Informe de Symantec Revela que las Amenazas Cibernéticas Aumentan en Volumen y Sofisticación

869 views

Published on

Symantec Corp. (Nasdaq: SYMC) anunció los resultados de la XVI edición del Informe sobre las Amenazas a la Seguridad en Internet, el cual muestra un volumen masivo de más de 286 millones de nuevas amenazas el año pasado, acompañado de nuevas megatendencias en el ambiente de amenazas.



El informe destaca el aumento dramático en frecuencia y sofisticación de los ataques dirigidos a las empresas; el crecimiento continuo de sitios de redes sociales como plataforma de distribución de ataques; y un cambio en las tácticas de infección de los ataques, cada vez más focalizados en vulnerabilidades de Java para irrumpir en los sistemas informáticos tradicionales. Además, el informe explora cómo los atacantes están exhibiendo un notable cambio de foco hacia los dispositivos móviles.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
869
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Informe de Symantec Revela que las Amenazas Cibernéticas Aumentan en Volumen y Sofisticación

  1. 1. Informe sobre las Amenazas a la Seguridad en InternetVol. XVIAbril 2011 - Hallazgos América LatinaIntroducciónSymantec cuenta con las fuentes de datos más completas a nivel mundial sobre amenazas enInternet gracias a Symantec™ Global Intelligence Network. Esta red captura datos de inteligenciade seguridad en todo el mundo y ofrece datos inigualables a los analistas de Symantec para quelos identifiquen y analicen, brinden protección y proporcionen una perspectiva y comentariosobjetivos e informados sobre las nuevas tendencias de los ataques, de la actividad de códigosmaliciosos, phishing y spam.Más de 240,000 sensores ubicados en más de 200 países y territorios supervisan la actividad delos ataques a través de una combinación de productos y servicios de Symantec como el Sistemade Manejo de Amenazas DeepSight™ de Symantec, Servicios Administrados de Seguridad deSymantec™ y productos Norton™ para consumidores finales, así como fuentes de datosadicionales de terceros.Symantec recopila datos de códigos maliciosos de más de 133 millones de equipos cliente,servidores y sistemas gateway que han implementado sus soluciones de seguridad y antivirus.Además, la red honeypot de Symantec recopila datos alrededor del mundo, después de capturarataques y amenazas inadvertidas y proporcionar información valiosa sobre los métodos de losatacantes.Además, Symantec mantiene una de las bases de vulnerabilidades más completas del mundo,actualmente compuesta por más de 40,000 vulnerabilidades registradas (que abarca más de dosdécadas) y que afecta a más de 105,000 tecnologías de más de 14,000 proveedores. Symantecfacilita también la lista de correos BugTraq™, uno de los foros más populares de divulgación ydiscusión sobre vulnerabilidades en Internet, que tiene aproximadamente 24,000 suscriptores quecontribuyen, reciben y examinan diariamente las investigaciones sobre las vulnerabilidades.Los datos de spam y phishing son capturados a través de una variedad de fuentes como:Symantec Probe Network, un sistema con más de 5 millones de cuentas señuelo; MessageLabsintelligence, una respetada fuente de datos y análisis de problemas, tendencias y estadísticas deseguridad de los mensajes; y otras tecnologías de Symantec.Los datos son recopilados en más de 86 países de todo el mundo. Más de 8 millones de mensajesde correo electrónico y más de 1,000 millones de solicitudes Web se procesan diariamente en 16centros de datos y seguridad. Symantec también recopila información de phishing a través de unaextensa comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones deconsumidores.Estos recursos dan a los analistas de Symantec fuentes de datos sin precedentes, mismos que seven recopilados anualmente en el Informe de Symantec sobre las Amenazas a la Seguridad enInternet, que da a las empresas y consumidores información esencial para proteger sus sistemasefectivamente ahora y en el futuro.Además de recopilar información de ataques globales en Internet, Symantec también analiza datosde ataques detectados por sensores desplegados en regiones específicas. Este informe abordaaspectos notables de actividades maliciosas en Internet, que Symantec observó en la región deAmérica Latina (LAM) en 2010.
