SlideShare a Scribd company logo
1 of 62
Download to read offline
2015
INFORME DE
SEGURIDAD
| 3
01 INTRODUCCIÓN Y METODOLOGÍA 04
02 MALWARE DESCONOCIDO: VASTO E INEXPLORADO 10
03 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO 18
04 SEGURIDAD MÓVIL: NO ME ENCIERREN 32
05 APLICACIONES: ATACANDO DONDE DUELE 40
06 PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ 48
07 CONCLUSIÓN Y RECOMENDACIONES: 56
LA VÍA HACIA LA PROTECCIÓN
REFERENCIAS 60
CHECK POINT
INFORME DE SEGURIDAD 2015
CHECK POINT - INFORME DE SEGURIDAD 2015
INTRODUCTION AND METHODOLOGY | 4
INTRODUCCIÓN
Y METODOLOGÍA
“La primera vez que se hace algo, es Ciencia.
La segunda vez que se hace algo, es
ingeniería.”
1
–
Clifford Stoll, astrónomo, autor, pionero forense digital
01
CHECK POINT - INFORME DE SEGURIDAD 2015 | 4
INTRODUCCIÓN Y METODOLOGÍA | 5
LA EVOLUCIÓN DEL MALWARE
HACE 25 AÑOS
Invención del
sistema de protección
HACE 20 AÑOS
Invención de
la inspección
Inspection
HACE 15 AÑOS
Uso predominante
deAntivirus,
VPN, IPS
HACE 10 AÑOS
Filtrado de URL,
UTM
HACE 5 AÑOS
NGFW
HOY
Inteligencia contra amenazas
Prevención de amenazas
Seguridad móvil
THE SECURITY LANDSCAPE | ACCELERATION OF OF MALWARE
>
1988
Gusano de Morris
1998
Melissa
2000
I Love You
2006
WikiLeaks
2011
Stolen
Authentication
Information
2012
Flame Malware
2013
Dragonfly
2014
Bitcoin
2017
¿Pirateo de
autos sin conductor?
2020
IoT global
2010
Ataques
DDoS
Stuxnet
SCADA
2007
Caballo de Troya Zeus
2003
Se forma
Anonymous
1994
Lotería de Green Card
En la ciencia, todo se trata del descubrimiento
estudiar la causa y el efecto. Una vez que algo se
entiende y puede predecirse, se convierte en un
proceso de ingeniería, para replicarlo. En el mundo
de las amenazas cibernéticas, es lo mismo. Los
criminales cibernéticos están estudiando las
estructuras y pensando en cómo ciertos factores
pueden generar los resultados deseados. Una vez
que tienen un modelo predictivo, hacen que la
ingeniería libere lo que han diseñado, para el
mayor efecto.
¿Cuales son sus herramientas?
1. Malware - Código de software malicioso que
desarrollan los hackers para crear alteraciones o
robar datos. Cuando se conoce el malware, se crean
firmas para ayudar a identificarlo, filtrarlo y
bloquearlo en intentos de implementación posteri-
ores. Y entonces es cuando intentan alterar el
código para crear malware desconocido nuevo.
2. Vulnerabilidades - defectos en el software o
sistemas operativos que los hackers buscan explo-
tar, los cuales existen en casi todas las aplicaciones.
3. Dispositivos móviles - teléfonos inteligentes,
Fitbits, iPads y otros dispositivos móviles pueden
no ser herramientas en sí mismos, pero
pueden utilizarse para dar a los hackers la
capacidad de penetrar las redes corporativas.
Durante el 2014, Check Point observó la explo-
tación de vulnerabilidades significativas en
software de código abierto, así como en aplicacio-
nes comunes de Adobe y Microsoft.
El malware conocido permaneció estable
y causando daño. Pero con la creación de
firmas para ayudar a identificar, filtrar y bloquear
intentos posteriores de implementación de
malware conocido, el enfoque entre los hackers
cambió. Buscaban algo más fácil y que diera más
recompensas: lanzar nuevos ataques con
malware desconocido modificando ligeramente
lo que ya existía, permitiéndole evadir la
detección. Es esta área, el malware desconocido,
la que aumentó y captó la atención de la
mayoría de las personas durante el 2014.
Lanzándose a velocidades sin precedentes, el
nuevo malware pareció tener un solo propósito:
robar datos.
INTRODUCCIÓN Y METODOLOGÍA | 6
CADA 24 SEGUNDOS
un host accede a un sitio web malicioso
CADA 1 MINUTO
un bot se comunica con su
centro de comando y control
CADA 34 SEGUNDOS
se descarga un malware desconocido
CADA 5 MINUTOS
se usa una aplicación de alto riesgo
CADA 6 MINUTOS
se descarga un malware conocido
CADA 36 MINUTOS
se envían datos privados
fuera de la organización
UN DÍA PROMEDIO
ENUNAORGANIZACIÓNEMPRESARIAL
1.1 FUENTE: Check Point Software Technologies
INTRODUCCIÓN Y METODOLOGÍA | 7
-Presidente Barack Obama
METODOLOGÍA
81%
Los primeros virus informáticos atacaron a las computadoras a inicios de la década
de los 80, y esencialmente han estado en una carrera de armas cibernéticas desde entonces.
Diseñamos nuevas defensas, y entonces los hackers y criminales diseñan nuevas
maneras para penetrarlas... Tenemos que ser igualmente rápidos, flexibles y ágiles para
hacer evolucionar constantemente nuestras defensas”
Contribuyendo al problema: cambios culturales.
La movilidad, virtualización y otras
nuevas tecnologías han cambiado la manera en
que trabajamos. Y en el proceso, los negocios se
han apresurado adoptar estas herramientas para
aumentar la productividad y la eficiencia. Pero lo
han hecho sin tomar en cuenta las
implicaciones de seguridad. aunque están
bastante enfocadas en la estabilidad y el tiempo
de actividad, no se dan cuenta de que los
ambientes con mejor seguridad tienen
tiempos de actividad mayores.
Entre la frecuencia de las violaciones y los perfiles
altos de las empresas atacadas, el 2014 le envió a
todas las organizaciones un mensaje claro:
Todos están en riesgo.
Y cuando los líderes mundiales eligen enfocarse
en la seguridad cibernética al dirigirse a sus
naciones, parece ser claro que el crimen
cibernético ha alcanzado un punto crítico.
Durante el 2014, Check Point recopiló datos de
eventos de tres fuentes diferentes en el mundo
para arrojar luz sobre las tendencias de seguridad,
e identificar problemas que estén en aumento o
en algunos casos, disminuyendo.
Fuentes de la investigación de Check Point:
1. Eventos de seguridad durante Verificaciones de
Seguridad de más de 1,300 organizaciones. Esta
información se obtuvo de empresas en todos los
sectores industriales en el mundo.
2. Eventos descubiertos mediante Check Point
ThreatCloud, la cual esta conectada a puertas de
enlace de seguridad de más de 16,000 organizacio-
nes.
3. Más de 3,000 Gateways conectadas a
nuestros servicios de emulación de nube de
amenazas.
¿Qué temas tratamos?
Malware desconocido
Malware conocido
Prevención de intrusiones
Aplicaciones de alto riesgo
Incidentes de pérdida de datos
Casi todas las organizaciones
estudiadas experimentaron
ataques debido aplicaciones
de alto riesgo.
de las organizaciones
muestreadas han sufrido un inci-
dente de pérdida de datos
INTRODUCCIÓN Y METODOLOGÍA | 8
1.2 FUENTE: Check Point Software Technologies
MANUFACTURA
46
15
FINANZAS
12
GOBIERNO
4
VENTA
MINORISTA
Y MAYORISTA
3
TELECO-
MUNICA-
CIONES
2
CONSULTORÍA
17
OTRO
PORCENTAJEDEORGANIZACIONESPORSECTORINDUSTRIAL
LA INVESTIGACIÓN DE CHECK POINT ABARCÓ TODOS LOS SECTORES INDUSTRIALES
Examinando los mercados verticales que
participaron en nuestra investigación, la
manufactura fue la principal con un 46 por ciento,
con representación en todo el espectro para
finanzas, gobierno, venta minorista y mayorista,
telecomunicaciones y consultoría
INTRODUCCIÓN Y METODOLOGÍA | 9
-Sarah Lacy, periodista y autora
Estadísticas de seguridad en 2014
• El nuevo malware aumentó en 71%.4
• 106 descargas de malware desconocido ocurrieron por hora.
• 86% de las organizaciones accedieron a un sitio malicioso.
• 83% de las organizaciones tenían infecciones de bots existentes.
• 42% de los negocios sufrieron incidentes de seguridad móvil que
costaron más de $250,000 para remediar.
• 96% de las organizaciones usaron por lo menos una aplicación de alto riesgo.
• 81% de las organizaciones sufrieron un incidente de pérdida de datos.
• La pérdida de información privada aumentó 71% durante los
tres años pasados.
En las siguientes páginas, Check Point Revela los
hallazgos de nuestro análisis a profundidad de
amenazas de seguridad y tendencias descubiertas
en 2014. Nuestro objetivo es ayudar
a los líderes en seguridad y negocios a entender el
panorama de las amenazas y cómo crear la postura
de seguridad más fuerte posible.
“Los hackers no dan por sentadas las realidades del mundo;
buscan romper y reconstruir lo que no les gusta.
Buscan ser más inteligentes que el resto del mundo”.5
INTRODUCTION AND METHODOLOGY | 1010 | INTRODUCTION AND METHODOLOGY
MALWARE DESCONOCIDO:
VASTO
“Siempre existe el riesgo de que existan
desconocidos.”6
–Nate Silver, estadístico, periodista
02
CHECK POINT - INFORME DE SEGURIDAD 2015 | 10
MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 11
malwares desconocidos atacan
una organización cada hora106
El malware desconocido es malware que
normalmente no es reconocido o conocido por los
sistemas antivirus. Cada nueva variante
desconocida de malware, aún si tiene sólo
alteraciones menores, es potencialmente capaz
de anular las protecciones de antivirus y
entornos aislados virtuales más actuales.
Aunque vimos una explosión de malware descono-
cido el año pasado, fue únicamente la punta del
iceberg, en comparación con el panorama del día
de hoy. Ahora, la tasa de malware de día cero y
desconocido es masiva. De 2013 a 2014, el malware
nuevo aumentó de apenas sobre el 71% de 81M a
142M, de acuerdo con AV-Test, un proveedor de
servicios independiente de investigación del
antivirus. Además, se encontró más malware
durante los primeros dos años que en los primeros
10 años combinados.
Durante el 2014, Check Point analizó más de 3,000
puertas de enlace y encontró que el 41% de las
organizaciones descargaron por lo menos un
archivo invectado con malware desconocido un
aumento de casi el 25% con respecto al año
anterior.
Lo peor es la velocidad a la que esto ocurre. La
investigación de Check Point mostró que
diariamente, 106 descargas de malware desconoci-
das ocurrieron por hora. La cifra abrumadora es 48
veces mayor que las meras 2.2 descargas por hora
del año pasado.
Increíblemente, sólo un 1% de las empresas
utilizan tecnologías para evitar ataques del día
cero. Y, únicamente un décimo de las empresas
consumen servicios de inteligencia contra amena-
zas. Examinando el volumen de malware descono-
cido descargado, el 52% de los archivos infectados
fueron archivos PDF, mientras que el 3% fueron
archivos de Office.
2.1 FUENTE: AV-Test
2009
2011
2010
142M
83M
34M
18M
12M
18.5M
142M
2012
2013
2014
MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 12
NUEVO MALWARE EN 2014 Y UN
AUMENTO DEL 71% CONTRA 2013
¿Qué tan malo es, realmente?
Muy malo. sin una firma de malware reconocida
que atrapar, las herramientas preventivas
típicas no pueden hacer su trabajo. El
nuevo rostro del malware es rápido y
silencioso gracias a las herra-mientas de
ocultamiento que ayudan a los ataques a evadir
las soluciones anti-malware más sofistica-das.
Para los hackers, trabajar con malware
desconocido se ha convertido en la herramienta
indispensable debido a que es fácil y eficiente crear
variantes del malware existente. De hecho, es tan
fácil que aún una persona sin habilidades técnicas
podría hacerlo.
Para ilustrar, los investigadores de Check Point
tomaron 300 malwares conocidos7
, descargados
de un conjunto de muestras de archivos PDF, DOC
y ejecutables bien conocidos de la base de datos
“VirusTotal” de Google.
La meta: probar la velocidad y frecuencia de detec-
ción a la cual el malware podría ser bloqueado.
Para convertir el malware conocido en descono-
cido, sencillamente añadieron un caracter nulo al
final de cada archivo PDF y DOC [p.ej.
“echo’0000’>>1.doc]. Además se modificó una
sección de encabezado sin utilizar en cada archivo
ejecutable. A continuación, abrieron y ejecutaron
cada archivo para validar que la conducta original
permaneciera sin cambios. En resumen, al tomar
malware existente y hacer modificaciones al
mismo, tiene rápidamente algo que no será
reconocido.
Con esta técnica sencilla, los investigadores fueron
capaces de crear variantes nuevas y desconocidas
[de ahí los ”Desconocidos 300”] a partir de malware
existente.
MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 13
MALWARE CONOCIDO MALWARE DESCONOCIDO
MD5 para
originalmalware.doc
fd96b96bd956a397fbb1150f3
echo '0000' >> originalmalware.doc
MD5 para el archivo modificado
83aac4393f17f1805111beaa76a4012e
41% de las organizaciones descargaron por lo menos
un archivo infectado con malware desconocido
Estos archivos no vistos previamente probaron la
capacidad de los sistemas de seguridad para detec-
tar el malware desconocido.
A partir de aquí, los archivos sospechosos se
descargaron a un host tras el dispositivo de seguri-
dad, simular la descarga accidental de malware
desde una página web maliciosa por un empleado.
En el caso de los 300 Desconocidos, si el archivo se
comportó según lo esperado, se permitió a los
datos entrar a la red segura. De no ser así, la
tecnología de emulación, creó una firma para el
tipo de archivo inspeccionado y se aseguró de que
el archivo fuera bloqueado. Entonces comunicó la
firma a todas las puertas de enlace de seguridad,
haciendo al malware desconocido reconocible o
conocido.
Recientemente, Check Point descubrió una
campaña de ataques que se originó en 2012, pero
que desde entonces ha estado mutando en versio-
nes más recientes. Llamada Volatile Cedar, usa un
implante de malware personalizado llamado
“Explosivo”.
Con el paso de los años que esta campaña ha
estado activa, ha penetrado objetivos en todo el
mundo, permitiendo a los hackers monitorear las
acciones de las víctimas y robar información
privada.
Para seleccionar objetivos, tiende a elegir principal-
mente contratistas de defensa, telecomunicacio-
nes y empresas de medios, así como instituciones
educativas. Pensamos que es debido a que estos
servidores están expuestos públicamente, son
puertas de enlace fácilmente accesibles a redes
internas privadas más seguras. Y debido a que
tienen un propósito comercial común, su seguri-
dad a menudo se sacrifica por la productividad,
haciéndolos blancos fáciles para los atacantes.
La campaña puede pasar desapercibida porque
limita estas acciones para lograr metas específicas
con el fin de minimizar el riesgo de exposición. Un
ataque típico de Volatile Cedar con un análisis del
servidor objetivo. Una vez que identifica una
vulnerabilidad explotable, inyecta un
52%
MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 14
