Professional Documents
Culture Documents
de 2014 de Cisco
Resumen ejecutivo
El problema de la confianza
La explotacin de la confianza es un modo frecuente de operacin para los atacantes en lnea
y otros actores malintencionados. Ellos se aprovechan de la confianza que tienen los usuarios
en sistemas, aplicaciones, y las personas y los negocios con los que interactan regularmente.
Y este enfoque funciona: existe amplia evidencia de que los adversarios estn ideando nuevos
mtodos para integrar su malware en las redes y permanecer sin que se los detecte durante
largos perodos, mientras roban datos o desbaratan sistemas crticos.
Mediante el uso de mtodos que varan desde el robo con ingeniera social de contraseas
y credenciales hasta infiltraciones sigilosas y ocultas a simple vista que se ejecutan en
minutos, los actores malintencionados continan vulnerando la confianza pblica con el fin de
lograr consecuencias perjudiciales. Sin embargo, el problema de la confianza va ms all de
los delincuentes que explotan las vulnerabilidades o se aprovechan de los usuarios a travs de
ingeniera social: debilita la confianza en organizaciones tanto pblicas como privadas.
Las redes actuales enfrentan dos maneras de deterioro de la confianza. La primera es una
disminucin de la confianza de los clientes en la integridad de los productos. La segunda
es abundante evidencia acerca de que los actores malintencionados estn
venciendo los mecanismos de confianza, lo que cuestiona la eficacia
de la red y la seguridad de las aplicaciones, la autenticacin y las
Los actores
arquitecturas de autorizacin.
maliciosos continan
Descubrimientos clave
A continuacin se presentan tres hallazgos clave del Informe anual de seguridad de 2014 de Cisco:
Los ataques contra infraestructura estn dirigidos a recursos significativos a travs de Internet.
L as explotaciones malintencionadas estn ganando acceso a servidores de alojamiento web, servidores de
nombres y centros de datos. Esto sugiere la formacin de berbots que buscan alta reputacin y activos ricos
en recursos.
L os errores de bfer son una amenaza principal, en el 21% de las categoras de amenazas de Common Weakness
Enumeration (CWE).
L os hallazgos de malware se estn moviendo hacia la fabricacin de productos electrnicos y los sectores de
agricultura y minera en aproximadamente seis veces la tasa promedio de hallazgos en los mercados verticales
del sector.
Los actores malintencionados estn usando aplicaciones de confianza para explotar las brechas en la seguridad
perimetral.
El correo electrnico no deseado sigue su tendencia descendente, aunque la proporcin de correo electrnico no
deseado malintencionado permanece constante.
J ava comprende el 91% de las explotaciones web; el 76% de las compaas que usan servicios de Cisco Web
Security ejecutan Java6, una versin descontinuada y sin soporte.
Los ataques watering hole estn dirigidos a sitios web especficos, relacionados con el sector, a fin de distribuir
malware.
Las investigaciones de empresas multinacionales muestran evidencia de compromiso interno. El trfico sospechoso
emana de sus redes e intenta conectarse a sitios cuestionables (el 100% de las empresas estn llamando a hosts de
malware malintencionados).
L os indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante perodos
prolongados.
Las alertas de amenazas aumentan un 14% de un ao a otro; estn surgiendo alertas nuevas (no alertas actualizadas).
E l 99% de todo el malware mvil en 2013 estuvo dirigido a dispositivos Android. Los usuarios de Android tambin
tienen la tasa ms alta de hallazgos (71%) con todas las maneras de malware basado en la web.
Sector
En esta seccin, los investigadores de Cisco Security
Intelligence Operations (SIO) elevan el debate en torno a
las tendencias del sector que se extienden ms all de la
telemetra de Cisco, pero que an as afectan las prcticas
de seguridad: desde intentos de inicio de sesin por fuerza
bruta, actividad de DDoS a gran escala y esfuerzos de
ransomware hasta la creciente dependencia de la nube, falta
de personal calificado en seguridad y otras preocupaciones.
Recomendaciones
Las organizaciones estn enfrentando una superficie de
ataque ms amplia, la creciente proliferacin y sofisticacin
de los modelos de ataque, y mayor complejidad dentro de
la red. Muchos se estn esforzando por solidificar una visin
de seguridad respaldada por una estrategia efectiva que
use nuevas tecnologas, simplifique su arquitectura y sus
operaciones, y fortalezca sus equipos de seguridad.
En esta seccin se describe cmo un modelo de seguridad
centrado en amenazas permite a los defensores abordar la
secuencia completa de los ataques, a travs de todos los
vectores de ataque, y responder en cualquier momento,
todo el tiempo, de manera continua: antes, durante y
despus de un ataque.
Contenido
Confianza.. . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Nuevas maneras de hacer negocios, nuevas brechas de seguridad................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Erosin de la confianza.. . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Principales desafos de seguridad para 2014.. ........................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sistemas transparentes y confiables.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Sector.. . . . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Intentos de inicio de sesin por fuerza bruta, una tctica preferida para vulnerar sitios web. . . . . . . . . . . . . . . . . . . . . . . . 54
Ataques de DDoS: lo antiguo vuelve a ser nuevo..................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
La escasez de personal calificado en seguridad y la brecha de soluciones.. ....... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
La nube como un nuevo permetro.. ................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Recomendaciones.. . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Objetivos para 2014: verificar la confiabilidad y mejorar la visibilidad. . ............... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Apndice.. . . . . . . . . . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Las organizaciones de seguridad necesitan cientficos de datos. . .................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Software recomendado
Confianza
Todas las organizaciones deben estar preocupadas por encontrar
el equilibrio adecuado de confianza, transparencia y privacidad,
porque es mucho lo que est en juego.
Confianza
10
Confianza
una declaracin, o ambos con sus campaas. En el medio estn los resellers y mantenedores
de infraestructuras: los intermediarios. En la parte superior se hallan los innovadores
tcnicos, los jugadores principales ms buscados por las autoridades encargadas del orden
pblico, y que ms difcil resulta encontrar.
Por lo general, los ciberdelincuentes modernos tienen objetivos comerciales claros cuando lanzan
sus ataques. Saben qu informacin estn buscando y qu resultados desean obtener, y conocen
la ruta que deben tomar para alcanzar estos objetivos. Los adversarios dedicarn una importante
cantidad de tiempo en investigar a sus vctimas, con frecuencia a travs de informacin disponible
pblicamente en redes sociales, y en planificar estratgicamente sus objetivos.
La jerarqua de ciberdelincuentes
Innovadores
de servicios
Resellers/mantenedores de infraestructura
11
Confianza
Erosin de la confianza
Las amenazas diseadas para aprovechar la confianza que
tienen los usuarios en sistemas, aplicaciones, y las personas y
los negocios que conocen constituyen, hoy en da, elementos
permanentes del mundo ciberntico.
Examine casi cualquier esquema y, en el centro, encontrar cierto abuso de confianza:
malware enviado a usuarios que navegan legtimamente sitios web convencionales. Correos
electrnicos no deseados que parecen enviados por empresas muy conocidas, pero que
contienen vnculos a sitios malintencionados. Aplicaciones mviles de terceros vinculadas
con malware y descargadas de populares catlogos de soluciones en lnea. Personas de una
organizacin que tienen privilegios de acceso a informacin confidencial y los usan para robar
propiedad intelectual de los empleados.
Todos los usuarios deben suponer que es probable que nada del mundo ciberntico sea de
confianza. Y los profesionales de seguridad pueden hacerle un favor a sus organizaciones al
no confiar en ningn trfico de red3, o no teniendo plena fe en las prcticas de seguridad de
los proveedores o las cadenas de suministro que proporcionan tecnologa a
la empresa. Sin embargo, las organizaciones en los sectores pblico
y privado, los usuarios individuales, e incluso los estados nacin
querrn asegurarse de que pueden confiar en las tecnologas
Los usuarios
fundamentales en las que confan todos los das.
deberan suponer
Esta necesidad de confianza en la seguridad ha permitido
que no se puede ni debe
promover el avance de los Criterios comunes (Common
Criteria for Information Technology Security Evaluation), el
confiar en nada en el
lenguaje y el marco que permite que los organismos estatales
mundo ciberntico.
y otros grupos definan los requisitos que deben cumplir los
productos tecnolgicos para garantizar que sean confiables.
Hoy, 26pases, incluido Estados Unidos, estn participando en
el Acuerdo de Reconocimiento de Criterios Comunes (Common
Criteria Recognition Arrangement), un acuerdo multilateral que proporciona el
reconocimiento mutuo de los productos evaluados por parte de los gobiernos que participan.