  2. 2. Actividad Maliciosa por País en América LatinaContextoEsta métrica evalúa los países de la región de América Latina (LAM) en dónde ocurre o se originala mayor actividad maliciosa. La actividad maliciosa generalmente afecta los equipos conectados aInternet a través de banda ancha de alta velocidad porque estas conexiones son blancos atractivospara los atacantes ya que brindan mayor capacidad que otros tipos de conexión, mayor velocidad,mayor cantidad de sistemas constantemente conectados y normalmente una conexión másestable. Symantec clasifica las actividades maliciosas de la siguiente manera:  Códigos Maliciosos. Éstos incluyen virus, gusanos y troyanos que se insertan secretamente en los programas. Los propósitos de los códigos maliciosos son destruir los datos, ejecutar programas destructivos o intrusos, robar información confidencial o comprometer la seguridad o la integridad de los datos de la computadora de la víctima.  Zombis de Spam. Se trata de sistemas comprometidos que se controlan y utilizan de forma remota para enviar grandes volúmenes de mensajes de correo electrónico basura o no solicitado. Estos mensajes pueden utilizarse para proporcionar códigos maliciosos e intentos de phishing.  Hosts de Phishing. Un host de phishing es un equipo que hospeda sitios Web que intentan reunir ilegalmente información confidencial, personal y financiera al mismo tiempo que aparenta que la solicitud de estos datos se está realizando desde una organización de confianza y conocida. Estos sitios Web están diseñados para imitar los sitios de empresas legítimas.  Equipos Infectados con Bots. Se trata de equipos afectados que están siendo controlados remotamente por los atacantes. Normalmente, el atacante remoto controla una gran cantidad de equipos afectados por un canal único y confiable en una red de bots (botnet) que se utiliza para lanzar ataques coordinados. En la mayoría de las ocasiones los usuarios desconocen que su equipo está siendo utilizado para lanzar ataques.  Orígenes de Ataques de Red. Se refiere a las fuentes de ataques que se originan desde Internet. Por ejemplo, los ataques pueden centrarse en protocolos SQL o vulnerabilidades de desbordamiento de búfer.MetodologíaPara determinar la actividad maliciosa por país, Symantec ha recopilado datos geográficos sobrenumerosas actividades maliciosas, como informes de códigos maliciosos, zombis de spam, hostsde phishing, equipos infectados por bots y el origen de los ataques a la red. Luego se determina laproporción de cada actividad que se origina en cada país dentro de la región. Se calcula la mediade los porcentajes de cada actividad maliciosa que se origina en cada país y este promediodetermina la proporción de toda la actividad originada en el país en cuestión. Luego, la clasificaciónse determina calculando el promedio de la proporción de las actividades maliciosas que seoriginaron en cada país.
  3. 3. América Latina - Actividad Maliciosa por PaísFuente: Symantec Corporation, 2011ComentarioBrasil sigue teniendo el mayor porcentaje de actividad maliciosa en América Latina. En 2010,Brasil ocupó el primer lugar en actividad general maliciosa en la región LAM. A nivel mundial, Brasilocupó el cuarto lugar con 5 por ciento del total mundial. La alta clasificación de Brasil se debe aque obtuvo el primer lugar de la clasificación por un amplio margen en todas las actividadesmaliciosas. Además de ser el país con la mayor cantidad de conexiones de banda ancha en laregión LAM, el protagonismo de botnets grandes y dominantes en Brasil contribuye a su altaclasificación en equipos infectados con bots, zombis de spam y hosts de phishing. Brasil es unafuente importante de equipos infectados por bots de botnets principales que envían mensajes despam, como Rustock, aazben y Ozdok (Mega-D).Origen de los Ataques en LAM por FuenteContextoEsta métrica evalúa las principales fuentes globales desde dónde se originaron los ataquesdirigidos a la región LAM en 2010. Se debe tener en cuenta que, debido a que el equipo atacantepodría ser controlado de forma remota, el atacante puede estar en una ubicación diferente que elequipo utilizado para lanzar el ataque. Por ejemplo, un atacante ubicado físicamente en losEstados Unidos podría lanzar un ataque desde un sistema afectado en México contra una red enotro país como por ejemplo, Venezuela.MetodologíaEn esta sección se miden las principales fuentes de ataques que afectaron los equipos de LAM en2010. Generalmente, un ataque de red es considerado como cualquier actividad maliciosa, que selleva a cabo en una red que ha sido detectada por un sistema de detección de intrusiones (IDS),sistema de prevención de intrusos (IPS) o firewall.