de los archivos infectados con malware
desconocido son archivos PDF
USTED DICE QUE QUIERE UNA EVOLUCIÓN:
MALWARE EN EVOLUCIÓN - TECNOLOGÍA EN EVOLUCIÓN
código de shell web en el servidor. A continuación
el motor web se usa como el medio a través del
cual el caballo de Troya Explosivo se implanta
en el servidor de la víctima. Una vez dentro,
permite a los atacantes enviar comandos a todos
los objetivos a través de un arreglo de servidores
de comando y control [C&C]. La lista de comando
contiene toda la funcionalidad requerida por el
atacante para mantener el control y extraer
información acerca de los servidores, como el
registro de pulsaciones de teclas, registro de
portapapeles (clipboard), capturas de pantalla y
comandos de ejecución.
Entonces, una vez que el atacante obtenga el
control sobre estos servidores, puede usarlos como
un punto central para explorar, identificar y atacar
objetivos adicionales ubicados más profunda-
mente dentro de la red interna.
Pero el malware de día cero es aún peor que el
malware desconocido . ¿Cuál es la diferencia? El
malware desconocido se basa en malware cono-
cido, y el malware de día cero efectivamente se
crea desde cero, para explotar vulnerabilidades de
software que los vendedores aún no conocen. En
comparación con el costo de un kit de malware
desconocido, los hackers encontraron que el
malware de día cero es mucho más caro. Es por ello
que, por sí mismo los ataques de día cero tienden a
dirigirse selectivamente.
Uno de los ataques de día cero notables de 2014
fue llamado “Gusano de arena”, una referencia a las
criaturas de la serie de ciencia ficción “Dunas” en
un ataque dirigido hacia la OTAN (Organización
del Tratado del Atlántico Norte), el gobierno
ucraniano y algunos otros objetivos políticos,
hackers rusos explotaron la vulnerabilidad
CVE-2014-4114 el administrador de paquetes
OLE (Object Linking and Embedding) en
Microsoft Windows y Windows Server.
El vector: archivos maliciosos de PowerPoint
enviados como archivos adjuntos de correo
electrónico. Cuando un usuario hizo clic en el
archivo adjunto, se activó una explotación de una
vulnerabilidad e instaló código malicioso que
abrió una puerta trasera al sistema. Como
resultado, los atacantes entonces podían
ejecutar comandos.
El enfoque de primera generación para mejorar las
tasas de captura de malware fue ejecutar archivos
sospechosos en un entorno aislado fuera de la red;
el punto era emular un sistema operativo (SO)
estándar en un entorno restringido para observa-
ción segura. Después, usando herramientas del
entorno aislado, se activarían los archivos en
varias maneras para simular un usuario real que
usara el archivo. Después, examinaría si activó
algo más de lo esperado normalmente. El
problema: los criminales cibernéticos reconocen
que estas protecciones existen en un porcentaje
de las redes y ya están implementando técnicas de
evasión sencillas.
MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 15
DETECTA MALWARE CONOCIDO O ANTIGUO
Del malware conocido, 71 de 1000 no son detectados|
DETECTA MALWARE NUEVO O DESCONOCIDO
Con prevención a nivel de SO y CPU|
ELIMINACIÓN COMPLETA DE AMENAZAS
Reconstruye y entrega documentos libres de malware|
2.2 FUENTE: Check Point Software Technologies
CHECK POINT SALVA LAS BRECHAS DE SEGURIDAD
Por ejemplo, el malware puede permanecer
inactivo hasta que se cumplen condiciones especí-
ficas, como abrir en un martes, o cuando el usuario
hace clic con el botón derecho . Es por ello que es
importante enfocarse constantemente en la
innovación y lo más reciente en la tecnología de
seguridad, para permanecer a la delantera de los
hackers.
Las soluciones de entorno aislado a nivel de SO de
primera generación ayudan a evitar los ataques de
día cero y puede detectar malware una vez que
esté en ejecución. Sin embargo, una gran cantidad
de malware puede evitar la detección. Por ese
motivo, se necesita un método de protección de
día cero de próxima generación: el entorno aislado
a nivel de CPU.
Aunque existen incontables vulnerabilidades,
existen únicamente unos cuantos métodos de
explotación que pueden usarse para descargar el
malware y ejecutarlo. El entorno aislado a nivel de
CPU le permite detectar el uso de métodos de
explotación examinando la actividad de la CPU y el
flujo de ejecucíon a nivel de código al ocurrir la
explotación. Como resultado, previene cualquier
posibilidad de que los hackers evadan la detección.
La velocidad y exactitud de la detección
hacen del entorno aislado a nivel de CPU la mejor
tecnología para detectar ataques de día cero y
desconocidos.
Llevando ese enfoque un paso más allá, al combi-
nar capacidades de entorno aislado a nivel
profundo de SO y CPU con la extracción de amena-
zas, como la Protección de Día Cero de Próxima
Generación de Check Point, eleva la apuesta para la
eliminación de amenazas. A nivel de SO, puede
detectar ataques tanto en archivos ejecutables
como de datos. A nivel profundo de CPU, puede
detectar una infección en los archivos de datos en
la fase de explotación. La extracción de amenazas,
el tercer elemento de esta poderosa combinación,
intercepta todos los documentos, ya sean malicio-
sos o no, y elimina los objetos dinámicos para
protegerse contra un ataque de día cero. Después,
integra el archivo y lo entrega en un formato en
forma de imagen libre de amenazas.
A medida que las técnicas de evasión evolucionan
y se hacen más inteligentes, junto con los tipos de
ataques, también debe hacerlo la tecnología para
mantener su negocio seguro. Lo que ha surgido
como de vanguardia en 2014 sencillamente será el
estándar de 2015.
IPS, ANTIVIRUS
Y ANTI-BOT
PROTECCIÓN DE DÍA CERO
A NIVEL DE SO Y CPU
EXTRACCIÓN DE AMENAZAS
Cómo la emulación de amenazas podría
haber prevenido una venta minorista.
MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 16
• Extraer, capturar y manipular las credenciales de inicio de sesión de los sistemas Windows
El Black Friday , el siguiente después de la celebración Día de Acción de Gracias de los Estados Unidos,
es uno de los mayores días de compras del año. El lunes justo antes del día festivo de 2014, el Equipo
de Respuesta a Incidentes de Check Point [CPIRT] fue contactado por un minorista que había
descubierto archivos desconocidos en sus sistemas. Estos archivos no fueron detectados por los
principales proveedores de antivirus. Los fragmentos de información disponibles para cada uno de los
archivos pueden no haber sido suficientes para activar alarmas, pero la suma colectiva mostró una
imagen mucho mayor. Los archivos parecieron formar parte de un conjunto diseñado para entregar
archivos maliciosos lateralmente, a través de una red.
Los componentes del kit consistieron en herramientas usadas para:
• Captura pulsaciones de teclas en los sistemas Windows
• Transferencia de archivos
Aún así, la información obtenida de otros archivos en el kit fueron más ambiguos. Continuando con la
investigación, el equipo de respuesta buscaba confirmar algunas sospechas examinando los archivos a
través de los Servicios de Emulación en Nube de Amenazas en línea de Check Point. Muchos de estos
archivos se marcaron como sospechosos y mostraron actividad claramente maliciosa. Una fue especial-
mente interesante para esta situación: El archivo se capturó escribiendo un archivo de texto en un
directorio de sistema de Windows.
Ver al archivo escribir tracks.txt en el directorio C:WindowsSystem32 soportó la creencia de que este
archivo era malware PoS, diseñado para recolectar información de rastreo de tarjetas. con ese
concimiento, se hizo evidente que este malware formaba parte de un kit que podía capturar credencia-
les, usarlas para instalar malware, moverse en el interior y filtrar datos al exterior de la red. De imple-
mentarse la emulación de amenazas, podrían haberse bloqueado este malware y otros componentes
en el kit malicioso.
MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 17
“Sólo lo desconocido asusta a los hombres.
Pero una vez que un hombre enfrenta lo desconocido,
ese terror se vuelve lo conocido”.8
-Antoine de Saint-Exupery, escritor y poeta
• Capacidad de bloquear ataques, no sólo detectarlos
• Capacidad de evitar evasiones
• Detección rápida y exacta
• Capacidad para descifrar SSL
• Capacidad para soportar tipos de archivo comunes
• Capacidad para soportar objetos web como Flash
RECOMENDACIONES
Para tratar las amenazas de malware desconocido y
de día cero, deberá poder identificarlas dentro del
sistema operativo y más allá. La meta: no sólo
detectar las amenazas, sino también enfrentar
las técnicas de evasión. Check Point recomienda
usar un enfoque de tres elementos: una
combinación de capacidades de entorno aislado
a nivel de SO y CPU con extracción de amenazas.
Los factores clave a considerar al seleccionar un
buen entorno aislado incluyen:
INTRODUCTION AND METHODOLOGY | 1818 | INTRODUCTION AND METHODOLOGY
MALWARE CONOCIDO:
CONOCIDO Y PELIGROSO
03
INFORME DE SEGURIDAD | 18
“Todos somos digitales, todos somos vulnerables y
todo es instantáneo - tan instantáneo.”9
–Madonna, estrella pop, sobre el robo digital y fuga de su álbum aún no terminado, “Rebel Heart”,
antes de su lanzamiento.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 19
En 2014 los hosts
descargaron malware
cada6 minutos
En 2014 los hosts
accedieron a un sitio web malicioso
cada24 segundos
ALOJAN
ARCHIVOS MALICIOSOS
PORCENTAJEDEORGANIZACIONES
EE.UU.CANADA
PAÍSES
BAJO
S
REINO
UNIDO
38
5 5
4 4
RUSIA
REINO
UNIDOPO
LO
NIA
26
22
8 8
2
INDIA
TURQUÍA
M
EXICO
17
14
6
4
3
INDIA
M
EXICO
38
8
7
6
5
PRINCIPALES 5 PAÍSES QUE:
ALOJAN
SITIOS MALICIOSOS
DESCARGAN
ARCHIVOS MALICIOSOS
ACCEDEN A
SITIOS MALICIOSOS
FRANCIA
EE.UU.UCRANIA
ISRAEL
ISRAEL
REINO
UNIDO
EE.UU.
EE.UU.
Dada la facilidad para crear y lanzar malware
desconocido potente, se pensaría que comenzare-
mos a ver una disminución del malware conocido.
Sin embargo, la realidad es que los hackers siguen
manteniendo este método de ataque en su arsenal.
En 2014, los investigadores de Check Point descu-
brieron que aproximadamente el 86% de las
organizaciones acedieron a un sitio malicioso. Es
más, cerca del 63% de las organizaciones
descargaron un archivo malicioso. Observando la
velocidad y frecuencia, los hosts accedieron a un
sitio web malicioso cada 24 segundos [en
comparación con cada minuto en el año
pasado], y descargaron malware cada seis
minutos [en comparación con cada 10 minutos
el año pasado]. Al considerar qué tan
rápidamente los virus pueden propagarse y
crear caos, esto va más allá de ser alarmante.
3.1 FUENTE: Check Point Software Technologies
83%
de las organizaciones estudiadas fueron infectadas
con bots. Y un bot se comunica con su centro de
C y C cada minuto.
3.2 FUENTE: Check Point Software Technologies
FAMILIA CONTEODEATAQUES DAÑO
ZEUS 51,848,194 Robo de credenciales bancarias
GRAFTOR 21,673,764 Descarga de archivos maliciosos
RAMNIT 12,978,788 Robo de credenciales bancarias
CONFICKER 12,357,794
Desactiva servicios de seguridad del sistema,
obtiene acceso remoto para el atacante
SALITY 11,791,594 Robo de información privada
SMOKELOADER 9,417,333 Instalación de malware
RAMDO 5,771,478 Realiza fraude de clicks
GAMARUE 3,329,930 Abre una puerta trasera ataques
TORPIG 3,290,148 Robo de información privada
Y HABRÁ BOTS
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 20
Una de las maneras más eficientes de amplificar y
acelerar la propagación del malware es a través de
bots - cuando una computadora ha sido infectada
con un caballo de Troya o virus, puede permitir
control de un tercero sobre algunas o todas las
funciones de la máquina. Una “botnet” es una red
de computadoras convertidas en bots o zombies
bajo el control de una persona u organización que
las usa para reenviar correo electrónico no
deseado, atacar a otras computadoras o lanzar
ataques DDoS.
Casi el 83% de las organizaciones sufrieron infecc-
ciones de bots existentes en 2014. Y el 47% de ellas
estuvieron activas durante más de cuatro semanas
- una duración perturbadora de tiempo dado que
un bot se comunica con su centro de comando y
control (C&C) cada minuto. Aún más, esa velocidad
y frecuencia representan un salto del 66.7% con
respecto al año pasado, y un aumento del 95% con
respecto al 2012.
Al examinar los bots, ¿de qué clase de daño habla-
mos? Robar credenciales bancarias y otra
información privada, desactivar servicios de seguri-
dad de sistemas; instalación de malware;
realización de fraudes de clicks; obtener
acceso remoto; y abrir una puerta trasera para
ataques constituyó la mayoría de la actividad de
los bots en el 2014.
Una de las infecciones más notorias con bots
aprovechó una vulnerabilidad en las
computadoras Mac de Apple en conjunto con el
sitio social, de entretenimiento y noticias Reddit.
Una entrada de puerta trasera llamada
“Mac.BackDoor.iWorm”
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 21
Vortex de recopilación de credenciales
obtuvo acceso a equipos Mac. A partir de este
punto, usó Reddit para conectar la computadora
pirateada con un servidor de comando. Después
de infectar las computadoras, los hackers la publi-
carían en Reddit y después aprovecharían la
función de búsqueda del sitio para identificar estas
publicaciones. Usando el iWorm, fueron capaces
de capturar direcciones de servidor de las publica-
ciones y usarlas como guía para conectarse a la red
de bots.
El bot que tuvo la mayor acción en 2014, sin
embargo, también fue el campeón reinante el año
anterior: ZeuS. Parece que este año, los hackers
siguieron el principio de que si no está descom-
puesto, no hay que repararlo. De acuerdo con el
Informe Resumido Botnet de Spamhaus para 2014,
ZeuS encabezó la lista de bots con 2,246 comandos
y controles, prácticamente el doble que Citadel, el
siguiente bot líder.10
Así, con el alcance y la potencia de bots a su
disposición, ¿en qué se enfocan más los criminales
cibernéticos? Esencialmente, los elementos críticos
que reducen significativamente la productividad
de una organización.
Laautomatizacióndeherramientasy ladistribucióndebotnet hacenlarecopilacióndecredencialesmediantefuerzabrutamásfácil
