Reporte Anual de Seguridad de Cisco de 2013
 

Reporte Anual de Seguridad de Cisco de 2013

on

  • 2,985 views

Los delincuentes informáticos aprovechan la superficie de ataque de rápido crecimiento ...

Los delincuentes informáticos aprovechan la superficie de ataque de rápido crecimiento
que encuentran en el mundo actual, donde los individuos utilizan cualquier dispositivo para acceder a las redes corporativas. Este Informe Anual de Seguridad de Cisco® 2013, resalta las tendencias mundiales de amenazas y proporciona una idea clara y un análisis que permite a las empresas y los gobiernos mejorar su estado de seguridad para el futuro.

Statistics

Views

Total Views
2,985
Views on SlideShare
2,939
Embed Views
46

Actions

Likes
1
Downloads
67
Comments
0

1 Embed 46

https://twitter.com 46

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Reporte Anual de Seguridad de Cisco de 2013 Reporte Anual de Seguridad de Cisco de 2013 Presentation Transcript

  • Sede Central en América Cisco Systems, Inc. San José, CA Sede Central en Asia-Pacífico Cisco Systems (EE. UU.) Pte. Ltd. Singapur Sede Central en Europa Cisco Systems International BV Ámsterdam, Países Bajos Cisco cuenta con más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax están disponibles en el sitio web de Cisco: www.cisco.com/go/offices. La totalidad del contenido pertenece a Copyright © 2011–2013 Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros países. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/go/trademarks. Las marcas registradas de terceros que se mencionan aquí son de propiedad exclusiva de sus respectivos propietarios. El uso de la palabra partner no implica la existencia de una asociación entre Cisco y cualquier otra empresa. (020813 v2) Informe anual de seguridad de Cisco de 2013
  • 2 Informe anual de seguridad de Cisco de 2013 Vivir en el mundo “de cualquiera con cualquiera” de hoy. 3 Los delincuentes informáticos aprovechan la superficie de ataque de rápido crecimiento que encuentran en el mundo actual del “cualquiera con cualquiera”, donde los individuos utilizan cualquier dispositivo para acceder a sus redes empresariales en un entorno de red que usa servicios de nube descentralizados. En el Informe anual de seguridad de Cisco® 2013, se resaltan las tendencias mundiales de amenazas según datos de la vida real y se proporciona una idea clara y un análisis que permite a las empresas y los gobiernos mejorar su estado de seguridad para el futuro. El informe combina investigación de expertos con inteligencia de seguridad que se agregó de Cisco, centrándose en datos recopilados durante el año calendario 2012.
  • 4 Informe anual de seguridad de Cisco de 2013 Contenido 5 El nexo de dispositivos, nubes y aplicaciones 6 La proliferación de terminales 12 Los servicios residen en varias nubes 18 Combinación de uso personal y empresarial 22 La generación del milenio y el lugar de trabajo Datos masivos 28 Un buen negocio para las empresas actuales Estado de la vulnerabilidad de seguridad 32 El peligro acecha en lugares sorprendentes Amenazas evolutivas 50 Métodos nuevos, las mismas vulnerabilidades de seguridad El correo no deseado siempre presente 58 Perspectivas de seguridad para 2013 70 Acerca de Cisco Security Intelligence Operations 74
  • 6 Informe anual de seguridad de Cisco de 2013 El nexo de dispositivos, nubes y aplicaciones 7 El mundo de cualquiera con cualquiera e Internet de todo son la evolución de la conectividad y la colaboración que se está extendiendo con rapidez. Es el nexo de dispositivos, nubes y aplicaciones. Si bien esta evolución no es imprevista, las empresas actuales quizás no estén preparadas para la realidad que implica el navegar en un mundo de “cualquiera con cualquiera”, al menos, en lo que respecta a la seguridad. “Lo fundamental del asunto de cualquiera con cualquiera es el siguiente: nos acercamos rápidamente al punto donde es cada vez menos probable que un usuario acceda a una empresa a través de una red empresarial”, comenta Chris Young, vicepresidente ejecutivo del grupo de Seguridad y dirección de Cisco. “Cada vez más, se trata de cualquier dispositivo en cualquier ubicación que accede a la red y crea instancias en ella. Los dispositivos habilitados para Internet (teléfonos inteligentes, tabletas, entre otros) intentan conectarse a aplicaciones que podrían ejecutarse en cualquier lugar, incluso en una nube pública de software como servicio (SaaS), en una nube privada o híbrida”. Al mismo tiempo, se está desarrollando otra evolución: un movimiento constante hacia la formación del “Internet de todo”, es decir, la conexión inteligente entre los siguientes elementos: • Personas: redes sociales, centros de población, entidades digitales • Procesos: sistemas, procesos empresariales • Datos: Internet, información • Cosas: mundo físico, dispositivos y objetos “Cada vez más, se trata de cualquier dispositivo en cualquier ubicación que accede a la red y crea instancias en ella. Los dispositivos habilitados para Internet (teléfonos inteligentes, tabletas, entre otros) intentan conectarse a aplicaciones que podrían ejecutarse en cualquier lugar”. Chris Young, vicepresidente ejecutivo del grupo de Seguridad y dirección de Cisco
  • 8 Informe anual de seguridad de Cisco de 2013 “A raíz del crecimiento y la convergencia de personas, procesos, datos y cosas en Internet, las conexiones en red serán más relevantes y valiosas que nunca”. Nancy Cam-Winget, ingeniera distinguida, Cisco Internet de todo se basa en “Internet de las cosas”1 y se agrega una inteligencia de red que permite la convergencia, organización y visibilidad en sistemas que antes eran dispares. Las conexiones en Internet de todo no se tratan simplemente de dispositivos móviles o computadoras portátiles y de escritorio, sino también del creciente número de conexiones de equipo a equipo (M2M) que tienen lugar a diario. A menudo, estas “cosas” son objetos que subestimamos o de los que dependemos todos los días y que, tradicionalmente, no se consideran como objetos conectados, por ejemplo, el sistema de calefacción hogareño, una turbina eólica o un automóvil. Internet de todo es un estado futuro, seguramente, pero no está tan lejano si se tiene en cuenta el asunto de cualquiera con cualquiera. Y si bien generará desafíos de seguridad para las empresas, también proporcionará nuevas oportunidades. “A medida que Internet de todo crezca, sucederán y se crearán cosas increíbles”, afirma Nancy Cam-Winget, ingeniera distinguida de Cisco. “A raíz del crecimiento y la convergencia de personas, procesos, datos y cosas en Internet, las conexiones en red serán más relevantes y valiosas que nunca. En última instancia, Internet de todo generará nuevas capacidades, experiencias más completas y oportunidades económicas sin precedentes para los países, las empresas y los individuos”. La nube y la complicación de la seguridad El desafío que representa la seguridad de una amplia gama de aplicaciones, dispositivos y usuarios, ya sea en un contexto de “cualquiera con cualquiera” o de Internet de todo, se tornó más complicado debido a la popularidad de la nube como medio para administración de los sistemas empresariales. Según los datos reunidos por Cisco, se prevé que el tráfico mundial de centros de datos se cuadriplique durante los próximos cinco años, y el componente de crecimiento más acelerado son los datos en la nube. Para 2016, el tráfico mundial en la nube representará Se prevé que el tráfico mundial de centros de datos se cuadriplique durante los próximos cinco años, y el componente de crecimiento más acelerado son los datos en la nube. Para 2016, el tráfico mundial en la nube representará aproximadamente dos tercios del tráfico total de centros de datos. 9 aproximadamente dos tercios del tráfico total de centros de datos. Las soluciones de seguridad segmentadas, por ejemplo, la aplicación de firewalls en el perímetro de una red variable, no protegen los datos que ahora se encuentran en constante movimiento entre dispositivos, redes y nubes. Incluso entre los centros de datos, que ahora albergan las “joyas de la corona” de las empresas (los datos masivos), la virtualización es la regla y no la excepción. Abordar los desafíos de seguridad que generan la virtualización y la nube exige el replanteo de los estados de seguridad, a fin de reflejar este nuevo paradigma: es necesario cambiar los controles basados en el perímetro y los antiguos modelos de acceso y contención para proteger el nuevo modelo empresarial. Trabajadores conectados y privacidad de los datos Otro factor que complica la ecuación de cualquiera con cualquiera es el grupo de trabajadores jóvenes y móviles. Este grupo considera que la posibilidad de hacer negocios debe existir dondequiera que se encuentren y en el dispositivo que tengan a mano. En el Informe anual de seguridad de Cisco de 2013, se incluyen conclusiones del informe Cisco Connected World Technology 2012 que se basa en investigaciones realizadas en 2011 sobre las actitudes cambiantes que tienen los estudiantes universitarios y los profesionales jóvenes del mundo respecto del trabajo, la tecnología y la seguridad. Otro factor que complica la ecuación de cualquiera con cualquiera es el grupo de trabajadores jóvenes y móviles. Este grupo considera que la posibilidad de hacer negocios debe existir dondequiera que se encuentren y en el dispositivo que tengan a mano. En el último estudio se aclara aún más el panorama de las actitudes de estos trabajadores hacia la seguridad, con un enfoque especial en la privacidad y en qué medida y con qué frecuencia una empresa puede inmiscuirse en el deseo de un empleado de navegar libremente por Internet mientras se encuentra en el trabajo. En el estudio del informe Cisco Connected World Technology 2012 también se analiza si la privacidad en línea todavía es algo que preocupa activamente a todos los usuarios. Análisis de datos y tendencias mundiales de seguridad En el Informe anual de seguridad de Cisco de 2013, se incluye un análisis en profundidad de las tendencias de correo no deseado y software malicioso en Internet, según una investigación llevada a cabo por Cisco. Mientras que, en los últimos años, muchos de quienes operan en la “economía sumergida” han centrado sus esfuerzos en desarrollar técnicas cada vez más sofisticadas, en la investigación de Cisco queda claro que
  • 10 Informe anual de seguridad de Cisco de 2013 “Observamos algunos cambios inquietantes en el entorno de amenazas que deben enfrentar los gobiernos, las empresas y las sociedades”. John N. Stewart, vicepresidente ejecutivo y jefe de seguridad de Cisco los delincuentes informáticos utilizan, a menudo, métodos conocidos y básicos para poner en peligro a los usuarios. El aumento de los ataques de denegación de servicio distribuido (DDoS) durante el último año es solo un ejemplo de la tendencia hacia “lo que era viejo ahora es nuevo” en lo que respecta a los delitos informáticos. Durante varios años, los ataques de DDoS, que pueden paralizar a los proveedores de servicios de Internet (ISP) e interrumpen el tráfico desde y hacia los sitios web objetivo, han ocupado los últimos lugares en la lista de prioridades de seguridad de TI para numerosas empresas. Sin embargo, las últimas campañas en contra de un grupo de empresas de alto perfil, entre las que se incluyen instituciones financieras de Estados Unidos,2 sirven a modo de recordatorio de que cualquier amenaza a la seguridad cibernética tiene el potencial de generar una interrupción importante e incluso un daño irreparable, si una empresa no se encuentra preparada para afrontarla. Por ello, al elaborar los planes de administración de continuidad comercial, las empresas deben tener en cuenta cómo responderían ante un evento cibernético perjudicial y cómo se recuperarían posteriormente, ya sea que tal evento fuera un ataque de DDoS dirigido a la empresa, una planta crítica de fabricación con Internet que de repente queda sin conexión, un ataque avanzado de varias etapas a cargo de delincuentes informáticos o algo nunca antes visto. “Si bien el debate sobre la seguridad de TI ha sufrido más de lo que corresponde en cuanto a alarmismo durante años, estamos observando algunos cambios inquietantes en el entorno de amenazas que deben enfrentar los gobiernos, las empresas y las sociedades”, comenta John N. Stewart, vicepresidente ejecutivo y jefe de seguridad de Cisco. “Los delitos informáticos ya no son una molestia u otro costo que se desprende al hacer negocios. Estamos llegando a un punto de inflexión en el que las pérdidas económicas generadas por los delitos informáticos amenazan con destruir los beneficios económicos de la tecnología de la información. Claramente, necesitamos nuevas ideas y enfoques pare reducir el daño que provocan los delitos informáticos en el bienestar mundial”. 11
  • 12 Informe anual de seguridad de Cisco de 2013 Proliferación de terminales 13 La evolución del concepto “cualquiera con cualquiera” ya abarca miles de millones de dispositivos conectados a Internet; en 2012, esta cantidad de dispositivos ascendió a más de 9 000 millones. 3 Si se considera que menos del 1% de las cosas del mundo físico están conectadas actualmente, queda un amplio potencial para “conectar lo desconectado”.4 Se prevé que con Internet que ya cuenta con unas 50 mil millones de “cosas” conectadas, la cantidad de conexiones ascenderá a 13 311 666 640 184 600 para el año 2020. Y si agregamos solo una “cosa” más conectada a Internet (50 mil millones + 1), la cantidad de conexiones aumentará otros 50 mil millones.5 En cuanto a las “cosas” que, en última instancia, formarán parte del “todo”, pueden incluirse desde teléfonos inteligentes hasta sistemas de calefacción hogareños, turbinas eólicas y automóviles. Dave Evans, jefe futurista del grupo de soluciones empresariales basadas en Internet de Cisco, explica el concepto de la proliferación de terminales de la siguiente manera: “Cuando un automóvil se conecte a Internet de todo en un futuro cercano, simplemente se sumará una cosa a la cantidad de cosas que ya hay en Internet. Ahora, piense en muchos otros elementos a los que su automóvil podría conectarse: otros automóviles, semáforos, su casa, el personal de servicio, los pronósticos del tiempo, las señales de advertencia e incluso la ruta misma”.6 Cuando un automóvil se conecte a Internet de todo en un futuro cercano, simplemente se sumará una cosa a la cantidad de cosas que ya hay en Internet. Ahora, piense en muchos otros elementos a los que su automóvil podría conectarse: otros automóviles, semáforos, su casa, el personal de servicio, los pronósticos del tiempo, las señales de advertencia e incluso la ruta misma”. David Evans, jefe futurista, Cisco
  • 14 Informe anual de seguridad de Cisco de 2013 15 Figura 1: Internet de todo Internet de todo es la conexión inteligente de personas, procesos, datos y cosas. De persona a persona (P2P) De persona a equipo (P2M) Personas Hogar Móvil Proceso Datos Cosas Empresa De equipo a equipo (M2M) En Internet de todo, las conexiones son lo más importante. Lo que crea valor entre las personas, los procesos, los datos y las cosas es el tipo de conexiones existentes, y no la cantidad. En Internet de todo, las conexiones son lo más importante. Lo que crea valor entre las personas, los procesos, los datos y las cosas es el tipo de conexiones existentes, y no la cantidad. Y, en última instancia, la cantidad de conexiones hará que la cantidad de cosas parezca pequeña.7 La explosión de conexiones nuevas que conforman Internet de todo está impulsada, principalmente, por el desarrollo de una creciente cantidad de dispositivos compatibles con IP, además del aumento de la disponibilidad de ancho de banda mundial y la llegada de IPv6. Los riesgos de seguridad que representa Internet de todo no solo están relacionados con la proliferación de terminales de cualquiera con cualquiera que nos acerca, día tras día, a un mundo incluso más conectado, sino también a la oportunidad de que personas malintencionadas utilicen cada vez más intrusiones para poner en peligro a los usuarios, las redes y los datos. Las nuevas conexiones en sí mismas presentan riesgos porque generarán incluso más datos en movimiento que se deben proteger en tiempo real, incluidos volúmenes en aumento de datos masivos que las empresas continuarán recopilando, almacenando y analizando. “Internet de todo adquiere forma rápidamente, por lo cual, el profesional de seguridad debe pensar cómo cambiar el enfoque para lograr más que simplemente asegurar los terminales y el perímetro de la red”. Chris Young, vicepresidente ejecutivo del grupo de Seguridad y dirección de Cisco “Internet de todo adquiere forma rápidamente, por lo cual, el profesional de seguridad debe pensar cómo cambiar el enfoque para lograr más que simplemente asegurar los terminales y el perímetro de la red”, comenta Chris Young. “Habrá demasiados dispositivos, demasiadas conexiones y demasiados tipos de contenido y aplicaciones... y la cantidad seguirá creciendo. En este nuevo panorama, la red en sí misma comienza a formar parte del paradigma de seguridad que permite a las empresas extender sus políticas y controles hacia diferentes entornos”.