Sin embargo, en 2013, la confianza en general sufri un revs. El catalizador: Edward
Snowden. El excontratista del Gobierno de EE.UU. filtr informacin secreta al peridico
britnico The Guardian; esta informacin la obtuvo mientras trabajaba en una misin para la
Agencia Nacional de Seguridad (NSA) de EE.UU.4
12
Confianza
Las revelaciones de Snowden a los medios hasta la fecha incluyen detalles acerca de la
vigilancia electrnica de la NSA y del programa de recoleccin de datos, PRISM5, as como
tambin de un programa separado de la NSA-GCHQ6 conocido como MUSCULAR, a travs
del cual supuestamente se interceptaban las redes de fibra ptica que transportan trfico de
los centros de datos en el extranjero de las principales empresas de Internet.7
Estas y otras revelaciones realizadas por Snowden acerca de las prcticas de vigilancia del
gobierno han minado la confianza en muchos niveles: entre estados nacin, entre gobiernos
y el sector privado, entre ciudadanos particulares y sus gobiernos, y entre ciudadanos
particulares y las organizaciones en los sectores pblico y privado. Naturalmente, tambin
han generado preocupaciones acerca de la presencia y los riesgos potenciales tanto de las
vulnerabilidades no intencionales como de las puertas traseras o backdoors intencionales en
los productos tecnolgicos, y acerca de si los proveedores estn haciendo lo suficiente para
evitar estas debilidades y proteger a los usuarios finales.
Principales desafos de
seguridad para 2014
[ Mientras se socava la confianza, y a medida que se vuelve ms
difcil definir qu sistemas y relaciones son confiables y cules
no, las organizaciones se enfrentan a varios problemas clave que
debilitan su capacidad para abordar la seguridad:
1 | Mayor rea de superficie de ataque
2 | Proliferacin y sofisticacin del modelo del ataque
3 | Complejidad de amenazas y soluciones ]
Estos problemas combinados crean y exacerban las brechas de seguridad, que permiten
que los actores malintencionados lancen explotaciones con ms rapidez de lo que las
organizaciones pueden abordar sus debilidades de seguridad.
Estos riesgos y amenazas se examinan con ms detalles en las pginas siguientes.
13
Confianza
FIGURA 2
Internet y
aplicaciones en la nube
Campus
Empresas
Red pblica
Permetro
Centro de datos
La ciberamenaza avanzada
traspasa la defensa perimetral
La amenaza se extiende e
intenta exfiltrar datos de valor
14
Confianza
15
Confianza
Las soluciones
de un momento dado
no pueden responder al
sinnmero de tecnologas
y estrategias que
utilizan los actores
maliciosos.
16
Confianza
El cambio hacia la movilidad y los servicios en la nube est imponiendo una carga mayor
de seguridad en los terminales y dispositivos mviles que, en algunos
casos, pueden no tocar nunca la red de la empresa. El hecho es
que los dispositivos mviles introducen riesgo de seguridad
cuando se usan para acceder a los recursos de la empresa;
Los dispositivos
se conectan fcilmente con servicios de terceros en la
mviles aportan riesgos
nube y computadoras con posturas de seguridad que son
potencialmente desconocidas y estn fuera del control
de seguridad cuando
de la empresa. Adems, el malware mvil est creciendo
se los utiliza para tener
rpidamente, lo que aumenta an ms el riesgo. Dada la falta
acceso a los recursos
de visibilidad siquiera bsica, la mayora de los equipos de
de la empresa.
seguridad de TI no cuentan con la capacidad para identificar
amenazas potenciales de estos dispositivos.
Los enfoques avanzados, como la capacidad continua,
desempearn un papel ms importante gracias a que abordan el malware
avanzado a travs del anlisis de los datos masivos que agregan datos y eventos en la red
ampliada para proporcionar una mayor visibilidad incluso despus de que se ha movido
un archivo a la red o entre terminales. Esto difiere de la seguridad en los terminales en un
momento dado que analiza archivos en un momento especfico inicial para determinar una
disposicin de malware. El malware avanzado puede evadir este anlisis para establecerse
rpidamente en los terminales y extenderse a travs de las redes.
Sistemas transparentes
y confiables
En vista de la mayor rea de superficie de ataque, la creciente
proliferacin y sofisticacin del modelo de ataque, y la complejidad
de las amenazas y soluciones, debemos confiar en la informacin
que consumimos, junto con los sistemas que la distribuyen, sin
importar cmo accedemos a los servicios en red.
La creacin de un entorno de red verdaderamente seguro se vuelve incluso ms compleja a
medida que los gobiernos y las empresas invierten en movilidad, colaboracin, computacin
en la nube y otras maneras de virtualizacin. Estas funcionalidades permiten mejorar la
17
Confianza
recuperabilidad, aumentar la eficiencia y reducir los costos, pero tambin pueden introducir
riesgos adicionales. La seguridad de los procesos de fabricacin que crean productos
de TI tambin est en riesgo, y los productos falsificados y alterados constituyen un
problema en aumento. Como resultado, la mayora de los lderes actuales de gobiernos y
empresas identifican los problemas de la ciberseguridad y la confianza asociada como las
preocupaciones principales. La pregunta que deberan hacer los profesionales de seguridad
es: Qu haramos diferente si supiramos que un compromiso fuera inminente?
Los actores maliciosos buscarn y explotarn cualquier debilidad de seguridad en la cadena
de abastecimiento tecnolgico. Las vulnerabilidades y puertas traseras intencionales en
productos de tecnologa pueden proporcionarles, en ltima instancia, el acceso a toda la
casa. Las puertas traseras han sido un problema de seguridad por mucho tiempo y deberan
ser una preocupacin para las organizaciones, porque existen solamente para ayudar a
facilitar la actividad furtiva o delictiva.
El desarrollo de sistemas confiables significa crear seguridad desde cero, desde el principio
hasta el final del ciclo de vida de un producto. Cisco Secure Development Lifecycle (CSDL)8
recomienda una metodologa repetible y medible diseada para
desarrollar la seguridad del producto en la etapa de concepto del
producto, minimizar las vulnerabilidades durante el desarrollo y
Los actores
aumentar la recuperabilidad de los productos ante un ataque.
maliciosos buscarn
y explotarn cualquier
debilidad de seguridad
en la cadena de
abastecimiento
tecnolgico.
Los sistemas confiables, sin embargo, no deben confundirse con la inmunidad a un ataque
externo. Los clientes de TI y los usuarios tienen un papel importante que desempear a fin de
mantener la eficacia de los sistemas confiables para rechazar los intentos de corromper sus
operaciones. Esto incluye la instalacin oportuna de actualizaciones y parches de seguridad, la
constante vigilancia para reconocer comportamientos anormales del sistema y la adopcin de
contramedidas eficaces contra los ataques.
18
Preocupaciones principales
para 2014 de los CISO
actuales
A medida que los jefes de seguridad
de la informacin (CISO) miden el
panorama de amenazas actual, se
enfrentan a una creciente presin de
proteger terabytes de datos, respetar
las estrictas normas de cumplimiento
y evaluar los riesgos de trabajar con
proveedores externos; todo esto con
presupuestos cada vez ms reducidos
y equipos de TI austeros. Los CISO
tienen que realizar ms tareas que
nunca antes y administrar amenazas
complejas y sofisticadas. Los
principales estrategas de seguridad
de los servicios de seguridad de
Cisco, quienes asesoran a los CISO
sobre los enfoques de seguridad para
sus organizaciones, proporcionan
esta lista de las preocupaciones y
desafos ms exigentes para 2014:
Administracin del cumplimiento
La preocupacin ms generalizada
entre los CISO probablemente sea
la necesidad de proteger los datos
que residen en una red cada vez
ms porosa, mientras que gastan
recursos valiosos en cumplimiento.
El cumplimiento por s mismo no
significa que es seguro, simplemente
es una lnea de base mnima que
se centra en las necesidades de
un entorno regulado especial.
Por otro lado, la seguridad es un
enfoque global que abarca todas las
actividades comerciales.
Confianza en la nube
Los CISO deben tomar decisiones
sobre cmo administrar la informacin
Contina en la pgina siguiente.
Confianza
19
Confianza
20
Inteligencia contra
amenazas
Mediante el conjunto ms grande de telemetra de deteccin con el
que es posible trabajar, Cisco y Sourcefire analizaron y recopilaron
conjuntamente las perspectivas de seguridad del ao pasado.