cada día.Porejemplo,antesde2014, solounacomputadoraalavezpodíadescifrarunacontraseña.Esteañopasado,sinembargo,una
herramientade decodificacióndesumadecomprobacióndecontraseñasllamadaHashcatmodificósucódigofuenteparahacer
posiblela decodificacióndistribuida,así másdeunacomputadorapodríaayudaradescifrarlacontraseña haciendolasoperaciones
muchomás rápidasparalosatacantes.
¿Así que,cómofunciona?Loscriminalescapturangrandescantidadesdedatosdelosataques.Algunasveces usanunasumade
comprobaciónocodificación y noesfácil usardeinmediato.Allíesdonde entranlasherramientas automatizanladecodificacióndelas
contraseñasyyapodríanformarpartedeunabotnetquepermitaunadistribuciónmásfácil.Una vezquesedescifren,losataquesde
fuerzabrutaintentanexplotarelreusodecontraseñas,tambiénpuedenintentaraveriguarsilacontraseñadeunapersonafuncionapara
eliniciodesesióndealguienmás.Dehecho,CheckPointhaobservadoataquesdefuerzabrutaconstantesqueduransemanas,donde
losintentosporsegundo/minuto/hora/díaestánajustadosporelatacanteparaevadirladetección.Loqueesmás,estopuedeconducira
sitiosdeusocompartidodetextoabiertocomoPastebin,dondelainformaciónpuedevendersedespués.
Paraprotegerelalmacenamientodecontraseñas,genereunasumadecomprobacióncriptográficaunidireccionaldeunacontraseña.
Enotraspalabras,siunacontraseñaes“bluesky”,uncriptógrafolaconvertiráenalgocomo“fna84K”.Estoevitamantenercontraseñasde
textoplanoypermitelaverificacióndecontraseñassuministradasporelusuariorepitiendoelsistemadesumadecomprobación
unilateral. Añadirunvalorgeneradoaleatoriamenteaunacontraseña antesdecrearsusumadecomprobacióncriptográficatambién
puedeaumentarladificultaddeunaoperacióndedescifradodecontraseñas.
Dadoqueyaexistenherramientasparaexplorar laInternetenbuscade contraseñas y automatizareldescifradodecontraseñas
distribuido yfortaleciendo lamanera enquealmacenanestosdatosescrucial. Paramantenerestainformaciónsegura,tome
precaucionesextrasyuseunaverificacióndefactordoble,autentificacióndeusuariofueradebandaoinclusoautentificaciónbiométrica.
Recuerde,elhechodequelaspersonasreutilicencontraseñassimilaressignificaquecadaviolacióndemiles denombrescrealassemillas
para potencialmentecientosdeviolacionesadicionales.
DDOS: LA NUEVA TRINCHERA
3.3 FUENTE: Check Point Software Technologies
48ataques de DDoS ocurrieron
cadadíaen 2014
60
23
39
51
22
35
43
36
19
47
23
%DEORGANIZACIONESCONPORLOMENOSUNATAQUE
PRINCIPALES VECTORES DE ATAQUE
20132014
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 22
NEGACIÓN
DE SERVICIO
DESBORDAMIENTO
DE BÚFER
EJECUCIÓN
DE CÓDIGO
SCRIPTS
ENTRE SITIOS
ANOMALÍA DAÑO DE
MEMORIA
En el pasado, si usted quería oponerse a las políti-
cas de una empresa, reuniría gente, haría algunos
letreros y se pararía fuera de su sede comercial para
una demostración pública de protesta. ¿Ahora?
sólo busca en línea y compra un juego de herrami-
entas para DDoS barato, ingresa la dirección URL
para la empresa contra la que protesta, y listo el
sitio web de la empresa se desfigura. Es fácil,
cómodo y barato.
En 2014, la Negación de Servicio Distribuida (DDoS)
fue el principal ataque, que representa el 60% de
todos los ataques, casi el doble con respecto al año
pasado. Los ataques DDoS, que ponen fuera de
servicio un servidor o recurso de red
temporal-mente, ocurrieron 48 veces al día en
2014 hasta ocho veces por día en 2013. ¡Esto
representa un
aumento del 500%. El año pasado, la mayoría de
los ataques de DDoS se encontró principalmente
en el sector de consultoría. Este año, abarca casi
dos terceras partes de los negocios en todos los
sectores industriales. Después de DDoS, los
siguientes vectores de ataque de mayor tamaño
para el año fueron el Desbordamiento de búfer, un
ataque que puede dañar datos, y Ejecución de
Código, el cual permite a un hacker inyectar código
arbitrario. Ambos aumentaron significativamente
con respecto al año pasado.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 23
HACKTIVISMO:
Cuando los protestantes llevan su ideología a la red
El año pasado se observó un aumento en DDoS contra las instalaciones educativas, proveedores de
servicio, gobiernos estatales de los EE.UU y gobiernos de las ciudades. Sin importar la política, el efecto
del hacktivismo a través de ataques de DDoS ha sido percibido por espectadores inocentes tanto, si no
más que por los blancos pretendidos. En países donde el gobierno proporciona la mayoría de la
conectividad para servicios educativos, un ataque en una escuela pequeña puede afectar a todas las
escuelas en la red. Un DDoS dirigido al sitio web de una ciudad puede causar (y ha causado) una
pérdida de conectividad con las unidades de campo de seguridad pública y servicios de emergencia, y
no sólo durante una protesta mayor.
Aunque el orden de los pasos puede variar, los hacktivistas usan cuatro técnicas principales:
1. Un ataque volumétrico de varios ejes que usa millones de paquetes de protocolo de datagrama de
usuario (UDP) en el puerto 80. Como un protocolo sin estado, UDP es muy fácil de falsificar, haciendo
que la fuente parezca como si fuera enviada desde una dirección de protocolo de internet (IP)
diferente. Esto satura la conexión antes de que los dispositivos de seguridad de las instalaciones de la
organización puedan detectar y reaccionar.
2. Un ataque del sistema de nombre de dominio (DNS) en donde los atacantes envían
millones de solicitudes de DNS a servidores DNS legítimos, usando una dirección IP con una fuente
falsificada para que parezca como si se origina desde un servidor en la red de la víctima. Los servidores
DNS legítimos reaccionan saturando las respuestas de DNS a la víctima, causando otra ola de ataques
volumétricos.
3. Un ataque se dirige a un host específico. Falsificar la dirección de origen en alto
volumen consume suficientess recursos para que el host no responda al tráfico legítimo.
4. Los ataques lentos abren tan pocas conexiones como sean posibles a un servidor y mantienen estas
conexiones abiertas durante tanto tiempo como sea posible enviando bits de datos justo antes de que
se agote el tiempo de espera de las sesiones del protocolo de transmisión (TCP), pero el volumen de las
conexiones lentas congestiona los puertos de red entrantes.
Esto es lo que puede hacer para asegurar su organización:
1. Entender y monitorear el volumen de tráfico como conexiones por segundo, paquetes por segundo
y velocidad de transmisión por segundo. Si se exceden los límites base, herramientas como Check
Point DDoS ProtectorTM pueden implementarse frente a puertas de seguridad para mitigar el tráfico
DDoS antes de alcanzar la puerta de enlace. Cuando el tráfico de ataque volumétrico excede la veloci-
dad del circuito de internet, saturará la conexión de red antes de que alcance DDoS Protector o la
puerta de enlace de seguridad, negando así el servicio. Para evitar que esto ocurra, DDoS desvía el
tráfico a través de DefensePipe a centros de depuración de Internet, donde el tráfico malicioso se
elimina y se devuelve tráfico limpio.
2. Implementar controles estrictos en las redes con acceso a invitados o bases de usuarios desconoci-
dos como instalaciones educativas, proveedores de nube y compañías de alojamiento de servicios.
3. Implementar reglas de falsificación de IP de origen para evitar que los usuarios en las redes objetivo
lancen ataques de reflejo. Los estilos de ataques dinámicos y variantes pueden convertir el detener
todas las formas de DDoS en un desafío. Pero Firewall Software Blade e IPS Software Blade de Check
Point tienen herramientas de mitigación y protecciones incorporadas, como limitación de velocidad,
Syn Defender, IPS SYN Attack e IPS DNS, para evitar ataques de DDoS.
CATACLISMO DE INFRAESTRUCTURA
CRÍTICA: No “Si”, sino “Cuándo”
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 24
James Arbuthnot, anterior presidente del Comité Selecto de Defensa del Reino Unido, lo dijo mejor:
“Nuestra red nacional está bajo ataque no sólo cada día, sino cada minuto”.11
De hecho, casi el 70 % de
las empresas de infraestructura crítica (CI) sufrieron una violación de seguridad durante el año
pasado.12
Un ataque durante el 2014, por un grupo de hackers rusos llamado Energetic Bear, lanzó una
campaña dirigida a las compañías de petróleo y gas. A través de la infección de software de control
industrial en el que se basaban estas compañías, los atacantes incorporaron malware que se descargó e
instaló automáticamente cuando las organizaciones víctimas actualizaron su software. Esto le dio a los
atacantes visibilidad de las redes atacadas, y el control potencial de las mismas.
En un incidente por separado, se atacó una fundidora alemana, causando un daño mayor al horno de
fundición. De acuerdo con la oficina federal alemana de seguridad de la información, BSI, los atacantes
implementaron una campaña mediante ingeniería social para engañar a personas específicas para
que abrieran mensajes. A partir de este punto, los criminales cibernéticos fueron capaces de capturar
nombres y contraseñas de inicio de sesión, lo que les ayudó a acceder a la red de producción de la
fundición. Una vez dentro, atacaron los sistemas de control, causando la falla de elementos, lo cual
evitó que el horno se apagara normalmente. Como resultado, el sistema se dañó.
¿Por qué ocurre esto?
Al observar las causas de incidentes de CI, vemos que ocurren algunas cosas. Para comenzar, el sistema
de control de supervisión y adquisición de datos (SCADA), usado comúnmente para CI, no está
diseñado para la seguridad. No sólo sus dispositivos son vulnerables, sino que sus redes son obsoletas.
Además, los sistemas SCADA integran los sistemas operativos Windows y Linux, los cuales también son
vulnerables. Una segunda causa es que, con demasiada frecuencia, la visión de la seguridad es de corto
alcance, con un énfasis únicamente en el perímetro electrónico. Esto no es suficiente porque deja los
sistemas de producción en riesgo. finalmente, un tercer problema que observamos es la creencia
equivocada de que una buena seguridad física significa buena seguridad de red. No reconocer la
diferencia puede conducir a consecuencias severas.
Asegurando la infraestructura crítica: qué hacer
Así como observamos tres causas de incidentes de CI, también observamos tres maneras clave de
evitar tales ocurrencias. Los siguientes son pasos para proteger infraestructuras críticas.
1. Arquitectura de seguridad: En primer lugar, proteja la red corporativa para bloquear la infiltración de
la red de producción. Después, segmente y proteja su red de producción con seguridad especializada.
Para la seguridad del perímetro, use herramientas adecuadas como un sistema de protección, preven-
ción de intrusiones, antivirus, anti-bot y emulación de amenazas.
2. Productos de seguridad con soporte SCADA granular: Siempre use productos diseñados específica-
mente para sistemas SCADA. Recuerde, las industrias CI se basan en sistemas dedicados sobre redes
especializadas con protocolos únicos. Las soluciones como las soluciones de seguridad SCADA
incluyen registros de SCADA, sistema de protección, control de aplicaciones, prevención de intrusiones
y seguridad de puntos terminales de la estación de trabajo SCADA.
3. Información sobre amenazas: Asegurese de registrar independientemente toda la actividad SCADA
usando el monitoreo de tráfico SCADA a profundidad y el análisis de amenazas.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 25
SENTIRSE VULNERABLE
NÚMERO TOTAL DE VULNERABILIDADES
Y EXPOSICIONES COMUNES
2014
2013
2009
2012
2010
2008
2011
7945
5191 5297
4651
5736
4155
5632
2 014: VULNERABILIDADES Y
EXPOSICIONES PRINCIPALES
IBM
ORACLE
GOOGLE
M
ICROSOFT
APPLE
LINUX
REDHAT
CISCO
ADOBE
450
431
376
287
156
135138
368
155
M
OZILLA
120
NÚMERODEVULNERABILIDADES
3.4 FUENTE: Base de datos de Vulnerabilidades y Exposiciones Comunes (CVE) (gráficas superiores), Check Point Software Technologies (gráfica inferior)
%DEORGANIZACIONES
NOVELL
2
2013
M
ICROSOFT
67
ADOBE
15
VIDEOLAN
10
3COM
4
SQUID
4
SUN/ORACLE
4
APPLE
3
CA
3
M
ICROSOFT
77
ADOBE
14
APACHE
6
HP
6
SUN/ORACLE
5
M
OZILLA
3
JOOM
LA
3
2014 2012
M
ICROSOFT
68
SUN/ORACLE
15
ADOBE
13
NOVELL
5
SQUID
2
VIDEOLAN
1
EVENTOS DE SEGURIDAD POR LOS PRINCIPALES PROVEEDORES DE SOFTWARE
años, observó muy poco aumento entre 2012 a
2013. Sin embargo, del 2013 al 2014, observamos
un salto de sólo un 53%. Por lo que mientras las
buenas noticias son que la concientización
aumenta con respecto a estas exposiciones poten-
ciales, las malas noticias son que aún existen y
están creciendo.
Uno de los grandes problemas que las organizacio-
nes necesitan tratar para ayudar a mejorar su
seguridad es parchar y actualizar el software.
Cuando esto se , crea una vulnerabilidad de nego-
cios seria que puede interrumpir el desempeño sin
necesidad, tanto del hombre como de la máquina.
Al examinar el número total de vulnerabilidades
comunes y exposiciones durante los pasados tres
SHELLSHOCK: Atacando el núcleo de las redes
EL NUEVO OBJETIVO DE LAS EXPLOTACIONES:
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 26
SOFTWARE Y SO DE CÓDIGO ABIERTO
visibles. Como resultado, el OSS se ha convertido
en un objetivo atractivo con el fin de robar datos,
propiedad intelectual y otra información privada.
Pero se convierte en una puerta abierta a la red
para explotación por parte de los hackers.
Por ejemplo, OpenDaylight, un proyecto de
software de código abierto multiproveedor, fue
forzado a enfocarse en la seguridad cuando una
falla de red definida por software [SDN] vino a
la luz. En agosto de 2014, se encontró una
vulnerabilidad crítica en esta plataforma, pero
tardó cerca de cuatro meses para parcharse.
El uso compartido en la comunidad no siempre es
algo bueno. Tome el software de código abierto
(OSS), por ejemplo. A diferencia del software propi-
etario cerrado, el software de código abierto se
escribe de manera que su código abierto esté
libremente disponible al público y puede ser modi-
ficado por cualquier persona. Aún peor, el OSS no
se maneja de manera más cercana debido a que no
siempre forma parte del proceso de suministro de
TI. Debido a que es software gratuito (freeware)
no se mantiene de manera tan cercana como otro
