Professional Documents
Culture Documents
TREND MICRO LEGAL DISCLAIMER The information provided herein is for general information and educational purposes only. It is not intended and should not be construed to constitute legal advice. The information contained herein may not be applicable to all situations and may not reflect the most current situation. Nothing contained herein should be relied on or acted upon without the benefit of legal advice based on the particular facts and circumstances presented and nothing herein should be construed otherwise. Trend Micro reserves the right to modify the contents of this document at any time without prior notice. Translations of any material into other languages are intended solely as a convenience. Translation accuracy is not guaranteed nor implied. If any questions arise related to the accuracy of a translation, please refer to the original language official version of the document. Any discrepancies or differences created in the translation are not binding and have no legal effect for compliance or enforcement purposes. Although Trend Micro uses reasonable efforts to include accurate and upto-date information herein, Trend Micro makes no warranties or representations of any kind as to its accuracy, currency, or completeness. You agree that access to and use of and reliance on this document and the content thereof is at your own risk. Trend Micro disclaims all warranties of any kind, express or implied. Neither Trend Micro nor any party involved in creating, producing, or delivering this document shall be liable for any consequence, loss, or damage, including direct, indirect, special, consequential, loss of business profits, or special damages, whatsoever arising out of access to, use of, or inability to use, or in connection with the use of this document, or any errors or omissions in the content thereof. Use of this information constitutes acceptance for use in an as is condition.
Contents
Introduccin..........................................................................................................1 Resultados de la encuesta de pases de la OEA ................................................ 2 Tendencias detectadas.................................................................................. 3 Tendencias generales.............................................................................. 3 Preocupaciones sobre los sistemas de control industrial........................ 5 Informes de los pases sobre delincuencia ciberntica................................. 7 Tendencias de la delincuencia ciberntica en Chile................................ 7 Tendencias de la delincuencia ciberntica en Colombia......................... 7 Tendencias de la delincuencia ciberntica en Jamaica........................... 8 Tendencias de la delincuencia ciberntica en Mxico............................. 8 Tendencias de la delincuencia ciberntica en Panam........................... 8 Anlisis de inteligencia sobre amenazas globales de Trend Micro...................... 9 Malware.........................................................................................................9 Spam............................................................................................................12 URLs maliciosos..........................................................................................13 Actividades clandestinas.................................................................................... 13 Robos bancarios en lnea y uso de crimeware ........................................... 13 PiceBOT.......................................................................................................17 Situacin de la seguridad ciberntica en las Amricas...................................... 19 Polticas gubernamentales de seguridad ciberntica.................................. 20 Estudios de casos........................................................................................21 Argentina...............................................................................................21 Colombia...............................................................................................22 Jamaica.................................................................................................22 Mxico...................................................................................................23 Panam.................................................................................................23 Conclusin..........................................................................................................24 El estado de las respuestas gubernamentales a la delincuencia ciberntica............................................................................... 24 El estado del uso del internet....................................................................... 26 El estado del panorama de las amenazas................................................... 26 El estado del panorama de los ataques....................................................... 27 El estado de la delincuencia ciberntica clandestina................................... 27 Recomendaciones................................................................................................. 28 Referencias........................................................................................................28
NOTA: La informacin y los argumentos que se expresan en el presente informe no necesariamente reflejan los puntos de vista oficiales de la Organizacin de los Estados Americanos o de los gobiernos de sus Estados miembros.
Introduccin
En un mundo interconectado, es necesario buscar un equilibrio entre disfrutar la comodidad que ofrecen las tecnologas de la informacin y minimizar las oportunidades que su uso les ofrece a los delincuentes cibernticos, quienes pueden, por ejemplo, difundir amenazas complejas explotando los populares dispositivos mviles y las aplicaciones en la nube para infiltrarse en blancos de alto valor y han convertido el espacio ciberntico en un medio para victimizar al pblico. Durante todo 2012, las tendencias de las actividades cibernticas ilcitas en todo el mundo demostraron cmo algunas amenazas antes desconocidas haban evolucionado hasta volverse omnipresentes y convertirse en un peligro para todo tipo de usuarios del internet. El uso de herramientas como el Blackhole Exploit Kit, los sistemas de transferencia automtica y el ransomware se dispar, junto con el empleo de mejores estrategias de ingeniera social, tcnicas de evasin y tcticas de amedrentamiento.1 La muy difundida historia de la apropiacin de una nueva tecnologa para fines nefastos resurgi en 2012, cuando las amenazas mviles adquirieron dimensiones espectaculares y aumentaron a un ritmo mucho ms acelerado que el que afect a las computadoras normales.2 El nmero de aplicaciones maliciosas para Android creci de mil a ms de 350.000 en el transcurso de un solo ao. Los incidentes cibernticos han puesto de manifiesto la importancia de mantenerse al da con respecto a las tendencias globales de la delincuencia ciberntica, en especial en lo que toca al uso de aparatos mviles y dispositivos personales de cmputo. Los especialistas en seguridad informtica y los analistas de amenazas cibernticas deben producir, entonces, a partir de promedios globales, estadsticas especficas a organizaciones, industrias o regiones, a fin de determinar las mejores formas para proteger la informacin confidencial que resguardan. Si no se producen estos anlisis especficamente focalizados de las amenazas, los datos crticos se distorsionarn e impedirn que los pases y las empresas diseen e implementen polticas y capacidades tcnicas de seguridad ciberntica eficaces, con lo que los ciudadanos seguirn siendo vulnerables. El conocimiento de que se dispone sobre el panorama general de las amenazas cibernticas y las respuestas de los gobiernos en Amrica Latina y el Caribe es incompleto. Gran parte de lo que se conoce sobre el panorama de las amenazas cibernticas en la regin se basa en informes noticiosos espordicos y sin fundamentos slidos. Algunas fuentes sealan que el malware bancario fue el problema de delincuencia ciberntica ms importante en 2011, mientras que otras acusan como los mayores culpables a los programas maliciosos de propsitos mltiples que afectaron a los routers en Amrica Latina en mayor escala que en cualquier otra parte del mundo.3 La divergencia entre los distintos puntos de vista demuestra que se requieren datos ms especficos para diagnosticar con precisin las amenazas que acosan a nuestros ciudadanos.