  • 16 Informe anual de seguridad de Cisco de 2013 Actualización de la tendencia BYOD de Cisco La proliferación de terminales es un fenómeno que Cisco conoce bien dentro de su propia empresa que cuenta con 70 000 empleados en todo el mundo. Desde la formalización de su práctica “traiga su propio dispositivo” (BYOD) hace dos años, la empresa ha sido testigo de una tasa de crecimiento del 79% de la cantidad de dispositivos móviles en uso en la empresa. En el Informe anual de seguridad de 2011 de Cisco 8, en primer lugar, se examinó el proceso de extensión de la tendencia BYOD de Cisco, que forma parte de la transición continua y cada más amplia de la empresa para convertirse en una “empresa virtual”. Cuando Cisco llegue a la última etapa de su proceso planificado, que tendrá lugar dentro de varios años, la empresa será más independiente de los servicios y de la ubicación, y los datos empresariales seguirán contando con protección.9 En 2012, Cisco agregó aproximadamente 11 000 teléfonos inteligentes y tabletas en toda la empresa o unos 1 000 dispositivos nuevos habilitados para Internet por mes. “A fines de 2012, había casi 60 000 teléfonos inteligentes y tabletas en uso en la empresa (lo que incluye un poco menos de 14 000 iPads) y todos pertenecían a la tendencia BYOD”, afirma Brett Belding, gerente ejecutivo a cargo de la supervisión de Cisco IT Mobility Services. “La movilidad en Cisco ahora es la tendencia BYOD, y eso es todo”. 17 Figura 2: Implementación de dispositivos móviles de Cisco PLATAFORMA DIC. 2010 DIC. 2011 DIC. 2012 iPhone iPad BlackBerry Android Otros TOTAL El tipo de dispositivo que mayor aumento en el uso ha experimentado dentro de Cisco es el iPad de Apple. “Es increíble pensar que tres años atrás, este producto ni siquiera existía”, dice Belding. “Ahora, nuestros empleados utilizan más de 14 000 iPads todos los días en Cisco para realizar una gran cantidad de actividades, tanto personales como laborales. Y los empleados utilizan los iPads, además de sus teléfonos inteligentes”. En cuanto a los teléfonos inteligentes, la cantidad de iPhones de Apple en uso en Cisco prácticamente se ha triplicado en dos años hasta alcanzar casi 28 600. Los dispositivos con RIM BlackBerry, Google Android y Microsoft Windows también se incluyen en el programa BYOD en Cisco. Los empleados pueden optar por comercializar con acceso a los datos corporativos desde sus dispositivos personales con un acuerdo de controles de seguridad. “Contamos con muchos más dispositivos compatibles que nunca; al mismo tiempo, hemos tenido la menor cantidad de casos de soporte. Nuestro objetivo es que algún día, un empleado pueda traer cualquier dispositivo y autoabastecerse mediante Cisco Identity Services Engine (ISE) y configurar nuestras herramientas básicas de colaboración de WebEx, entre las que se incluyen Meeting Center, Jabber y WebEx Social”. Brett Belding, gerente ejecutivo a cargo de la supervisión de Cisco IT Mobility Services Por ejemplo, los usuarios que desean revisar sus correos electrónicos y calendarios en sus dispositivos deben tomar el perfil de seguridad de Cisco que impone el uso de contraseña, cifrado y borrado remoto. El apoyo social ha sido un componente clave del programa BYOD en Cisco desde el principio. “Dependemos en gran medida de WebEx Social (la plataforma de colaboración empresarial) como nuestra plataforma de soporte de BYOD, y ha dado grandes dividendos”, comenta Belding. “Contamos con más dispositivos compatibles que nunca y, al mismo tiempo, hemos tenido el menor número de casos de soporte. Nuestro objetivo es que algún día, un empleado pueda traer cualquier dispositivo y autoabastecerse mediante Cisco Identity Services Engine (ISE) y configurar nuestras herramientas básicas de colaboración de WebEx, entre las que se incluyen Meeting Center, Jabber y WebEx Social”. El próximo paso para la BYOD en Cisco, según Belding, es mejorar aún más la seguridad mediante el aumento de la visibilidad y el control sobre todos los dispositivos y las actividades de los usuarios, tanto en la red física como en la infraestructura virtual, y mejorar, simultáneamente, la experiencia de los usuarios. “Preocuparse por la experiencia de los usuarios es una tendencia principal de la tecnología orientada al consumidor de TI”, afirma Belding. “Estamos intentando aplicar este concepto en nuestra empresa. Debemos hacerlo. Creo que lo que estamos viendo ahora es una ‘TIzación’ de los usuarios. Vamos más allá de su pregunta inicial: ‘¿Puedo utilizar este dispositivo en el trabajo?’. Ahora, dicen: ‘Entiendo que es necesario que la empresa esté segura, pero no interfiera en mi experiencia de usuario’”.
  • 18 Informe anual de seguridad de Cisco de 2013 Los servicios residen en varias nubes 19 El tráfico mundial de centros de datos se encuentra en aumento. De acuerdo con el Índice global de nube de Cisco, se prevé que el tráfico mundial de centros de datos se cuadriplique durante los próximos cinco años y aumente a una tasa de crecimiento anual compuesto (CAGR) del 31% entre 2011 y 2016. 10 De este tremendo aumento, el componente de crecimiento más acelerado son los datos en la nube. El tráfico mundial en la nube aumentará seis veces durante los próximos cinco años, a una tasa del 44% entre 2011 y 2016. De hecho, el tráfico mundial en la nube representará casi dos tercios del tráfico total de centros de datos para 2016.11 Esta explosión en el tráfico en la nube genera dudas acerca de la capacidad de las empresas para administrar esta información. En la nube, las líneas de control se desdibujan: ¿las empresas pueden colocar redes de seguridad a los datos en la nube cuando no son propietarios del centro de datos ni lo operan? ¿De qué modo se pueden aplicar incluso las herramientas básicas de seguridad como firewalls y software antivirus cuando no es posible definir el perímetro de la red? Independientemente de la cantidad de preguntas relacionadas con la seguridad que surjan, queda claro que cada vez son más las empresas que aprecian los beneficios de las nubes y es probable que aquellas que la tienen no vuelvan al modelo del centro de datos privado. Si bien las oportunidades El tráfico mundial en la nube aumentará seis veces durante los próximos cinco años, a una tasa del 44% entre 2011 y 2016.
  • 20 Informe anual de seguridad de Cisco de 2013 que brinda la nube a las empresas son muchas, entre ellas, ahorros de costos, mayor colaboración de la fuerza laboral, productividad y menor huella de carbono, los posibles riesgos de seguridad que enfrentan estas empresas como resultado de la migración de procesos y datos empresariales a la nube incluyen lo siguiente: Hipervisores Si la seguridad se ve comprometida, este software que crea y ejecuta equipos virtuales puede provocar ataques informáticos a gran escala o poner en peligro datos en varios servidores, ya que aplica la misma facilidad de administración y acceso que ofrece la virtualización a un ataque informático exitoso. Un hipervisor dudoso (controlado por “ataques de hiperpiratería”) puede tomar el control total de un servidor.12 Un hipervisor dudoso (controlado por “ataques de hiperpiratería”) puede tomar el control total de un servidor. Menor costo de ingreso La virtualización ha disminuido el costo inicial para proporcionar servicios como servidor virtual privado (VPS). En comparación con modelos anteriores de centros de datos basados en hardware, se observa un crecimiento en la infraestructura a la que se tiene un acceso fácil, rápido y económico para actividades delictivas. Por ejemplo, existen numerosos servicios de VPS disponibles para la venta instantánea (con la posibilidad de comprar con Bitcoin u otros tipos de pagos de difícil rastreo) que están dirigidos a los delincuentes informáticos. Gracias a la virtualización, la infraestructura es mucho más económica y más fácil de proporcionar, y el control de las actividades es casi nulo. “Separación” de aplicaciones virtualizadas Dado que las aplicaciones virtualizadas se separan de los recursos físicos que utilizan, a las empresas les resulta más difícil aplicar enfoques de seguridad tradicionales. Los proveedores de TI buscan reducir los costos al mínimo con un producto muy elástico en el que pueden migrar recursos según sea necesario, en contraste con el grupo de seguridad que busca combinar servicios de tal estado de seguridad y mantenerlos separados de los demás que pueden ser menos seguros. 21 “La virtualización y la computación en nube crean problemas al igual que los de la tendencia BYOD, pero de manera contraria”, comenta Joe Epstein, ex director ejecutivo de Virtuata, una empresa adquirida por Cisco en 2012 que ofrece capacidades innovadoras para proteger la información virtual a nivel de equipos en centros de datos y entornos de la nube. “Las aplicaciones y los datos de gran valor ahora se desplazan por el centro de datos. Y la noción de cargas de trabajo virtuales incomoda a las empresas. En el entorno virtual, ¿cómo saber si se puede confiar en lo que se ejecuta? La respuesta es que todavía no es posible hacerlo, y es esa incertidumbre la que ha sido una barrera clave en la adopción de la nube”. Sin embargo, Epstein observa que cada vez a las empresas les resulta más difícil ignorar la virtualización y la nube. “El mundo compartirá todo”, afirma. “Todo estará virtualizado, todo se compartirá. Ya no tendrá sentido continuar con los centros de datos privados únicamente; la TI se dirige hacia las nubes híbridas”. “La virtualización y la computación en nube crean problemas al igual que los de la tendencia BYOD, pero de manera contraria... Las aplicaciones y los datos de gran valor ahora se desplazan por el centro de datos”. Joe Epstein, ex director ejecutivo de Virtuata La respuesta a estos crecientes desafíos de virtualización y de nube es la seguridad adaptable y receptiva. En este caso, la seguridad debe ser un elemento programable que se integre en forma continua en la estructura subyacente del centro de datos, según indica Epstein. Además, es necesario que la seguridad se integre en la fase de diseño, en lugar de adjuntarse después de la implementación.
  • 22 Informe anual de seguridad de Cisco de 2013 Combinación de uso personal y empresarial La generación del milenio y el lugar de trabajo 23 Los trabajadores modernos (en particular los jóvenes de la “generación del milenio”) desean contar con la libertad de navegar en Internet no solo cuando y como lo deseen, sino también con los dispositivos de su preferencia. Sin embargo, no desean que estas libertades sean transgredidas por sus empleadores, una situación que puede generar tensión para los profesionales de seguridad. Según el estudio del informe Cisco Connected World Technology 2012, dos tercios de los encuestados consideran que los empleadores no deben controlar las actividades en línea que los empleados realizan desde dispositivos de la empresa. En resumen, no creen que los empleadores deban ocuparse de controlar tales conductas. Solo un tercio (34%) de los trabajadores encuestados afirman que no les interesa si el empleador controla sus conductas en línea. Solo uno de cada cinco encuestados afirma que su empleador rastrea las actividades en línea realizadas en dispositivos de la empresa, mientras que el 46% afirma que el empleador no controla esas actividades. Las conclusiones del último estudio Connected World también demuestran que la generación del milenio expresa sentimientos intensos acerca del seguimiento que realizan los empleadores de las actividades en línea de los trabajadores, incluso aquellos que trabajan en empresas donde no se realiza ese tipo de seguimiento. Solo uno de cada cinco encuestados afirma que su empleador rastrea las actividades en línea realizadas en dispositivos de la empresa, mientras que el 46% afirma que el empleador no controla esas actividades.