21
FIGURA 3
2013
2012
6000
2011
5000
2010
4000
3000
2000
1000
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Jul.
Mes
Ago.
Sep.
Oct.
Nov.
Dic.
22
FIGURA 4
320
Alertas
nuevas y actualizadas: 2013
1000
291
517
347
391
286
324
366
303
333
386
400
387
437
215
224
221
211
212
600
256
281
293
278
800
Nuevo
Alerta
de amenaza
200
Actualizado
Alerta
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
23
FIGURA 5
7
2
5
4
24
Descendi el volumen de
correo electrnico no deseado,
pero el correo electrnico no
deseado malintencionado sigue
siendo una amenaza
El volumen de correo electrnico no deseado se encontraba en
una tendencia mundial descendente en 2013. Sin embargo, si bien
el volumen total puede haber disminuido, la proporcin de correo
electrnico no deseado malintencionado permanece constante.
Los individuos que envan correo electrnico no deseado usan la velocidad como una
herramienta, para aprovecharse de la confianza de los usuarios de correo electrnico,
enviando grandes cantidades de correo electrnico no deseado cuando los eventos de
noticias o las tendencias disminuyen la resistencia de los destinatarios a las estafas de correo
electrnico no deseado.
Despus del atentado de la maratn de Boston del 15 de abril de 2013, comenzaron dos
campaas de correo electrnico no deseado a gran escala: una el 16 de abril y la otra el
17 de abril, diseadas para atraer a usuarios de correo electrnico vidos de noticias sobre el
impacto del evento. Los investigadores de Cisco primero detectaron
el registro de cientos de nombres de dominios relacionados con
Los spammers
el bombardeo a solo horas de que ocurrieran los ataques de la
maratn de Boston.11
(principales fuentes
Ambas campaas de correo electrnico no deseado
llevaban lneas de asunto acerca de supuestos boletines de
noticias relacionados con los bombardeos, mientras que
los mensajes contenan supuestos enlaces a videos de las
explosiones o noticias de fuentes de medios acreditados. Los
enlaces dirigan a los destinatarios a pginas web que incluan
enlaces a noticias o videos verdaderos, pero tambin iframes
de correo no deseado) se
aprovechan del deseo de
obtener ms informacin
despus de un suceso
importante.
25
26
FIGURA 6
FIGURA 7
27
FIGURA 8
140
120
100
80
60
40
20
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Jul.
Ago.
Sep.
Oct.
Mes
FIGURA 9
Volumen en porcentaje
25
20
Estados Unidos
Italia
Corea,
Repblica de
Espaa
China
15
10
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
28
FIGURA 10
1.
Notificaciones de
pagos/depsitos bancarios
2.
Compra de productos en lnea
3.
Fotografa adjunta
Fotografa maliciosa adjunta.
4.
Notificaciones de envo
5.
Citas en lnea
6.
Impuestos
7.
Facebook
8.
Tarjeta de regalo o vale
9.
PayPal
29
Explotaciones web:
Java lidera el grupo
De todas las amenazas basadas en la web que debilitan la
seguridad, las vulnerabilidades en el lenguaje de programacin
Java siguen siendo los objetivos explotados con ms frecuencia
por los delincuentes en lnea, de acuerdo con los datos de Cisco.
Las explotaciones de Java sobrepasan en gran medida las detectadas en documentos de
Flash o Adobe PDF, que tambin son vectores populares de actividad delictiva (Figura11).
Los datos de Sourcefire, ahora parte de Cisco, tambin muestran que las explotaciones de
Java constituyen la amplia mayora (91%) de los indicadores de compromiso (IoC) que son
supervisados por la solucin FireAMP de Sourcefire para anlisis y proteccin avanzados de
malware (Figura12). FireAMP detecta los compromisos activos en los terminales y, luego,
registra el tipo de software que provoc cada compromiso.
FIGURA 11
10%
Memoria flash
Java
8%
6%
4%
2%
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
30
Para amenazas como las explotaciones de Java, los problemas ms significativos que
enfrentan los profesionales de seguridad son cmo se introduce el malware en su entorno
de red y dnde debern centrar sus esfuerzos para minimizar la infeccin. Las acciones
individuales pueden no parecer malintencionadas, pero seguir una secuencia de eventos
puede arrojar luz sobre la historia del malware. Determinar la secuencia de eventos es la
capacidad para dirigir un anlisis retrospectivo de la informacin que conecta la ruta que
toman los actores malintencionados para traspasar la seguridad perimetral e infiltrar la red.
Por s solos, los IoC pueden demostrar que ir a un sitio web especfico es seguro. A su vez, el
lanzamiento de Java puede ser una accin segura, al igual que el lanzamiento de un archivo
ejecutable. Sin embargo, una organizacin est en riesgo si un usuario visita un sitio web
con una inyeccin de iframe, que luego lanza Java; a continuacin, Java descarga un archivo
ejecutable y el archivo ejecuta acciones malintencionadas.
FIGURA 12
2%
Microsoft Word
3%
Microsoft Excel
3%
Adobe Reader
91%
Vulnerabilidad de Java
1%
Microsoft PowerPoint
31
Si resulta prctico, deshabilitar Java en los navegadores de toda la red puede evitar que se
lancen estas explotaciones.
32
Sin embargo, la investigacin de Cisco TRAC/SIO tambin muestra que el 76% de las
empresas que usan soluciones de Cisco tambin usan Java6 Runtime Environment, adems
de Java7. Java6 es la versin anterior que se discontinu y ya no cuenta con soporte. Por lo
general, las empresas usan ambas versiones del entorno Java Runtime Environment porque
las diferentes aplicaciones dependen de diferentes versiones para ejecutar el cdigo Java. Sin
embargo, dado que ms de tres cuartos de las empresas encuestadas por Cisco usan una
solucin descontinuada y con vulnerabilidades que puede que nunca se revisen pblicamente,
los delincuentes tienen amplias oportunidades para explotar las debilidades.
En 2013, los hallazgos de malware web de Java llegaron a su punto mximo en abril, en el
14% de todos los hallazgos de malware web. Estos hallazgos descendieron a su punto ms
bajo en mayo y junio de 2013, en aproximadamente el 6% y el 5% de todos los hallazgos de
malware web, respectivamente (Figura13).
(A principios de este ao, Oracle anunci que ya no publicara actualizaciones de Java SE 6
en su sitio de descargas pblico, aunque las actualizaciones de Java SE 6 existentes estarn
disponibles en el archivo de Java en la red de tecnologa de Oracle).
Si los profesionales de seguridad que tienen tiempo limitado para combatir las explotaciones
web deciden centrar ms su atencin en Java, estarn colocando sus recursos en el lugar
adecuado.
FIGURA 13
6,50%
6,00%
4%
5,00%
7,50%
9,00%
6,75%
6%
7,50%
8%
9,50%
10%
6,25%
12%
12,25%
14,00%
14%
2%
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
33
BYOD y movilidad:
la maduracin de dispositivos
beneficia el ciberdelito
Los ciberdelincuentes y sus vctimas comparten un desafo comn:
ambos intentan entender cmo usar mejor las tendencias BYOD (Traiga
su propio dispositivo) y movilidad para obtener ventaja comercial.
Existen dos factores que parecen estar ayudando a los delincuentes a lograr una ventaja. En
primer lugar est la maduracin de las plataformas mviles. Los expertos de seguridad de
Cisco observan que cuanto ms se asemeja el funcionamiento de smartphones, tablets y
otros dispositivos al de los equipos de escritorio y las computadoras porttiles tradicionales,
ms fcil resulta disear malware para ellos.
En segundo lugar, el creciente uso de aplicaciones mviles. Cuando los usuarios descargan
aplicaciones mviles, bsicamente estn colocando un cliente ligero en el terminal y
descargando cdigo. Otro desafo: muchos usuarios descargan aplicaciones mviles con
regularidad sin pensar en la seguridad.
Mientras tanto, los equipos de seguridad actual estn lidiando
con el problema de cualquiera con cualquiera (any-to-any):
cmo asegurar a cualquier usuario, en cualquier dispositivo,
ubicado en cualquier, con acceso a cualquier aplicacin o
recurso.15 La tendencia BYOD no hace ms que complicar
estos esfuerzos. Resulta difcil administrar todos estos
tipos de equipos, especialmente con un presupuesto de TI
limitado. En un entorno BYOD, el gerente de seguridad de la
informacin (CISO), debe estar especialmente seguro de que la
sala de datos est controlada rigurosamente.
Muchos usuarios
descargan aplicaciones
mviles con frecuencia
sin pensar en la
seguridad.