software. Los criminales cibernéticos saben esto,
por lo que reimplementan ataques hacia aplicacio-
nes y sistemas con menos mantenimiento y menos
Los hackers entienden que la manera más impactante de atacar los blancos es atacar su fundamento.
Para la mayoría de los sistemas operativos, esta base es una serie de comandos fundamentales, a
menudo ejecutados en Unix. En el núcleo del shell de la línea de comandos usada comúnmente en los
sistemas operativos Apple MAC OS X y Linux/UNIX hay un procesador de comandos llamado Bash o
Bourne Again Shell.
En septiembre de 2014, se descubrió una vulnerabilidad de seguridad mayor en Bash que permitía a los
atacantes ejecutar en forma remota comandos de shell. Funcionó agregando código malicioso en las
variables de entorno usadas por el sistema operativo.
Desde el punto de vista de un hacker, no mejora mucho. En un plazo de días a partir del anuncio de la
vulnerabilidad, también se descubrieron fallas de diseño adicionales y se creó una serie de parches. La
carrera comenzó para atacar las redes antes de que los parches se insertaran. En horas, los atacantes
explotaron Shellshock creando botnets en computadoras en riesgo, para realizar ataques de negación
de servicio y análisis de vulnerabilidad. Aunque las redes protegidas por Check Point IPS fueron el
mismo día, Shellshock puso en riesgo millones de servidores y redes sin parchar.
Los clientes de Check Point apoyados por la protección IPS observaron intentos bloqueados mientras
los ataques se dirigían predominantemente a protocolos HTTP, Correo electrónico (SMTP/POP3/IMAP),
FTP y DHCP. Los hallazgos de la investigación mostraron que los EE.UU. fueron el objetivo principal y el
principal atacante por un margen significativo.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 27
3.5 FUENTE: Check Point Software Technologies
NADIE A QUIEN CULPAR EXCEPTO A NOSOTROS
PRINCIPALES
EVENTOS
40%
PORCENTAJE DEL TOTAL
CLIENTE
60%
La persona que encontro la
vulnerabilidad inicialmente intentó reportarla
en forma privada, pero dado que OpenDaylight no
tiene un equipo de seguridad, sus esfuerzos no
tuvieron fruto alguno. En lugar de ello, terminó
publicando la vulnerabilidad en una lista de
correo popular sobre fallas de seguridad. fue el
potencial de que un controlador SDN se
pusiera en riesgo, lo que permitiría a los atacantes
tomar control de la red.14
Una vulnerabilidad de código abierto descubierta
durante el 2014 fue con la plataforma MediaWiki, la
cual se usó para ejecutar Wikipedia y miles de otros
sitios wiki en el mundo. Los investigadores de
Check Point descubrieron que un defecto en el
código podría permitir a los atacantes inyectar
código malicioso en todas las páginas en
Wikipedia.org, así como en otros sitios wiki
internos o expuestos a la red en MediaWiki. Con
más de 94 millones de visitantes únicos por mes
sólo en Wikipedia y casi 2 millones de sitios vincula-
dos a este sitio, es fácil ver el potencial de propa-
gación del daño.
Las código abierto del año fueron Heartbleed,
Shellshock y Poodle. En el año pasado, parece
que los negocios fueron ataca-dos con malware
nuevo y devastador, peor que nunca antes -
hasta meses después, el siguiente malware
nuevo y peor que nunca entró en escena.
Heartbleed fue descubierto en abril de 2014, una
vulnerabilidad en el software de OpenSSL. Lo que
hace es permitir a los hackers acceso a la memoria
de los servidores de datos - hasta 64 kilobytes. Este
acceso entonces les da la capacidad de robar
información crítica como identidades de usuarios,
contraseñas y otra información privada contenida
en los servidores.
Después, llegó Shellshock. La abrumadora
vergüenza de esto es que se deriva de una falla de
seguridad de un cuarto de siglo de antigüedad que
permite la ejecución de código con el shell Bash.
Esto permite a un hacker controlar el sistema
operativo y acceder a información confidencial.
Además de eso, muchos programas ejecutan el
shell Bash en segundo plano. Cuando se agrega el
código extra dentro de las líneas de código
existentes, el error se libera.16
Después de Shellshock fue Poodle, un simpático
acrónimo que proviene de Padding Oracle On
Downgraded Legacy Encryption (Relleno de Oracle
en el Cifrado Preexistente Degradado) Su enfoque:
una tecnología de cifrado de 18 años de antigüe-
dad, SSL 3.0. Si un sitio web usa ese protocolo para
cifrar el tráfico, los atacantes podrían solicitar a su
computadora degradar su cifrado al mismo están-
dar anticuado, creando problemas de seguridad
con comunicaciones a servidores.
Las vulnerabilidades de código abierto como
Heartbleed, Poodle y Shellshock afectaron a casi
todas las operaciones de TI en el mundo. Las
organizaciones pueden no ser capaces para antici-
par la siguiente vulnerabilidad masiva, pero deben
entender que los hackers disfrutan encontrar y
explotar fallas en plataformas de código abierto y
comúnmente utilizadas (como Windows, Linux e
iOS) debido a las oportunidades abundantes que
ofrecen.
En 2013, los servidores fueron el blanco preferido. El
año pasado todo esto cambió. Los clientes ahora son
el eslabón más débil.
Cuando examinamos el cambio en la distribución de
los eventos de IPS principales entre el cliente y
servidor, vemos que el lado del cliente saltó dramáti-
camente - de 60 a 32%. Mientras, el lado del servidor
IPS SERVIDOR
3.6 FUENTE: Check Point Software Technologies
TERMINALES EMPRESARIALES
VULNERABILIDADES Y CONFIGURACIONES ERRÓNEAS
25%
25%54%
20%
10%35%
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 28
disminuyó de un 68% a un 40%. ¿Por qué? Los
hackers muestran una preferencia por atacar a los
clientes debido a que usan ingeniería social y
tácticas de phishing para engañar a las personas.
En otras palabras, los humanos son mucho más
fáciles de duplicar que las máquinas.
¿Entonces qué contribuye al problema? la Negli-
gencia con respecto a las protecciones básicas.
Además, las organizaciones usan herramientas de
seguridad preexistentes que no son suficientes
para tratar las amenazas en evolución de hoy en
día. Si quiere mantener sus terminales seguras,
puede comenzar con acciones fundamentales
como asegurar sus computadoras y ejecutar un
sistema de protección de escritorio; tener paquetes
de servicio y software actualizados; y tener insta-
lado el software antivirus más reciente.
Sin embargo, de acuerdo con nuestros hallazgos, el
20% de los hosts empresariales no ejecutan un
sistema de protección de escritorio; el 10% de los
hosts empresariales no tienen paquetes de servicio
actualizados; el 25% no tienen versiones actualiza-
das de su software; y el 17% no tienen un antivirus
instalado en absoluto. Además, el 35% de los hosts
empresariales están configurados de manera que
los usuarios tengan permisos de administrador
locales, poniendo sus sistemas operativos en un
mayor riesgo de explotación por malware.
Aunque estos números pueden no parecer muy
grandes, son una señal importante de que hay
algunas empresas que no han recibido el mensaje
de seguridad: sólo se necesita un host vulnerable
para infectar una red completa. Y pensar en el
número de negocios con los que estas empresas
interactúan e intercambian información. Parte de
manejar la amenaza del crimen cibernético
significa ser un ciudadano cibernético al
tratarse con protecciones básicas y compartir
información de seguridad importante con otros.
Hosts donde el usuario tiene
permisos de administrador local
Hosts que no ejecutan
sistemas de protección de escritorio
Hosts que tienen por lo menos
un dispositivo Bluetooth instalado
Hosts que no tienen
firmas de AV actualizadas
Hosts que no tienen
versiones de software actualizadas
Hosts que no tienen
firmas de AV actualizadas
PORCENTAJE
DE HOSTS
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 29
PCI DSS 3.0
NIST 800:41
ISO 27001
PCI DSS 3.0
NIST 800:41
ISO 27001
PCI DSS 3.0
ISO 27001
Aunque la mayoría de las empresas entienden sus responsabilidades con respecto a la conformidad y
cumplimiento de las normas industriales con respecto a la seguridad, aún es un asunto muy complejo.
Podría encontrarse completamente en conformidad un día, y después hacer un cambio relacionado
con la empresa a su red y súbitamente encontrarse fuera de cumplimiento. Saber qué buscar es
crucial. Pero no caiga en la trampa de pensar que únicamente porque su organización se encuentra en
conformidad está completamente segura. El cumplimiento de los requisitos regulatorios normalmente
se relaciona con amenazas específicas, haciendo lo menos completo de lo que una postura de seguri-
dad podría y debería ser. No debe ser la base de su política de seguridad. A continuación se muestran
los hallazgos de Check Point en la investigación de 2014.
Las medidas contra
falsificación (anti-
spoofing) no estaban
activas para el 75%
de los encuestados.
Se descubrió la regla
“aceptar cualquiera”
en el 27% de los
encuestados
Los paquetes TCP
fuera de estado no se
omiten en el 19% de
los encuestados
El anti-spoofing verifica que los paquetes
provengan desde y se dirijan hacia las
interfaces correctas en la puerta de enlace.
confirma que los paquetes que dicen
provenir de una red interna verdaderamente
provengan de la interfaz de red interna.
También verifica que, una vez que se enrute
un paquete, pase a través de la interfaz
adecuada.
El concepto fundamental de la regla básica
del sistema de protección es “aquello que
no se permite explícitamente esta
prohibido”.
Para descubrir que el 27% de los encuesta-
dos tenían la regla “Aceptar cualquiera” en
su base de reglas fue una sorpresa mayor.
Estos son los fundamentos básicos del
sistema de protección.
El tiempo de espera de la sesión TCP es en un
periodo de tiempo que una conexión inactiva
permanecerá en la tabla de conexiones de la
puerta de enlace de seguridad. Esta sesión
inactiva es el retraso en el que un atacante
puede intentar robar y usar el transporte de
paquetes de la sesión del usuario existente.
Los paquetes que están fuera de estado deben
omitirse. Encontramos que 1 de cada 5
empresas no omiten los paquetes fuera de
estado.
HALLAZGO DE
CHECK POINT
ANÁLISIS DEL PROBLEMA DE
CHECK POINT
NORMA PAÍSES AFECTADOS POR
ESTA NORMA
Global - cualquier empresa que
procesa o almacena datos de
tarjetas de crédito
Principalmente relevante a uso
Federal en los EE.UU, pero
igualmente aplicable a cualquier
empresa de los EE.UU. que adopte
un estándar de protección robusto
Global - cualquier empresa
certificada en este estándar o
que lo adopte como una mejor
práctica
Global - cualquier empresa que
procese o almacene datos de
tarjetas de crédito
Global - cualquier empresa que
siga esta norma
Principalmente relevante a uso
Federal en los EE.UU, pero
igualmente aplicable a cualquier
empresa de los EE.UU. que adopte
un estándar de protección robusto
Global - cualquier empresa que
procesa o almacena datos de
tarjetas de crédito
Global - cualquier empresa
certificada eneste estándar o
que lo adopte como una mejor
práctica
‘Quienes no aprenden de la historia, están condenados a repetirla’.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 30
Evite que la historia se repita
Esto también es cierto para la seguridad.
Mantenerse al día con los problemas y emplear las mejores prácticas de seguridad puede mantener
negocios de todos los tamaños seguros contra la catástrofe de repetir errores pasados. A continuación
se presenta un resumen de las mejores prácticas que pueden ayudarle a evitar muchas de las trampas
de seguridad de clientes grandes y pequeños.
Protecciones en Detectar vs Prevenir
Con las protecciones de red, el modo ‘Detectar’ se usa para amenazas de bajo riesgo, mientras que el
modo ‘Prevenir’ se usa para amenazas de severidad crítica y riesgo alto, a menudo escuchamos de los
clientes que se ‘detectó’ un ataque pero no se previno porque estaba mal categorizado. Asegúrese de
revisar las políticas de amenazas periódicamente para entender cómo categorizarlos apropiadamente.
Parches desactualizados.
A pesar del hecho de que hay parches disponibles para vulnerabilidades con años de antigüedad en las
plataformas, a menudo no se instalan. Los atacantes se enfocan en esta debilidad; mientras más
antigua sea la vulnerabilidad, más probable es que haya disponible una explotación de código abierto.
Para evitar ser un blanco fácil, le recomentamos parchar pronto y frecuentemente.
Mala política de contraseñas o reuso de contraseñas
La mayoría de las credenciales recopiladas en ataques de fuerza bruta se descifran debido a que la
contraseña de la cuenta es débil. En otras ocasiones, las cuentas se recopilan debido a que se usó una
contraseña para un sitio en otro sitio en riesgo. Las políticas de contraseñas más fuertes y educar a
los usuarios acerca del reuso de contraseñas, los negocios pueden minimizar las violaciones de
cuentas. Además, las buenas políticas de contraseña hacen redes más seguras.
Compartir información entre departamentos
En organizaciones más grandes, a menudo se observa un tema común de compartir información y
algunas veces, señalamientos acusatorios entre departamentos. En su forma más inocente, algunas
empresas carecen de mecanismos para uso compartido de información o políticas de TI consistentes;
esto tiene como resultado que un grupo tenga una red mucho más moderna que otro.
Desafortunadamente, muchas no están segmentadas internamente por lo que una violación para una
puede tener como resultado una violación para todas.
MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 31
“No existe nada como una seguridad perfecta,
sólo niveles variables de inseguridad.” 17
–Salman Rushdie, autor
RECOMENDACIONES
Usted pensaría que si se conoce algo, sería más
fácil mantenerlo vigilado. Como ha leído al
respecto del malware conocido en este capítulo,
es claro que esta idea está equivocada.
Combatir el malware conocido requiere un
enfoque de varios elementos. El principio central:
automatizar y coordinar múltiples capas de
defensa.
• Detectar y Defender: Asegúrese de utilizar
puertas de enlace y tarjetas de software antivirus
para terminales junto con el filtrado de direccio-
nes URL. Esto ayuda a evitar conexiones con
distribuidores conocidos de malware.