1 http://www.trendmicro.de/media/misc/blackhole-exploit-kit-research-report-en.pdf; http://www. trendmicro.com.br/cloud-content/us/pdfs/security-intelligence/white-papers/wp_automating_ online_banking_fraud.pdf; http://www.trendmicro.com/cloud-content/us/pdfs/securityintelligence/white-papers/wp_police_trojan.pdf; http://www.trendmicro.com/cloud-content/us/ pdfs/security-intelligence/white-papers/wp-police-ransomware-update.pdf http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-evolvedthreats-in-a-post-pc-world.pdf http://blog.trendmicro.com/trendlabs-security-intelligence/latin-america-router-compromisingmalware-found/
2 3
PAGE 1 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
En colaboracin con Trend Micro Incorporated, la Organizacin de los Estados Americanos (OEA) y su Secretara de Seguridad Multidimensional (SMS) desea compartir este informe para ilustrar las tendencias en seguridad y delincuencia ciberntica en Amrica Latina y el Caribe. La informacin que aqu se presenta se recab a travs mtodos tanto cuantitativos como cualitativos, a partir de datos extrados de una encuesta entre los gobiernos de los Estados miembros de la OEA, as como de un anlisis minucioso de inteligencia de las amenazas mundiales de honeypots y datos aportados por clientes y recogidos por Trend Micro. Excepto cuando se seala lo contrario, las figuras y cuadros emplean datos recopilados por Trend Micro. Los anlisis y conclusiones del presente informe cubren solamente a aquellos pases que participaron en la encuesta de la OEA.
PAGE 2 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Este estudio tambin sufri limitaciones por la falta de una terminologa definida y homognea. En el anlisis de los datos qued claro que la frase incidente ciberntico no se entiende ni se aplica uniformemente en toda la regin, y cae fuera del alcance de este estudio exhortar a los Estados a integrar sus respectivas definiciones. Algunos gobiernos interpretan los incidentes cibernticos como cualquier informe o queja enviado a un equipo nacional de respuesta, mientras que otros son ms estrictos en su clasificacin. Algunos resultados de la encuesta entre los Estados incluyeron incidentes contra los sectores pblico y privado, as como contra usuarios finales y el sector acadmico. Otros solamente incluyeron informacin relacionada con las redes gubernamentales, mientras que otros ms solo describieron incidentes cibernticos que involucraron a uno o dos ministerios clave. A pesar de las deficiencias que plantean los matices en taxonoma o clasificacin, este informe ofrece una oportunidad para que los gobiernos presenten sus experiencias tanto positivas como negativas, con la esperanza de que estas permitan a las partes interesadas relevantes obtener una mejor comprensin de lo que est ocurriendo en la regin y lo que falta por hacer.
Tendencias detectadas
Tendencias generales
En 2012, los gobiernos observaron un aumento general en la frecuencia de los incidentes cibernticos en comparacin con 2011, incluso cuando los datos cuantitativos definitivos eran incompletos o no estaban disponibles. El mnimo incremento evaluado en los incidentes cibernticos durante el perodo de 2011 a 2012 registrado por un gobierno fue de entre el 8% y el 12%, mientras que en el extremo superior otros dos pases registraron un incremento del 40%. La mayor parte de los gobiernos citaron aumentos en algn punto dentro de esta escala, aunque es interesante observar que varios informaron que, en trminos globales, se detectaron menos incidentes. Adems de poner de relieve la diversidad de definiciones de los trminos relacionados con la seguridad ciberntica, la interpretacin y el anlisis de los datos recopilados arroj luz sobre otras consideraciones importantes. Varios gobiernos aclararon que las cifras proporcionadas no necesariamente reflejaban cambios reales en la frecuencia de los ataques, sino mejoras en la vigilancia de sus redes y mayor capacitacin de su personal, lo que les permiti a las organizaciones detectar ms violaciones de los sistemas y otras actividades cibernticas ilcitas. Es interesante que aquellos pases donde los CSIRT nacionales se establecieron recientemente registraran algunos de los incrementos ms significativos en los incidentes que manejaron. Esto reforz la nocin de que todo el tiempo haba habido ataques, pero que sencillamente no se descubrieron o no se documentaron. Tambin cabe resaltar el hecho de que la mayor parte de los Estados no diferencian entre el tipo o la gravedad de los incidentes cibernticos que registran. Esto plantea una deficiencia en los datos analizados, en vista de la variedad de consecuencias potenciales de los distintos tipos de incidentes o ataques: un ataque complejo y de gran escala a una infraestructura nacional crtica probablemente tendr mayores repercusiones que la profanacin de un sitio web gubernamental. Los datos en que s se especificaron los tipos de ataques generalmente se presentaron en forma conjunta, aunque en el caso de algunos sitios hemos podido desplegar las frecuencias de los distintos tipos o la gravedad de los ataques sufridos. Una CISRT nacional incipiente, por ejemplo, seal que manej 45 incidentes en 2012 y que solamente consider uno de ellos un caso prioritario.