34
Establecer un programa formal para administrar dispositivos mviles a fin de garantizar que
todos los dispositivos sean seguros antes de que accedan a la red es una solucin para
mejorar la seguridad de la empresa, de acuerdo con los expertos de Cisco. Como mnimo,
se debe requerir un bloqueo del nmero de identificacin personal (PIN) para la autenticacin
del usuario, y el equipo de seguridad debe ser capaz de desactivar o limpiar el dispositivo de
manera remota si se pierde o lo roban.
El malware
mvil que se dirige
a dispositivos especficos
solo constituye el 1,2%
del total de malware
web detectado
en 2013.
Sin embargo, no todo el malware mvil est diseado para dirigirse a dispositivos especficos.
Muchos hallazgos involucran phishing, likejacking u otros usos de ingeniera social, o
redireccionamientos forzosos a sitios web distintos de los esperados. Un anlisis de agentes de
usuario realizado por Cisco TRAC/SIO revela que los usuarios de Android, en el 71%, tienen las
tasas ms altas de hallazgos con todas las maneras de malware basado en la web, seguidos
por los usuarios de Apple iPhone, en el 14% de todos los hallazgos de malware web (Figura14).
Los investigadores de Cisco TRAC/SIO tambin informaron evidencia de esfuerzos por
rentabilizar los compromisos de Android durante 2013, incluidos los lanzamientos de adware y
spyware relacionado con pequeas y medianas empresas (SME).
En el 43,8%, Andr/Qdplugin-A fue el malware mvil hallado con ms frecuencia, de acuerdo
con la investigacin de Cisco TRAC/SIO. Los hallazgos tpicos se realizaron a travs de copias
reempaquetadas de aplicaciones legtimas distribuidas a travs de catlogos de soluciones no
oficiales (Figura15).
35
FIGURA 14
80%
60%
40%
20%
Windows CE
Kindle
Zune WP
Nook
Playstation
Motorola
Windows
Telfono
Huawei
iPod
Symbian
Nokia
BlackBerry
iPad
iPhone
Android
FIGURA 15
40%
30%
20%
10%
Andr/DroidRt-C
Trojan-SMS.AndroidOS.
Agent.ao
AndroidOS.
Wooboo.a
Andr/Gmaster-E
Andr/DroidRt-A
Trojan.AndroidOS.
Plangton.a
Andr/Spy-AAH
Andr/SMSSend-B
Andr/SmsSpy-J
Andr/NewyearL-B
Andr/Qdplugin-A
An
Tro
dr.
ja
98%
11%
14%
16%
Andr.SMSSend
10%
7%
6%
4%
4%
4%
4%
3%
r.Tr
oj a
xplo
els
l o i t.E
n.S t
r.E xp
r.Tro
ja
And
ndr
id
it.Ratc
p l o i t. A
A ndr.E x plo
B C. E x
And
Andr.Exploit.Gingerbreak
nserve
n.G
ein
nr.
imi
T
roj
An
a n.
dr.
Dro
Tro
An
id D
jan
d
rea
r
.A
An
.Tr
mL
dr d
o
d
j
igh
r
a
(2
.Tr
n.G
t
%
o
(2 ) A
j
o
a
%)
n d n. A l d d r
ea
An r.T
nd
m
r
r
dr
.Tr ojan orat
oj
.
a n Pj a
p
.Y
ZH p s
C
Ad
rojan.A
Andr.T
ak
O pf
.
n
ja
ix t y
(>1%
) An
dr.Tr
tCo
ts
m pa
tibl e
Push
ader
u eSP
.TG Lo
.Ro g
n.N o
ojan
r.Troj
an
dr.T
roja
(>1%
) An
ad
ck p o s
ojan.O B
(>1%)
A ndr.T
rojan. A
(>1%)
And
(>1%) A n
dr.Tr
(>1%) A ndr.Tr
ojan.Chuli
(>1%) Andr.Trojan.Badnews
keTimer
jan.G ones
min
.Fa
(>1%) Andr.Trojan
Tro
(1%) A ndr.
jan.K
ndr.Tro
(1%) A
on
.Zson
ank t
r ojan
ndr.T
dr.Tr
A
(1%)
An
(1%)
.Pl
ojan
And
oid
gF
.Tro
ndr
r
nD
n
Ku
36
Inteligencia contra amenazas
FIGURA 16
NOTA: SMSSend representa el 98% de todo el malware Android; el 2% restante se muestra proporcionalmente.
Fuente: Sourcefire
3%
3%
7%
37
Ataques dirigidos:
el desafo de desalojar
visitantes ubicuos y
persistentes
Son altas las probabilidades de que los ataques dirigidos ya se
hayan infiltrado en sus redes.
Y cuando realmente se alojan en el interior de una red, tienden a quedarse cerca, robar datos
furtivamente o usar los recursos de la red como trampoln para luego atacar a otras entidades
(para ms informacin sobre pivoting, consulte la pgina18). El dao va ms all del robo
de datos o la interrupcin de la actividad comercial: la confianza entre partners y clientes se
puede evaporar si estos ataques no se desalojan de las redes de manera oportuna.
Los ataques dirigidos amenazan la propiedad intelectual, los datos del cliente y la informacin
sensible del gobierno. Sus creadores usan herramientas sofisticadas que burlan la
infraestructura de seguridad de una organizacin. Los delincuentes hacen
todo lo posible para asegurarse de que estas violaciones pasen
desapercibidas y usan mtodos que derivan en indicadores de
compromiso o IoC casi imperceptibles. Su enfoque metdico
Los delincuentes
para obtener acceso a las redes y llevar a cabo su misin
hacen un gran esfuerzo
involucra una secuencia de ataque: la secuencia de eventos
previos a un ataque y que determinan sus fases.
para asegurarse de que
Una vez que estos ataques dirigidos encuentran un lugar
para ocultarse en la red, llevan a cabo sus tareas con eficacia,
y generalmente las realizan sin que se los detecte.
no se detecten sus
infracciones.
38
FIGURA 17
La secuencia de ataque
Para comprender la seleccin de amenazas actuales y defender con eficiencia la red, los profesionales de seguridad
de TI deben pensar como atacantes. Con una comprensin ms profunda del enfoque metdico que usan los
actores malintencionados para ejecutar su misin, las organizaciones pueden identificar maneras de fortalecer
sus defensas. La secuencia de ataque, una versin simplificada de la secuencia de ciberguerra (cyber kill chain),
describe los eventos previos a un ataque y que determinan sus fases.
1. Encuesta
2. Escribir
3. Prueba
4. Ejecutar
5. Cumplir la misin
39
Instantnea de malware:
tendencias observadas en 2013
Los expertos de seguridad de Cisco realizan investigaciones
y anlisis continuos del trfico de malware y otras amenazas
descubiertas, que pueden proporcionar perspectivas sobre el
posible comportamiento delictivo futuro y ayudar en la deteccin
de amenazas.
FIGURA 18
Gusano
4% 4%
Descargador
8%
Adware
Troyano
20%
Virus
64%
FIGURA 19
Spyeye (>1%)
3%
Hupigon
4%
Blackhole
7%
Gamevance
10%
Zeusbot
10%
Megasearch
11%
Syfro
14%
Multiplug
(Adware)
Onlinegames
41%
40
FIGURA 20
Sin clasificar
Otro
30%
25%
20%
15%
Negocios e industria
Infraestructura
Alojamiento web
Publicidad
Computadoras e Internet
Compras
Noticias
Motores de bsqueda y portales
Comunidades en Internet
10%
5%
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Jul.
Ago.
Sep.
Oct.
Nov.
Mes
FIGURA 21
3%
(1%)
SMS, suplantacin de identidad
(phishing) y likejacking
(1%)
Constructores
y herramientas de piratera
5%
Gusanos y virus
Ransomware
y scareware
17%
Descargador
e instalador de malware
22%
23%
iFrames
y exploits
27%
41
La investigacin de Cisco TRAC/SIO durante 2013 muestra que los troyanos multipropsito
fueron el malware basado en la web hallado con ms frecuencia, en el 27% del total de
hallazgos. Los scripts malintencionados, como explotaciones e iframes, fueron la segunda
categora que se hall con ms frecuencia, en el 23%. Los troyanos de robo de datos,
como los ladrones de contraseas y las puertas traseras, constituyen hasta el 22% del total
de hallazgos de malware web, y los troyanos descargadores e instaladores de malware se
encuentran en el cuarto lugar con el 17% del total de hallazgos (consultar la Figura21).