  • 24 Informe anual de seguridad de Cisco de 2013 Si se combinan los desafíos que enfrentan los profesionales de seguridad, parece haber una desconexión entre lo que los empleados consideran que pueden hacer con los dispositivos que les facilita la empresa y las políticas que el departamento de TI realmente establece en referencia al uso personal. Cuatro de cada 10 encuestados afirman que deben usar los dispositivos que les facilita la empresa para sus actividades laborales únicamente, mientras que un cuarto declara que pueden utilizarlos para actividades que no se relacionan con el trabajo. Sin embargo, el 90% de los profesionales de TI encuestados expresan que existen políticas que prohíben el uso de dispositivos facilitados por la empresa para realizar actividades personales en línea, aunque el 38% reconoce que los empleados infringen las políticas y utilizan esos dispositivos para actividades personales además de laborales. (En la página 16 encontrará información sobre el enfoque de Cisco para los desafíos generados por la tendencia BYOD). Parece haber una desconexión entre lo que los empleados consideran que pueden hacer con los dispositivos que les facilita la empresa y las políticas que el departamento de TI realmente establece en referencia al uso personal. La privacidad y la generación del milenio Según el informe Cisco Connected World Technology 2012, la generación del milenio ha aceptado el hecho de que, gracias a Internet, la privacidad personal puede haber quedado en el pasado. El 91% de los consumidores jóvenes encuestados expresa que la era de la privacidad ha terminado y cree que no pueden controlar la privacidad de su información. Un tercio de los encuestados informa que no les preocupan los datos que se almacenan y capturan sobre ellos. En general, la generación del milenio también cree que su identidad en línea es diferente de su identidad fuera de línea. El 45% afirma que, a menudo, estas identidades son diferentes en función de la actividad en cuestión, mientras que el 36% cree que estas identidades son completamente distintas. Solo el 8% cree que estas identidades son iguales. Los consumidores jóvenes también esperan que los sitios web mantengan la privacidad de su información y, a menudo, se sienten más cómodos al compartir datos con grandes medios sociales o sitios comunitarios dada la protección del anonimato que ofrecen las multitudes. El 46% afirma que espera que determinados sitios web mantengan la seguridad de su información, mientras 25 que el 17% afirma que confía en que la mayoría de los sitios web mantendrán la privacidad de su información. Sin embargo, el 29% indica que no solo no confía en que los sitios web mantengan la privacidad de su información, sino que les preocupa en gran medida la seguridad y el robo de identidad. Compare esto con la idea de compartir datos con un empleador que posee información acerca de quiénes son y qué hacen. “Actualmente, la generación del milenio ingresa al lugar de trabajo y lleva consigo nuevas prácticas laborales y actitudes hacia la información y la seguridad asociada a ésta. Cree en la desaparición de la privacidad, que simplemente ya no existe en la práctica y que las empresas deben funcionar según este paradigma. Este es un concepto que resultará alarmante para las generaciones más adultas en el lugar de trabajo”, afirma Adam Philpott, director, Ventas de soluciones de seguridad en Europa, Medio Oriente, África y Rusia, Cisco. “Sin embargo, las empresas pueden proporcionar capacitación sobre seguridad de la información a sus empleados para alertarlos sobre los riesgos y guiarlos para que puedan compartir información de la mejor manera y aprovechar las herramientas en línea dentro del ámbito de la seguridad de los datos”. “Actualmente, la generación del milenio ingresa al lugar de trabajo y lleva consigo nuevas prácticas laborales y actitudes hacia la información y la seguridad asociada a ésta. Cree en la desaparición de la privacidad, que simplemente ya no existe en la práctica y que las empresas deben funcionar según este paradigma. Este es un concepto que resultará alarmante para las generaciones más adultas en el lugar de trabajo”. Adam Philpott, director, Ventas de soluciones de seguridad en Europa, Medio Oriente, África y Rusia, Cisco
  • 26 Informe anual de seguridad de Cisco de 2013 27 Por qué las empresas deben crear conciencia en cuanto a la desinformación de los medios sociales por Jean Gordon Kocienda analista de amenazas globales, Cisco Los medios sociales han representado una explosión para numerosas empresas; la posibilidad de conectarse directamente con los clientes y demás audiencias a través de Twitter y Facebook ha contribuido para que muchas empresas puedan despertar conciencia de marca a través de la interacción social en línea. La otra cara de esta comunicación directa y veloz es que los medios sociales pueden permitir la diseminación de información imprecisa o engañosa de manera vertiginosa. No resulta difícil imaginar una situación en la que un terrorista coordina ataques en tierra por medio de tuits engañosos con la intención de obstruir caminos o líneas telefónicas, o enviar a las personas a una ruta peligrosa. Un ejemplo: el gobierno de la India bloqueó cientos de sitios web y frenó textos13 este verano en un intento por restaurar la calma en el noreste del país después de la publicación de fotografías y mensajes de texto. A raíz de los rumores, miles de trabajadores golondrina entraron en pánico y colmaron las estaciones de trenes y autobuses. Existen campañas similares de desinformación a través de los medios sociales que han afectado también los precios del mercado. Por medio de una seguidilla de tuits de Reuters secuestrados, se informó que el Ejército Libre Sirio había colapsado en Alepo. Días más tarde, una seguidilla de tuits se vio comprometida y un supuesto diplomático ruso importante tuiteó que el presidente sirio Bashar Al-Assad había muerto. Antes de que estas afirmaciones pudieran ser desacreditadas, aumentaron los precios del petróleo en los mercados internacionales.14 Los profesionales de seguridad deben estar alertas ante publicaciones tan veloces y potencialmente perjudiciales para los medios sociales, en especial, si están dirigidas a la empresa. Deben tomarse medidas en forma rápida para defender las redes del software malicioso, alertar a los empleados sobre falsos intentos de suplantación de identidad, volver a dirigir envíos o advertir a los empleados sobre la seguridad. Lo último que desean hacer los ejecutivos de seguridad es alertar a los gerentes sobre información de último momento que resulte ser falsa. Lo primero que se debe hacer para evitar creer información inventada es confirmarla en varias fuentes. En algún momento, los periodistas se encargaban de hacerlo por nosotros, de modo que cuando leíamos o escuchábamos las noticias, estas ya estaban verificadas. En la actualidad, muchos periodistas obtienen sus historias a partir de los mismos tuits que leemos nosotros y, si muchos de nosotros creemos la misma historia, podemos retuitear los mensajes erróneamente para confirmarla. Para las noticias de último momento que requieren medidas rápidas, lo mejor es utilizar la antigua “prueba de olfato”. Si la historia parece inverosímil, piénselo dos veces antes de repetirla o citarla.15 Para las noticias de último momento que requieren medidas rápidas, lo mejor es utilizar la antigua “prueba de olfato”. Si la historia parece inverosímil, piénselo dos veces antes de repetirla o citarla.
  • 28 Informe anual de seguridad de Cisco de 2013 Datos masivos Un gran negocio para las empresas actuales 29 El mundo empresarial está enardecido a raíz de los “datos masivos”, y el potencial de “oro” analítico que se puede extraer de los enormes volúmenes de información que las empresas generan, recopilan y almacenan. En el Informe Cisco Connected World Technology 2012 se analizó el impacto que produce la tendencia de los datos masivos en las empresas y, más específicamente, en los equipos de TI. Según las conclusiones del estudio, alrededor de tres cuartos (74%) de las empresas del mundo ya recopilan y almacenan datos, y la gerencia utiliza el análisis de datos masivos para tomar decisiones comerciales. Asimismo, 7 de cada 10 encuestados de TI informaron que los datos masivos serán una prioridad estratégica para su empresa y el equipo de TI durante el próximo año. A medida que se desarrollan o emergen la movilidad, la nube, la virtualización, la proliferación de terminales y demás tendencias de red, estas preparan el camino para incluso más oportunidades analíticas y de datos masivos para las empresas. Sin embargo, existen problemas de seguridad en lo que respecta a los datos masivos. Las conclusiones del estudio Connected World de 2012 muestran que un tercio de los encuestados (32%) cree que los datos masivos complican los requisitos de seguridad y la protección de datos y redes porque existen demasiados datos y demasiadas maneras de acceder a ellos. En resumen, los datos masivos aumentan los vectores y los ángulos que deben abarcar los equipos de seguridad de las empresas y las soluciones de seguridad. Aproximadamente el 74% de las empresas del mundo ya recopilan datos y los almacenan, y la gerencia utiliza el análisis de datos masivos para tomar decisiones comerciales.
  • 30 Informe anual de seguridad de Cisco de 2013 Corea, Alemania, Estados Unidos y México obtuvieron los mayores porcentajes de encuestados de TI que consideran que los datos masivos complican la seguridad. Corea (45%), Alemania (42%), Estados Unidos (40%) y México (40%) obtuvieron los mayores porcentajes de encuestados de TI que consideran que los datos masivos complican la seguridad. A fin de garantizar la seguridad, la mayoría de los encuestados de TI, más de dos tercios (68%), cree que todo el equipo de TI debe participar en la elaboración de estrategias y guiar las iniciativas relacionadas con los datos masivos dentro de las empresas donde trabajan. Gavin Reid, director de Investigación de amenazas para Cisco Security Intelligence Operations, comenta: “Los datos masivos no complican la seguridad, la hacen posible. En Cisco, recopilamos y almacenamos 2,6 billones de registros por día; esa es la plataforma sobre la que podemos comenzar a detectar incidentes y controlarlos”. En cuanto a las soluciones diseñadas para que las empresas puedan administrar mejor los datos masivos y desbloquear su valor, existen obstáculos para la adopción. Los encuestados señalaron la falta de presupuesto, la falta de tiempo para estudiar los datos masivos, la falta de soluciones adecuadas, la falta de personal de TI y la falta de experiencia en TI. El hecho de que casi uno de cada cuatro encuestados (23%) dijera que la falta de experiencia y personal inhibía la capacidad de utilizar los datos masivos en forma eficaz señala la necesidad de contar con una mayor cantidad de profesionales que ingresen al mercado laboral para recibir capacitación en esta área. La nube es también un factor del éxito de los datos masivos, según el 50% de los encuestados de TI en el estudio Connected World de 2012. Consideran que sus empresas deben ocuparse de las implementaciones y los planes de la nube para que los datos masivos valgan la pena. Esta sensación fue prominente en China (78%) y en la India (76%), donde más de tres de cada cuatro encuestados consideraron que existía una dependencia de la nube En cuanto a las soluciones diseñadas para que las empresas puedan administrar mejor los datos masivos y desbloquear su valor, existen obstáculos para la adopción. Los encuestados señalaron la falta de presupuesto, la falta de tiempo para estudiar los datos masivos, la falta de soluciones adecuadas, la falta de personal de TI y la falta de experiencia en TI. 31 antes de que los datos masivos pudieran realmente tener éxito. Como resultado, en algunos casos, el estudio indica que la adopción de la nube afectará la tasa de adopción y los beneficios de las iniciativas relacionadas con los datos masivos. Más de la mitad de la totalidad de los encuestados de TI también confirmó que los debates sobre los datos masivos que se llevan a cabo en sus empresas no han resultado fructíferos todavía. Eso no resulta sorprendente si se tiene en cuenta que el mercado está intentando comprender cómo aprovechar sus datos masivos, analizarlos y utilizarlos en forma estratégica. Sin embargo, en algunos países, los debates en torno a los datos masivos dan lugar a decisiones significativas en cuanto a estrategia, dirección y soluciones. China (82%), México (67%), India (63%) y Argentina (57%) llevan la delantera al respecto, dado que más de la mitad de los encuestados de estos países afirman que los debates en torno a los datos masivos que se llevan a cabo en sus empresas están bien encaminados y generan medidas y resultados sólidos. Tres de cada cinco encuestados de TI del Informe Connected World 2012 consideran que los datos masivos pueden permitir que los países y sus economías sean más competitivos en el mercado mundial. En algunos países, los debates en torno a los datos masivos dan lugar a decisiones significativas en cuanto a estrategia, dirección y soluciones. China, México, India y Argentina llevan la delantera al respecto, dado que más de la mitad de los encuestados de estos países afirma que los debates en torno a los datos masivos que se llevan a cabo en sus empresas están bien encaminados y generan medidas y resultados sólidos.
  • 32 Informe anual de seguridad de Cisco de 2013 Estado de la vulnerabilidad de seguridad El peligro acecha en lugares sorprendentes 33 Diversos profesionales de seguridad y, ciertamente, una gran comunidad de usuarios en línea, tienen ideas infundadas acerca de dónde es más probable que las personas se topen con software malicioso y peligroso en Internet. La creencia general es que los sitios que fomentan actividades delictivas, por ejemplo, aquellos que venden productos farmacéuticos ilegales o artículos de lujo falsos, son más propensos a alojar software malicioso. Nuestros datos revelan la verdad de esta noción obsoleta, ya que los encuentros con software malicioso en Internet no suelen ser el resultado de sitios “malos” en el amenazante panorama actual. “Los encuentros con software malicioso en Internet se producen en todos los sitios que se visitan, incluidos aquellos más legítimos que se visitan con frecuencia, incluso con fines comerciales”, afirma Mary Landesman, investigadora de seguridad sénior de Cisco. “Ciertamente, los sitios empresariales y de sectores son una de las tres categorías más visitadas en las que se producen encuentros con software malicioso. Por supuesto que esto no es el resultado de sitios empresariales que se diseñan con el propósito de causar daño”. Sin embargo, los peligros a menudo están ocultos a simple vista a través de publicidades en línea repletas de vulnerabilidades de seguridad o piratas informáticos que se dirigen a la comunidad de usuarios en los sitios comunes que más utilizan. Además, los sitios web infectados con software malicioso son predominantes en numerosos países y regiones, no solo en uno o dos países, lo cual disipa la noción de que es probable que los sitios web de algunos países alberguen más contenido malicioso que otros. “Internet es el mecanismo de distribución de software malicioso más formidable que se haya visto hasta este momento y supera, incluso, hasta al más prolífico de los virus o gusanos en su capacidad de llegar a una A menudo, los peligros están ocultos a simple vista a través de publicidades en línea repletas de vulnerabilidades de seguridad.
  • 34 Informe anual de seguridad de Cisco de 2013 Figura 3: Riesgos por tamaño de empresa Existe un riesgo de hasta más de 2,5 veces de encontrarse con software malicioso en Internet para las grandes empresas. Risk by Company Size Cantidad de empleados 250 o menos 251–500 501–1000 1001–2500 2501–5000 5001–10 000 10 001–25 000 Más de 25 000 Todas las empresas, independientemente de su tamaño, enfrentan un riesgo importante de encontrarse con software malicioso en Internet. Cada empresa debe centrarse en los fundamentos de la seguridad de sus redes y propiedad intelectual. 35 audiencia masiva e infectarla en forma silenciosa y eficaz”, afirma Landesman. “Las empresas necesitan contar con protección, incluso si bloquean los sitios ‘malos’ comunes, con una granularidad adicional en la inspección y el análisis”. Encuentros con software malicioso por tamaño de empresa Las empresas de mayor envergadura (más de 25 000 empleados) presentan un riesgo de más de 2,5 veces de encontrarse con software malicioso en Internet que las empresas que cuentan con menos empleados. Este riesgo mayor puede ser una observación que indica que las empresas de mayor tamaño poseen más propiedad intelectual de gran valor y, por ello, son objetivos más frecuentes. Si bien las empresas más pequeñas presentan menos encuentros con software malicioso en Internet por usuario, es importante tener en cuenta que todas las empresas, independientemente de su tamaño, enfrentan riesgos significativos de encuentros con este tipo de software malicioso. Cada empresa debe centrarse en los fundamentos de la seguridad de sus redes y propiedad intelectual. Encuentros con software malicioso por país La investigación de Cisco muestra un cambio importante en el panorama mundial de encuentros con software malicioso por país en 2012. En China, que ocupaba el segundo lugar de la lista en 2011, los encuentros de este tipo disminuyeron en forma espectacular en 2012, por lo cual este país pasó a ocupar el sexto lugar. Dinamarca y Suecia ahora ocupan el tercer y el cuarto puesto, respectivamente. Estados Unidos conservó el primer lugar en 2012, al igual que en el año anterior, con un 33% de encuentros con software malicioso en Internet que ocurren en sitios web alojados en ese país. Los cambios en la ubicación geográfica entre 2011 y 2012 posiblemente reflejen cambios en la detección y en los hábitos del usuario. Por ejemplo, la “publicidad maliciosa” o el software malicioso distribuido a través de publicidades en línea, desempeñó un papel mucho más importante en los encuentros con este tipo de software en 2012 que en 2011. Vale la pena repetir que estos encuentros se producen, con mayor frecuencia, a través de la navegación normal de sitios web legítimos que pueden haber sido comprometidos o que, inconscientemente, tienen un propósito de publicidad maliciosa. Cualquier sitio web puede verse afectado por este tipo de publicidad, independientemente del origen del sitio. En general, los datos geográficos para 2012 demuestran que Internet es un elemento de infección de igual oportunidad, lo cual contradice las percepciones que indican que solo uno o dos países son responsables de alojar software malicioso en Internet o que un país es más seguro que otro. Así como la distribución de contenido dinámico de la red 2.0 permite la rentabilización de los sitios web en el mundo, también puede facilitar la distribución mundial de software malicioso.