PAGE 3 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Obviamente, los incidentes cibernticos incluidos en los informes de los gobiernos de los Estados miembros de la OEA representan solamente una fraccin del nmero total de incidentes y otras formas de delincuencia ciberntica que se llevan a cabo en la regin. Pero sigue siendo sencillamente imposible en este momento recopilar datos que permitan obtener una imagen verdaderamente exhaustiva y detallada de la extensin de todos estos incidentes y actividades en las Amricas y el Caribe, o en cualquier otro sitio. Como ya dijimos, el intercambio de informacin dentro de los gobiernos incluso aquellos con la capacidad ms avanzada en materia de seguridad ciberntica sigue quedando corto, en gran parte debido a las realidades prcticas de que mltiples organizaciones tengan que responder simultneamente a una gama de amenazas y blancos en constante evolucin. Y muchas empresas privadas y otras entidades no gubernamentales siguen mostrndose reacias a reportar ataques o violaciones. Contabilizar el nmero de incidentes que afectan a los ciudadanos individuales plantea un desafo incluso mayor, en vista del porcentaje incluso ms alto de ellos que pasan desapercibidos y no se reportan. Por ltimo, la falta de colaboracin generalizada y persistente entre las partes interesadas en todos los niveles dificulta todava ms recoger informacin sobre violaciones de datos. Las consecuencias netas de todos estos factores son una conciencia menos que adecuada del problema y la continua vulnerabilidad de redes y sistemas de informacin crticos. El hactivismo, o el haqueo por motivos polticos, recibi amplia atencin de los medios de comunicacin en 2012, y la informacin suministrada por los Estados miembros sugiere que esta forma de incidentes cibernticos verdaderamente est aumentando en la regin. Dos pases reportaron campaas coordinadas de ataques cibernticos como respuesta a iniciativas legislativas para fortalecer la aplicacin de leyes de derechos de autor y reformar cdigos tributarios. En ambos casos, conforme se acercaba la ratificacin de los respectivos proyectos de ley, los foros de hackers se saturaron con planes para emprender ataques cibernticos de gran escala contra infraestructuras gubernamentales excepto si se vetaban los proyectos de ley. Ambos CSIRTs nacionales recibieron advertencias previas de los ataques inminentes, gracias a lo cual lograron mantener los daos al mnimo. Las investigaciones de estos dos incidentes no fueron concluyentes; una de ellas no arroj pruebas enjuiciables y la otra se estanc a la larga, cuando se enfriaron las pistas iniciales. Es interesante observar que en algunos casos estas campaas de hactivismo generaron beneficios imprevistos. En dos de los pases que contribuyeron a este informe, grupos no identificados amenazaron con lanzar ataques contra mltiples instituciones gubernamentales. En uno de estos pases amenazados, este fue su primer caso de advertencia explcita de haqueo por motivos polticos. Las amenazas motivaron a ambos gobiernos a implementar planes de accin para mitigar y responder a ataques potenciales. Aunque los incidentes en cuestin nunca se materializaron plenamente, s provocaron una mayor colaboracin entre las partes interesadas clave, entre ellas las agencias policacas, los proveedores de servicios de internet (ISP) y un operador de infraestructura. La informacin que proporcionaron los Estados miembros seala que la capacidad que se obtuvo y las lecciones aprendidas de la planeacin y, en algunos casos, la respuesta proactiva ante estos incidentes se han convertido en un motor central para aumentar la resiliencia ciberntica nacional de esos pases.
PAGE 4 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Tambin se reportaron otras importantes tendencias en la seguridad ciberntica. En por lo menos un pas se detect spyware en servidores de las fuerzas policiales. Numerosos Estados suministraron informacin que sugiere que los sindicatos tradicionales de la delincuencia organizada han recurrido cada vez ms al internet para obtener y lavar fondos, lo cual concuerda bastante bien con las tendencias que se observan a nivel mundial. Un pas inform que ms del 80% de los delitos investigados en 2012 involucraron algn aspecto de delincuencia electrnica o el uso ilcito de tecnologas de la informacin. Y aunque las tecnologas de la informacin y las comunicaciones pueden no ser todava el principal vehculo para la mayora de los delitos, ciertamente han pasado a formar parte integral de todas las investigaciones, lo que destaca la necesidad de instrumentos legislativos adecuados, investigadores y fiscales capacitados y una mayor cooperacin internacional en materia ciberntica. A pesar de su mayor visibilidad, el hactivismo no sustituy a los beneficios pecuniarios como la motivacin primaria que subyace al haqueo y al uso ilcito del internet en la regin. Los hackers siguieron buscando datos personales y financieros y alimentando los mercados negros en lnea en todo el mundo. Sin embargo, es imposible medir con precisin en trminos cuantitativos el impacto y las prdidas econmicas que caus el haqueo en las Amricas y el Caribe en 2012. La cifra es extraordinariamente alta, muy probablemente superior a las prdidas provocadas por cualquier otra forma de delincuencia, incluido el narcotrfico.
PAGE 5 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
En 2012, 51 proveedores de la comunidad de seguridad de sistemas de control industrial registraron 171 vulnerabilidades en diversos sistemas de control industrial expuestos al internet, y el problema es especialmente agudo en las Amricas. Al analizar los dos tipos de sistemas de control industrial ms populares en la regin, Trend Micro concluy que muchos de estos dispositivos estaban conectados al internet.