  4. 4. Origen de los Ataques en América Latina por FuenteFuente: Symantec Corporation,2011ComentarioLos Estados Unidos Dominan el Origen de los ataques en LAM. En 2010, los Estados Unidos fue laprincipal fuente de ataques contra objetivos LAM, con un 50 por ciento de todos los ataquesdetectados por los sensores de Symantec en la región. Este resultado probablemente se explicapor el alto nivel de actividad de los ataques que se originan generalmente en los Estados Unidos,como lo fue también la fuente principal de origen de los ataques a las redes a nivel mundial, con 22por ciento de ese total. También ocupó el primer lugar en actividad malintencionada global, con 19por ciento. Estados Unidos también ocupó el primer lugar a nivel mundial de equipos infectados porbots y gran parte de la actividad de ataques dirigida a la región LAM habría sido llevado a cabo através de estas redes bot.Equipos Infectados con Bots en LAM por PaísContextoEsta métrica mide los países de origen que infectan equipos con bots en América Latina (LAM) en2010. Los equipos infectados con bots o bots son programas que se instalan secretamente en elequipo de un usuario con el fin de permitir a un atacante controlar el sistema atacado de maneraremota a través de un canal de comunicación, como Internet Relay Chat (IRC), P2P o HTTP. Estoscanales permiten al atacante remoto controlar un gran número de equipos atacados ocomprometidos mediante un canal único y confiable en un botnet, que luego puede utilizarse paralanzar ataques coordinados.Los bots permiten una amplia gama de funcionalidades y la mayoría puede actualizarse paraasumir nuevas funciones mediante la descarga de funciones y códigos. Los atacantes pueden usarbots para realizar diversas tareas, como la configuración de ataques de negación de servicio (DoS)contra el sitio Web de una organización, la distribución de ataques de spam y phishing, ladistribución de spyware y adware, la propagación de códigos maliciosos y la recolección deinformación confidencial desde computadoras afectadas, lo cual puede conducir a gravesconsecuencias económicas y legales.En los equipos infectados con bots los atacantes usan un modelo descentralizado de comando ycontrol (C&C) porque son difíciles de desactivar y permiten a los atacantes ocultarse en pleno sitioen medio de grandes cantidades de tráfico no relacionado que se produce en los mismos canalesde comunicación. Lo más importante es que las operaciones de los botnets pueden ser lucrativaspara sus controladores porque los bots son baratos y relativamente fáciles de propagar. Por
  5. 5. ejemplo, Symantec observó un anuncio en un foro clandestino en 2010 que promovía una botnet(red de bots) de 10,000 bots por US$15 dólares. (El anuncio no estipulaba si el costo era porcompra o alquiler).MetodologíaUn equipo infectado con bots es considerado activo un día determinado si realiza por lo menos unataque ese día. Su actividad no tiene que ser continua; por el contrario, un solo equipo puede estaractivo días diferentes. Otro equipo infectado por bots es un equipo distinto que estuvo activo por lomenos una vez durante el período.Las actividades del equipo infectado por bots que Symantec rastrea, se pueden clasificar comoataques activos a bots o bots que envían spam (es decir, zombis de spam) o bots que se utilizanpara campañas DoS.Computadoras Infectadas por Bots en América Latina 2009-2010Fuente: Symantec Corporation,2011ComentarioBrasil sigue teniendo más de la mitad de equipos infectados con bots en la región LAM con 56 porciento del total regional. Se trata de un aumento con respecto al 2009, cuando Brasil tambiénocupó el primer lugar en esta categoría con 54 por ciento del total regional. A nivel mundial en2010, Brasil ocupó el quinto lugar con 8 por ciento del total mundial. Una de las razones para esteporcentaje de computadoras infectadas por bots en Brasil es que es una gran fuente de infecciónde botnets.LAM es fuente de un porcentaje relativamente alto de bots a nivel mundial ya que la regiónrepresentó el 15 por ciento de todos los equipos infectados por bots detectados a nivel mundial, locual se debe probablemente al alto porcentaje de bots en Brasil, lo que contrasta con el hecho deque la región LAM tiene menos del 10 por ciento de la población mundial y más del 10 por cientode la proporción global de usuarios de Internet.Principales Muestras de Códigos Maliciosos Detectados enAmérica LatinaContextoEsta métrica evalúa las principales muestras de códigos maliciosos en la región de América Latina(LAM) en 2010. Symantec analiza muestras de códigos malintencionados nuevas y existentes paradeterminar qué tipos de amenazas y vectores de ataque se emplean con mayor frecuencia. Esta