• Bloquear al bot. Use una tarjeta de software
anti-bot para detectar malware y comunicaciones
directas de botnets.
• Cubra los elementos críticos. Extienda su protec-
ción IPS para asegurarse de poder defenderse
contra ataques de severidad crítica. Cubra su
servidor de red y los sistemas de infraestructura de
TI, sin importar el proveedor o plataforma.
• Gestione y manténgase a la delantera
de las vulnerabilidades con procesos de parchado
para todos los sistemas y aplicaciones.
• Regule y restringa. Al tratarse de una configura-
ción cliente/servidor, restrinja el uso de privilegios
de administrador; desactive Java y otros motores
de scripts; y regule qué aplicaciones pueden
instalarse en los puntos terminales.
INTRODUCTION AND METHODOLOGY | 3232 | INTRODUCTION AND METHODOLOGY
SEGURIDAD MÓVIL:
NO ME ENCIERREN
“Además de lo conocido y lo desconocido,
¿qué más hay?”18
–Harold Pinter, dramaturgo ganador del premio Nobel, guinista, director, actor
04
CHECK POINT - INFORME DE SEGURIDAD 2015 | 32
SEGURIDAD MÓVIL: NO ME ENCIERREN | 33
42% sufrieron incidentes de seguridad móvil
que costaron más de $250,000
Cuando llegó la tecnología móvil, también lo hizo
la promesa de una productividad sin restricciones.
Pero para muchos, la seguridad móvil fue un
tema tardío. La meta para todos debería ser
identificar soluciones que posibiliten la productivi-
dad, ya sea que esté o no en las instalaciones. Y
esto se vuelve especialmente importante ya que
vemos un aumento en el uso de teléfonos inteli-
gentes y tablets, junto con sus aplicaciones
asociadas, para facilitar nuestras vida. Debido a
que con este aumento ha surgido un deseo de
hacer negocios con estos mismos dispositivos, los
datos corporativos se ponen en riesgo.
De manera predecible, la tendencia creciente de
“Traiga su propio dispositivo” (BYOD, Bring Your
Own Device) ha generado una multitud de
problemas de seguridad móviles. Como un vector
de ataque, los dispositivos móviles proporcionan
un acceso directo más fácil a los recursos
organizacionales valiosos que cualquier otro
punto de intrusión de la red, haciéndolos el
eslabón más débil en la cadena de seguridad.
En una encuesta global de más de 700 negocios, el
42% de la muestra de la encuesta ha sufrido
incidentes de seguridad móvil que cuestan más de
$250,000 para remediar y el 82% esperaron que
los incidentes aumentaran durante el 2015.
LLAMADAS
FUERA DE CONTROL
4.1 FUENTE: Check Point Software Technologies
cc |
||
| |
SEGURIDAD MÓVIL: NO ME ENCIERREN | 34
DATOS CORPORATIVOS EN RIESGO
Cuando la seguridad móvil es débil, puede proporcionar
a los atacantes información personal, contraseñas,
correo electrónico de negocios y personal, documentos
corporativos y acceso a redes y aplicaciones empresari-
ales. En una situación de negocios, esta preocupación
aumenta. De hecho, el 87% de los profesionales en TI
declararon que los empleados descuidados son una
amenaza a la seguridad mayor que los criminales
cibernéticos. Y el 92% declararon que las conductas de
los empleados podrían haber hecho una diferencia en la
prevención de violaciones a la seguridad de alto perfil.
COMUNICACIÓN
PRIVILEGIADA
UBICACIÓN
DEL EMPLEADO
CREDENCIALES
DE RED
PROPIEDAD
INTELECTUAL
Entre los encuestados, el 91% han observado un
aumento en el número de dispositivos móviles conecta-
dos a las redes corporativas durante los pasados dos
años. De manera alarmante, el 44% de las organizacio-
nes no administran los datos corporativos en los disposi-
tivos propiedad de los empleados. Además de esto, el
33% de los desarrolladores de aplicaciones no comprue-
ban la seguridad de sus aplicaciones.
Así que no es una sorpresa que los dos retos principales
de la seguridad de BYOD enfrentados por TI sean
proteger la información corporativa reportado por el
72% de nuestra muestra y administrar los dispositivos
personales que contienen información tanto corporativa
como personal y aplicaciones citado por el 67% de
nuestros encuestados.
SEGURIDAD MÓVIL: NO ME ENCIERREN | 35
4.2 FUENTE: Check Point Software Technologies
RETOS DE SEGURIDAD DE BYOD
PROTEGER INFORMACIÓN
CORPORATIVA 72
ADMINISTRAR DISPOSITIVOS PERSONALES QUE
CONTENGAN DATOS Y APLICACIONES CORPORATIVOS Y PERSONALES 67
RASTREAR Y CONTROLAR ACCESO A
REDES CORPORATIVAS Y PRIVADAS 59
MANTENER ACTUALIZADO EL SISTEMA
OPERATIVO Y APLICACIONES DEL DISPOSITIVO 46
ENCONTRAR SOLUCIONES DE SEGURIDAD AGNÓSTICAS
(P.EJ. ADMINISTRAR TODOS LOS SO) 42
PORCENTAJE DE ORGANIZACIONES
NO TENEMOS RETOS CON BYOD 5
OTRO 2
Los retos de BYOD se hacen aún más notorios en el contexto
de un estudio global por separado que realizamos. Los kits de
vigilancia móvil comerciales, que normalmente se utilizan para
supervisar a los niños, o en algunos casos para espiar, fueron
puestos bajo el microscopio. El motivo: tales productos son
vulnerables a caballos de Troya de acceso remoto móviles
(mRAT) los cuales encabezan la lista de malware móvil. Se
estudiaron más de 500,000 dispositivos Android y 400,000
dispositivos iOS que se conectaron a Wi-Fi corporativa a través
de sistemas de protección de Check Point en más de
100 países.
Si los dispositivos se comunicaron con un servidor de
comando y control, fueron considerados como infectados. Los
investigadores encontraron que uno de cada 1,000 dispositi-
vos estaba infectado. Y de hecho, los investigadores deter-
minaron que si hay 2,000 dispositivos o más en una
organización, hay una probabilidad de 50% de que haya por lo
menos seis dispositivos móviles infectados o atacados en su
red. Por plataforma, esto se distribuye en un 60% Android y
40% iOS.
¿CUÁL ES EL DAÑO?
BÚSQUEDA DE AMENAZAS MÓVILES:
Ataquesdirigidossobredispositivosmóvilesempresariales
SEGURIDAD MÓVIL: NO ME ENCIERREN | 36
Los atacantes pueden atacar a una empresa y
extraer información privada de los dispositivos móviles
de sus empleados. Los mRAT maliciosos pueden
permitir a los atacantes potenciales robar información
privada de un dispositivo. Pueden tomar el control de los
diferentes sensores para ejecutar el registro de
pulsaciones de teclas, robar mensajes, encender cámaras
de video y más.
Como un punto interesante, los investigadores descubrieron
que los empleados de las corporaciones son atacados por los
mRAT. Más específicamente, el estudio mostró que los
atacantes elegían ciertas organizaciones y atacaban varios
objetivos dentro de ellas, en lugar de atacar a empleados
corporativos de organizaciones al azar y atacarlos sin relación
con su organización.
En la encuesta referida anteriormente, preguntamos cuál
plataforma de dispositivos móviles representaba más
problemas, 64% de los profesionales de TI mencionaron
Android como la más riesgosa. Le siguieron Apple iOS y
Windows Mobile, ambos con un 16%. Sólo el 4% citaron a
BlackBerry.
Muestra de la encuesta
Más de 500,000 dispositivos Android y 400,000 dispositivos iOS de más de 100 países
Infecciones
Aproximadamente 1,000 dispositivos infectados: 60% Android, 40% iOS.
Malware
Más de 20 variantes y 18 diferentes familias de mRAT encontradas
Riesgo
Datos corporativos en forma de correo electrónico, mensajes, pulsaciones de teclas, llamadas,
ubicación de empleados
SEGURIDAD MÓVIL: NO ME ENCIERREN | 37
4.3 FUENTE: Check Point Software Technologies
18 FAMILIAS DE MRAT ENCONTRADAS
Mobile Spy
Shadow Copy Mspy
Spy2Mobile
My Mobile Watchdog
Otros
Bosspy
MobiStealth
TalkLog
CUIDADOCON BINDER
SEGURIDAD MÓVIL: NO ME ENCIERREN | 38
Con el factor de riesgo de Android mucho más alto
que los otros, no es sorprendente que los hackers
estén teniendo un gran día con él. Un malware
descubierto recientemente engaña a los usuarios
de Android haciéndoles creer que apagaron sus
dispositivos, cuando realmente no lo han hecho. El
malware permite a los usuarios remotos hacer
llamadas, enviar y recibir mensajes, y tomar
fotografías. Finalmente, esto puede habilitar una
vía más sencilla para robar tanto identidades como
datos.
Tener conocimiento de los riesgos asociados con la
tecnología móvil es crítica. En los meses siguientes
será necesario considerar las implicaciones de
seguridad de la tecnología vestible y dispositivos
complementarios como Fitbit, Google Glass, relojes
inteligentes y otros que se conectan a tablets y
teléfonos inteligentes. A medida que la Internet de
las Cosas (IoT) se hace común en muchos hogares y
lugares de trabajo, la interconexión de las
tecnologías harán posible leer todo desde un
dispositivo al otro. Es por ello que necesitamos
entender la seguridad móvil ahora.
La belleza de la comunicación interprocesos (IPC) es que permite que los procesos especializados
dispares funcionen con un sistema operativo. En Android, el mecanismo de transmisión de
mensajes de ese sistema es Binder. En octubre de 2014, el equipo de investigación de Check Point
expuso una falla fundamental asociada con ese sistema en un informe titulado “Man in the Binder" :
quien controla la IPC, controla el droid”. En esencia, nuestro equipo de investigación encontró que
es posible capturar datos comunicados a través del protocolo Binder e interceptar información
privada.
Otros hallazgos clave:
• La información enviada y recibida a través de las aplicaciones en un dispositivo, incluyendo aquellas
protegidas mediante autentificación de dos factores, líneas de cifrado y otras medidas de seguridad,
pueden interceptarse.
• Los comandos intermedios pueden insertarse en el flujo de comandos interceptados.
• Los datos interceptados a través de Binder pueden incluir la entrada mediante el teclado del
dispositivo, actividades en la aplicación como transacciones bancarias y mensajes SMS.
Aprenda más acerca "Man in the Binder" y otros hallazgos de investigación de Check Point en
checkpoint.com/threatcloud-central.
SEGURIDAD MÓVIL: NO ME ENCIERREN | 39
RECOMENDACIONES
-Eric Schmidt, presidente de Google
No confíe en MDM como una solución universal
La Administración de Dispositivos Móviles (MDM)
permite a un departamento de TI controlar lo que
un usuario puede y no puede hacer con el disposi-
tivo. Pero existen dos inconvenientes principales
con MDM: en primer lugar, desde el lado del
usuario, las políticas de MDM pueden ser muy
restrictivas según el departamento de TI; cuando los
empleados se sienten restringidos, tienden a
encontrar maneras de evitar las protecciones de
seguridad. En segundo lugar, desde el lado de la
organización, MDM en realidad no protege el
dispositivo dado que las soluciones MDM no
incluyen capacidades de protección contra
malware. Así todavía necesita identificar soluciones
que protegen el dispositivo en sí mismo y controlar
los datos que entran y salen del mismo.
Proteger en movimiento
La protección de documentos es un aspecto
ignorado de la seguridad móvil. Controle sus docu-
mentos comerciales, sin importar dónde vayan.
Cifre los archivos y asegure los accesos por parte de
los usuarios autorizados únicamente. Las solucio-
nes como Check Point Capsule proporcionan
seguridad de documentos y controles granulares
sobre quién puede acceder a los datos.
Proteger el espacio
Establezca un ambiente de negocios seguro, segre-
gando datos de negocios y aplicaciones, incluyendo
aquellos en dispositivos propiedad de las personas.
Si el dispositivo se pone en riesgo, las protecciones
pueden activarse para proteger información corpo-
rativa hasta eliminar la amenaza.
Evite amenazas
Identifique y evite amenazas cibernéticas para
proteger el dispositivo móvil completo. Asegúrese
de que su solución de seguridad móvil le ayuda a
evitar descargas de archivos sospechosos, bloquear
sitios web maliciosos, y evitar amenazas antes de
que hagan daño.
Conecte a la nube
Proteja el tráfico de red usando servicios de nube
que extienden las políticas corporativas a los
dispositivos móviles personales (BYOD) para asegu-
rar el cumplimiento. Buscar una solución que hace
cumplir una sola política de seguridad para disposi-
tivos dentro y fuera de las instalaciones, y sigue a los
usuarios móviles fuera del perímetro de seguridad
de la empresa.
“Lo que estamos viendo con las tecnologías como dispositivos móviles y
computación en nube es que están habilitando los modelos de negocios que
sencillamente no existían antes... Los gigantes en todo el mundo están listos
para ser afectados por las nuevas empresas que entienden cómo usar la
tecnología para crear una nueva propuesta de valor para sus clientes que no era
posible antes”.23
INTRODUCTION AND METHODOLOGY | 4040 | INTRODUCTION AND METHODOLOGY
APLICACIONES:
ATACANDO DONDE
DUELE
–John Battelle, empresario, autor, periodista
05
CHECK POINT - INFORME DE SEGURIDAD 2015 | 40
“A medida que nuestros consejos de sociedad se basan en
datos, nuestras decisiones colectivas acerca de cómo
pueden usarse los datos determinarán el tipo de cultura
en la que vivimos”.24
APLICACIONES: ATACANDO DONDE DUELE | 41
96%de las organizaciones usan por lo menos
una aplicación de alto riesgo
Es claro que el panorama digital es traicionero. Las
amenazas pueden provenir de un ataque, un
error interno o sabotaje. Lo único que representa un
punto de entrada especialmente vulnerable para las
empresas es en el que más confían para la produc-
ción organizacional: aplicaciones.
Algunas aplicaciones, como el uso compartido de
archivos, es obviamente riesgoso. Pero otros no son
tan evidentes debido a que forman parte de lo que
se conoce como “shadow IT” o aplicaciones no
autorizadas - aplicaciones que no son avaladas
o soportadas por la organización de TI central.
En lugar de ello, estas tecnologías y
aplicaciones se compran e instalan fuera de TI
como herramientas necesarias para realizar el
trabajo.
Dada la dependencia de otros en estas aplicaciones,
TI no puede bloquear su uso. Entonces, si se
permiten, es necesario proporcionar prevención
contra amenazas. La red debe protegerse mientras
funciona bajo la suposición de que estas aplicacio-
nes de alto riesgo son maliciosas, no que podrían
serlo.
Para darle un sentido de la predominancia de
aplicaciones de alto riesgo, los investigadores de
Check Point encontraron evidencia de ellas en el
96% de las organizaciones estudiadas, un salto de
10 puntos del año pasado.
Las categorías que observamos incluyen:
• Herramientas de administración remota - aplica-
ciones como TeamViewer, RDP y LogMeIn permiten
a operadores remotos trabajar con su máquina y sus
funciones como si estuvieran allí físicamente, en
persona. Una herramienta práctica para solucionar
problemas de TI, también es una herramietna
práctica que puede proporcionar a los hackers una
cantidad sorprendente de control y poder sobre su
red.
• Almacenamiento y uso compartido de archivos -
aplicaciones como DropBox y otros le permiten
intercambiar y trabajar con archivos más grandes
de los que normalmente podría enviar por correo
electrónico.
• Uso compartido de archivos P2P - el protocolo
BitTorrent y SoulSeek son sólo dos ejemplos popu-
lares de lo usado normalmente para intercambio de
medios como música, videos o comunicación en
tiempo real.
• Anonymizers : complementos para navegador
o servicios web como Tor u OpenVPN permiten a los
usuarios interactuar én línea de forma anónima.
5.1 FUENTE: Check Point Software Technologies
Seencontraronherramientasdeadministraciónremotaen
92% de las organizaciones
92 90
81
86 86
77 75
62
56
43
PORCENTAJEDEORGANIZACIONES
201220132014
80
61
APLICACIONES: ATACANDO DONDE DUELE | 42
ORGANIZACIONESQUEUSANAPLICACIONESDEALTORIESGO
Estas pueden usarse legítimamente, para minimizar
el riesgo, pero con demasiada frecuencia, se usan
con fines maliciosos.
En 2014, las herramientas de administración remota
(RAT) encabezaron la lista de los mayores infracto-
res en aplicaciones de alto riesgo, con el 92% de las
organizaciones estudiadas afectadas. De todas las
herramientas de administración remota
disponibles, TeamViewer desplazó al RDP en el
primer lugar para vectores de ataque en esa
categoría, con el 78% de las organizaciones repor-
tando incidentes.
Check Point encontró que el uso de anonymizers
aumentaron en general en todos los verticales.
Y mientras los principales tres vectores de cada
categoría principal de aplicaciones de alto riesgo
permaneció algo consistente del año pasado a este
año, hubo uno en la categoría de anonymizers. Por
ejemplo, los principales tres de este año incluyeron Tor,
Ultrasurf y Hide My Ass. Este año: Tor bajó al tercer
lugar, OpenVPN y Coralcdn fueron el primer y
segundo lugar. Ultrasurf bajó en la lista y
ADMINISTRADOR
REMOTO
ALMACENAMIENTO Y
USO COMPARTIDO
DE ARCHIVOS
USO COMPARTIDO
DE ARCHIVOS P2P
ANONIMIZADOR
APLICACIONES: ATACANDO DONDE DUELE | 43
¿Dónde está Wally?
Ya sea que la violación se realice para ganancia financiera o para probar un punto, los atacantes tienen
varias herramientas a su disposición para enmascarar su ubicación e identidades. Y a diferencia de lo que
Hollywood muestre, rastrear e identificar a los criminales es muy complejo.
Los investigadores de crimen cibernético admiten que sólo están atrapando ‘la parte inferior de la
cadena alimenticia’ en lo relacionado al crimen cibernético. Esto se debe a que las empresas criminales
administradas por atacantes informados y experimentados probablemente pasan desapercibidas. Dado
que están distribuidas geográficamente, bien estructuradas y divididas en compartimientos, los hackers
afiliados conocen sólo una parte pequeña de la organización más grande, minimizando adicionalmente
la exposición a la organización criminal.
Al operar bajo el radar, los criminales cibernéticos emplean una diversidad de herramientas para
mantener su anonimato. Comienzan por borrar los rastros en Internet hasta su ubicación de origen. La
herramienta más básica para esto es un proxy de web. También conocidos como anonymizers, un
servidor proxy actúa como una computadora cliente intermediaria, redirigiendo solicitudes al destino
deseado finalmente. En los primeros días de Internet, los servidores proxy ayudaron a ocultar la dirección
IP de origen, pero el día de hoy se contrarrestan y rastrean más fácilmente.
Oculte su ubicación
El uso de conexiones VPN permiten a los emisores cifrar el tráfico entre las terminales. El servidor VPN
puede usarse para ocultar la identidad de un emisor, haciendo que la IP no pueda rastrearse (en tiempo
real). La conexión entre la máquina del atacante y el servidor VPN se cifra de manera que el tráfico no
puede decodificarse. El servidor VPN mismo no está enmascarado, ni los datos una vez que se reenvían
más allá de los límites de la conexión a la VPN.
Oculte su ruta
Para una anonymizers más avanzada, algunos se basan en herramientas como las redes Tor. El
“proyecto Tor” usa software gratuito que aprovecha una red de 5,000 puntos de retransmisión volun-
tarios en todo el mundo, diseñados para enmascarar cualquier ubicación y uso individual. Derivada del
término “onion routing”, la red Tor usa capas de cifrado en el direccionamiento de manera que cada
retransmisor vea únicamente la dirección para el siguiente retransmisor, no el origen o el destino final.
Oculte la ID de su computadora
Cada máquina que accede a Internet tiene una huella única: la dirección MAC interna de la máquina,
única para cada procesador de computadora, combinada con este sistema de operación y certificados
web. Una de las maneras más populares de enmascarar la identidad de una computadora es “Tails”, que
puede arrancar desde un CD o memoria USB ofrece una función de “estación de trabajo de un solo uso”
que transfiere las firmas de identificación de la máquina al sistema operativo del CD/USB. Los hackers lo
usan una sola vez y después sencillamente destruyen el CD/USB. Esto permite a un atacante “cambiar”
identidades de la máquina tantas veces como deseen, en el mismo equipo.
En algunos casos, los hackers usan varias capas de ocultamiento, como una conexión a una red privada
virtual (VPN) detrás de la red Tor, obtenida de Wi-Fi pública, que oculta la máquina de origen y las
ubicaciones de enrutamiento de Internet.
5.2 SOURCE: Check Point Software Technologies
AMÉRICAS EMEA APAC
2014
2013
Tor ∙ Ultrasurf ∙ Hotspot Shield OpenVPN ∙ Coralcdn
Proxy Suppliers
Ultrasurf ∙ Tor ∙ Hide My Ass
Dropbox ∙ Windows Live Office
Hightail
Dropbox ∙ Windows Live Office
Hightail
Dropbox ∙ Windows Live Office
Hightail
RDP ∙ LogMeIn ∙ TeamViewer RDP ∙ TeamViewer ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeIn
BitTorrent Protocol ∙ SoulSeek
BoxCloud
BitTorrent Protocol ∙ SoulSeek
eDonkey Protocol
BitTorrent Protocol ∙ Xunlei
SoulSeek
Hola ∙ Tor ∙ Coralcdn OpenVPN ∙ Coralcdn
Proxy Suppliers
OpenVPN ∙ Coralcdn ∙ TorANONYMIZERS
BitTorrent Protocol ∙ SoulSeek
BoxCloud
BitTorrent Protocol ∙ SoulSeek
iMesh
USO COMPARTIDO
DE ARCHIVOS P2P
Dropbox ∙ Hightail
Windows Live Office
Dropbox ∙ Hightail ∙ Jalbum Dropbox ∙ Hightail ∙ Mendeley
ALMACENAMIENTO Y
USO COMPARTIDO
DE ARCHIVOS
RDP ∙ LogMeIn ∙ TeamViewer TeamViewer ∙ RDP ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeIn
ADMINISTRACIÓN
REMOTA
BitTorrent Protocol ∙ Xunlei
QQ Download
PRINCIPALES APLICACIONES DE ALTO RIESGO POR REGIÓN
APLICACIONES: ATACANDO DONDE DUELE | 44
ANONYMIZERS
USO COMPARTIDO
DE ARCHIVOS P2P
ALMACENAMIENTO Y
USO COMPARTIDO
DE ARCHIVOS
ADMINISTRACIÓN
REMOTA
APLICACIONES: ATACANDO DONDE DUELE | 45
5.3 FUENTE: Check Point Software Technologies
PRINCIPALES APLICACIONES
DE ADMINISTRACIÓN
REMOTA
PORCENTAJEDEORGANIZACIONESTEAM
VIEW
ER
RDPLOGM
EIN
VNC
AM
M
YY
ADM
IN
REM
OTESUPPORT
78
69
43
24
12 11
BITTORRENTSOULSEEK
XUNLEI
IM
ESHEDONKEY
PRINCIPALES
APLICACIONES
DE USO COMPARTIDO
DE ARCHIVOS P2P +
PROTOCOLO
BITTORRENT
60
21
13 12 11
DROPBOXHIGHTAIL
W
INDOW
SLIVEOFFICE
IM
AGEVENUEJALBUM
M
ENDELEY
SUGARSYNC
DROPBOX
W
INDOW
SLIVEOFFICE
HIGHTAIL(YOUSENDIT)
SUGARSYNC
IM
AGEVENUE
M
ENDELEY
DROPBOX
HIGHTAIL(YOUSENDIT)
W
INDOW
SLIVEOFFICE
M
ENDELEYIM
AGEVENUE
PRINCIPALES APLICACIONES DE
ALMACENAMIENTO Y USO COMPARTIDO DE ARCHIVOS
69
51
22
13
9
14
48
85
26
16 15 14
84
14
20
14
11 11
201220132014
2014
2014
Las organizaciones experimentaron
12.7 eventos de aplicaciones de alto riesgo
por hora, 305 veces al día
Hide My Ass no se veía por ninguna parte. Probable-
mente, OpenVPN ganó popularidad después de las
declaraciones de Edward Snowden acerca del
espionaje por parte de la Agencia de Seguridad
Nacional de los EE.UU. (NSA). El motivo es que como
un estándar en la industria, OpenVPN usa
tecnología de cifrado que no puede violarse si se
implementa correctamente, manteniendo así las
comunicaciones privadas. Mientras, otros
anonymizers han aumentado su popularidad
enormemente, aún si no se encuentran en los
principales tres.
Por ejemplo, la aplicación anonymizers
Hola aumentó de un 3% a un 17%. Parte del
motivo de su fama podría atribuirse a estar en el
lugar correcto en el momento justo, finalizó sus
pruebas beta justo antes de las Olimpiadas de
Sochi 2014. Debido a que permite el acceso a
Internet a través de las fronteras, la
programación que de otro modo estaría
disponible únicamente para las personas en un
área geográfica específica es accesible para
quienes usen Hola para ocultar su ubicación
geográfica.
5.4 FUENTE: Check Point Software Technologies
APLICACIONES ANONYMIZERS
MÁS POPULARES
PORCENTAJEDEORGANIZACIONES USO DE APLICACIONES
ANONYMIZERS POR REGIÓN
17
TOR
ULTRASURF
HIDEM
Y
ASSOPENVPN
2012
23
8 7
3
TOR
OPENVPNCORALCDN
PROXY
SUPPLIERS
HOLA
2014
23
19
18
17
TOR
ULTRASURF
HIDEM
Y
ASSOPENVPN
CORALCDN
2013
15 14 12 10 10
49
35
AMERICAS EMEA APAC
20122013
58
40
64
54
49
63
54
59
2014
APLICACIONES: ATACANDO DONDE DUELE | 46
Para almacenamiento y uso compartido de archi-
vos, así como uso compartido de archivos punto a
punto (P2P), las principales aplicaciones observadas
el año pasado fueron aproximadamente las mismas.
Las buenas noticias: menos ocurrencias de estas en
las organizaciones. Con la gran cobertura de medios
de fotografías y mensajes de correo electrónico
privado extraídas, sin duda esto ayudó a que
muchos tomaran conciencia y precauciones.
Pero las grandes noticias en las aplicaciones de alto
riesgo pueden verse en el número promedio de
eventos por hora y por día. Los investigadores de
Check Point estudiaron 4,049,111 eventos. Las
organizaciones experimentaron 12.7 eventos de
aplicaciones de alto riesgo por hora, 305 veces al
día. Compare esto con la cantidad de 162 veces al
día del año pasado y tiene un aumento del 88%.
APLICACIONES: ATACANDO DONDE DUELE | 47
“Vivimos en un mundo donde existen muchos riesgos,
y es hora de que comencemos a tomar en serio
sobre cuáles deberíamos preocuparnos”.25
-Lisa Randall, física
RECOMENDACIONES
Aunque el malware - tanto conocido como
desconocido - algunas veces puede parecer fuera
de control, el uso de aplicaciones de alto riesgo por
lo menos ofrece una cierta medida de regulación.
Estos son cuatro pasos que puede tomar para
minimizar los peligros de estas aplicaciones:
1. Eduque a sus empleados. ayude a las personas en
su organización a entender los riesgos asociados
con aplicaciones específicas. No suponga que lo
saben. Además, señáleles herramientas soportadas
por TI más seguras que puedan atender sus necesi-
dades de negocios y productividad.
2. Estandarice usando aplicaciones de confianza de
grado empresarial. Identifique las aplicaciones
específicas necesarias para asegurar la productivi-
dad e innovación. Después, mapee las personas
quienes deberían tener acceso a esos programas.
Monitoree su red para asegurarse de que no haya
aplicaciones no autorizadas presentes.
3. Cifre los documentos para evitar la pérdida de
datos. Si se envía un archivo alguien que no
debería verlo, el cifrado ayuda a evitar que el recep-
tor vea o abra el documento.
4. Defina y practique el control de aplicaciones
basado en categorías. Ayude a sus administradores
a ayudarle. Facúltelos con la capacidad de bloquear
categorías completas de aplicaciones según sea
necesario. Esto simplifica la administración
extendiendo el control de políticas a nuevas
aplicaciones a medida que se adopten.
INTRODUCTION AND METHODOLOGY | 4848 | INTRODUCTION AND METHODOLOGY
PÉRDIDA DE DATOS:
COMO ARENA
CAYENDO EN EL RELOJ
06
“Los errores son un hecho de la vida.
es la respuesta ante el error la que cuenta”.26
–Nikki Giovanni, poeta, escritor, educador y activista
CHECK POINT - INFORME DE SEGURIDAD 2015 | 48
PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 49
Las organizaciones sufrieron una pérdida
de datos a una tasa de 1.7 veces por hora,
41 veces al día
Las violaciones a la seguridad no son la única
manera en que los criminales hacen su trabajo.
Algunas veces necesitan cómplices, incluso si no
saben que lo son. Y aquí es donde entran en escena
la ingeniería social y la suplantación de identidad
(phishing). Los criminales cibernéticos se han vuelto
tan buenos para conocer la psicología de sus
blancos que sus mensajes de correo electrónico
pasan por ser creíbles incluso para algunos que se
consideran conocedores. Por ejemplo, un
empleado recibe un mensaje de correo electrónico
de alguien quien dice ser un reclutador y le habla a
la persona acerca de un puesto vacante. Cuando la
persona expresa interés, el supuesto reclutador
solicita más información acerca de la compañía y
posiblemente otra información privada. En otros
casos, los empleados reciben mensajes de correo
electrónico de personas que pretenden ser compa-
ñeros de trabajo y solicitan información privada,
conociendo el planteamiento correcto para obtener
una respuesta. De hecho, algunos empleados han
comenzado a crear pruebas de sustitución de
identidad. Debido a que el error interno puede ser
una de las principales fuentes de fuga de
información, las empresas están enviando mensajes
falsos de sustitución de identidad a los emplea-
dos. Si caen en la trampa, se convierte en el
momento para enseñarles.
Aunque el problema interno podría no captar tanta
atención de los medios, definitivamente es algo que
debería ser contemplado por cualquier empresa
que tome en cuenta la seguridad. En 2014, el 81%
de las organizaciones experimentaron por lo menos
un incidente de pérdida de datos. Profundizando,
una organización experimenta 1.7 eventos de
pérdida de datos por hora, 41 veces al día, un
aumento del 41% sobre el año pasado.
6.1 FUENTE: Check Point Software Technologies
DATOS ENVIADOS FUERA DE
LA ORGANIZACIÓN POR EMPLEADOS
PORCENTAJE DE ORGANIZACIONES
2014 2013 2012
INFORMACIÓN
PRIVADA
DATOS DE TARJETAS
DE CRÉDITO