1,000 932
Number of Internet-Facing SCADA and VxWorks Devices in the Americas and the Caribbean
Fuente: http://www.shodanhq.com/
Aunque el uso de sistemas de control industrial conectados al internet no es peligroso en s, muchos de los sistemas que se muestran en la Figura 1 no tenan proteccin por contrasea ni mantenan actualizados los parches de seguridad ms recientes, lo cual los dejaba expuestos a ataques. Un estudio realizado por Trend Micro indic que los sistemas de control industrial conectados al internet sufren ataques diariamente. Los datos demuestran que en un lapso de 28 das se registr un total de 39 ataques de 14 pases distintos. De estos 39 ataques, 12 fueron nicos y podran clasificarse como focalizados, mientras que 13 fueron repetidos por varios de los mismos agentes en el transcurso de varios das y podran considerarse focalizados o automatizados.4
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-whosreally-attacking-your-ics-equipment.pdf
PAGE 6 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Me x Arg ico ent Col ina om bia P Ven eru ezu ela Chi Ecu le a Gu dor ate ma la C Dom uba inic B an olovia Rep ubl ic Hai Hon ti du Par ras agu El S a alv y Nic ador ara Cos gua ta Pue Rica rto R Pan ico a Uru ma gua y
Number of SCADA devices Number of VxWorks devices
PAGE 7 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Unauthorized login attempts DoS attacks Phishing attacks Fraudulent information use incidents SQL injection attacks Web defacement attacks Spam runs Unauthorized information disclosure incidents XSS attacks Other unauthorized access attempts
PAGE 8 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Los casos de phishing (6%), uso fraudulento de informacin (4%), inyeccin de SQL (4%), spamming (6%), divulgacin de informacin no autorizada (7%), uso de XSS (4%) y otros intentos de acceso no autorizado (4%) completaron el grfico de ataques. La mayora de los incidentes en Panam se registraron durante el tercer trimestre de 2012. Las autoridades relacionan este hecho con la introduccin de la Ley 510 en agosto, con la que se intent ampliar los mecanismos de aplicacin jurdica contra violaciones de derechos de autor y que produjo respuestas ruidosas y muy publicitadas de hactivistas. A estos incidentes cibernticos se vincularon informes de las autoridades panameas en el sentido de que los centros de servicio al cliente con frecuencia tenan ms acceso del necesario a la informacin personal de sus clientes, situacin que expone innecesariamente a las personas a amenazas internas. Los centros de servicio tambin con frecuencia estaban expuestos a ataques de DDoS, lo que complica los riesgos para la informacin delicada, que a menudo tambin se almacena en forma precaria. Panam cit la falta de especialistas forenses digitales y de respuesta a incidentes calificados como el principal obstculo en la lucha contra la delincuencia ciberntica. Las autoridades culpan de muchos incidentes cibernticos a la falta de conciencia a gran escala, incluso despus de las investigaciones, pues muchas veces se determin que los ataques eran evitables. Esto se debe al hecho de que los usuarios del internet se resisten a aprender sobre seguridad ciberntica, pues consideran que los hbitos de computo seguros son demasiado complejos o tcnicos para aprenderlos bien. Aunque varias instituciones financieras difundieron materiales educativos, estas actividades estuvieron mal coordinadas y las campaas de sensibilizacin pequeas no lograron el impacto deseado. Para combatir las actitudes laxas hacia la seguridad en el uso del internet, el gobierno est planeando actualmente ms iniciativas de sensibilizacin en 2013.
PAGE 9 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Los 10 principales programas maliciosos en las Amricas y el Caribe en el primer trimestre de 2012
PAGE 10 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Los 10 principales programas maliciosos en las Amricas y el Caribe en el segundo trimestre de 2012
Los 10 principales programas maliciosos en las Amricas y el Caribe en el tercer trimestre de 2012
PAGE 11 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Los 10 principales programas maliciosos en las Amricas y el Caribe en el cuarto trimestre de 2012
Spam
El volumen mundial de spam (o correos basura) se ha ido reduciendo desde 2011 debido a enormes desmantelamientos de botnets y otras operaciones policiales relacionadas con este tipo de mensajes de correo. Sin embargo, falta mucho para que el volumen de spam toque fondo. En 2012, entre los pases de Amrica Latina y el Caribe cubiertos por este informe, el principal pas originador de spam fue Mxico, seguido por Argentina y Colombia. Desglose de pases originarios de spam en Amrica Latina y el Caribe (sin incluir a Brasil)
PAGE 12 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
URLs maliciosos
El hospedaje de sitios maliciosos es un grave problema en las Amricas y el Caribe. Los dos principales pases originarios de spam tambin ocupan los primeros lugares en la lista de pases que albergaron el mayor nmero de URLs maliciosos. Colombiapas que ocup el tercer lugar en envo de spam fue reemplazado por Chile en la lista de principales alojadores de URLs maliciosos. Desglose de pases que hospedan URLs maliciosos en Amrica Latina y el Caribe (sin incluir a Brasil)
Actividades clandestinas
Robos bancarios en lnea y uso de crimeware
El robo bancario en lnea se ha reportado ampliamente en Amrica Latina. Estas actividades tienen caractersticas distintivas, que dependen del pas o banco al que estn orientadas y de la naturaleza de las medidas de autentificacin y seguridad que protegen sus datos financieros.
PAGE 13 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Los delincuentes cibernticos constantemente han encontrado formas de socavar las medidas de seguridad bancaria en cuanto se mejoran o actualizan, lo que convierte en una tarea especialmente difcil y en continua evolucin mantener la seguridad de las redes financieras. Si un banco emplea un mecanismo simple de autentificacin que implica solamente un nombre de usuario y una contrasea, se utilizan dispositivos de registro de teclado para obtener acceso. Los bancos que usan sistemas de contraseas de un solo uso se inyectan con secuencias de comandos de sistemas de transferencia automatizados que ocultan las transacciones ilcitas.6 Al igual que los sistemas de transferencia automatizados, tambin se usan objetos de ayuda del explorador contra sistemas complejos que implementan autentificacin de dos o tres factores. Estas tcnicas demuestran el ingenio de los delincuentes cibernticos, que para cada avance en la seguridad bancaria en lnea encuentran una forma igualmente innovadora para evadirlo. La mayora de los paquetes de crimeware sofisticados utilizan troyanos populares de banca en lnea derivados de la familia de paquetes delictivos de la familia de BANCOS. El software malicioso BANCOS a menudo funciona como los rootkits, eliminando los componentes de seguridad en las computadoras vctimas que usan para obtener acceso a cuentas bancarias. Aunque estos kits se han utilizado ampliamente durante aos, apenas se empezaron a considerar como una amenaza significativa en las Amricas y el Caribe debido a la laxitud de la seguridad y a la falta de conciencia.7
TSPY_QHOST.AFG finge ser un componente de un plug-in de un sitio bancario legtimo para introducirse en las computadoras de las vctimas.