El descenso sostenido en los hosts de malware y las direcciones IP nicos un descenso del
30% entre enero de 2013 y septiembre de 2013 sugiere que el malware est concentrado en
menos hosts y menos direcciones IP (Figura22). (Nota: Una direccin IP puede servir a sitios
web de mltiples dominios). A medida que disminuye la cantidad de hosts incluso cuando el
malware permanece sin cambios, se vuelve ms importante el valor y la reputacin de estos
hosts, ya que los hosts buenos ayudan a los delincuentes a lograr sus objetivos.
FIGURA 22
nico
Host
50 000
nico
IP
40 000
30 000
20 000
10 000
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
42
Objetivos principales:
mercados verticales
del sector
Las empresas en mercados verticales
de grandes ganancias, como el sector
de productos farmacuticos y qumicos y
la fabricacin de productos electrnicos,
tienen altas tasas de hallazgos de malware
web, de acuerdo con la investigacin de
Cisco TRAC/SIO.
La tasa sube o baja a medida que aumenta o disminuye el valor
de los productos y servicios de un mercado vertical en particular.
Los investigadores de Cisco TRAC/SIO observaron un notable
crecimiento en los hallazgos de malware para el sector de
agricultura y minera, que anteriormente era un sector de riesgo
relativamente bajo. Atribuyen el aumento en los hallazgos
de malware para este sector a que los ciberdelincuentes
aprovechan las tendencias, como el descenso de los recursos
de metales preciosos y las interrupciones relacionadas con el
clima en el suministro de alimentos.
Adems, continan aumentando los hallazgos de malware
en el sector de los productos electrnicos. Los expertos de
seguridad de Cisco informan que el malware dirigido a este
mercado vertical generalmente est diseado para ayudar a los
actores a obtener acceso a propiedad intelectual, que a su vez
usan para obtener ventaja competitiva o venden al mejor postor.
Para determinar las tasas de hallazgo de malware
especficas de un sector, los investigadores de Cisco TRAC/
SIO comparan la tasa mediana de hallazgos para todas las
organizaciones que transmiten a travs de Cisco Cloud
Web Security con la tasa mediana de hallazgos para todas
43
100%
200%
300%
400%
500%
600%
700%
44
Fracturas en un
ecosistema frgil
Los ciberdelincuentes estn aprendiendo que aprovechar el poder
de la infraestructura de Internet genera muchos ms beneficios
que simplemente obtener acceso a computadoras individuales.
El nuevo giro en las explotaciones malintencionadas es la obtencin de acceso a servidores
de alojamiento web, servidores de nombres y centros de datos, con el objetivo de aprovechar
el tremendo poder de procesamiento y ancho de banda que estos proporcionan. A travs de
este enfoque, las explotaciones pueden alcanzar a muchos ms usuarios de computadoras
desprevenidos y tener un impacto mucho mayor en las organizaciones objetivo, ya sea que el
objetivo sea realizar una declaracin poltica, debilitar a un adversario o generar ingresos.
FIGURA 24
comprometido
Sitio web
comprometido
Sitio web
comprometido
Sitio web
comprometido
Sitio web
comprometido
Sitio web
Servidor host comprometido
45
poderosa que lo mantenga a flote, dice Gavin Reid, director de inteligencia contra amenazas
de Cisco. Mediante el compromiso de servidores de alojamiento y centros de datos, los
atacantes obtienen no solo acceso a grandes cantidades de ancho de banda, sino tambin el
beneficio de un tiempo de actividad continuo para estos recursos. ]
46
FIGURA 25
,5%
,5% Dinamarca
10%
1% Holanda
Irlanda
Reino Unido
3% Canad
58% Estados Unidos
1%
2%
Blgica
Francia
2% Espaa
9% Alemania
1%
,5% Chipre
Japn
,5% Turqua
,5%
Malasia
2% Italia
1% Suiza
,5% Otro
1% Lituania
2%
Tailandia
1%
Australia
2% Singapur
47
FIGURA 26
0,5% Apache/CentOS
2% Apache/2.2.8
7% Apache/2.2.22
8% Apache/2.2.3 RedHat
39% Apache-unspecified
48
iframes en sitios web alojados en el servidor afectado. Cualquier visitante que navegue
un sitio web afectado luego tendr contenido malintencionado enviado por otro sitio web
malintencionado, donde un juego de herramientas de crimeware intentar comprometer an
ms la PC del usuario.21
Una caracterstica exclusiva de Linux/CDorked es que rota a travs de los dominios de sitios
web en 24horas, en promedio. Menos sitios comprometidos se usan durante ms tiempo.
Por lo tanto, aunque se informe un dominio de malware, los atacantes ya
estarn en otro lugar. Adems, con Linux/CDorked, se cambian con
frecuencia los proveedores de alojamiento (aproximadamente cada
dos semanas), rotando a travs de los hosts comprometidos
para evitar detecciones. Los servidores de nombres
CDorked y DarkLeech
comprometidos en estos mismos proveedores de alojamiento
parecen ser parte de una
permiten que los actores malintencionados se muevan de
estrategia mucho ms
un host a otro sin perder el control de los dominios durante
la transicin. Una vez que se encuentran en un host nuevo,
amplia y mucho ms
los atacantes comienzan un ciclo de nuevos dominios,
compleja.
generalmente mediante el uso de nombres de dominio estilo
typosquatting22 en un intento por parecer legtimos para los
observadores ocasionales.
El anlisis de Cisco TRAC/SIO de los patrones de trfico con CDorked
sugiere enfticamente una conexin con DarkLeech. La direccin URL de referencia
codificada especialmente y empleada por CDorked denota especficamente trfico de
DarkLeech. No obstante, ese no es el giro ms interesante acerca del malware: tanto CDorked
como DarkLeech parecen ser parte de una estrategia mucho ms grande y compleja.
La sofisticacin de estos compromisos sugiere que los ciberdelincuentes han ganado
un control significativo sobre miles de sitios web y mltiples servidores de alojamiento,
incluidos los servidores de nombres empleados por estos hosts, dice Gavin Reid, director
de inteligencia contra amenazas de Cisco. Combinado con el reciente aluvin de ataques
de inicio de sesin por fuerza bruta a sitios web independientes, pareciera que estamos
evidenciando una nueva tendencia, en la que la infraestructura de la Web se utiliza para formar
lo que solo puede describirse como un gran (y muy poderoso) botnet. Este berbot se puede
utilizar para enviar correo electrnico no deseado, malware y lanzar ataques por DDoS en una
magnitud nunca antes vista.
49
(DNS) que se originaron dentro de las redes corporativas, los expertos en inteligencia contra
amenazas de Cisco observaron que, en todos los casos, las organizaciones evidenciaron
que sus redes se haban utilizado mal o perdieron su carcter confidencial (Figura 27). Por
ejemplo, la totalidad de las redes empresariales analizadas por Cisco presentaban trfico
hacia sitios web que alojan malware, mientras que el 92% muestra trfico hacia pginas web
sin contenido, que por lo general aloja actividad maliciosa. El 96% de las redes revisadas
evidenci trfico hacia servidores vulnerados. ]
Asimismo, Cisco detect trfico hacia sitios web militares o del gobierno en empresas que
habitualmente no hacen negocios con esas entidades, as como tambin el trfico a sitios
web de reas geogrficas de alto riesgo, como pases con prohibicin de hacer negocios con
Estados Unidos. Cisco ha observado que, por lo general, estos sitios pueden utilizarse debido
a la muy buena reputacin de la que gozan las organizaciones pblicas o gubernamentales.
Es posible que el trfico hacia estos sitios no sea un signo definitivo de riesgo, pero en el
caso de organizaciones que habitualmente no hacen negocios con el gobierno o las fuerzas
armadas, ese trfico podra indicar que delincuentes han vulnerado las redes y las estn
utilizando para infringir sitios web y redes del gobierno o militares.
50
A pesar de haber hecho su mejor esfuerzo para mantener sus redes libres de amenazas
maliciosas, todas las organizaciones examinadas por Cisco durante 2013 mostraron signos
de trfico sospechoso. El trfico identificado a travs de las bsquedas de DNS puede
proporcionar IoC slidos y merece una investigacin ms exhaustiva por parte de las
organizaciones que desean poner un freno a estas amenazas difciles de detectar en sus
redes. Es un mtodo de aumentar la visibilidad del movimiento delictivo que habitualmente es
muy difcil de localizar.