  • 36 Informe anual de seguridad de Cisco de 2013 37 Figura 4: Encuentros con software malicioso en Internet por país Un tercio de todos los encuentros con software malicioso en Internet provino de dominios alojados en Estados Unidos. AUMENTO DESDE 2011 9,55% DISMINUCIÓN DESDE 2011 Dinamarca 4,07% Reino Unido 1,95% 1 Irlanda 2,27% 10 3 7 9 9,27% Suecia 4 5 2 8 Países Bajos 9,79% Rusia 6 6,11% Alemania 5,65% China 2,63% Turquía 33,14% Estados Unidos En general, los datos geográficos para 2012 demuestran que Internet es un elemento de infección de igual oportunidad, lo cual contradice las percepciones que indican que solo uno o dos países son responsables de alojar software malicioso en Internet o que un país es más seguro que otro.
  • 38 Informe anual de seguridad de Cisco de 2013 Figura 5: Tipos principales de software malicioso en Internet Los encuentros con software malicioso de Android crecieron un 2577% durante 2012, aunque el software malicioso móvil solo representa un pequeño porcentaje del total de los encuentros con software malicioso en Internet. Vulnerabilidad de seguridad 9,8% Robo de información 3,4% Programa para descarga 1,1% Script malicioso/iFrame 83,4% Gusanos 0,89% Virus 0,48% Móvil 0,42% Scareware 0,16% Ransomware 0,058% Kit para software malicioso/ ataque informático 0,057% Android Growth Crecimiento de Android: 2577% ENE. FEB. MAR. ABR. MAY. JUN. JUL. AGO. SEP. OCT. NOV. DIC. 39 Por supuesto que existe una marcada diferencia entre el lugar en el que se producen los encuentros con software malicioso y el lugar donde este se encuentra alojado realmente. En el caso de la publicidad maliciosa, por ejemplo, el encuentro se produce, por lo general, al visitar un sitio web legítimo y respetable que incluye publicidad de terceros. Sin embargo, el software malicioso real que se desea distribuir está alojado en un dominio completamente diferente. Dado que los datos de Cisco se encuentran donde se produjo el encuentro, no están relacionados con el origen real del software malicioso. Por ejemplo, el aumento de la popularidad de los sitios de entretenimiento y medios sociales en Dinamarca y Suecia, junto con los riesgos de publicidad maliciosa, es en gran parte responsable de una mayor cantidad de encuentros de sitios alojados en esas regiones, lo cual no indica el origen real del software malicioso. Tipos más importantes de software malicioso en Internet en 2012 El software malicioso de Android creció considerablemente más rápido que cualquier otra forma de software malicioso distribuido por Internet, lo cual es una tendencia importante dado que Android abarca la mayor parte del mercado de dispositivos móviles en el mundo. Es importante tener en cuenta que los encuentros con software malicioso móvil representaron solo el 0,5% de la totalidad de los encuentros con software malicioso en Internet en 2012; de todos estos encuentros, el 95% fueron de Android. Además, en 2012 se evidenció el surgimiento de la primera botnet documentada para Android en estado natural, lo cual indica que se deben vigilar los desarrollos de software malicioso móvil durante 2013. Mientras que algunos expertos afirman que Android es la “mayor amenaza” o que debe ser un punto principal de enfoque para los equipos de seguridad de las empresas en 2013, los datos reales demuestran lo contrario. Como se mencionó anteriormente, el software malicioso móvil en general representa menos del 1% de los encuentros totales, que está muy alejado de la situación “apocalíptica” sobre la cual muchos comentan. No es posible exagerar en cuanto al impacto de la tendencia BYOD y la proliferación de dispositivos, pero las empresas deben preocuparse más por amenazas como pérdidas accidentales de datos y asegurarse de que los empleados no “adquieran control privilegiado” de sus dispositivos o los “liberen”, e instalen únicamente aplicaciones provenientes de canales de distribución oficiales y confiables. Si los usuarios optan por obtener aplicaciones fuera de las tiendas de aplicaciones móviles oficiales, antes de descargar una aplicación, deben asegurarse de conocer al autor de la aplicación en cuestión, confiar en él, además de poder comprobar que el código no haya sido manipulado indebidamente. Si se observa el panorama más general del software malicioso, no resulta sorprendente que los scripts maliciosos e iFrames abarcaran el 83% de los encuentros en 2012. Si bien esto es relativamente coherente con los porcentajes de años anteriores, es una conclusión sobre la que vale la pena
  • 40 Informe anual de seguridad de Cisco de 2013 reflexionar. Estos tipos de ataques a menudo representan código malicioso en páginas web “confiables” que quizás los usuarios visiten a diario, lo cual significa que el atacante puede poner en peligro a esos usuarios sin siquiera despertar sospechas. Las vulnerabilidades de seguridad ocupan el segundo lugar, con un 10% de la cantidad total de encuentros con software malicioso en Internet durante el último año. Sin embargo, estas cifras son, en gran parte, resultado de dónde ocurrieron los bloqueos en comparación con la concentración real de vulnerabilidades de seguridad en la red. Por ejemplo, el 83% de los scripts maliciosos e iFrames ocultos son bloqueos que se producen en una etapa anterior, antes de la representación de la vulnerabilidad de seguridad; por lo tanto, es posible que disminuya artificialmente la cantidad de vulnerabilidades de seguridad observadas. Las vulnerabilidades de seguridad siguen siendo una causa importante de infecciones a través de Internet y su presencia continua destaca la necesidad de que los proveedores adopten las mejores prácticas de seguridad en los ciclos de vida de los productos. Las empresas deben centrarse en la seguridad como parte del diseño de un producto y el proceso de desarrollo, con divulgaciones oportunas de vulnerabilidad, y ciclos de corrección rápidos y regulares. Asimismo, las empresas y los usuarios deben estar al tanto de los riesgos de seguridad relacionados con el uso de productos que no gozan del respaldo de los proveedores. También es fundamental que las empresas dispongan de un proceso de administración básico de vulnerabilidades y que los usuarios mantengan actualizados el hardware y el software que utilizan. Entre los cinco principales se encuentran los ladrones de información, con un 3,5% del total de encuentros con software malicioso en Internet en 2012, los programas para descarga (1,1%) y los gusanos (0,8%). Una vez más, estas cifras reflejan el lugar donde se producen los bloqueos, por lo general, en el punto en el que se encuentra por primera vez el script malicioso o iFrame. Como resultado, estas cifras no representan la cantidad real de ladrones de información, programas para descarga o gusanos que se distribuyen a través de Internet. 41 Figura 6: Tipos principales de contenido de software malicioso para 2012 Las vulnerabilidades de seguridad de Java abarcaron el 87% del total de vulnerabilidades de seguridad en Internet. Tipos de contenido prominentes por mes 100% Aplicación Texto Imagen Video Audio Mensaje 80% 60% 40% 20% 0% E F M A M J J A S O N D Tipos de contenido de vulnerabilidad de seguridad 100% Java PDF Flash Active X 80% 60% Tipos de contenido principales del software malicioso Los creadores de software malicioso buscan constantemente maximizar el retorno de la inversión (ROI); para ello, buscan maneras llegar al grupo más grande de posibles víctimas con el menor esfuerzo y, a menudo, aprovechan las tecnologías entre plataformas cuando es posible. Si se tienen en cuenta estos fines, los juegos de herramientas para las vulnerabilidades de seguridad en general distribuyen las vulnerabilidades de seguridad en un orden específico; una vez distribuida una vulnerabilidad de seguridad exitosa, no se realizan otros intentos. La gran concentración de vulnerabilidades de seguridad de Java (87% del total en Internet) muestra que 40% 20% 0% E F M A M J J A S O N D Cantidad total de tipos de contenido prominentes Aplicación Texto 65,05% 33,81% Imagen Video Audio 1,09% 0,05% 0,01% Mensaje 0,00% La gran concentración de vulnerabilidades de seguridad de Java muestra que se las pone en práctica antes que otros tipos de vulnerabilidades de seguridad y también demuestra que los atacantes logran buenos resultados con ellas.
  • 42 Informe anual de seguridad de Cisco de 2013 43 Figura 7: Categoría de sitios principales Los sitios de compras en línea tienen 21 veces mayores probabilidades de distribuir contenido malicioso que los sitios de software falsos. Nota: La categoría “Contenido dinámico” se encuentra en el primer lugar de la lista de Cisco de Top Site Category for probabilidad de Encounter ubicaciones principales con Web Malware infecciones de software malicioso. Esta categoría incluye sistemas de distribución de contenido, como estadísticas de Internet, análisis del sitio y otro contenido de terceros que no esté relacionado con publicidad. Publicidades 16,81% Empresas e industria 8,15% Contenido dinámico y CDN 18,30% Juegos 6,51% Alojamiento web 4,98% Motores de búsqueda y portales 4,53% Computadoras e Internet 3,57% Comunidades en línea 2,66% Compras 3,57% Copia de seguridad y almacenamiento en línea 2,27% Noticias 2,18% Transporte 1,11% Otras dos tecnologías entre plataformas (PDF y Flash) ocuparon el segundo y el tercer puesto en el análisis de Cisco sobre los tipos de contenido principales para la distribución de software malicioso. Si bien Active X todavía se utiliza, los investigadores de Cisco han observado un menor uso constante de la tecnología como vehículo de distribución de software malicioso. Sin embargo, según se comentó anteriormente en referencia a Java, una menor cantidad de determinados tipos de vulnerabilidades de seguridad refleja, en gran medida, el orden en el que se presentan esas vulnerabilidades. Categoría de sitios principales Según se desprende de datos de Cisco, la noción de que las infecciones por software malicioso provienen, más comúnmente, de sitios “riesgosos” como software falso es un concepto erróneo. El análisis de Cisco indica que la gran mayoría de encuentros con software malicioso en realidad ocurren a través de la navegación legítima de sitios web convencionales. Es decir, la mayoría de los encuentros se producen en los lugares que los usuarios en línea visitan más a menudo y consideran seguros. Las publicidades en línea ocupan el segundo puesto en la lista y representan un 16% del total de encuentros con software malicioso en Internet. La publicidad sindicada es un medio común para rentabilizar sitios web, por lo cual, un solo aviso malicioso que se distribuya de esta manera puede tener un gran efecto adverso. Entretenimiento 2,57% Viajes 3,00% Salud y nutrición 0,97% se las pone en práctica antes que otros tipos de vulnerabilidades de seguridad y también demuestra que los atacantes logran buenos resultados con las vulnerabilidades de seguridad de Java. Además, con más de 3 000 millones de dispositivos en los que se ejecuta Java, 16 la tecnología representa una manera perfecta para que los piratas informáticos remitan sus ataques a varias plataformas. Educación 1,17% Deportes y actividades recreativas 2,10% Servicios de transferencia de archivos 1,50% Software como servicio Correo (SaaS) y de empresa a electrónico empresa (B2B) 1,40% basado en Internet 1,37% Al analizar el contenido de medios, los datos de Cisco revelan casi el doble de software malicioso basado en imágenes que de videos no compatibles con Flash. Sin embargo, esto se debe, en parte, a la manera en que los buscadores manejan los tipos de contenido declarados y las iniciativas de los atacantes para manipular estos controles mediante la declaración de tipos de contenido erróneos. Además, los sistemas de comando y control de software malicioso a menudo distribuyen información sobre servidores a través de comentarios ocultos en archivos de imágenes comunes. La gran mayoría de encuentros con software malicioso en realidad se producen a través de la navegación legítima en sitios web convencionales. Es decir, la mayoría de los encuentros se producen en los lugares que los usuarios en línea visitan más a menudo y consideran seguros.
  • 44 Informe anual de seguridad de Cisco de 2013 Los delincuentes informáticos han prestado especial atención a los hábitos modernos de navegación a fin de exponer a la mayor cantidad posible de usuarios al software malicioso en Internet. En la lista de categorías de sitios a través de los cuales se produjeron encuentros con software malicioso, en el tercer lugar se encuentran los sitios empresariales y de sectores, que incluyen desde sitios corporativos hasta recursos humanos y servicios de transporte. Los juegos en línea ocupan el cuarto puesto, seguidos de los sitios de alojamiento web y los motores de búsqueda en el quinto y sexto puesto, respectivamente. En las 20 categorías principales de sitios web no se incluyen aquellos sitios que, por lo general, se consideran maliciosos. Existe una combinación saludable de tipos de sitios populares y legítimos, tales como compras en línea (n.° 8), noticias (n.° 13) y aplicaciones SaaS/entre empresas (n.° 16). Los delincuentes informáticos han prestado especial atención a los hábitos modernos de navegación a fin de exponer a la mayor cantidad posible de usuarios al software malicioso en Internet. Dondequiera que se encuentren los usuarios en línea, allí estarán los creadores de software malicioso, quienes aprovecharán los sitios web confiables a través de un compromiso directo o redes de distribución de terceros. Aplicaciones populares por resultados Los cambios en el modo en que las personas pasan su tiempo en línea amplían el campo en el que los delincuentes informáticos atacan la vulnerabilidad de seguridad. Las empresas de todos los tamaños aprecian los medios sociales y el video en línea; la mayoría de las marcas están presentes en Facebook y Twitter, y muchas de ellas integran los medios sociales en sus productos reales. Dado que estos destinos web captan audiencias masivas y son aceptados en las configuraciones empresariales, también se generan más oportunidades para la distribución de software malicioso. Según los datos que surgen de Cisco Application Visibility and Control (AVC), la amplia mayoría (91%) de solicitudes web se dividieron en motores de búsqueda (36%); sitios de video en línea (22%); redes publicitarias (13%); y redes sociales (20%). Las empresas de todos los tamaños aprecian los medios sociales y el video en línea; la mayoría de las marcas están presentes en Facebook y Twitter, y muchas de ellas integran los medios sociales en sus productos reales. 45 Figura 8: Aplicaciones populares por resultados Los medios sociales y el video en línea cambian la manera en que los empleados pasan su tiempo en el trabajo, y exponen nuevas vulnerabilidades. Top Web Applications by Hits Otros Red social 20% 9% Motor de búsqueda 36% 13% Anuncios 22% Video en línea Si los datos de los principales sitios web visitados en Internet se correlacionan con la categoría de sitio web más peligrosa, los mismos lugares en los que se presenta la mayor exposición a software malicioso, tales como motores de búsqueda, se encuentran entre las áreas principales que impulsan los encuentros con software malicioso en Internet. Si los datos de los principales sitios web visitados en Internet se correlacionan con la categoría de sitio web más peligrosa, los mismos lugares en los que se presenta la mayor exposición a software malicioso, tales como motores de búsqueda, se encuentran entre las áreas principales que impulsan los encuentros con software malicioso en Internet. Esta correlación muestra, una vez más, que los creadores de este tipo de software se centran en maximizar su ROI y, por ello, concentrarán sus esfuerzos en los lugares donde haya la mayor cantidad de usuarios y facilidad de exposición.