TSPY_QHOST.AFG es un ejemplo de un troyano de BANCOS. / A diferencia de la mayora de las cepas, no solamente cambia el archivo host de una computadora infectada, sino que adems utiliza funciones avanzadas singulares para evitar la deteccin de los programas de eliminacin de malware.
6 7
PAGE 14 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Los delincuentes cibernticos en las Amricas y el Caribe tambin utilizan cambiadores del Sistema de Nombres de Dominio (DNS) y troyanos de acceso remoto (RAT). Cambian las configuraciones del proxy o aaden informacin al archivo host para violar los sistemas de banca en lnea. Las herramientas que acabamos de describir se transmiten con mayor frecuencia incrustando vnculos maliciosos en mensajes de correo spam o en sitios web convincentes de phishing.
Cybercriminal Underground
El desmantelamiento a gran escala de botnets en todo el mundo en los ltimos aos, incluido el de Esthost en 2011, han obligado a los delincuentes cibernticos a modificar sus tcticas.8 Ahora se esfuerzan por configurar sus propios servidores en centros de datos en todo el mundo en lugar de usar servidores secuestrados para hospedar sus infraestructuras, herramientas de spam y otros componentes operativos para comando y control. Evitan registrar nombres de host o dominios para sus servidores y usan solamente direcciones del Protocolo de Internet (IP) para evitar ser indexados por los motores de bsqueda, como Google. En contraste con la preferencia por servidores pagados y de proxy que manifiestan los delincuentes en Europa Oriental, los de Amrica Latina prefieren usar servicios de hospedaje gratuitos.9 El software malicioso, los servidores de comando y control, las pginas de phishing y otros contenidos maliciosos que emplean los delincuentes cibernticos en Amrica Latina a menudo se alojan en Dot TK u otros sitios de hospedaje gratuito en la web con sede en Europa Oriental. Los delincuentes cibernticos aprovechan los servicios que ofrecen lapsos de evaluacin gratuita para registrar dominios maliciosos y robar informacin de los usuarios. Con ello no solamente obtienen acceso durante una semana cuando mucho, sino que tambin pueden ocultar pruebas y encubrir su huella digital. Los paquetes de crimeware y los datos que roban a menudo se comercian y comparten en sitios de redes sociales. Orkut, y no Facebook, es el mercado lder en Amrica Latina.
8 9
http://blog.trendmicro.com/trendlabs-security-intelligence/esthost-taken-down-biggestcybercriminal-takedown-in-history/ http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russianunderground-101.pdf
PAGE 15 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Son frecuentes los mensajes en Orkut que ofrecen diversos productos de software para actividades ilcitas en Amrica Latina. Al igual que en muchas regiones, los servidores de Internet Relay Chat (IRC), los foros de hackers y otros canales se usan para comprar y vender informacin sobre tarjetas de crdito, paquetes de crimeware y dems informacin de identificacin personal.
Tambin son comunes en los foros los mensajes relacionados con actividades de delincuencia ciberntica
PAGE 16 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
En contraste con las normas mundiales, los delincuentes cibernticos en Amrica Latina usan servicios de transferencia de dinero comunes para pagar los bienes y servicios de los delincuentes cibernticos. Puesto que esto puede conducir a su identificacin por parte de las autoridades, los delincuentes cibernticos contratan mulas para llevar a cabo las transacciones. Adems, sistemas como Webmoney se estn usando mucho ms ampliamente, como lo comprueba la creciente colaboracin internacional entre los delincuentes cibernticos que operan en Amrica Latina y en Europa Oriental. Cybercriminal Business Model in Latin America
Affected users personal credentials are stolen Mules get part of the payment while the rest goes to carders; mules can get products in exchange for receiving payments, too
Carders sell stolen user data on forums, IRC channels, and social networking sites
PiceBOT
Los delincuentes cibernticos en los Estados miembros de la OEA estn teniendo cada vez mayor xito en el diseo y la construccin a la medida de sus propios paquetes de crimeware. En diciembre de 2012 se introdujo en Amrica Latina PiceBOT, un nuevo equipo de crimeware con un costo de US$140. El malware asociado con PiceBOT que fue producido en la regin roba informacin financiera de usuarios desprevenidos. PiceBOT anunci una nueva era de sofisticacin en las amenazas cibernticas en las Amricas y el Caribe. El software malicioso se producir cada vez ms en casa y se usar contra los gobiernos, el sector privado y los ciudadanos. La mayor prevalencia de equipos de crimeware que emplean nuevos cdigos maliciosos significa que ahora ms que nunca los sistemas de seguridad tendrn que luchar para mantenerse actualizados, identificar y parchar vulnerabilidades y en general seguirles el ritmo a los delincuentes cibernticos.
PAGE 17 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
PAGE 18 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
10 Se alcanzaron algunos acuerdos en un taller de capacitacin en materia de delito ciberntico y seguridad ciberntica para el Caribe en agosto de 2012, as como durante la reunin de la Comisin de Seguridad Hemisfrica del Consejo Permanente de la OEA sobre Preocupaciones especiales de seguridad de los pequeos estados insulares del Caribe en 2013.