REGISTROS DE
DATOS COMERCIALES
INFORMACIÓN PERSONAL
PRIVADA
INFORMACIÓN SALARIAL
INFORMACIÓN DE RED
MENSAJE DE OUTLOOK
CONFIDENCIAL
NÚMEROS DE
CUENTA BANCARIA
OTROS
41% 35% 24%
30% 29% 29%
13% 14% 13%
10% 10% 14%
27% 31% 21%
5% 5% 7%
5% 4% 3%
20% 21% 6%
25% 22%
13% 14%
PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 50
ARCHIVOS PROTEGIDOS
POR CONTRASEÑA
PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 51
Cada 36 minutos se envía información
fuera de la organización
La pérdida de información privada
aumentó un 71 % respecto a los
3 años pasados
Al examinar los tipos de datos robados,
la información privada encabeza la lista, con el
41%. Es notable que esta cifra continúa creciendo.
Desde 2012, hemos visto un aumento de casi el
71%. Los datos de tarjetas de crédito fueron el
segundo tipo principal de fuga de
información, aunque se mantiene estable de un
año a otro. El mayor cambio al examinar los tres
años pasados de datos, con respecto al tipo de
datos perdidos, fueron los registros de datos
comerciales, que tuvo el 6% en 2012 y hoy es del
20%. ¿Cómo ocurrió esto? En algunos casos, un
empleado podría haber incluido accidentalmente
a alguien fuera de la organización en un mensaje
de correo electrónico confidencial. Por
ejemplo, ¿cuántos de nosotros hemos comenzado a
escribir el nombre de alguien en el campo ‘Para’,
sólo para darnos cuenta de que el cliente de correo
electrónico lo autocompleta con un destinatario
diferente con un nombre similar? En otros casos, un
empleado mal intencionado podría incluir a desti-
natarios externos en el campo BCC de un mensaje
de correo electrónico confidencial. De manera
interesante, el porcentaje de empresas que vieron
esto ocurrir disminuyó entre el 2012 y 2013, pero
aumentó nuevamente en 2014. En promedio, las
empresas experimentaron cuatro eventos de
pérdida de datos por día como resultado del envío
de correo electrónico a varios destinatarios interno
y un solo destinatario externo; cuando examinamos
los mensajes de correo electrónico enviados con
destinatarios internos visibles (Para y CC) y más de
un destinatario externo en el campo BCC, observa-
mos 15 eventos de pérdida de datos por día.
Pero los datos se fugan por otros motivos: un
empleado inadvertidamente publica información
privada en línea o un tercero proveedor, quizá un
empleado temporal o contratista, roba los datos.
ALL OVER THE WORLD
PROVIDE BULK CARDING SERVICES ALSO
ELECTRONICS CARDING SERVICE
FRESH WEEKLY UPDATES SNIFFED FROM POS
411773 DEBIT PLATINUM 10/17 Yes 101
BANK OF AMERICA
N.A.
52.5$VISA +United States, NY
Rochester, 14623
American Sanctions 1
432388 DEBIT PLATINUM 05/15 Yes 101
WELLS FARGO
N.A.
52.5$VISA +United States, IA
Bettendorf, 52722
American Sanctions 1
414548 DEBIT BUSINESS 05/16 Yes 101
MEMBERS 1ST F.C.U.
52.5$VISA +United States, PA
Hanover, 17331
American Sanctions 1
486831 DEBIT PLATINUM 04/17 Yes 101
WELLS FARGO
N.A.
52.5$VISA +United States, CO
Littleton, 80129
American Sanctions 1
448055 DEBIT CLASSIC 01/16 Yes 101
ITS BANK
22.5$VISA +United States, WI
Green Bay, 54303
American Sanctions 1
414709 CREDIT SIGNATURE 10/16 Yes 101
CAPITAL ONE BANK
(USA) N.A.
42.01$VISA +United States, CA
Mission Viejo, 92692
American Sanctions 1
ALL OVER THE WORLD
PROVIDE BULK CARDING SERVICES ALSO
ELECTRONICS CARDING SERVICE
FRESH WEEKLY UPDATES SNIFFED FROM POS
411773 DEBIT PLATINUM 10/17 Yes 101
BANK OF AMERICA
N.A.
52.5$VISA +United States, NY
Rochester, 14623
American Sanctions 1
432388 DEBIT PLATINUM 05/15 Yes 101
WELLS FARGO
N.A.
52.5$VISA +United States, IA
Bettendorf, 52722
American Sanctions 1
414548 DEBIT BUSINESS 05/16 Yes 101
MEMBERS 1ST F.C.U.
52.5$VISA +United States, PA
Hanover, 17331
American Sanctions 1
486831 DEBIT PLATINUM 04/17 Yes 101
WELLS FARGO
N.A.
52.5$VISA +United States, CO
Littleton, 80129
American Sanctions 1
448055 DEBIT CLASSIC 01/16 Yes 101
ITS BANK
22.5$VISA +United States, WI
Green Bay, 54303
American Sanctions 1
414709 CREDIT SIGNATURE 10/16 Yes 101
CAPITAL ONE BANK
(USA) N.A.
42.01$VISA +United States, CA
Mission Viejo, 92692
American Sanctions 1
¿A DÓNDE CONDUCE TODO ESTO?
PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 52
Sin importar si los datos se fugan debido a ingeni-
ería externa o interna, el apetito de información es
alimentado por una sola cosa: ganancias finan-
cieras. El crimen cibernético no sólo se ha vuelto
rentable; se ha convertido en un gran negocio. En el
otro lado del espejo, los datos robados no sólo se
venden en el mercado negro, sino que se comer-
cializan. Los sitios web publican las tarjetas de
crédito disponibles para compra con criterios
relevantes: banco emisor, qué tan “fresca” es. No
sólo se pasan en secreto a una o dos personas en un
callejón oscuro, sino que se anuncian a plena luz del
día.
Y esto ocurre más rápido de lo que podría imaginar.
A los 30 minutos de salir de una tienda departamen-
tal, la información de su tarjeta de crédito podría
estar “en venta” en el mercado negro.
Mientras más reciente sea el robo de datos, vale más
dinero.
¿Entonces quién paga? En los Estados Unidos,
debido a malas prácticas de seguridad para venta
minorista, los jueces dictaminaron que
puede demandarse a los minoristas,
permitiendo a los bancos recuperar sus costos.
PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 53
DINERO FÁCIL
ORGANIZACIONES CON POR LO MENOS UN EVENTO DE PÉRDIDA DE DATOS POTENCIAL, POR SECTOR INDUSTRIAL
MANUFACTURA FINANZAS GOBIERNO TELECOMUNICACIONES
61
78
87
70
79
PORCENTAJEDEORGANIZACIONES
50
45
82
8888
78
86
201220132014
6.2 FUENTE: Check Point Software Technologies
Como cazadores que buscan una presa fácil, los
criminales cibernéticos se han enfocado en el punto
de venta (PoS) como su coto de caza. El motivo
principal: Muchas terminales PoS ejecutan sistemas
operativos obsoletos, como Windows XP, que
acaban sin tener actualizaciones y adminis-
tración. Si estuvo al tanto de los medios durante el
año pasado, parecería que uno tras otro de los
principales minoristas fue atacado con violaciones a
la seguridad.
El año comenzó con una explosión cuando Neiman
Marcus fue atacado y perdió 1.1 millones de
registros de cuentas, sólo para ser superado ese
mismo mes para la tienda de pasatiempos
Michael’s, que perdió tres millones. A medida que
continuó el año, los taxis, tiendas de belleza,
Goodwill, UPS y Dairy Queen siguieron. En
septiembre, Home Depot los encabezó con 56
millones. Todo esto suma 112,250,000
registros perdidos en los Estados Unidos,
que afectan a uno de cada tres estadounidenses.
Las infecciones de malware de PoS ciertamente
ocurren en todo el mundo, pero los Estados Unidos
van a la cabeza con el mayor número de infecciones,
en parte debido a que aún no ha adoptado el
sistema de tarjetas de crédito de chip y NIP utilizado
en otros países. El Chip y NIP son un estándar de
pago mundial que incorpora un chip de circuito
integrado en la tarjeta y sólo puede autorizarse
cuando se usa con un NIP. Como parte de este
estándar, los minoristas deberán actualizar sus
sistemas PoS para asegurar la compatibilidad. Pero
aún con el chip y NIP, los minoristas necesitarán
permanecer un paso adelante. Infecciones como el
malware “BackOff”, el cual afecto a un gran
número de negocios en EE.UU. resaltó una gran
vulnerabilidad de seguridad: las herramientas de
malware preinstaladas en las líneas de
suministro de los principales fabricantes de
terminales PoS antes de ser enviados a los
comerciantes. Las contraseñas débiles o
contraseñas de administrador no modificadas
permitieron a los hackers el acceso remoto a los
dispositivos.
El Departamento de Seguridad Nacional reporta
que más de 1,000 empresas en los Estados Unidos
fueron afectadas por malware de PoS,27
afectando
en gran medida a empresas y personas. De hecho,
solo el costo de reemplazo de tarjeta sumó hasta
$1.3 billones. Un estudio de LexisNexis titulado
“The True Cost of Fraud” (El verdadero costo del
fraude) declaró que el comerciante promedio sufrió
133 transacciones fraudulentas por mes en 2014.
hasta 46% con respecto al año pasado.
PoS: Nopuedetenersólounchip
PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 54
Durante el 2013 y 2014, la industria minorista
experimentó un número alarmante de violaciones
de datos y seguridad. Estos ataques tuvieron como
resultado la pérdida de millones de tarjetas de
crédito e información personal. Las empresas
involucradas experimentaron efectos financieros
negativos debido al evento, donde el mayor
minorista experimentó una caída del 13% en su
valuación de mercado y una reducción en las ventas
de tiendas comparables. Estas violaciones afectan a
empresas grandes y pequeñas. Entre 2013 y 2014,
nombres notorios como Michaels, Neiman Marcus,
PF Chang’s, Target y Home Depot han sufrido pérdi-
das impresionantes debido a violaciones de datos
relacionadas con el PoS.
Las inquietudes del cliente con respecto a la privaci-
dad y seguridad financiera recibieron una sacudida,
y las juntas corporativas buscan activamente
cambios estructurales. Los efectos a corto plazo
justo ahora están saliendo a la luz. El impacto a largo
plazo solo serán conocidos en los años próximos.
En respuesta a estos tipos de incidentes, las empre-
sas a menudo implementan tácticas de reflejos. Por
ejemplo, se enfocan en las debilidades más obvias o
eligen un método que aparece de forma más promi-
nente en las noticias.
En caso de las infracciones de datos minoristas
recientes, se ha hecho mucho énfasis en un cambio
a tarjetas de crédito “chip y PIN” - un estándar global
de pago que emplea autentificación de dos factores
a través de un chip físico en una tarjeta que está
vinculado a un número de identificación personal
(NIP¨) de un usuario. Pero una revisión cotidiana de
los métodos de ataque asociados con las violacio-
nes minoristas muestran que el chip y NIP no
habrían evitado estos incidentes.
Los atacantes que se enfocaron a las tiendas
minoristas usaron las conexiones remotas
disponibles para acceder a las redes de las tiendas e
instalaron diversas variantes de malware y herra-
mientas de software para capturar y exportar los
datos del cliente. Las deficiencias en el diseño de la
red de la tienda y la configuración del punto de
venta (PoS) además permitió los ataques simplifi-
cando el movimiento horizontal y la infestación de
malware.
Para protegerse contra estos tipos de ataques, tome
un punto de vista más amplio e implemente un
enfoque multicapa que abarque la red completa, no
sólo las partes que se pensaba eran las más
vulnerables.
PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 55
“Es mejor ver hacia el futuro y prepararse
que ver hacia el pasado y lamentarse”.29
-Jackie Joyner Kersee, atleta y medallista olímpico
RECOMENDACIONES
•
Recuerde que la seguridad no es estática,hay
muchos movimientos sutiles en juego que le
mantienen en pie. Es igual que la forma en que
necesita pensar respecto a su seguridad. Para
permanecer a la delantera de las amenazas,
debe evaluar y actualizar constantemente
sobre la marcha. No se conforme con sólo
asegurarse de estar protegido contra ataques exter-
nos; asegúrese de estar protegido también interna-
mente. Específicamente, le recomendamos:
• Proteger sus datos cifrándolos, ya sea en descanso
o en movimiento. La meta es proporcionar una capa
de protección para los datos, donde quiera que
vayan. Cuando están cifrados, sólo las personas
autorizadas para ver la información podrán verla.
• Crear capas de protección con comprobaciones y
balances.
• Ayudar a todos los niveles, a entender la
importancia de mitigar los riesgos relacionados con
la seguridad cibernética para proteger su propiedad
intelectual.
•Involucrar a su personal a mejorar su postura de
seguridad de la información educándolos con
respecto a cómo pueden ayudar. Genere políticas
de seguridad de la información que los empleados
puedan entender y ayuden a reforzar.
INTRODUCTION AND METHODOLOGY | 5656 | INTRODUCTION AND METHODOLOGY
CONCLUSIÓN Y
RECOMENDACIONES:
LA VÍA A LA PROTECCIÓN
“Status quo, saben, es latín
para ‘el lío en el que estamos’.”30
–Ronald Reagan, actor y ex-presidente de los Estados Unidos
07
CHECK POINT - INFORME DE SEGURIDAD 2015 | 56
CONCLUSIÓN Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN | 57
“La guerra fría no terminó en la década de los 90.
Sólo se mudó en línea.” 31
-Jose Paglieri, periodista
Es claro que los criminales cibernéticos no
disminuyen el paso. De hecho, con base en qué tan
malo fue el 2014, desde una perspectiva de seguri-
dad cibernética, los análisis esperan que la industria
de la seguridad crezca diez veces.
Las amenazas pueden provenir de cualquier direc-
ción y se ha vuelto imposible decir que alguna
organización está segura contra ataques. De hecho,
el mayor error que cualquier organización
puede cometer es creer que está protegida, y
descuidar el reevaluar su infraestructura de
seguridad periódicamente.
Al pensar en su postura de seguridad, tómese el
tiempo para entender realmente sus amenazas y
vulnerabilidades. Busque factores que contribuyan
a ello, y también vea la imagen general acerca de a
dónde intenta conducir a su organización. Las
empresas más preparadas saben que la política de
seguridad debe derivarse de las metas estratégicas,
objetivos de negocios y la política corporativa, y
vincularse con procedimientos y requisitos, medi-
ciones de desempeño y, por supuesto, las personas
a todos los niveles de la organización.
Mapee su proceso y asegúrese de que incluye
incluso los pasos mas básicos, como aplicar parches
y actualizaciones de software. También piense en su
ecosistema de socios y cómo se relacionan con el
proceso de seguridad.
Al tratarse de tecnología, su programa de seguridad
debe unificar varias capas y controles.
Dado que las amenazas provienen de varios lugares,
las arquitecturas de seguridad de una sola capa y las
soluciones puntuales con varios proveedores ya no
son adecuadas.
Comience por pensar en su arquitectura como tres
niveles interconectados.
Informe de seguridad 2015.
Informe de seguridad 2015.
Informe de seguridad 2015.
Informe de seguridad 2015.
Informe de seguridad 2015.
Informe de seguridad 2015.