  • 46 Informe anual de seguridad de Cisco de 2013 47 Cuando el terror gótico da origen al software malicioso por Kevin W. Hamlen profesor asociado, Departamento de Informática, Universidad de Texas en Dallas El camuflaje para software malicioso constituye una amenaza emergente a la que se enfrentan cada vez más los profesionales de seguridad. Mientras que la mayor parte del software malicioso ya utiliza la confusión o la mutación simples para diversificar y dificultar medidas de ingeniería inversa, el autocamuflaje de software malicioso es incluso más sigiloso, dado que se combina con el software específico que ya se encuentra en cada sistema al que infecta. Esto puede sortear las defensas que buscan anormalidades de software como el código cifrado o el desempaquetado del tiempo de ejecución, que a menudo exhibe el software malicioso más convencional. La tecnología de autocamuflaje de software malicioso más nueva, correctamente denominada Frankenstein17, es el producto de nuestra investigación de este año realizada en el Centro educativo y de investigación sobre seguridad cibernética (Cyber Security Research and Education Center) de la Universidad de Texas en Dallas. Al igual que el científico loco protagonista de la novela de terror de Mary Shelley, escrita en 1818, el “software malicioso Frankenstein” crea mutantes mediante el robo de partes del cuerpo (es decir, código) de otro software que encuentra y las une para crear variantes únicas de sí mismo. Por esta razón, cada mutante Frankenstein está compuesto en su totalidad por software que es aparentemente benigno y normal, no realiza cifrados ni desempaquetados del tiempo de ejecución sospechosos y tiene acceso a un grupo creciente de transformaciones de código obtenidas de los numerosos programas con los que se encuentra. En la sombra, Frankenstein da vida a sus creaciones con una variedad de técnicas extraídas de la teoría de compilación y el análisis de programas. En primer lugar, se escanean los binarios víctimas para conocer sus secuencias de bytes cortas que decodifican secuencias de instrucción útiles, llamadas gadgets. Luego, un pequeño intérprete abstracto infiere los posibles efectos semánticos de cada gadget descubierto. Posteriormente, se aplica una búsqueda inversa para descubrir secuencias de gadgets que, si se ejecutan en orden, implementan la conducta maliciosa de la carga del software malicioso. Al igual que el científico loco protagonista de la novela de terror de Mary Shelley, escrita en 1818, el “software malicioso Frankenstein” crea mutantes mediante el robo de partes del cuerpo (es decir, código) de otro software que encuentra y las une para crear variantes únicas de sí mismo. En general, nuestra investigación sugiere que el software malicioso de la próxima generación puede evitar cada vez más las mutaciones simples basadas en cifrado y empaquetado a favor de confusiones de binarios metamórficos como los utilizados por Frankenstein. Por último, se ensambla cada una de las secuencias descubiertas, lo cual da forma a un mutante nuevo. En la práctica, Frankenstein descubre más de 2 000 gadgets por segundo, lo cual suma más de 100 000 provenientes de dos o tres binarios víctimas en menos de cinco segundos. Con un grupo de gadgets tan grandes a su disposición, los mutantes resultantes raramente comparten secuencias de instrucciones comunes; por esta razón, cada uno de ellos es único. En general, nuestra investigación sugiere que el software malicioso de la próxima generación puede evitar cada vez más las mutaciones simples basadas en cifrado y empaquetado a favor de confusiones de binarios metamórficos como los utilizados por Frankenstein. La implementación de tales confusiones es viable, las confusiones son de rápida propagación y resultan eficaces para ocultar el software malicioso en las fases de análisis estático de la mayoría de los motores de detección de software malicioso. Para contrarrestar esta tendencia, los defensores deberán implementar algunas de las tecnologías utilizadas para desarrollar a Frankenstein, incluidos los análisis estáticos basados en la semántica, en lugar de la sintaxis, extracción de características y firmas semánticas derivadas del aprendizaje del equipo18 en lugar de un análisis exclusivamente manual. En este artículo se informa sobre las investigaciones que cuentan con el apoyo parcial de la adjudicación n.° 1054629 de la Fundación Nacional de Ciencia (NSF, National Science Foundation) y la adjudicación n.° FA9550-10-1-0088 de la Oficina de Investigación Científica de la Fuerza Aérea (AFOSR, Air Force Office of Scientific Research) de los Estados Unidos. Las opiniones, los resultados, las conclusiones o las recomendaciones expresados pertenecen al autor y no reflejan necesariamente aquellos de la NSF o la AFOSR.  Vishwath Mohan y Kevin W. Hamlen. “Frankenstein: Stitching Malware from Benign Binaries”. In Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), págs. 77-84, agosto de 2012. 17  ohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han y M Bhavani Thuraisingham. “Cloud-based” Malware Detection for Evolving Data Streams. ACM Transactions on Management Information Systems (TMIS), 2(3), octubre de 2011. 18
  • 48 Informe anual de seguridad de Cisco de 2013 Cantidad de alertas por mes de 2010 49 Cantidad de alertas por mes de 2011 Cantidad de alertas por mes de 2010 Análisis de amenazas y vulnerabilidad de Total Reaparición 2012 Total Reaparición Nuevo Total Reaparición Nuevo Nuevo En la tabla titulada Categorías de amenazas y vulnerabilidades, se aprecia un importante 552 344 208 552 Enero 417 259 158 417 403 237 166 403 aumento en el total de amenazas: en 2012, las amenazas crecieron un 19,8% con respecto a 551 317 lo que respecta Febrero 430 significativo de 2011. Este aumento253 177 847 las 400 176 224 803 amenazas es una gran exigencia en234 1103 a la capacidad de las empresas para mantener actualizados y corregidos los sistemas de 487 238 249 1590 Marzo 518 324 194 1364 501 276 225 1304 administración de vulnerabilidades, en especial, dado el cambio 524 306 218 virtuales. a los entornos 2114 Abril 375 167 208 1740 475 229 246 1779 586 343 243 abierto Mayo 404 185 219 2183 Las empresas 322 174 intentan abordar el creciente uso de software de código 2700 y también 148 2062 de terceros que incluyen240 sus productos y 221 251 2655 647 389 258 3347 Junio 534 294 en 2596 472 entornos. “Apenas una vulnerabilidad en las soluciones de código abierto o de terceros puede afectar a una amplia variedad de sistemas 514 277 237 3861 Julio 422 210 212 3018 453 213 240 3108 en el entorno, lo cual dificulta su identificación y corrección o actualización”, afirma Jeff 591 306 285 4452 Agosto 541 286 255 3559 investigación sobre 3582 474 226 248 seguridad de Cisco. Shipley, gerente de Operaciones e 572 330 242 5024 Septiembre 357 167 190 3916 441 234 207 4023 En cuanto al tipo de amenazas, el grupo más grande abarca aquellas que componen las 517 280 237 5541 Octubre 418 191 227 4334 558 314 244 4581 amenazas de administración de recursos; generalmente incluye las vulnerabilidades de 375 175 200 5916 Noviembre 476 252 amenazas 357 195 162 4938 denegación de servicio, 224 4810 de validación de entrada tales como inyección SQL yDiciembre script entre 197 5210 errores de 400 203 sitios, además 363desbordamiento de búfer que provoca una de 178 185 5301 376 183 193 6292 denegación de servicio. La preponderancia de amenazas similares de años anteriores, junto 5210 2780 2430de amenazas, indica que la industria de la seguridad debe 5301 2684 2617 6292 3488 2804 con el aumento significativo equiparse mejor para poder detectar y controlar estas vulnerabilidades. Las calificaciones de urgencia de alertas Cisco IntelliShield reflejan el nivel de actividad de amenaza relacionado con vulnerabilidades específicas. El considerable aumento en las 2010 2011 2012 8000 calificaciones de urgencia de nivel 3 indica que realmente se explotan más vulnerabilidades. 7000 Probablemente, esto se debe al aumento de las vulnerabilidades de seguridad públicas lanzadas 6000 por investigadores o herramientas de prueba y la incorporación de esas vulnerabilidades en los 5000 juegos de herramientas para ataques. A raíz de estos dos factores, existen más vulnerabilidades 4000 de seguridad, que son utilizadas en forma global por piratas informáticos y grupos delictivos. Figura 10: Categorías de amenazas y vulnerabilidades Cantidad de alertas por mes de 2010 Cantidad de alertas por mes de 2011 Cantidad de alertas por mes de 2010 Total Reaparición Nuevo Total Reaparición Nuevo Total Reaparición Nuevo Enero 417 259 158 417 403 237 166 403 552 344 208 552 Febrero 430 253 177 847 400 176 224 803 551 317 234 1103 Marzo 518 324 194 1364 501 276 225 1304 487 238 249 1590 Abril 375 167 208 1740 475 229 246 1779 524 306 218 2114 Mayo 322 174 148 2062 404 185 219 2183 586 343 243 2700 Junio 534 294 240 2596 472 221 251 2655 647 389 258 3347 Julio 422 210 212 3018 453 213 240 3108 514 277 237 3861 Agosto 541 286 255 3559 474 226 248 3582 591 306 285 4452 Septiembre 357 167 190 3916 441 234 207 4023 572 330 242 5024 Octubre 418 191 227 4334 558 314 244 4581 517 280 237 5541 Noviembre 476 252 224 4810 357 195 162 4938 375 175 200 5916 Diciembre 400 203 197 5210 363 178 185 5301 376 183 193 6292 5210 2780 2430 5301 2684 2617 6292 3488 2804 3000 2000 Las calificaciones de gravedad de alertas Cisco IntelliShield reflejan el nivel de impacto 1000 de las vulnerabilidades de seguridad exitosas. Las calificaciones de gravedad también 0 muestran un notable aumento en las amenazas de nivel 3, por las mismas razones indicadas E F M A M J J A S O N D anteriormente sobre la disponibilidad de herramientas de vulnerabilidad de seguridad. Figura 9: Clasificaciones de gravedad y urgencia 2010 Calificación Gravedad ≥4 Urgencia ≥5 Gravedad ≥5 E F M A M J J A S 2011 O N 2012 D Gravedad ≥3 Urgencia ≥4 2012 Calificación Urgencia ≥3 2011 2010 8000 7000 6000 5000 4000 3000 2000 1000 0 “Apenas una vulnerabilidad en las soluciones de código abierto o 2010 2011 de terceros puede afectar a una amplia variedad de sistemas en 2012 el Calificación Calificación entorno, lo cual dificulta su identificaciónGravedad ≥3 y corrección o actualización”. Urgencia ≥3 Jeff Shipley, gerente de Operaciones e investigación sobre seguridad de Cisco 0 10 20 30 40 50 60 0 500 1000 1500 2000 Urgencia ≥4 Gravedad ≥4 Urgencia ≥5 Gravedad ≥5 0 10 20 30 40 50 60 0 500 1000 1500 2000
  • 50 Informe anual de seguridad de Cisco de 2013 Amenazas evolutivas Métodos nuevos, las mismas vulnerabilidades de seguridad 51 En la actualidad, todo vale en lo que respecta a vulnerabilidades de seguridad, siempre que el método seleccionado funcione correctamente. Esto no significa que los actores en la economía sumergida no continúan comprometidos para crear herramientas y técnicas cada vez más sofisticadas para poner en peligro a los usuarios, infectar redes y robar información confidencial, entre muchos otros objetivos. Sin embargo, en 2012, hubo una tendencia hacia lo “viejo pero bueno” para encontrar nuevas maneras de generar interrupciones o evadir las protecciones de seguridad de las empresas. Los ataques de DDoS son un ejemplo importante: varias instituciones financieras prominentes de Estados Unidos fueron los objetivos de alto perfil de dos campañas importantes y relacionadas lanzadas por grupos activistas de piratas informáticos extranjeros en los últimos seis meses de 2012 (si desea leer un análisis detallado, consulte la sección titulada “Tendencias de denegación de servicio distribuido de 2012”). Algunos expertos en seguridad advierten que estos eventos son solo el comienzo y que los “grupos activistas de piratas informáticos, círculos de asociaciones ilícitas e incluso nacionesestado serán los perpetradores”19 de estos ataques en el futuro, y trabajarán en conjunto y en forma independiente. “Se observa una tendencia en DDoS, en la cual los atacantes agregan más contexto sobre sus sitios objetivo para que las interrupciones sean más importantes”, afirma Gavin Reid, director de Investigación sobre amenazas para Cisco Security Intelligence Operations. “En lugar de producir inundación SYN, DDoS ahora intenta manipular una aplicación específica de la empresa, lo cual posiblemente provoque un conjunto de daños en cascada si se produce una falla”. En 2012, hubo una tendencia hacia lo “viejo pero bueno” para encontrar nuevas maneras de generar interrupciones o evadir las protecciones de seguridad de las empresas.