PAGE 20 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
El reciente reconocimiento de las vulnerabilidades en la infraestructura crtica ha instado a varios Estados miembros de la OEA a adoptar iniciativas orientadas a fortalecer la seguridad de sus sistemas de control industrial. Argentina, por ejemplo, ser en 2013 el primer pas latinoamericano sede de una Conferencia Meridian sobre proteccin de infraestructuras crticas.11 El desarrollo de una estrategia nacional por parte de Panam tambin hizo hincapi en la importancia de proteger sistemas de control industrial importantes, en especial aquellos que en caso de verse comprometidos pueden tener efectos negativos a escala global. Mxico tambin ha reconocido los graves riesgos que plantean las amenazas a los sistemas de control industrial y ha apoyado la capacitacin especializada para muchos de sus tcnicos en respuesta a incidentes. Estos tres pases son solamente algunos de los que estn actuando para asegurar los crecientemente importantes pero todava vulnerables sistemas de control industrial en la regin. Muchos otros estn analizando medidas tcnicas o de poltica para proteger su infraestructura ms importante.
Estudios de casos
Argentina
El gobierno argentino estableci la Oficina Nacional de Tecnologas de Informacin (ONTI) para evaluar y poner en marcha un sistema de modernizacin y uso eficiente de los recursos digitales. A travs de esta Oficina se estableci en 2005 el Equipo de Respuesta ante Emergencias Informticas (ArCERT), que hizo de Argentina uno de los primeros pases en Amrica Latina en operar un CSIRT nacional. Los primeros esfuerzos se enfocaron en la inclusin digital y el acceso universal y en la sensibilizacin sobre seguridad ciberntica. Para mitigar las amenazas emergentes a los sistemas de control industrial, en 2012 Argentina cre el ICIC Programa Nacional de Infraestructuras Crticas de Informacin y Ciberseguridad, al que se le ha encargado especficamente la proteccin de la infraestructura crtica del pas.
11 https://www.meridian2012.org/pages/the-conference
PAGE 21 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
La ONTI est trabajando actualmente en el segundo borrador del Plan Nacional de Ciberseguridad y Proteccin de Infraestructura Crtica 2013-2015. Este plan se basa en cuatro pilares: sensibilizacin, proteccin de los activos digitales, promocin de la comprensin judicial y acadmica de la seguridad de la informacin y la infraestructura de informacin crtica y fomento de alianzas de seguridad duraderas entre el gobierno, las empresas y las organizaciones de la sociedad civil.
Colombia
A mediados de febrero de 2012, Colombia encabez la operacin Unmask, una operacin multinacional dirigida a desmantelar una banda transnacional de delincuentes cibernticos y hactivistas, que se integr como respuesta a ataques persistentes contra infraestructura crtica en Chile y Colombia. Esta operacin se caracteriz por depender de la colaboracin entre equipos de respuesta a incidentes y cuerpos policiales de Argentina, Chile, Colombia y Espaa. De hecho, se llevaron a cabo redadas simultneamente en 40 sitios en 15 ciudades distintas. En total, la operacin Unmask condujo al arresto de 25 delincuentes y al decomiso de 250 dispositivos informticos, junto con numerosas tarjetas de crdito y efectivo producto de robos.12 En 2011, Colombia adopt una estrategia integral de ciberseguridad y ciberdefensa conocida como el CONPES 3701. Los aspectos tcnicos de la ciberseguridad y la ciberdefensa del CONPES estn a cargo de tres instituciones: El Centro Ciberntico Policial (CCP), responsable de asegurar la integridad de las redes policiales y de la sociedad civil y que mantiene una vigorosa capacidad de investigacin. El Comando Conjunto Ciberntico (CCOC), una unidad militar que responde a ataques contra los bienes militares de la nacin. El colCERT, la entidad coordinadora a nivel nacional que supervisa todos los aspectos de la ciberseguridad y la ciberdefensa. Colombia solicit recientemente su adhesin a la Convencin sobre la Delincuencia Ciberntica del Consejo de Europa y espera unirse a este tratado en 2013, lo que complementar su poltica y sus avances tcnicos con un conjunto robusto de legislacin sobre delincuencia ciberntica.
Jamaica
En 2012, Jamaica revis su legislacin sobre delincuencia ciberntica, ampli la capacidad de la Unidad de Comunicacin Forense y Delincuencia Ciberntica (CFCU) de la polica jamaiquina y avanz en el establecimiento formal de un CSIRT. La CFCU demostr sus capacidades tcnicas e investigativas cuando se encarg de la investigacin y detencin de un hacker de alto perfil que haba atentado contra la infraestructura crtica del pas. Para conservar la paridad con las amenazas emergentes, esta unidad mantiene un laboratorio digital forense slido que constantemente se audita y actualiza. El Ministerio de Ciencia, Tecnologa, Energa y Minera jamaiquino ha encabezado los esfuerzos del gobierno para mejorar su estrategia y su poltica de seguridad ciberntica. En 2012, este Ministerio supervis la creacin del Grupo de Trabajo de Seguridad Ciberntica Nacional, que comprende a todas las dependencias gubernamentales correspondientes y otras partes interesadas.
12 http://www.interpol.int/News-and-media/News-media-releases/2012/PR014
PAGE 22 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Mxico
El gobierno mexicano tena inicialmente una sola unidad en la Secretara de Seguridad Pblica encargada de responder a las amenazas cibernticas. La mayor frecuencia de los incidentes cibernticos impuls la creacin de una nueva Coordinacin para la Prevencin de Delitos Electrnicos. Esta Coordinacin es responsable del manejo de las respuestas a incidentes cibernticos, la investigacin de delitos electrnicos, el anlisis de pruebas digitales, la proteccin de la infraestructura crtica y las respuestas a amenazas digitales que pudieran afectar la integridad de redes crticas. Adems se cre el Equipo Nacional Especializado Nacional de Respuesta a Incidentes Cibernticos para aumentar la capacidad de respuesta gubernamental a estos incidentes. Los tcnicos de este equipo son altamente calificados y se les imparte capacitacin continua para asegurar su conocimiento de las herramientas y tcnicas de haqueo emergentes. Este grupo monitorea y protege los activos digitales del gobierno federal.
