y el guión. No obstante, cuando se comprueba la existencia de dominios confusamente similares y se limita la búsqueda a estos caracteres, se omite un carácter importante que también es válido en los nombres de dominio: el punto. Una nueva técnica de bitsquatting se basa en errores de bits que provocan que una letra “n” (binario 01101110) se convierta en un punto “.” (binario 00101110) y viceversa. • Delimitadores de subdominio en los que “n” cambia a “.”: en una variación de la técnica anterior, si un nombre de dominio de segundo nivel contiene la letra “n” y hay dos o más caracteres luego de la letra “n”, es posiblemente un dominio confusamente similar. Por ejemplo, “windowsupdate.com” podría convertirse en “dowsupdate.com”. • Dominios confusamente similares de delimitadores de URL: un contexto popular para los nombres de dominios es dentro de una URL. Dentro de una URL típica, las barras diagonales como “/” actúan como delimitadores, ya que separan el esquema del nombre del host de la ruta de la URL. La barra diagonal (binario 00101111) puede, con la alteración de un carácter, convertirse en la letra “o” (binario 01101111) y viceversa. Continúa en la página siguiente.
  52. 52. 52 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Inteligencia contra amenazas Prevención de ataques de bitsquatting: creación de una zona RPZ (zona de políticas de respuesta) de dominios confusamente similares Las dos técnicas de mitigación que se han utilizado comúnmente para prevenir los ataques de bitsquatting tienen su lugar en el arsenal de seguridad, pero ninguno de esos métodos es óptimo: • Uso de memoria de corrección de errores (ECC): toda la base de dispositivos instalados debería cambiar de versión simultáneamente en todo el mundo para que esta solución fuera eficaz. • Registro del dominio confusamente similar para que un tercero no pueda registrarlo: esto no siempre es posible, debido a que muchos de los dominios populares confusamente similares ya se han registrado. Según la longitud del nombre de dominio, esto puede, además, ser costoso. La buena noticia es que estas técnicas de mitigación no son las únicas que puede implementar un profesional de seguridad para proteger a los usuarios del mal redireccionamiento accidental del tráfico de Internet. Si se adoptan de manera suficiente, las nuevas técnicas de mitigación podrían eliminar el problema de bitsquatting casi por completo. Por ejemplo, las zonas de políticas de respuesta (RPZ) han sido una opción de configuración desde la versión 9.8.1 de BIND, y existen parches para las versiones anteriores de BIND. (BIND es un software de DNS ampliamente utilizado en Internet). Las zonas RPZ son archivos de zonas locales que permiten al solucionador de DNS responder a solicitudes específicas de DNS mediante el mensaje de que el nombre de dominio no existe (NXDOMAIN), el redireccionamiento del usuario a un “jardín vallado” (una plataforma cerrada) u otras posibilidades. Para mitigar los efectos de errores de un solo bit en el caso de usuarios de un solucionador de DNS, el administrador del solucionador puede crear una zona RPZ que proteja contra dominios confusamente similares de nombres de dominio frecuentemente resueltos o solo internos. Por ejemplo, se puede configurar la zona RPZ para que cada solicitud que se hace al solucionador de DNS para variantes confusamente similares de estos dominios obtengan una respuesta NXDOMAIN, que “corrija” los errores de bits automáticamente sin intervención del cliente que experimenta el error.24 Continúa desde la página anterior.
  53. 53. 53 Informe anual de seguridad de 2014 de Cisco Sector Los investigadores de Cisco SIO elevan la conversación acerca de las tendencias del sector que se extienden más allá de la telemetría de Cisco.
  54. 54. 54 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector Intentos de inicio de sesión por fuerza bruta, una táctica preferida para vulnerar sitios web A pesar de que los intentos de inicio de sesión por fuerza bruta no son una nueva táctica para los delincuentes informáticos, su uso aumentó el triple en el primer semestre de 2013. Durante la investigación, los investigadores y Cisco TRAC/SIO detectaron un concentrador de datos utilizado para alimentar esas acciones. Incluía 8,9 millones de combinaciones posibles de nombres de usuario y contraseñas, incluidas contraseñas seguras y no solo la variedad de “contraseña123” fáciles de vulnerar. Las credenciales de usuario robadas permiten mantener la lista bien provista, así como a otras como esta. FIGURA 28 Cómo funcionan los intentos de inicio de sesión por fuerza bruta El equipo se conecta con el servidor de comando y control y descarga un troyano. Las futuras víctimas reciben los descargadores y el ciclo se repite. Los sitios web afectados se convierten en relés de correo no deseado. Al completarse satisfactoriamente, el equipo carga el bot PHP y otros scripts al sitio web recientemente comprometido. El equipo ataca al sitio con varias vulnerabilidades de seguridad CMS/intentos de inicio de sesión de fuerza bruta. El equipo obtiene los nombres de los sitios objetivo desde el servidor de comando y control.
  55. 55. 55 Informe anual de seguridad de 2014 de CiscoInforme anual de seguridad de 2014 de Cisco Sector Los objetivos clave de recientes intentos de inicio de sesión por fuerza bruta son las plataformas de sistemas de administración de contenidos (CMS) como WordPress y Joomla. Los intentos con éxito de obtener acceso no autorizado a través de un CMS proporcionan a los atacantes la capacidad de cargar puertas traseras de PHP (preprocesador de hypertexto) y otros scripts maliciosos a los sitios web comprometidos. En algunos casos, la vulnerabilidad puede permitir a los atacantes encontrar una ruta al servidor de alojamiento, que luego se puede controlar (Figure 28). Si se tiene en cuenta que hay más de 67 000 000 de sitios de WordPress en todo el mundo (y que los editores utilizan la plataforma para crear blogs, sitios nuevos, sitios de empresas, revistas, redes sociales, sitios deportivos, entre otros), no es sorprendente que muchos delincuentes informáticos apunten a obtener acceso a través de este CMS.25 Drupal, una plataforma de CMS de rápido crecimiento, también ha sido el objetivo de estos delincuentes; por ejemplo, en mayo, se recomendó a los usuarios que cambien sus contraseñas debido a un “acceso no autorizado [a Drupal] a través de software de terceros instalado en la infraestructura del servidor de Drupal.org”.26 Sin embargo no es solo la popularidad de estos sistemas la que los convierte en objetivos deseables. Muchos de estos sitios (aunque siguen activos) han sido desatendidos en gran manera por sus propietarios. Probablemente haya millones de blogs desatendidos y dominios comprados que permanecen inactivos; es posible que muchos de ellos sean hoy propiedad de delincuentes informáticos. Los expertos en seguridad de Cisco predicen que el problema solo empeorará a medida que cada vez más personas en mercados emergentes de Internet en todo el mundo creen un blog o un sitio web, solo para luego dejarlos perecer. Se ha comprobado además que el uso generalizado de complementos, diseñados para ampliar la funcionalidad de un CMS y potenciar videos, animaciones y juegos, es un beneficio para las personas malintencionadas que buscan obtener acceso no autorizado a plataformas como WordPress y Joomla. Muchas vulnerabilidades de CMS que observaron los investigadores de Cisco en 2013 se pueden retrotraer a complementos escritos en lenguaje de scripting web PHP mal diseñados y sin tener en cuenta la seguridad. Muchos delincuentes informáticos centran su atención en obtener acceso a través de CMS. [ ]

×