  • 52 Informe anual de seguridad de Cisco de 2013 “Incluso contra un adversario sofisticado, pero promedio, lo más avanzado actualmente en lo que respecta a la seguridad de la red está, a menudo, muy por detrás”. Gregory Neal Akers, vicepresidente ejecutivo del grupo de Iniciativas de seguridad avanzada de Cisco Si bien las empresas pueden creer que están protegidas adecuadamente contra la amenaza de DDoS, es más probable que sus redes no puedan defenderse del tipo de ataques de DDoS implacables y de gran volumen que se observaron en 2012. “Incluso contra un adversario sofisticado, pero promedio, lo más avanzado actualmente en lo que respecta a la seguridad de la red está, a menudo, muy por detrás”, afirma Gregory Neal Akers, vicepresidente ejecutivo del grupo de Iniciativas de seguridad avanzada de Cisco. Otra tendencia que se presenta en la comunidad de delitos informáticos se relaciona con la “democratización” de las amenazas. Vemos en mayor medida que las herramientas y las técnicas (y la inteligencia para explotar vulnerabilidades) se “comparten ampliamente” en la economía sumergida actual. “Las capacidades de competencia técnica han evolucionado muchísimo”, afirma Akers. “Ahora se observa una mayor especialización y colaboración entre los actores maliciosos. Es una línea de montaje de amenazas: una persona desarrolla un error, otra escribe el software malicioso, otra diseña el componente de ingeniería social y así sucesivamente”. La creación de amenazas potentes que les permitirá acceder a los grandes volúmenes de recursos de gran valor que recorren la red es la razón por la cual los delincuentes informáticos combinan sus conocimientos con mayor frecuencia. Pero como cualquier empresa del mundo real que terceriza tareas, la eficacia y el ahorro de costos se encuentran entre los factores principales para el enfoque de “crear amenazas” en la comunidad de delitos informáticos. El “personal calificado independiente” que se contrata para estas tareas, en general, publicita sus habilidades y paga los honorarios a la comunidad de delitos informáticos más amplia, a través de mercados en línea secretos. 53 Ataques de reflejo y amplificación Los ataques de reflejo y amplificación de DNS20 utilizan sistemas de nombre de dominio (DNS), resoluciones recursivas abiertas o servidores DNS dominantes para aumentar el volumen del tráfico de ataques que se envía a una víctima. Al suplantar 21 los mensajes de solicitud de DNS, estos ataques ocultan la fuente real del ataque y envían consultas de DNS que devuelven mensajes de respuesta de DNS un 1 000 a un 10 000% más grandes que el mensaje de solicitud de DNS. Estos tipos de perfiles de ataque se observan comúnmente durante los ataques de DDoS22. Al dejar resoluciones recursivas abiertas en Internet, las empresas participan en estos ataques sin saberlo. Pueden detectar los ataques con diversas herramientas23 y tecnologías de telemetría de flujo24 y pueden evitarlos mediante la protección25 de sus servidores DNS, o bien, mediante los límites de velocidad26 de los mensajes de respuesta de DNS. Tendencias de denegación de servicio distribuido de 2012 El siguiente análisis deriva del repositorio de Arbor Networks ATLAS, que consta de datos mundiales recopilados de varias fuentes, de 240 ISP, mediante la supervisión del tráfico máximo de 37,8 Tbps.27 El tamaño de los ataques continúa aumentando En general, se ha producido un aumento en el tamaño promedio de los ataques durante el año pasado. Hubo un aumento del 27% en el rendimiento de los ataques (de 1,23 Gbps en 2011 a 1,57 Gbps en 2012) y un aumento del 15% de los paquetes por segundo utilizados en los ataques (de 1,33 Mpps en 2011 a 1,54 Mpps en 2012). Datos demográficos de los ataques Las tres fuentes de ataque principales que se supervisaron, después de eliminar el 41% de las fuentes para las que no existen atribuciones dada la anonimización de los datos, son China (17,8%), Corea del Sur (12,7%) y Estados Unidos (8%). Los ataques de mayor envergadura El ataque de mayor envergadura supervisado se midió a 100,84 Gbps y duró aproximadamente 20 minutos (se desconoce la fuente del ataque dada la anonimización de los datos). El ataque correspondiente de mayor envergadura supervisado en (pps) se midió a 82,36 Mpps y duró aproximadamente 24 minutos (se desconoce la fuente del ataque dada la anonimización de los datos).
  • 54 Informe anual de seguridad de Cisco de 2013 Figura 11: Evasiones de Intrusion Prevention System (IPS) en vivo Transmission Control Protocol, Src Port: 32883 (32883), Dst DCE RPC Bind, Fragment: Single, FragLen: 820, Call: 0 Version: 5 Version (minor): 0 Packet type: Bind (11) Packet Flags: 0x03 Data Representation: 10000000 Frag Length: 820 Auth Length: 0 Call ID: 0 Max Xmit Frag: 5840 Max Recv Frag: 5840 Assoc Group: 0x00000000 Num Ctx Items: 18 Context ID: 0 Num Trans Itms: 1 Interface UUID: c681d4c7-7f36-33aa-6cb8-535560c3f0e9 Context ID: 1 Num Trans Items: 1 Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355 El departamento de Operaciones e investigación sobre seguridad de Cisco dirige varios laboratorios de software malicioso para observar el tráfico malicioso. En los laboratorios, se lanza software malicioso intencionalmente a fin de garantizar que los dispositivos de seguridad sean eficaces; también se dejan computadoras en estado vulnerable y se las expone a Internet. 55 Armamentización de las técnicas de evasión modernas Continuamente, los delincuentes informáticos desarrollan nuevas técnicas para sortear los dispositivos de seguridad. Los investigadores de Cisco observan atentamente en busca de nuevas técnicas y la “armamentización” de técnicas conocidas. El departamento de Operaciones e investigación sobre seguridad de Cisco dirige varios laboratorios de software malicioso para observar el tráfico malicioso. En los laboratorios, se lanza software malicioso intencionalmente a fin de garantizar que los dispositivos de seguridad sean eficaces; también se dejan computadoras en estado vulnerable y se las expone a Internet. Durante una prueba de este tipo, la tecnología de Cisco Intrusion Prevention System (IPS) detectó un ataque conocido de llamada a procedimiento remoto de Microsoft (MSRPC, Microsoft Remote Procedure Call). Tras un minucioso análisis, se determinó que el ataque utilizó una táctica de evasión de software malicioso nunca antes vista en un intento por sortear los dispositivos de seguridad.28 La evasión envió varias ID de contexto de enlace dentro de la solicitud de enlace inicial. Este tipo de ataque puede evadir las protecciones a menos que IPS supervise y determine qué ID fueron satisfactorias. Continuamente, los delincuentes cibernéticos desarrollan nuevas técnicas para sortear los dispositivos de seguridad. Los investigadores de Cisco observan atentamente en busca de nuevas técnicas y la “armamentización” de técnicas conocidas.
  • 56 Informe anual de seguridad de Cisco de 2013 57 Estudio de caso Operación Ababil Durante septiembre y octubre de 2012, Cisco y Arbor Networks supervisaron una campaña de ataque de DDoS muy seria y con un objetivo específico conocida como “Operación Ababil”, que estaba dirigida a las instituciones financieras con sede en Estados Unidos. Los ataques de DDoS eran premeditados, enfocados y publicitados antes de que ocurrieran, y se ejecutaban al pie de la letra. Los atacantes lograron que varios sitios financieros importantes no estuvieran disponibles para los clientes legítimos durante algunos minutos y, en los casos más graves, durante horas. Durante el transcurso de los acontecimientos, varios grupos reconocieron su responsabilidad por los ataques; al menos uno de ellos afirmó protestar contra la legislación de propiedad intelectual y derechos de autor en Estados Unidos. Otros difunden su participación como una respuesta a un video de YouTube que resultó agresiva para algunos musulmanes. Desde la perspectiva de la seguridad cibernética, la operación Ababil es notable porque aprovechó algunas aplicaciones web comunes y servidores de alojamiento que son tan populares como vulnerables. El otro factor obvio y poco común utilizado en esta serie de ataques fue que los ataques simultáneos, en un ancho de banda alto, se lanzaron contra varias empresas del mismo sector (financiero). Como a menudo se ve en el sector de la seguridad, lo que es viejo vuelve a ser nuevo. El 18 de septiembre de 2012, “los luchadores cibernéticos de Izz ad-Din al-Qassam” realizaron una publicación en Pastebin29 en la cual instaban a la comunidad musulmana a que tomaran como objetivo instituciones financieras importantes y plataformas de comercialización de productos. Las amenazas y los objetivos específicos fueron publicados para que el mundo pudiera verlos durante cuatro semanas consecutivas. Cada semana, nuevas amenazas y objetivos eran seguidos de acciones en las fechas y los horarios establecidos. Para la quinta semana, el grupo no publicó objetivos pero dejó en claro que las campañas continuarían. Según lo prometido, las campañas se renovaron seriamente en diciembre de 2012 y, una vez más, estuvieron dirigidas a grandes entidades financieras. La fase 2 de la operación Ababil también se anunció en Pastebin.30 En lugar de equipos infectados, una variedad de aplicaciones web PHP, incluido el sistema de administración de contenido Joomla, sirvieron como los bots principales en la campaña. Además, varios sitios de WordPress, que a menudo utilizaban el complemento desactualizado TimThumb, se encontraban en peligro al mismo tiempo. A menudo, los atacantes se dirigían a servidores sin mantenimiento que alojaban estas aplicaciones y cargaban webshells para implementar más herramientas de ataque. El concepto de “comando y control” no se aplicó en la manera habitual; sin embargo, los atacantes se conectaron a las herramientas directamente o a través de servidores intermedios, scripts y proxies. Durante los eventos cibernéticos ocurridos entre septiembre y octubre de 2012, se utilizó una gran variedad de archivos y herramientas basadas en PHP, no solo “tsoknoproblembro” (también conocido como “Brobot”). Para la segunda ronda de actividades también se utilizaron herramientas de ataque actualizadas tales como Brobot v2. Durante la operación Ababil, se implementó una combinación de herramientas con vectores que cruzaban los ataques en la capa de aplicación en HTTP, HTTPS y DNS con un tráfico de ataques volumétricos en una variedad de TCP, UDP, ICMP y otros protocolos IP. El análisis de Cisco demostró que la mayoría de los paquetes se enviaron al puerto TCP/ UDP 53 (DNS) u 80 (HTTP). Mientras que el tráfico en el puerto UDP 53 y el puerto TCP 53 y 80 representan normalmente tráfico válido, los paquetes destinados al puerto UDP 80 representan una anomalía que no es utilizada comúnmente por las aplicaciones. En el artículo Event Response: Distributed Denial of Service Attacks on Financial Institutions31 se incluye un informe detallado de los patrones y las cargas de la campaña de la operación Ababil. Lecciones aprendidas Si bien constituyen una parte fundamental de cualquier cartera de productos de seguridad de red, los dispositivos de firewall e IPS dependen de una inspección activa de tráfico. Las técnicas de capa de aplicación utilizadas en la campaña de la operación Ababil sobrepasaron fácilmente a esas tablas de estado y, en varios casos, las hicieron fallar. La única contramedida eficaz fue la tecnología de mitigación de DDoS inteligente. Los servicios de seguridad administrada e IPS tienen sus limitaciones. En un ataque de DDoS típico, el buen criterio que prevalece indica ocuparse de los ataques volumétricos en la red. En el caso de las campañas de capa de aplicación que se implementan más cerca de la víctima, estos deben dirigirse al centro de datos o al “perímetro del cliente”. Dado que varias empresas fueron tomadas como objetivo simultáneamente, los centros de limpieza de red fueron forzados. Es fundamental mantener actualizados el hardware y el software en las aplicaciones de mitigación de DDoS. Las implementaciones más antiguas no siempre pueden ocuparse de las amenazas más recientes. También es importante contar con la capacidad adecuada en las ubicaciones correctas. Poder mitigar un ataque grande es inútil si no es posible canalizar el tráfico a la ubicación donde se ha implementado la tecnología correspondiente. Si bien la mitigación de DDoS de red o de la nube por lo general posee una mayor capacidad de ancho de banda, las soluciones en las instalaciones ofrecen un mejor tiempo de reacción ante ataques, un mejor control y una mejor visibilidad. Si se combinan ambas opciones, se obtiene una solución más completa. Junto con las tecnologías de DDoS de red y de la nube, y como parte de la documentación elaborada a partir de los acontecimientos de la operación Ababil, Cisco desarrolló técnicas de detección y mitigación en el boletín titulado “Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin”.32 Estas técnicas incluyen el uso de los filtros de la lista de control de acceso de tránsito (TACL), el análisis de datos NetFlow y el reenvío por ruta inversa en modo de unidifusión (uRPF). Además, existe un conjunto de mejores prácticas que se deben revisar, someter a pruebas e implementar con regularidad. Estas prácticas permitirán a las empresas prepararse para los eventos de red y reaccionar ante estos. En los artículos titulados Cisco SIO Tactical Resources33 y Service Provider Security Best Practices34 encontrará una biblioteca de estas mejores prácticas.
  • 58 Informe anual de seguridad de Cisco de 2013 El correo no deseado siempre presente 59 Los volúmenes de correo no deseado continúan disminuyendo a nivel mundial, según demuestran las investigaciones de Cisco. Sin embargo, este tipo de correo sigue siendo una herramienta de acceso para muchos delincuentes informáticos, quienes la consideran una manera eficaz y conveniente para exponer a los usuarios al software malicioso y facilitar una gran variedad de estafas. Sin embargo, a pesar de la percepción que indica que, por lo general, el software malicioso se implementa a través de archivos adjuntos de correo electrónico no deseado, las investigaciones de Cisco demuestran que, en la actualidad, son muy pocos los emisores de correo no deseado que utilizan este método. En su lugar, utilizan enlaces maliciosos que incluyen en el mensaje de correo electrónico y que consideran un mecanismo de distribución mucho más eficaz. El correo no deseado también es menos “amplio” que en el pasado, ya que muchos emisores de este tipo de correo prefieren tener como objetivo a grupos específicos de usuarios con la esperanza de generar mayores ganancias. Los productos farmacéuticos de marca, las marcas de relojes de lujo y eventos como las temporadas tributarias ocupan los primeros lugares en la lista de cosas que más promueven los emisores de correo no deseado en sus campañas. Con el tiempo, los emisores de correo no deseado han aprendido que la manera más rápida de atraer clics y compras (y de generar beneficios) es aprovechar las marcas falsificadas y los acontecimientos actuales que gozan de la atención de grandes grupos de usuarios. Tendencias mundiales en materia de correo no deseado Desde los ataques de botnets a gran escala ocurridos en 2010, el correo no deseado en grandes cantidades no es tan eficaz como lo fue alguna vez, y
  • 60 Informe anual de seguridad de Cisco de 2013 61 Figura 12: Tendencias mundiales en materia de correo no deseado Los volúmenes mundiales de correo no deseado disminuyen un 18%, dado que la mayoría de los emisores de correo no deseado trabajan menos horas durante los fines de semana. AUMENTO DESDE 2011 DISMINUCIÓN DESDE 2011 4,19% 4,60% 4 3 China Corea 3,88% Rusia 6 10 2,72% 2 Polonia 3,60% Arabia Saudita 8 9 1 5 12,3% India 7 11,38% Estados Unidos 4,00% Vietnam 3,60% Brasil 2,94% Taiwán Inglés 79% Rusia 5% Catalán 3% Japonés 3% Danés 2% Alemán 1% Spam Language Francés 1% Rumano 1% Español 1% Chino 1% Es más probable que los proveedores de correo noten la presencia de una mayor cantidad de correo no deseado, y que lo desactiven antes de que cumpla con su propósito.