Panam
En marzo de 2013, Panam adopt oficialmente su Estrategia Nacional de Seguridad Ciberntica y Proteccin de Infraestructuras Crticas, con lo que se uni a Colombia como el nico pas latinoamericano con un plan integral de seguridad ciberntica. Esta estrategia se basa en seis pilares: 1. Asegurar la privaca y la confianza en el uso de las tecnologas de la informacin y las comunicaciones. 2. Eliminar el uso ilcito de las tecnologas de la informacin y las comunicaciones. Ensuring continuity of critical infrastructures. 3. Asegurar la continuidad de la infraestructura crtica.Promoting a culture of cybersecurity. 4. Desarrollar normas de seguridad ciberntica benvolas para la industria. 5. Promover una cultura de seguridad ciberntica. 6. Proteger las redes estatales. La estrategia se implementar gradualmente a travs de 43 tareas o procesos especficos, que incluyen el desarrollo de una campaa nacional de sensibilizacin a gran escala y la creacin de CSIRTs para sectores especficos. Panam tambin present una solicitud formal para adherirse al Convenio de Budapest sobre el Cibercrimen del Consejo de Europa.
PAGE 23 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Conclusin
Estamos viviendo actualmente un perodo decisivo en materia de seguridad ciberntica. Las noticias sobre incidentes cibernticos de gran escala llenan los informes diarios y se estn convirtiendo cada vez ms en objeto de deliberaciones polticas y augurios apocalpticos. Nuestro mayor temorde que ataques cibernticos arrasen con la infraestructura o generen caos y depresin econmica afortunadamente no se ha hecho realidad todava. Pero es necesario hacer ms para seguirles el ritmo a quienes se proponen explotar las vulnerabilidades digitales. En las Amricas y el Caribe, las personas necesitan tomar nota de la forma en que utilizan el internet y asegurarse de adoptar todas las precauciones posibles para proteger sus datos y sus aparatos contra abusos. El internet es un bien compartido, y la seguridad ciberntica es una responsabilidad compartida, lo que significa que es necesario que los individuos adquieran un sentido de propiedad y pongan en prctica buenos hbitos de seguridad en lnea. La dependencia de las tecnologas de la informacin y las comunicaciones seguramente seguir creciendo incesantemente. Por lo tanto, es necesario que los gobiernos adopten las medidas pertinentes para proteger y asegurar sus infraestructuras crticas iniciando o promoviendo continuamente planes y legislacin sobre seguridad ciberntica, aumentando la cooperacin internacional y obteniendo la participacin de todas las partes interesadas pertinentes, incluido el sector privado. Los datos recogidos por la OEA y por Trend Micro han llevado a conclusiones en cinco mbitos principales: El estado de las respuestas gubernamentales a la delincuencia ciberntica El estado del uso del internet El estado del panorama de las amenazas El estado del panorama de los ataques El estado de la delincuencia ciberntica clandestina
PAGE 24 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Latinoamrica sigue enfrentando restricciones presupuestales, y los planes de gastos a menudo no contemplan grandes inversiones en aspectos como la seguridad informtica. Los fondos se invierten con mayor frecuencia en aspectos de seguridad propiamente dicha, aunque esto probablemente cambiar conforme los riesgos cibernticos vayan planteando cada vez ms amenazas contra el bienestar fsico y econmico y la estabilidad de los gobiernos. En cualquier caso, es importante observar que a pesar de las limitantes presupuestales, los pases pueden dar grandes pasos en materia de seguridad ciberntica. Uruguay, por ejemplo, estableci un CSIRT robusto y desarroll capacidad general de seguridad ciberntica con recursos financieros mnimos. Otros pases han estudiado e implementado programas de sensibilizacin eficientes en trminos de costos para educar a sus ciudadanos. Es asombrosa la cantidad de software gratuito de seguridad ciberntica a que tienen acceso los pases, aunque no siempre logran aprovechar las oportunidades. La escasez de conocimientos especializados y experiencia prctica necesarios para implementar iniciativas tcnicas podra atribuirse a las bajas tasas de matrcula en programas de formacin tcnica. La falta de expertos calificados en las Amricas significa que los pases prcticamente se estn ahogando en un mar inservible de software libre de seguridad ciberntica y materiales educativos. Algunos pases experimentan esta deficiencia ms que otros, pero este problema podra mitigarse mediante cooperacin internacional. La OEA seguir promoviendo las redes y facilitando el intercambio de prcticas ptimas y conocimientos profesionales dentro y entre sus Estados miembros. Asegurando el flujo de informacin, los pases pueden seguir aadiendo valor a sus capacitaciones y lecciones aprendidas. Dentro del contexto de estas deficiencias, los pases estn luchando para sensibilizar a sus ciudadanos y estn enfrentando dificultades para mantener el impulso en la implementacin de soluciones tcnicas y de poltica para los problemas de seguridad ciberntica. Algunos gobiernos no tienen un acervo centralizado de informacin sobre incidentes cibernticos. Algunos no tienen capacidad para responder a incidentes. Incluso los que ya han dado algunos pasos adelante experimentan problemas con el intercambio de informacin entre ministerios y departamentos. Esta realidad se vio repetidamente en las encuestas de la OEA a los gobiernos. Pero los pases estn avanzando en la direccin correcta. Los casos de xito de que hemos hablado resaltan solamente unas cuantas iniciativas que han adoptado recientemente los Estados miembros. La conciencia sobre la seguridad ciberntica est aumentando da a da, y los gobiernos se estn esforzando para mejorar sus instrumentos de poltica. No obstante, queda mucho trabajo por hacer para seguirles el ritmo a quienes tratan de corromper redes crticas y abusar del intercambio de informacin personal.