FIGURA 27
100%
Gobierno y militar
100%
Infraestructura asaltada
96%
92%
FTP sospechosa
88%
VPN sospechosa
79%
Educacin a travs
de amenazas
71%
Pornografa
50%
51
52
Prevencin de ataques de bitsquatting: creacin de una zona RPZ (zona de polticas de respuesta) de dominios
confusamente similares
Las dos tcnicas de mitigacin que se han utilizado comnmente para prevenir los ataques de bitsquatting tienen su
lugar en el arsenal de seguridad, pero ninguno de esos mtodos es ptimo:
Uso de memoria de correccin de errores (ECC): toda la base de dispositivos instalados debera cambiar de
versin simultneamente en todo el mundo para que esta solucin fuera eficaz.
Registro del dominio confusamente similar para que un tercero no pueda registrarlo: esto no siempre es posible,
debido a que muchos de los dominios populares confusamente similares ya se han registrado. Segn la longitud
del nombre de dominio, esto puede, adems, ser costoso.
La buena noticia es que estas tcnicas de mitigacin no son las nicas que puede implementar un profesional de
seguridad para proteger a los usuarios del mal redireccionamiento accidental del trfico de Internet. Si se adoptan de
manera suficiente, las nuevas tcnicas de mitigacin podran eliminar el problema de bitsquatting casi por completo.
Por ejemplo, las zonas de polticas de respuesta (RPZ) han sido una opcin de configuracin desde la versin
9.8.1 de BIND, y existen parches para las versiones anteriores de BIND. (BIND es un software de DNS ampliamente
utilizado en Internet). Las zonas RPZ son archivos de zonas locales que permiten al solucionador de DNS responder
a solicitudes especficas de DNS mediante el mensaje de que el nombre de dominio no existe (NXDOMAIN), el
redireccionamiento del usuario a un jardn vallado (una plataforma cerrada) u otras posibilidades.
Para mitigar los efectos de errores de un solo bit en el caso de usuarios de un solucionador de DNS, el administrador
del solucionador puede crear una zona RPZ que proteja contra dominios confusamente similares de nombres de
dominio frecuentemente resueltos o solo internos. Por ejemplo, se puede configurar la zona RPZ para que cada
solicitud que se hace al solucionador de DNS para variantes confusamente similares de estos dominios obtengan una
respuesta NXDOMAIN, que corrija los errores de bits automticamente sin intervencin del cliente que experimenta
el error.24
53
Sector
Los investigadores de Cisco SIO elevan la conversacin acerca
de las tendencias del sector que se extienden ms all de la
telemetra de Cisco.
54
Sector
FIGURA 28
Al completarse satisfactoriamente,
el equipo carga el bot PHP y otros
scripts al sitio web recientemente
comprometido.
55
Sector
[ Los objetivos clave de recientes intentos de inicio de sesin por fuerza bruta son las
acceso a travs
56
AMPLIFICACIN DE DNS:
Tcnicas de mitigacin
Si un solucionador es abierto,
significa que no filtra dnde se
envan las respuestas. El DNS usa
el protocolo UDP, que no tiene
estado, es decir que se puede hacer
una solicitud en nombre de otra
persona. Esa persona recibe luego
una cantidad amplificada de trfico.
Es por este motivo que identificar a
los solucionadores abiertos (y tomar
medidas para cerrarlos) es algo con lo
que el sector deber lidiar durante el
prximo tiempo.
Las empresas pueden reducir la
posibilidad de ataques iniciados
mediante amplificacin de DNS
de varias maneras; entre ellas, la
implementacin de la Mejor prctica
actual (BCP) 38 del Grupo de Trabajo
de Ingeniera de Internet (Internet
Engineering Task Force) para evitar
ser el origen de los ataques. En
esta prctica BCP se recomienda
que los proveedores de corriente
arriba de conectividad IP filtren los
Sector
57
Sector
58
Sector
DarkSeoul
Como se anunci en Ataques por DDoS:
lo antiguo vuelve a ser moderno, el nuevo
enfoque y los conocimientos cada vez
mayores de los delincuentes informticos
acerca de la vulnerabilidad de servidores
de alojamiento solo hace que sea ms
sencillo el lanzamiento de ataques por
DDoS y el robo a organizaciones.
Los investigadores abocados a la seguridad de Cisco
advierten que es probable que campaas futuras de DDoS
sean capaces de crear tanto interrupciones como daos,
incluidas prdidas financieras por robo.
Los ataques dirigidos a DarkSeoul en marzo de 2013
implicaron malware limpiador diseado para destruir los
datos en los discos duros de decenas de miles de equipos
y servidores. Los ataques estaban dirigidos a instituciones
59
Sector
financieras y medios de comunicacin en Corea del Sur, con la carga til configurada para
activarse al mismo tiempo. Sin embargo, el malware limpiador aparentemente es solo una
faceta del ataque. Al mismo tiempo que se lanzaba el malware, se alter el sitio web del
proveedor de red coreano LG U+ y las redes de otras organizaciones objetivo comenzaron a
dejar de funcionar (funcionalidades que no se pueden reproducir en el malware limpiador).32
Algunos creen que los ataques fueron el resultado de una guerra ciberntica llevada a cabo
por Corea del Norte para provocar interrupciones econmicas en Corea del Sur o un acto
de sabotaje provocado por otro pas. Sin embargo, existe la posibilidad de que los ataques
DarkSeoul tuvieran la intencin de ocultar una ganancia financiera.33
Los investigadores abocados a la seguridad todava siguen tratando de entender estos
ataques (y de descubrir quin es el responsable), pero las pruebas indican que los planes de
DarkSeoul podran haberse puesto en marcha en 2011. Durante ese ao, la Oficina Federal
de Investigacin (FBI) de EE.UU. advirti por primera vez sobre la existencia de troyanos
bancarios diseados para ocultar la transferencia fraudulenta de fondos de las cuentas de las
vctimas.34 Ms tarde, en 2012, la empresa de seguridad RSA inform sobre una nueva raza
de delincuentes informticos que construa una campaa sofisticada de troyanos que iniciara
un ataque en un da programado y que intentara retirar dinero de tantas cuentas vulneradas
como fuera posible antes de que los sistemas de seguridad detuvieran sus operaciones.35
Y en la Nochebuena de 2012, ladrones informticos utilizaron un ataque por DDoS como
cubierta mientras robaban a una institucin financiera regional de California.36
Un malware binario identificado en los ataques de DarkSeoul dirigidos a organizaciones de
medios e instituciones financieras es un troyano bancario que apunt especficamente a clientes
de esos mismos bancos coreanos, segn los investigadores de Cisco TRAC/SIO. Ese hecho,
junto con la lnea de tiempo de tendencias de delitos informticos que apunta a DarkSeoul,
indica que ladrones podran haber lanzado la campaa para que simulara ser algo ms.
Ransomware
60
Sector
El ransomware ofrece a los atacantes una fuente de ingresos directa y difcil de rastrear sin
la necesidad de usar servicios rentados de intermediarios, como los que proveen los botnets
tradicionales. Los atacantes reflejan las economas legtimas locales que han observado un
aumento significativo de empresas unipersonales como resultado de la prdida de empleo y
la recesin econmica, pero la motivacin de los delincuentes informticos es la prdida de la
disponibilidad de botnet y de kits de explotacin a los que se tiene acceso debido a bloqueos.
En el otoo de 2013, un nuevo tipo de ransomware, denominado CryptoLocker, comenz a
cifrar archivos de las vctimas con una combinacin de pares de claves de 2048bits RSA y
AES-256, que se considera imposible de quebrar. Cuando se activa, CryptoLocker mueve
archivos de la mquina local para incluir tipos de archivos coincidentes en cualquier unidad
asignada grabable. Una vez completada la rutina de cifrado, las vctimas observan una serie de
cuadros de dilogo que proporcionan instrucciones detalladas para el pago del rescate (Figura
29). Aparece adems un temporizador que le indica a la vctima que el pago debe efectuarse en
un perodo especfico (vara de 30 a 100 horas). El cuadro de dilogo tambin advierte que si no
se paga el rescate en el tiempo asignado, se eliminar la clave privada del servidor de comando
y control, en cuyo caso se perdera la posibilidad de descifrar los archivos.
CryptoLocker surgi a mediados de octubre, posiblemente como respuesta a los kits de
explotacin Blackhole y Cool despus del arresto del supuesto autor de esos marcos.