  6. 6. información también permite a los administradores y usuarios familiarizarse con las amenazas quelos atacantes utilizan para sus ataques. Información sobre las nuevas tendencias de desarrollo delas amenazas puede ayudar a reforzar las medidas de seguridad y mitigar futuros ataques.MetodologíaPara determinar las principales muestras de códigos maliciosos, Symantec clasifica cada muestracon base en el volumen de fuentes únicas de infecciones potenciales observadas durante elperíodo reportado.Principales Muestras de Códigos Maliciosos en América LatinaFuente: Symantec Corporation,2011ComentarioLa principal muestra de códigos maliciosos por volumen de posibles infecciones en LAM en 2010fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para que lafamilia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010.Descubierto en 2008, Sality.AE ha sido una parte importante del panorama de amenazas desdeentonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en2009. La simplicidad de propagarse a través de dispositivos USB y otros medios de comunicaciónhace que códigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalarcódigos maliciosos adicionales en los equipos.Aprenda más sobre Sality.AE
  7. 7. El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvosignificativa atención en 2009 debido a sus sofisticados atributos y eficacia.A pesar de la versión de un parche para la vulnerabilidad el 23 de octubre de 2008 (es decir, antesde que Downadup estuviera incluso activo), se estimó que el gusano todavía se encontraba enmás de 6 millones de computadoras en todo el mundo a finales de 2009. Aunque este númerodisminuyó durante 2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs afinales de ese año. Este gusano fue la muestra de códigos malintencionados que ocupó el primerpuesto en la región en 2009.Aprenda sobre Downadup (alias, Conficker)Países de Origen del Spam Generado por Botnets en AméricaLatinaContextoEn esta sección se describen los principales países que originaron spam mediante botnets enAmérica Latina (LAM) en 2010. Los botnets pueden identificarse por patrones SMTP y en laestructura de encabezados de correo electrónico. En el análisis, los mensajes de spam seclasifican análisis según el botnet que lo origina durante la fase de la transacción SMTP. Esteanálisis sólo revisa los botnets involucrados en el envío de spam y no considera botnets utilizadospara otros fines, como fraude financiero o ataques DoS.MetodologíaLos honeypots de spam de Symantec recolectaron entre 30 y 50 millones mensajes de spamdiariamente en 2010. Estos se clasifican de acuerdo a una serie de reglas heurísticas aplicadas ala conversación SMTP y a la información del encabezado de los correos electrónicos. Una variedadde listas de reputación de IP interna y externa también se utiliza para clasificar el tráfico de botnetsconocidos con base en la dirección fuente IP del remitente. La información es compartida con otroslíderes del sector para garantizar que los datos estén actualizados y sean precisos.Principales Fuentes de Spam Generado por Botnets en América LatinaFuente: Symantec Corporation,2011
  8. 8. ComentarioEn 2010, el 17 por ciento de todo el spam de botnets detectado a nivel mundial por Symantec seoriginó en la región América Latina. Dentro de la región, Brasil ocupó el primer lugar con 41 porciento del spam originado. La alta tasa de spam de los botnets originado en Brasil probablementeobedece al alto porcentaje de zombis de spam ubicados allí, puesto que Brasil ocupó el primerlugar en zombis de spam en la región LAM y, más significativamente, a nivel mundial en 2010. Laprominencia de botnets grandes y dominantes en Brasil contribuye al alto ranking en spam debotnets. Brasil es una poderosa fuente de equipos infectados por bots comparado con importantesbotnets que envían mensajes de spam, como Rustock, Maazben y Ozdok (Mega-D). Rustock fueresponsable de casi la mitad del spam mundial de botnets enviado a finales de 2010. ###Acerca del Informe sobre las Amenazas a la Seguridad en Internet de SymantecEl Informe sobre las Amenazas de Seguridad en Internet (ISTR por sus siglas en inglés) se derivade datos recopilados por decenas de millones de sensores de Internet, investigación de primeramano y monitoreo activo de comunicaciones de hackers, y proporciona una visión global del estadode seguridad en Internet. El período del estudio del Volumen XVI del Informe abarca de enero de2010 a diciembre de 2010.Más detalles sobre el ISTR XVI están disponibles en: www.symantec.com/la/ginAcerca de Security Technology and ResponseLa organización de Security Technology and Response (STAR), que incluye Symantec SecurityResponse, es un equipo mundial de ingenieros de seguridad, analistas de amenaza einvestigadores que ofrecer el soporte, contenido y funcionalidad subyacente para todos losproductos de seguridad de consumo y corporativos de Symantec. Con centros de respuestaubicados en todo el mundo, STAR monitorea informes de códigos malintencionados de más de 130millones de sistemas en Internet, recibe datos de 40,000 sensores de red en más de 200 países yrastrea más de 25,000 vulnerabilidades que afectan más de 55,000 tecnologías de más de 8,000proveedores. El equipo utiliza esta gran inteligencia para desarrollar y ofrecer la protección deseguridad más completa del mundo.Acerca de SymantecSymantec es líder mundial en soluciones de seguridad, almacenamiento y administración desistemas que ayudan a las empresas y consumidores a proteger y administrar su información.Nuestro software y servicios protegen contra más riesgos, en más puntos y de manera máscompleta y eficiente, generando confianza en donde quiera que la información se utilice o guarde.Más información está disponible en www.symantec.com/la

×