PAGE 25 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
13 http://stopthinkconnect.org/
PAGE 26 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Las tcnicas y los programas maliciosos nuevos estn permitindoles a los atacantes acometer contra sistemas de control industrial y otras infraestructuras crticas. De hecho, el nmero de ataques contra servicios, bancos, plantas purificadoras de agua y otros proveedores de servicios esenciales va en aumento. Se ha detectado mediante exploraciones que muchos sistemas de control industrial estn conectados al internet y son vulnerables a ataques cibernticos. Los operadores de infraestructura crtica tienen que aplicar normas y polticas que den cuenta de su seguridad, dado el importante papel que desempean sus servicios en la sociedad. La proteccin de los sistemas de control industrial plantea problemas particulares, pues la cuestin de las alianzas pblico-privadas a menudo est vinculada inextricablemente con la infraestructura crtica. Nuevamente, esto refuerza la necesidad de que todos los sectores y las partes interesadas clave permanezcan involucrados y colaboren en asuntos de seguridad ciberntica. Los delincuentes cibernticos no enfrentan problema alguno para el intercambio informacin ni para colaborar a travs de distintos idiomas y fronteras; es necesario que nos esforcemos por ser como ellos.
PAGE 27 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Recomendaciones
A partir de las observaciones de los Estados miembros de la OEA y de los datos recogidos por Trend Micro pueden formularse tres recomendaciones: 1. Aumentar la conciencia sobre los hbitos cibernticos y la sensibilidad general hacia la seguridad ciberntica entre los usuarios finales, los operadores de infraestructuras crticas y los funcionarios gubernamentales. Esto dificultar que los delincuentes cibernticos perpetren ataques que han sido comunes contra estos tres grupos. La sensibilizacin puede ser una de las maneras ms baratas y eficaces de minimizar los riesgos a la seguridad ciberntica y cerrar las brechas de seguridad que siguen estando totalmente abiertas. 2. Invertir y promover la matriculacin en programas de formacin tcnica. La proteccin de redes gubernamentales y privadas requiere conocimientos tcnicos difciles de adquirir a corto plazo. Junto con las campaas de sensibilizacin en las escuelas, las instituciones acadmicas necesitan esforzarse ms para atraer estudiantes hacia los itinerarios formativos en ciencias informticas y seguridad informtica. Esto asegurar que se disponga de un gran acervo de candidatos calificados del cual extraer a los profesionales que se requerirn para cubrir el nmero creciente de carreras profesionales en seguridad informtica. 3. Seguir fortaleciendo los mecanismos de poltica para asignar funciones y responsabilidades gubernamentales relacionadas con la seguridad ciberntica y codificar mecanismos de intercambio de informacin y cooperacin. Esta labor se ha iniciado ya, pero es hora de que todos los Estados reflexionen estratgicamente sobre cmo desarrollarn sus regmenes de seguridad ciberntica, hacia dnde enfocarn sus esfuerzos y cmo convertirn sus visiones en realidades.
Referencias
http://about-threats.trendmicro.com/malware.aspx?language=au&name=TSPY_ QHOST.AFG http://blog.trendmicro.com/trendlabs-security-intelligence/esthost-taken-downbiggest-cybercriminal-takedown-in-history/ http://blog.trendmicro.com/trendlabs-security-intelligence/latin-america-routercompromising-malware-found/ http://blog.trendmicro.com/trendlabs-security-intelligence/new-crimeware-in-bancosparadise/ http://latinamericacurrentevents.com/head-of-major-credit-card-cloning-ring-arrestedin-colombia/18040/ http://stopthinkconnect.org/ http://www.interpol.int/News-and-media/News-media-releases/2012/PR014 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rptevolved-threats-in-a-post-pc-world.pdf
PAGE 28 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp_automating_online_banking_fraud.pdf http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp_blackhole-exploit-kit.pdf http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp-police-ransomware-update.pdf http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp_police_trojan.pdf http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp-russian-underground-101.pdf http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/ wp-whos-really-attacking-your-ics-equipment.pdf https://www.meridian2012.org/pages/the-conference
PAGE 29 | Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas de los gobiernos
Disclaimer The contents of this publication do policies of the OAS or contributory organizations. Aviso importante Los contenidos de esta publicacin no de vista de la OEA o de alguna de las organizaciones contribuyentes.
Secretary General Jos Miguel Insulza Assistant Secretary General Albert R. Ramdin Secretary for Multidimensional Security Adam Blackwell
Latin American and Caribbean Cybersecurity Trends and Government Responses Tendencias en la Seguridad Ciberntica en Amrica Latina y el Caribe y Respuestas de los Gobiernos
Executive Secretary of the Inter-American Committee against Terrorism CICTE Neil Klopfenstein Editors Brian Dito Belisario Contreras Tom Kellermann
OAS Secretariat for Multidimensional Security / Secretara de Seguridad Multidimensional de la OEA 1889 F Street, N.W., Washington, D.C., 20006 United States of America
www.oas.org/cyber/
TREND MICRO Trend Micro Incorporated, a global cloud security leader, creates a world safe for exchanging digital information with its Internet content security and threat management solutions for businesses and consumers. A pioneer in server security with over 20 years experience, we deliver top-ranked client, server, and cloud-based security that fits our customers and partners needs; stops new threats faster; and protects data in physical, virtualized, and cloud environments. Powered by the Trend Micro Smart Protection Network infrastructure, our industry-leading cloud-computing security technology, products and services stop threats where they emerge, on the Internet, and are supported by 1,000+ threat intelligence experts around the globe. For additional information, visit www.trendmicro.com.
TREND MICRO INCORPORATED 10101 N. De Anza Blvd. Cupertino, CA 95014 U.S. toll free: 1 +800.228.5651 Phone: 1 +408.257.1500 Fax: 1 +408.257.2003 www.trendmicro.com
2013 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.