  • 62 Informe anual de seguridad de Cisco de 2013 63 CISCO ASR / JAN 28, 2013 200 pm En 2012, hubo varios ejemplos de emisores de correo no deseado que utilizaron noticias sobre acontecimientos mundiales (incluso tragedias humanas) para aprovecharse de los usuarios. los emisores de este tipo de correo han aprendido y modificado sus tácticas. Existe una marcada evolución hacia campañas de menor envergadura y más enfocadas, que se basan en acontecimientos mundiales y subconjuntos de usuarios en particular. Es más probable que los proveedores de correo noten la presencia de una mayor cantidad de correo no deseado, y que lo desactiven antes de que cumpla con su propósito. En 2011, los volúmenes mundiales totales de correo no deseado disminuyeron un 18%. Esto dista de la significativa disminución en el volumen observada en 2010 después de los ataques de botnet; no obstante, la tendencia en baja continua es un avance positivo. Los emisores de correo no deseado continúan centrándose en reducir al mínimo los esfuerzos y maximizar el impacto que provocan. Según las investigaciones de Cisco, los volúmenes de correo no deseado disminuyen un 25% los fines de semana, cuando los usuarios a menudo no controlan sus cuentas de correo electrónico. Los volúmenes de correo no deseado alcanzan los niveles máximos los martes y miércoles, un promedio del 10% más que otros días de semana. Esta actividad intensificada a mitad de semana y los menores volúmenes durante el fin de semana permiten que los emisores de correo no deseado vivan normalmente. También les brinda tiempo para dedicarse a diseñar campañas personalizadas basadas en acontecimientos mundiales que ocurren al iniciarse la semana, que les permitirá generar una mayor tasa de respuesta a sus campañas. En 2012, hubo varios ejemplos de emisores de correo no deseado que utilizaron noticias sobre acontecimientos mundiales (incluso tragedias humanas) para aprovecharse de los usuarios. Por ejemplo, durante la supertormenta Sandy, los investigadores de Cisco identificaron un fraude masivo de “compraventa” de acciones basado en una campaña de correo no deseado. Mediante un mensaje de correo electrónico que ya existía, en el cual se instaba a invertir en acciones muy baratas dirigidas a la exploración de recursos naturales, los emisores de correo no deseado comenzaron a adjuntar titulares sensacionalistas sobre la supertormenta Sandy. Un aspecto poco común de esta campaña es que los emisores de correo no deseado utilizaron direcciones IP únicas para enviar un lote de mensajes y no han vuelto a activarlas desde entonces. Origen del correo no deseado En el mundo del correo no deseado, algunos países conservan sus puestos mientras que otros cambian en forma espectacular. En 2012, la India conservó el primer puesto como fuente de correo no deseado a nivel mundial, mientras que Estados Unidos pasó del sexto puesto en 2011 al segundo en 2012. Entre los cinco países principales en donde se origina el correo no deseado se encuentran Corea (tercero), China (cuarto) y Vietnam (quinto). Figura 13: Origen del correo no deseado La India conserva la corona de correo no deseado y Estados Unidos se dispara al segundo lugar. VOLÚMENES DE CORREO NO DESEADO -18% DISMINUCIÓN DESDE 2011 HASTA 2012 LUNES MARTES MIÉRCOLES +10% DE AUMENTO PARA MEDIADOS DE SEMANA JUEVES VIERNES SÁBADO DOMINGO En general, la mayoría de los emisores de correo no deseado centran sus esfuerzos en crear mensajes no deseados que incluyen el idioma hablado por las audiencias más numerosas que utilizan el correo electrónico con regularidad. Según las investigaciones de Cisco, el inglés fue el idioma principal de los mensajes de correo no deseado en 2012, seguido del ruso, el catalán, el japonés y el danés. Cabe destacar que -25% DE DISMINUCIÓN PARA FINES DE SEMANA existen brechas entre el lugar desde donde se envía el correo no deseado y los idiomas que se utilizan en el mensaje; por ejemplo, mientras que la India fue el primer país de origen de correo no deseado en 2012, los dialectos locales no lograron estar entre los 10 principales en lo que respecta a los idiomas utilizados en el correo no deseado procedente de la India. Lo mismo se aplica a Corea, Vietnam y China.
  • 64 Informe anual de seguridad de Cisco de 2013 65 Email Attachments Figura 14: Archivos adjuntos de correo electrónico Solo el 3% del correo no deseado tiene un adjunto, en comparación con el 25% del correo electrónico válido, pero los archivos adjuntos de correo no deseado son un 18% mayores. Only 3% of Spam has an Attachment, versus 25% of Valid Email Correo electrónico no deseado 3% Correo electrónico válido 25% Los archivos adjuntos de correo no deseado son un 18% mayores. 18% Figura 15: Correo no deseado de IPv6 Si bien el correo electrónico basado en IPv6 continúa representando un porcentaje muy reducido del tráfico IPv6 Spam total, crece dado que aumenta la cantidad de usuarios que adoptan infraestructuras compatibles con IPv6. Crecimiento de correo electrónico de IPv6: 862% Crecimiento de correo no deseado de IPv6: 171% JUN. JUL. AGO. SEP. OCT. NOV. DIC. Archivos adjuntos de correo electrónico Hace tiempo que el correo no deseado se considera un mecanismo de distribución de software malicioso, en especial cuando incluye archivos adjuntos. Sin embargo, la última investigación de Cisco sobre el uso de archivos adjuntos de correo electrónico en campañas de correo no deseado demuestra que es posible que esta percepción sea solo un mito. Solo el 3% del total del correo no deseado tiene un archivo adjunto, en comparación con el 25% del correo electrónico válido. Y en los casos poco comunes en los que el correo no deseado incluye un archivo adjunto, es un promedio del 18% mayor que un archivo adjunto típico que se incluiría en un mensaje válido. Como resultado, estos archivos adjuntos tienden a destacarse. En el correo electrónico moderno, los enlaces llevan la delantera. Los emisores de correo no deseado diseñan sus campañas con el fin de convencer a los usuarios para que visiten sitios web en los que pueden adquirir productos o servicios (a menudo, de origen dudoso). Una vez allí, se recopila la información personal de los usuarios, a menudo sin que ellos lo sepan, o se los compromete de alguna otra manera. Según se desprende del análisis de “Marcas falsificadas” que se incluye más adelante en esta sección, la mayor parte del correo no deseado proviene de grupos que buscan vender un conjunto muy específico de artículos de marca, desde relojes de lujo hasta productos farmacéuticos, que son, en la gran mayoría de los casos, falsos. Correo no deseado de IPv6 Si bien el correo electrónico basado en IPv6 continúa representando un porcentaje muy reducido del tráfico total, crece dado que aumenta la cantidad de usuarios que adoptan infraestructuras compatibles con IPv6. Sin embargo, mientras que los volúmenes generales de correo electrónico aumentan rápidamente, este no es el caso del correo no deseado de IPv6. Esta tendencia indica que los emisores de correo no deseado se protegen del tiempo y los gastos que acarrea migrar al nuevo estándar de Internet. No existe una necesidad impulsora para los emisores de correo no deseado (ni beneficios materiales, ya que son casi nulos) para realizar tal cambio en el presente. Dado que se han agotado las direcciones de IPv4 y los dispositivos móviles y la comunicación M2M impulsan el crecimiento explosivo de IPv6, se prevé que los emisores de correo no deseado actualicen su infraestructura y aceleren sus iniciativas. En el correo electrónico moderno, los enlaces llevan la delantera. Los emisores de correo no deseado diseñan sus campañas con el fin de convencer a los usuarios para que visiten sitios web en los que pueden adquirir productos o servicios. Una vez allí, se recopila la información personal de los usuarios, a menudo sin que ellos lo sepan, o se los compromete de alguna otra manera.
  • 66 Informe anual de seguridad de Cisco de 2013 67 Marcas falsificadas Figura 16: Marcas falsificadas Los emisores de correo no deseado apuntan a los productos farmacéuticos, los relojes Spoofed Brands for Spam lujosos y la temporada tributaria. 5% 50% 100% ENE. FEB. MAR. ABR. MAY.JUN. JUL. AGO. SEP. OCT.NOV. DIC. Medicamentos recetados Relojes de lujo Tarjeta de crédito Revisiones empresariales Red profesional Transferencia electrónica de dinero Mediante mensajes de correo electrónico no deseado de marcas falsificadas, los emisores de correo no deseado utilizan empresas y productos para enviar sus mensajes con la esperanza de que los usuarios en línea hagan clic en un enlace o realicen una compra. La mayoría de las marcas falsificadas son de medicamentos recetados, tales como ansiolíticos y analgésicos. Además, las marcas de relojes de lujo forman una constante capa de “ruido” que conserva la coherencia durante todo el año. Software contable Red social Asociaciones profesionales Aerolíneas Correo electrónico Pérdida de peso Organización gubernamental Software de Windows Empresa de telefonía celular Avisos clasificados en línea Impuestos Hormona del crecimiento humano Noticias Servicios de pago electrónico Tarjetas de felicitaciones Automóviles lujosos Servicios de nómina Correo no deseado relacionado Versión Consumer con telefonía celular que coincide Preview de Windows 8 con el lanzamiento de iPhone 5 Software contable durante la Correo no deseado relacionado con temporada tributaria en EE. UU. redes sociales profesionales Del análisis de Cisco también se desprende que los emisores de correo no deseado pueden relacionar correctamente sus campañas con noticias. Entre enero y marzo de 2012, los datos de Cisco muestran un alza en el correo no deseado relacionado con software de Windows, lo cual coincidió con el lanzamiento del sistema operativo Windows 8. Entre febrero y abril de 2012, durante la temporada tributaria de Estados Unidos, el análisis muestra un aumento abrupto en el correo no deseado de software impositivo. Entre enero y marzo de 2012, y luego entre septiembre y diciembre del mismo año, es decir, al inicio y al final del año, el correo no deseado relacionado con redes profesionales fue masivo, quizás porque los emisores de este tipo de mensajes saben que, a menudo, las personas comienzan a buscar trabajo durante esas épocas del año. La conclusión es que los emisores de correo no deseado participan en este tipo de actividades por el dinero que implican y, con los años, han aprendido las maneras más rápidas de atraer clics y compras mediante la oferta de productos farmacéuticos y artículos de lujo y con la adaptación de sus ataques según los eventos que gozan de atención mundial. Entre septiembre y noviembre de 2012, los emisores de correo no deseado realizaron una serie de campañas aparentando ser empresas de telefonía celular, lo cual coincidió con el lanzamiento del iPhone 5. La conclusión: los emisores de correo no deseado participan en este tipo de actividades por el dinero que implican y, con los años, han aprendido las maneras más rápidas de atraer clics y compras ofreciendo productos farmacéuticos y artículos de lujo y adaptando sus ataques según eventos que gozan de atención mundial.
  • 68 Informe anual de seguridad de Cisco de 2013 Administración de vulnerabilidades: un proveedor debe hacer algo más que solo enumerar en forma ambivalente 69 35 El modo que utiliza un proveedor para divulgar los problemas de seguridad de un producto es el aspecto más visible de sus prácticas de administración de vulnerabilidades. En Cisco, el equipo de respuesta ante incidentes de seguridad de productos (PSIRT) investiga y publica sugerencias de seguridad36. Este equipo está compuesto por expertos en seguridad que entienden que la protección de los clientes de Cisco debe ir a la par de la corporación. “En las recomendaciones de seguridad se anuncian los problemas más graves de seguridad de los productos y, por lo general, estos consejos son la primera evidencia pública de una vulnerabilidad de producto de Cisco”, afirma Russell Smoak, director ejecutivo de Operaciones e investigación sobre seguridad de Cisco. “Como tal, es fundamental que sean un vehículo de comunicación eficaz con el que los clientes puedan tomar decisiones informadas y administrar sus riesgos. Combinadas con las avanzadas técnicas de mitigación37 que ofrecemos a nuestros clientes para que aprovechen las capacidades de sus equipos Cisco, podemos brindarles tantos detalles como sea posible para responder con rapidez y confianza”. Sin embargo, la administración de vulnerabilidades comienza mucho antes en el ciclo de vida de una vulnerabilidad y puede extenderse más allá de la primera divulgación. “La mejora continua de las prácticas de administración de vulnerabilidades es fundamental para mantenerse a tono con el cambiante entorno de seguridad como resultado de amenazas en desarrollo y nuevos productos y tecnologías”, comenta Smoak. Es decir, un proveedor que no evoluciona con las tecnologías de amenazas y que no divulga las amenazas, corre el riesgo de quedarse atrás. Por ejemplo, la innovación de las herramientas de administración de vulnerabilidades internas en Cisco se ha realizado en el área del software agrupado de terceros. Este software es cualquier código incluido en el producto de un proveedor que no esté escrito por ese mismo proveedor. Por lo general, esto incluye el software comercial de terceros o de código abierto. Cisco aprovecha las herramientas elaboradas a medida que utilizan los datos sobre vulnerabilidad de Cisco IntelliShield38 para notificar a los equipos de desarrollo de productos cuando exista un problema de seguridad originado en el software de terceros que pueda afectar a un producto de Cisco. Esta herramienta, llamada Cisco Internal Alert Manager, ha aumentado en gran medida la capacidad de administración de problemas de seguridad que se originan en un código que no es de Cisco. Un proveedor que no evoluciona con las tecnologías de amenazas y que no divulga las amenazas, corre el riesgo de quedarse atrás. Asimismo, la mejora de las prácticas de divulgaciones de seguridad debe ser un proceso constante. A principios de 2013, Cisco comenzará a utilizar un nuevo tipo de documento, los Avisos de seguridad de Cisco, para divulgar problemas de seguridad de productos de gravedad baja a media. Este documento mejorará la eficacia de la comunicación de problemas de seguridad que no se consideran tan graves como para emitir un Consejo de seguridad de Cisco. Estará a disposición del público y se lo indexará con un identificador de exposición y vulnerabilidad común (CVE, Common Vulnerability and Exposure) para mejorar la visibilidad. A fin de fortalecer la mejor manera de asimilación de los informes continuos sobre problemas de seguridad, los proveedores (incluido Cisco) han comenzado a incluir los formatos del Estándar para informar de vulnerabilidades (CVRF, Common Vulnerability Reporting Framework)39 y el Lenguaje abierto de evaluación de vulnerabilidades (OVAL, Open Vulnerability Assessment Language)40 en las divulgaciones. Mediante estos estándares emergentes, los usuarios finales pueden evaluar con confianza las vulnerabilidades en función de múltiples plataformas y tecnologías. Además, estos estándares pueden escalarse dado los beneficios de formato legible para equipos. Smoak afirma: “Garantizar que nuestros clientes tengan las herramientas necesarias para evaluar las amenazas en forma adecuada reduce el riesgo y les permite priorizar las tareas que se requieren para asegurar sus infraestructuras”. Durante el año que se inicia, si necesita actualizaciones adicionales y análisis en profundidad sobre las tendencias de seguridad, y si desea obtener información sobre las últimas publicaciones de Cisco relacionadas con la seguridad empresarial, visite el sitio web de los Informes de seguridad de Cisco. http://www.cisco.com/go/securityreport Si desea recibir información en forma permanente por parte de los expertos de Cisco sobre una amplia variedad de temas relacionados con la seguridad, visite el blog sobre seguridad de Cisco. blogs.cisco.com/security
  • 70 Informe anual de seguridad de Cisco de 2013 Perspectivas de seguridad para 2013 71 El panorama actual en lo que respecta a amenazas no es un problema causado por usuarios ignorantes que visitan sitios maliciosos ni se resuelve mediante el bloqueo de las ubicaciones “malas” en la red. Con este informe, quedó demostrado cómo han hecho los atacantes para ser cada vez más sofisticados, dado que persiguen a los sitios, las herramientas y las aplicaciones de las que menos puede sospecharse y que los usuarios visitan con mayor frecuencia. Las amenazas modernas pueden infectar audiencias masivas en silencio y con eficacia, sin discriminar por el sector, el tamaño de la empresa ni el país. Los delincuentes informáticos aprovechan la superficie de ataque de rápido crecimiento que encuentran en el mundo actual del “cualquiera con cualquiera”, donde los individuos utilizan cualquier dispositivo para acceder a sus redes empresariales. A medida que la infraestructura nacional, las empresas y los mercados financieros mundiales continúan la transición hacia servicios basados en la nube y conectividad móvil, se necesita un enfoque de seguridad integrado por niveles a fin de proteger Internet de todo pujante. “Los piratas informáticos y los delincuentes cibernéticos aprovechan el hecho de que cada empresa del sector público o privado cuenta con su propio programa de seguridad de TI”, comenta John Stewart. “Sí, asistimos a conferencias y nos mantenemos en contacto, pero realmente necesitamos pasar de la seguridad de TI individualizada a una respuesta colectiva en tiempo real, con uso compartido de la inteligencia”. Construir una mejor infraestructura de seguridad no significa crear una arquitectura más compleja; de hecho, es todo lo opuesto. Se trata de que la infraestructura y los elementos que contiene funcionen juntos, con más inteligencia para detectar y mitigar las amenazas. Con la rápida adopción de Las amenazas modernas pueden infectar audiencias masivas en silencio y con eficacia, sin discriminar por el sector, el tamaño de la empresa ni el país.