FIGURA 29
61
Sector
La escasez de personal
calificado en seguridad y la falta
de soluciones
[ La sofisticacin de la tecnologa y las tcticas que utilizan los
delincuentes informticos (y sus intentos continuos de vulnerar la
seguridad de la red y de robar datos) han superado la capacidad
de hacer frente a estas amenazas de los profesionales de TI y
seguridad. La mayora de las organizaciones no tienen el personal
o los sistemas para supervisar sus redes sistemticamente y para
determinar cmo los estn infiltrando. ]
La escasez de personal calificado en seguridad empeora el problema:
aun cuando los presupuestos son generosos, los CISO deben
luchar para contratar personas que tengan habilidades
actualizadas en seguridad. Se prev que para 2014, el
Los CISO deben
sector tendr una escasez de un milln de profesionales
luchar para contratar
en seguridad en todo el mundo. Tambin est en baja la
personas que tengan
cantidad de profesionales en seguridad con habilidades en
datos cientficos (la comprensin y el anlisis de los datos
habilidades actualizadas
de seguridad pueden ayudar a mejorar la alineacin con los
en seguridad.
objetivos comerciales). (Consulte el apndice de la pgina 69,
Las organizaciones de seguridad necesitan cientficos de datos:
herramientas preliminares de anlisis de datos para profesionales
en seguridad).
62
Sector
63
Sector
Las organizaciones deben asegurarse de que los proveedores de servicios en la nube utilizan
las herramientas ms sofisticadas y las estrategias disponibles para frustrar ataques o para
detectar y detenerlos mientras estn en curso. En el caso de los equipos de seguridad de la
informacin, la decisin de avanzar con frecuencia se reduce a una pregunta: Qu controles
debo buscar en un proveedor para confiar en que puede administrar y proteger mis datos?
Por otro lado, los proveedores de servicios en la nube deben luchar para identificar e
implementar un conjunto razonable de controles asignados a una creciente cantidad de
normas internacionales, que se necesitan para abordar un entorno de amenazas cada vez
ms hostil.
Cuando elegimos proveedores para la seguridad y la infraestructura crtica, por lo general,
lo hacemos en funcin de su certificacin tcnica y su reputacin, comenta John N. Stewart,
vicepresidente snior y jefe de seguridad de Cisco. ltimamente, el proceso del proveedor
y el enfoque evolutivo en la seguridad se han convertido tambin en factores cada vez ms
importantes.
Casualmente, las muchas cosas que hacen que la nube sea una amenaza (como la
ubicacin fuera del permetro de la red y el creciente uso de la nube para datos importantes
empresariales) permiten a las organizaciones tomar decisiones de seguridad ms precisas y
prcticamente en tiempo real. Con un trfico mayor movindose en la nube, las soluciones de
seguridad que tambin se basan en la nube pueden analizar rpida y fcilmente este trfico y
aprovechar esta informacin adicional. Asimismo, en el caso de organizaciones ms pequeas
o de aquellas que tienen presupuestos limitados, un servicio en la nube bien protegido y bien
administrado puede ofrecer una mayor proteccin de seguridad que los servidores y firewalls
propios de la empresa.
64
Recomendaciones
Ms organizaciones luchan para consolidar una visin de seguridad
que se sustenta en una estrategia eficaz que utiliza nuevas tecnologas,
simplifica su arquitectura y sus operaciones, y refuerza sus equipos de
seguridad.
65
Recomendaciones
[Nos encontramos en una transicin del mercado en la que la confianza importa y los procesos
y la tecnologa deben ser caractersticas integrales del diseo de productos para que un
proveedor pueda satisfacer las necesidades de las amenazas actuales, comenta
John N. Stewart, gerente de seguridad de Cisco. La promesa de una empresa no es
suficiente. Las empresas necesitan verificaciones a travs de productos certificados, procesos
de desarrollo integrados, tecnologa innovadora y prestigio en el sector. Las organizaciones
deben adems lograr que la verificacin de la confianza de los productos tecnolgicos que
utilizan y de los proveedores que los proporcionan sea una prioridad constante. ]
66
Recomendaciones
Mejorar el ajuste entre las operaciones de seguridad y los objetivos comerciales es tambin
una medida importante para fortalecer la seguridad empresarial. En un clima de recursos
limitados y presupuestos ajustados, esta alineacin puede ayudar a que los CISO y otros
ejecutivos de seguridad de la organizacin identifiquen riesgos clave y enfoques de mitigacin
adecuados. Parte de este proceso es la aceptacin del hecho de que no todos los recursos
de la empresa se pueden proteger en todo momento. Es necesario llegar a un acuerdo
sobre lo que es ms importante desde una perspectiva de seguridad informtica, expresa
Gavin Reid, director de inteligencia de amenazas de Cisco. Se trata de un enfoque ms
productivo que esperar encontrar una remedio mgico que pueda solucionarlo todo.
Para hacer frente a los desafos de seguridad actuales, las organizaciones deben examinar
integralmente sus modelos de seguridad y obtener visibilidad en toda la secuencia de los
ataques:
Antes de un ataque: para defender sus redes, las organizaciones deben estar alertas de
Durante un ataque: las organizaciones deben abordar una amplia gama de vectores de
ataque con soluciones que funcionan cada vez que un ataque se manifiesta, ya sea en
la red, en los terminales, desde dispositivos mviles y en los entornos virtuales. Gracias a
la implementacin de soluciones eficaces, los profesionales de seguridad estarn mejor
posicionados para bloquear amenazas y ayudar a proteger el entorno.
significa que las organizaciones deben poner en prctica un plan formal que les permita
determinar el alcance del dao, contener el evento, corregirlo y reanudar el funcionamiento
normal tan pronto como sea posible.
[ Los atacantes y sus herramientas han evolucionado para evadir las defensas tradicionales.
67
Recomendaciones
68
Apndice
69
Apndice
Las organizaciones de
seguridad necesitan cientficos
de datos
Herramientas preliminares de anlisis de datos para profesionales
en seguridad
Los equipos de jefes de seguridad de Cisco (CSO) estn recopilando una cantidad de datos
sin precedentes y la inteligencia que se obtiene de estos datos es demasiado valiosa como
para no utilizarla. El anlisis de datos relevantes para la seguridad aporta pistas sobre las
actividades de los atacantes y proporciona una informacin que se puede procesar a fin de
frustrar los ataques.
El anlisis de datos no es algo nuevo para los profesionales de seguridad. Existe adems
una expectativa entre los profesionales de seguridad de que los registros se generarn y
etiquetarn. Los pentesters crean un registro de investigacin despus de una evaluacin.
Los diseadores de sistemas operativos implementan subsistemas de
auditoras. Los desarrolladores de aplicaciones disean aplicaciones
que generan registros.
Independientemente de cmo se denominen los registros,
una cosa es cierta: los profesionales de seguridad tienen
gran cantidad de datos y analizar esos datos puede llevar a
importantes descubrimientos.
Si bien el anlisis de datos en s mismo no es una novedad, la
evolucin del panorama de seguridad ha tenido un impacto en
el proceso de anlisis de datos:
Los profesionales
de seguridad tienen
gran cantidad de datos y
analizar esos datos puede
llevar a importantes
descubrimientos.
70
Apndice
Afortunadamente, la barrera para que los profesionales de seguridad puedan analizar datos,
an en este entorno ms complejo, es baja, y el ecosistema de herramientas de anlisis de
datos es valioso. A continuacin, se incluye una descripcin general de tan solo algunas de
las herramientas gratuitas disponibles que los profesionales pueden usar para empezar a
analizar los datos.
FIGURA A1
71
Apndice
Con esta informacin, se puede escribir una secuencia que divida traffic_sample.pcap en
archivos pcap independientes:
$ cat ~/bin/uniq_stream.sh
#!/bin/bash
function getfile_name() {
orig_name=$1
stream=$2
file_name+=-${stream}.pcap
echo ${file_name}
return 0
}
streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr \n )
for x in ${streams}
do
done
$
La secuencia crea un solo archivo pcap para cada una de las 147 secuencias TCP en
traffic_sample.pcap. Ahora es ms fcil hacer una anlisis ms detallado de cada secuencia
TCP. Tenga en cuenta que los paquetes que no son TCP de traffic_sample.pcap no
aparecern en ninguno de los nuevos archivos pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap
Creating traffic_sample-1.pcap...
Creating traffic_sample-2.pcap...
Creating traffic_sample-146.pcap...
Creating traffic_sample-147.pcap...