  • 72 Informe anual de seguridad de Cisco de 2013 la tendencia BYOD, la realidad de los dispositivos múltiples por usuario y el crecimiento de los servicios basados en la nube, ha finalizado la era en la que se administraban las capacidades de seguridad en cada terminal. “Debemos adoptar un enfoque holístico hacia la seguridad que garantice la supervisión de las amenazas en todos los vectores, desde el correo electrónico hasta la red y los usuarios”, afirma Michael Covington, gerente de productos de Cisco SIO. “Es necesario elevar la inteligencia de amenazas por encima de las plataformas individuales a fin de obtener una perspectiva de la red”. Dado que las amenazas se dirigen cada vez más a usuarios y empresas a través de múltiples vectores, las empresas deben recopilar, almacenar y procesar la actividad de red relacionada con la seguridad para comprender mejor el alcance y el ámbito de los ataques. Posteriormente, puede ampliarse este nivel de análisis con el contexto de la actividad de red, a fin de La red del mañana es una red inteligente que debe proporcionar mayor seguridad a través de una estructura de colaboración que aquella lograda anteriormente a través de la suma de sus componentes individuales. tomar decisiones relacionadas con la seguridad en forma precisa y oportuna. A medida que los atacantes son más sofisticados, las empresas deben diseñar capacidades de seguridad de la red desde el principio, con soluciones que reúnan inteligencia, políticas de seguridad y controles ejecutables en todos los puntos de contacto en la red. A medida que los atacantes son más sofisticados, las herramientas utilizadas para frustrar sus iniciativas también deben evolucionar. Al contar con una red que proporciona una estructura común para la comunicación entre plataformas, también servirá como medio de protección de dispositivos, servicios y usuarios que la utilizan para intercambiar contenido confidencial. La red del mañana es una red inteligente que debe proporcionar mayor seguridad a través de una estructura de colaboración que aquella lograda anteriormente a través de la suma de sus componentes individuales. 73
  • 74 Informe anual de seguridad de Cisco de 2013 Acerca de Cisco Security Intelligence Operations 75 Administrar y asegurar las redes ágiles y distribuidas en la actualidad se ha convertido en un desafío creciente. Los delincuentes informáticos continúan explotando la confianza que tienen los usuarios en las aplicaciones y los dispositivos para consumidores, lo cual incrementa el riesgo para las empresas y los empleados. La seguridad tradicional, que depende de la disposición en capas de los productos y del uso de varios filtros, no es suficiente para defenderse de la última generación de software malicioso, que se disemina rápidamente, tiene objetivos mundiales y utiliza múltiples vectores para propagarse. Cisco se adelanta a las últimas amenazas por medio de la inteligencia de amenazas en tiempo real de Cisco Security Intelligence Operations (SIO). Cisco SIO es el ecosistema de seguridad basado en la nube más grande del mundo, en el que cada día se analizan más de 75 terabits de fuentes de datos en vivo provenientes de soluciones IPS, firewall, Internet y correo electrónico de Cisco. Cisco SIO agrega datos de vectores de amenazas y los analiza mediante algoritmos automatizados y procesamiento manual con el fin de comprender cómo se propagan las amenazas. Luego, SIO ordena las amenazas por categorías y crea reglas con más de 200 parámetros. Los investigadores abocados a la seguridad también analizan información sobre eventos de seguridad que tienen el potencial de afectar en gran medida las redes, las aplicaciones y los dispositivos. Las reglas se distribuyen en forma dinámica en los dispositivos de seguridad de Cisco implementados cada tres a cinco minutos. Cisco SIO es el ecosistema de seguridad basado en la nube más grande del mundo, en el que cada día se analizan más de 75 terabits de fuentes de datos en vivo provenientes de soluciones IPS, firewall, Internet y correo electrónico de Cisco.
  • 76 Informe anual de seguridad de Cisco de 2013 El equipo de Cisco SIO también publica recomendaciones sobre las mejores prácticas de seguridad y pautas tácticas para frustrar las amenazas. Cisco se compromete a ofrecer soluciones de seguridad completas que se integren, que sean oportunas, integrales y eficaces, para habilitar la seguridad holística para las empresas en todo el mundo. Gracias a Cisco, las empresas pueden ahorrar tiempo de investigación de amenazas y vulnerabilidades y centrarse más en adoptar un enfoque proactivo hacia la seguridad. Si desea obtener información sobre la inteligencia de aviso temprano, análisis de amenazas y vulnerabilidades y soluciones de mitigación de Cisco comprobadas, visite: http://www.cisco.com/security. Metodología El análisis que se presenta en este informe se basa en datos recopilados de diversos recursos mundiales Cisco recopila datos de una implementación mundial de sensores que realizan funciones como captar correo no deseado y recorrer la red en busca de nuevas instancias de software malicioso. anonimizados, incluidas las soluciones de seguridad de correo electrónico, Internet, firewall y sistema de prevención de intrusiones (IPS) de Cisco; estas plataformas ocupan un lugar prominente en la protección de las redes de los clientes contra intrusos y contenido malicioso. Además de los mecanismos de protección del cliente en las instalaciones, Cisco también recopila datos de una implementación mundial de sensores que realizan funciones como captar correo no deseado y recorrer la red en busca de nuevas instancias de software malicioso. Mediante estas herramientas y los datos recopilados, la superficie de red masiva de Cisco proporciona a los sistemas de SIO y a los investigadores un muestreo amplísimo de actividades legítimas y maliciosas que se llevan a cabo en Internet. Ningún proveedor de seguridad tiene una total visibilidad de todos los encuentros maliciosos. Los datos presentados en este informe representan la perspectiva de Cisco sobre el actual estado del panorama de amenazas y nuestro mejor intento por normalizar los datos y reflejar tendencias y patrones mundiales basados en los datos disponibles en ese momento. 77 Cisco Security IntelliShield Alert Manager Service Cisco Security IntelliShield Alert Manager Service brinda una solución integral y rentable para distribuir la inteligencia de seguridad neutral para proveedores que las empresas necesitan para identificar, prevenir y mitigar los ataques de TI. Este servicio de alertas de vulnerabilidad y amenaza personalizable basadas en Internet permite al personal de seguridad acceder a información oportuna, fiable y precisa sobre amenazas y vulnerabilidades que pueden afectar sus entornos. IntelliShield Alert Manager permite a las empresas gastar menos esfuerzos en investigar las amenazas y vulnerabilidades, y concentrarse más en un enfoque proactivo hacia la seguridad. Cisco ofrece una prueba gratuita de 90 días de Cisco Security IntelliShield Alert Manager Service. Al registrarse para esta prueba, obtendrá acceso total al servicio, incluidas las herramientas y las alertas de amenazas y vulnerabilidades. Para más información sobre Cisco Security IntelliShield Alert Manager Services, visite: https://intellishield.cisco.com/security/alertmanager/trialdo?dispatch=4. Más información Cisco Security Intelligence Operations www.cisco.com/security Productos de seguridad de Cisco www.cisco.com/go/security Blog sobre seguridad de Cisco blogs.cisco.com/security Cisco Corporate Security Programs Organization www.cisco.com/go/cspo Cisco Remote Management Services www.cisco.com/en/US/products/ ps6192/serv_category_home
  • 78 Informe anual de seguridad de Cisco de 2013 79  The Internet of Things”, de Michael Chui, Markus Löffler y Roger Roberts, McKinsey Quarterly, “ marzo de 2010: http://www.mckinseyquarterly.com/The_Internet_of_Things_2538. 20  Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”, 1 de octubre de 2012: “ http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html. 21 Cisco Internet Business Solutions Group. 22 1 2 3  The World Market for Internet Connected Devices—2012 Edition”, comunicado de prensa, IMS Research, 4 “ de octubre de 2012: http://imsresearch.com/press-release/Internet_Connected_Devices_Approaching_10_ Billion_to_exceed_28_Billion_by_2020&cat_id=210&type=LatestResearch.   aliciously Abusing Implementation Flaws in DNS”, DNS Best Practices, Network Protections, and Attack “M Identification, Cisco.com: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html#3. “ Spoofing”, de Farha Ali, Lander University, disponible en Cisco.com: http://www.cisco.com/web/about/ IP ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html.   istributed Denial of Service Attacks”, de Charalampos Patrikakis, Michalis Masikos y Olga Zouraraki, “D National Technical University of Athens, The Internet Protocol Journal - volumen 7, número 4. Disponible en: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html. 4 Cisco Internet Business Solutions Group. 5  nternet of Everything: It’s the Connections That Matter”, de Dave Evans, blog de Cisco, 29 de noviembre de 2012: “I http://blogs.cisco.com/news/internet-of-everything-its-the-connections-that-matter/.   NS Tools”, The Measurement Factory: http://dns.measurement-factory.com/tools. “D 23  ara más información sobre herramientas DNS, consulte DNS-OARC (https://www.dns-oarc.net/oarc/tools) P y The Measurement Factory (http://dns.measurement-factory.com/tools/index.html). 24 6 Cisco Internet Business Solutions Group.   ecure BIND Template Version 7.3 07 Aug 2012”, de TEAM CYMRU, cymru.com: http://www.cymru.com/ “S Documents/secure-bind-template.html. 25 7 nforme anual de seguridad de 2011 de Cisco, diciembre de 2011: http://www.cisco.com/en/US/prod/ I collateral/vpndevc/security_annual_report_2011.pdf.   esponse Rate Limiting in the Domain Name System (DNS RRL)”, RedBarn.org: http://www.redbarn.org/dns/ “R ratelimits. 26 8  Los datos de Arbor Networks ATLAS derivan de “potes de miel” implementados dentro de las redes de los proveedores de servicios en todo el mundo; investigación sobre software malicioso de ASERT; y una fuente de datos anonimizados basados en NetFlow, BGP y en la correlación SNMP. Los datos anonimizados provistos por clientes de Arbor Peakflow SP se recopilan y se traducen en tendencias dentro de ATLAS para proporcionar una vista detallada de las amenazas y los patrones de tráfico en Internet. 27  Remote Access and BYOD: Enterprises Working to Find Common Ground with Employees”, Informe anual “ de seguridad de 2011 de Cisco, diciembre de 2011, pág. 10: http://www.cisco.com/en/US/prod/collateral/ vpndevc/security_annual_report_2011.pdf. 9  Cisco Global Cloud Index: Forecast and Methodology, 2011–2016”: http://www.cisco.com/en/US/solutions/ “ collateral/ns341/ns525/ns537/ns705/ns1175/Cloud_Index_White_Paper.html. 28 Ibídem 29  A Deep Dive Into Hyperjacking”, de Dimitri McKay, SecurityWeek, 3 de febrero de 2011: http://www.securityweek. “ com/deep-dive-hyperjacking. 30 10 11 “IPS Testing”, Cisco.com: http://www.cisco.com/web/about/security/intelligence/cwilliams-ips.html.   ank of America and New York Stock Exchange under attack unt [sic]”, Pastebin.com, 18 de septiembre de 2012: “B http://pastebin.com/mCHia4W5. 12 India Asks Pakistan to Investigate Root of Panic”, de Jim Yardley, The New York Times, 19 de agosto de 2012:  http://www.nytimes.com/2012/08/20/world/asia/india-asks-pakistan-to-help-investigate-root-of-panic. html?_r=1&. 13  Twitter Rumor Sparked Oil-Price Spike”, de Nicole Friedman, WSJ.com, 6 de agosto de 2012: http://online. “ wsj.com/article/SB10000872396390444246904577573661207457898.html.  Phase 2 Operation Ababil”, Pastebin.com, 18 de septiembre de 2012: http://pastebin.com/E4f7fmB5. “   isco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/ “C web/about/security/intelligence/ERP-financial-DDoS.html. 31 dentifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied I Mitigation Bulletin: http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115. 32 14 Esto apareció originalmente en el blog sobre seguridad de Cisco: http://blogs.cisco.com/security/sniffing out-social-media-disinformation/   ecurity Intelligence Operations Tactical Resources”, Cisco.com: http://tools.cisco.com/security/center/ “S intelliPapers.x?i=55. 33 15   ervice Provider Security Best Practices”, Cisco.com: http://tools.cisco.com/security/center/ “S serviceProviders.x?i=76. 34 Java.com: http://www.java.com/en/about/.  16  ishwath Mohan y Kevin W. Hamlen. Frankenstein: Stitching Malware from Benign Binaries. In Proceedings of V the USENIX Workshop on Offensive Technologies (WOOT), págs. 77-84, agosto de 2012. 17 Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han y  Bhavani Thuraisingham. Cloud-based Malware Detection for Evolving Data Streams. ACM Transactions on Management Information Systems (TMIS), 2(3), octubre de 2011. Anagrama cortesía de anagramgenius.com. 35  Sugerencias de seguridad de Cisco: http://cisco.com/go/psirt. 36 18  “DDoS Attacks: 2013 Forecast, Experts Say Recent Hits Only the Beginning”, de Tracy Kitten, BankInfoSecurity.com, 30 de diciembre de 2012: http://ffiec.bankinfosecurity.com/ddos-attacks-2013forecast-a-5396.  Cisco Applied Mitigation Bulletins, Cisco.com: http://tools.cisco.com/security/center/searchAIR.x. 37  Cisco Intellishield Alert Manager Service: http://www.cisco.com/web/services/portfolio/product-technicalsupport/intellishield/index.html. 38 19  CVRF, ICASI.com: http://www.icasi.org/cvrf. 39  OVAL, Oval International: http://oval.mitre.org/. 40