72
Apndice
Scapy tiene sus propias fortalezas. Como est desarrollada en Python, se pueden utilizar
todas las caractersticas del lenguaje Python y otras herramientas Python. En el siguiente
fragmento se muestra cmo Scapy hace uso de la sobrecarga de operador de manera que
se puede crear trfico rpida e intuitivamente:
# scapy
>>> dns_query = IP()/UDP()/DNS()
>>> from socket import gethostbyname,gethostname
>>> dns_query[IP].src = gethostbyname(gethostname())
>>> dns_query[IP].dst = 8.8.8.8
>>> import random
>>> random.seed()
>>> dns_query[UDP].sport = random.randint(0, 2**16)
>>> dns_query[DNS].id = random.randint(0, 2**16)
>>> dns_query[DNS].qdcount = 1
>>> dns_query[DNS].qd = DNSQR(qname=www.cisco.com)
>>> scapy.sendrecv.sr1(dns_query)
>>> response = scapy.sendrecv.sr1(dns_query)
Begin emission:
............Finished to send 1 packets.
.*
Received 14 packets, got 1 answers, remaining 0 packets
>>> response[DNS].ar[DNSRR].rdata
64.102.255.44
>>>
En este ejemplo se muestra cmo se pueden armar los paquetes y cmo se puede analizar el
trfico en vivo. Sin embargo, Scapy se puede utilizar para analizar archivos pcap as de simple.
73
Apndice
1: src
2: srcport
3: dst
4: dstport
74
Apndice
tty.example.org: 2866
lad.example.org: 1242
bin.example.org: 531
trw.example.org: 443
met.example.org: 363
Max length: 15
Row count: 6896
75
Apndice
A continuacin, se muestra cmo los profesionales de seguridad pueden utilizar estas tres
herramientas para disear los principales hosts src en tcp_data.csv:
In [3]: df = read_csv(/Users/shiva/tmp/data_analysis/tcp_data.csv)
In [4]: df
Out[4]:
<class pandas.core.frame.DataFrame>
Int64Index: 6896 entries, 0 to 6895
Data columns (total 4 columns):
src 6896 non-null values
srcport 6896 non-null values
dst 6896 non-null values
dstport 6896 non-null values
dtypes: int64(2), object(2)
In [5]: df[src].value_counts()[0:10]
Out[5]:
tty.example.org 2866
lad.example.org 1242
bin.example.org 531
trw.example.org 443
met.example.org 363
gee.example.org 240
gag.example.org 126
and.example.org 107
cup.example.org 95
chi.example.org 93
dtype: int64
In [6]: df[src].value_counts()[0:10].plot(kind=bar)
Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
76
Apndice
FIGURA A2
2500
2000
1500
1000
500
chi.example.org
cup.example.org
and.example.org
gag.example.org
gee.example.org
met.example.org
trw.example.org
bin.example.org
lad.example.org
tty.example.org
El atractivo de pandas reside en la manera en que permite a los usuarios explorar los datos. Por
ejemplo, se requiere muy poco esfuerzo para encontrar la cantidad de srcports nicos que tty.
example.org conecta desde cada dst nico y la combinacin dstport con la que se comunica:
Out[231]:
dst dstport
add.example.org 80 2
ala.example.org 80 3
and.example.org 80 1
auk.example.org 80 2
bid.example.org 80 1
77
Apndice
78
Acerca de
CiscoSIO
79
Cisco SIO
Administrar y asegurar las redes giles y distribuidas en la
actualidad se ha convertido en un desafo cada vez ms difcil.
Los delincuentes informticos continan explotando la confianza que tienen los usuarios en
las aplicaciones y los dispositivos para consumidores, lo cual incrementa el riesgo para las
empresas y los empleados. La seguridad tradicional, que depende de la disposicin en capas
de los productos y del uso de varios filtros, no es suficiente para defenderse de la ltima
generacin de software malicioso, que se disemina rpidamente, tiene objetivos mundiales y
utiliza mltiples vectores para propagarse.
Cisco se adelanta a las ltimas amenazas por medio de la inteligencia de amenazas en tiempo
real de Cisco Security Intelligence Operations (SIO). Cisco SIO es el ecosistema de seguridad
basado en la nube ms grande del mundo, el que utiliza ms de 75 terabits de fuentes de
datos en vivo provenientes de soluciones de sistema de prevencin de intrusiones (IPS),
firewall, Internet y correo electrnico de Cisco.
Cisco SIO compara y procesa los datos, categoriza las amenazas
automticamente y crea reglas con ms de 200 parmetros.
La seguridad
Los investigadores de seguridad tambin recopilan y
tradicional no es
proporcionan informacin sobre eventos de seguridad que
tienen el potencial de afectar en gran medida las redes, las
suficiente para
aplicaciones y los dispositivos. Las reglas se distribuyen en
defenderse de la ltima
forma dinmica en los dispositivos de seguridad de Cisco
generacin de
implementados cada tres a cinco minutos.
software malicioso.
80
Notas
1 Para ms informacin sobre la evolucin de cualquiera con cualquiera, consulte The Nexus of Devices, Clouds, and
Applications en el Informe anual de seguridad de 2013 de Cisco: https://www.cisco.com/web/offer/gist_ty2_asset/
Cisco_2013_ASR.pdf.
2 Ibdem.
3
No More Chewy Centers: Introducing The Zero Trust Model Of Information Security de John Kindervag, Forrester,
12 de noviembre de 2012
4 Timeline of Edward Snowdens Revelations, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timelineedward-snowden-revelations.html.
5 NSA collecting phone records of millions of Verizon customers daily de Glenn Greenwald, The Guardian, 5 de junio de
2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
6
7 NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say de Barton Gellman y Ashkan
Soltani, 30. de octubre de 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsainfiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e38b74-d89d714ca4dd_story.html.
8 Para ms informacin, consulte Ciclo de vida del desarrollo seguro de Cisco (CSDL): http://www.cisco.com/web/about/
security/cspo/csdl/index.html.
9 Ibdem.
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Cisco define a Internet de Todo como la prxima tendencia del crecimiento espectacular de Internet que vendr de la mano
de la confluencia de personas, procesos, datos y cosas.
Massive Spam and Malware Campaign Following the Boston Tragedy, Cisco Security Blog, 17 de abril de 2013:
http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
Ibdem.
Ibdem.
Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities
de Craig Williams, Cisco Security Blog, 4 de mayo de 2013: http://blogs.cisco.com/security/department-of-labor-wateringhole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
Watering-Hole Attacks Target Energy Sector de Emmanuel Tacheau, Cisco Security Blog, 18 de septiembre de 2013:
http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
Apache DarkLeech Compromises de Mary Landesman, Cisco Security Blog, 2 de abril de 2013: http://blogs.cisco.com/
security/apache-DarkLeech-compromises/.
Ongoing malware attack targeting Apache hijacks 20,000 sites de Dan Goodin, Ars Technica, 2 de abril de 2013:
http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
Linux/CDorked FAQS de Mary Landesman, Cisco Security Blog, 1 de mayo de 2013: http://blogs.cisco.com/security/
linuxcdorked-faqs/.
81
24
Para ms informacin sobre las estrategias de mitigacin de bitsquatting, lea el informe tcnico Cisco, Examining the
Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_
Surface-whitepaper.pdf.
25
26
27
28
29
30
31
32
33
34
35
36
37
Puede encontrar un informe detallado de los patrones y cargas tiles de la campaa Operation Ababil en Cisco Event
Response: Distributed Denial of Service Attacks on Financial Institutions: http://www.cisco.com/web/about/security/
intelligence/
ERP-financial-DDoS.html.
DDoS Attack on Bank Hid $900,000 Cyberheist de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
Chinese Internet Hit by Attack Over Weekend de Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013:
http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
Fuente: Wikipedia: Ingress Filtering: http://en.wikipedia.org/wiki/Ingress_filtering.
Ibdem.
Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks de Mor Ahuvia, RSA, 4 de
octubre de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-us-banks/.
DDoS Attack on Bank Hid $900,000 Cyberheist de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
Cisco projects data center-cloud traffic to triple by 2017, ZDNet, 15 de octubre de 2013: http://www.zdnet.com/ciscoprojects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
Cisco tiene ms de 200 oficinas en todo el mundo. Las direcciones y los nmeros de telfono y de fax estn disponibles en el sitio
web de Cisco en www.cisco.com/go/offices.
La totalidad del contenido pertenece a Copyright 20112014 Cisco Systems, Inc. Todos los derechos reservados. Este
documento es informacin pblica de Cisco. Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus
filiales en los Estados Unidos y en otros pases. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/
go/trademarks. Las marcas registradas de terceros mencionadas en este documento pertenecen a sus respectivos propietarios. El
uso de la palabra partner no implica la existencia de una asociacin entre Cisco y cualquier otra compaa. (012114 v1)