More Related Content

Similar to Informe de seguridad 2015.

Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Panda Security
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...kougar80
 
Client side explotation
Client side explotationClient side explotation
Client side explotationDiana
 
Client side explotation
Client side explotationClient side explotation
Client side explotationDiana
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Miguel Véliz
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital   Christian RamosEnfoque del negocio vs seguridad en la banca digital   Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...
Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...
Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...Software Guru
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...Cristian Garcia G.
 
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridadWhitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridadArsys
 
Curso basicoseguridadweb slideshare2
Curso basicoseguridadweb slideshare2Curso basicoseguridadweb slideshare2
Curso basicoseguridadweb slideshare2tantascosasquenose
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
Eset Security Report Latinoamérica 2013
Eset Security Report Latinoamérica 2013Eset Security Report Latinoamérica 2013
Eset Security Report Latinoamérica 2013ESET Latinoamérica
 
Trabajo tendencias informáticas en seguridad y antivirus
Trabajo tendencias informáticas en seguridad y antivirusTrabajo tendencias informáticas en seguridad y antivirus
Trabajo tendencias informáticas en seguridad y antivirusJhoanny Osuna
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 

Similar to Informe de seguridad 2015. (20)

Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017Informe Trimestral PandaLabs T1 2017
Informe Trimestral PandaLabs T1 2017
 
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
Informe de S ymantec sobre las amenazas para la seguridad de lo s sitios web ...
 
Client side explotation
Client side explotationClient side explotation
Client side explotation
 
Client side explotation
Client side explotationClient side explotation
Client side explotation
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital   Christian RamosEnfoque del negocio vs seguridad en la banca digital   Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
 
Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...
Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...
Cómo evitar ataques sofisticados: técnicas de evasión avanzadas y protección ...
 
ESET Security Report 2015
ESET Security Report 2015 ESET Security Report 2015
ESET Security Report 2015
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
 
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridadWhitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
Whitepaper – Inteligencia Artificial, el futuro inmediato de la ciberseguridad
 
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
III Jornada de Ciberseguridad en Andalucía: Ciberamenazas 2015/Tendencias 201...
 
Curso basicoseguridadweb slideshare2
Curso basicoseguridadweb slideshare2Curso basicoseguridadweb slideshare2
Curso basicoseguridadweb slideshare2
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Ciberataques
CiberataquesCiberataques
Ciberataques
 
Eset Security Report Latinoamérica 2013
Eset Security Report Latinoamérica 2013Eset Security Report Latinoamérica 2013
Eset Security Report Latinoamérica 2013
 
Trabajo tendencias informáticas en seguridad y antivirus
Trabajo tendencias informáticas en seguridad y antivirusTrabajo tendencias informáticas en seguridad y antivirus
Trabajo tendencias informáticas en seguridad y antivirus
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
 

More from rosslili

Huawei Empresas
Huawei EmpresasHuawei Empresas
Huawei Empresasrosslili
 
Catalogo fy18 q1 omni channel mmcla latam (1) (1)
Catalogo fy18 q1 omni channel mmcla   latam (1) (1)Catalogo fy18 q1 omni channel mmcla   latam (1) (1)
Catalogo fy18 q1 omni channel mmcla latam (1) (1)rosslili
 
Profucom Alianzas & Servicios
Profucom Alianzas & ServiciosProfucom Alianzas & Servicios
Profucom Alianzas & Serviciosrosslili
 
Presentacion de soluciones profucom
Presentacion de soluciones profucomPresentacion de soluciones profucom
Presentacion de soluciones profucomrosslili
 
Red segura
Red seguraRed segura
Red segurarosslili
 

More from rosslili (6)

Huawei Empresas
Huawei EmpresasHuawei Empresas
Huawei Empresas
 
Nutanix
NutanixNutanix
Nutanix
 
Catalogo fy18 q1 omni channel mmcla latam (1) (1)
Catalogo fy18 q1 omni channel mmcla   latam (1) (1)Catalogo fy18 q1 omni channel mmcla   latam (1) (1)
Catalogo fy18 q1 omni channel mmcla latam (1) (1)
 
Profucom Alianzas & Servicios
Profucom Alianzas & ServiciosProfucom Alianzas & Servicios
Profucom Alianzas & Servicios
 
Presentacion de soluciones profucom
Presentacion de soluciones profucomPresentacion de soluciones profucom
Presentacion de soluciones profucom
 
Red segura
Red seguraRed segura
Red segura
 

Recently uploaded

Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfRosaAmeliaLlacsahuan
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]QuantiKa14
 
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.SARA BUENDIA RIOJA
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxSANTIAGOREYES92
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Educática
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwDanielaEspaa3
 
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Mariano Cabrera Lanfranconi
 

Recently uploaded (7)

Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]
 
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docx
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluw
 
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
 

Informe de seguridad 2015.

  • 2. | 3 01 INTRODUCCIÓN Y METODOLOGÍA 04 02 MALWARE DESCONOCIDO: VASTO E INEXPLORADO 10 03 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO 18 04 SEGURIDAD MÓVIL: NO ME ENCIERREN 32 05 APLICACIONES: ATACANDO DONDE DUELE 40 06 PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ 48 07 CONCLUSIÓN Y RECOMENDACIONES: 56 LA VÍA HACIA LA PROTECCIÓN REFERENCIAS 60 CHECK POINT INFORME DE SEGURIDAD 2015 CHECK POINT - INFORME DE SEGURIDAD 2015
  • 3. INTRODUCTION AND METHODOLOGY | 4 INTRODUCCIÓN Y METODOLOGÍA “La primera vez que se hace algo, es Ciencia. La segunda vez que se hace algo, es ingeniería.” 1 – Clifford Stoll, astrónomo, autor, pionero forense digital 01 CHECK POINT - INFORME DE SEGURIDAD 2015 | 4
  • 4. INTRODUCCIÓN Y METODOLOGÍA | 5 LA EVOLUCIÓN DEL MALWARE HACE 25 AÑOS Invención del sistema de protección HACE 20 AÑOS Invención de la inspección Inspection HACE 15 AÑOS Uso predominante deAntivirus, VPN, IPS HACE 10 AÑOS Filtrado de URL, UTM HACE 5 AÑOS NGFW HOY Inteligencia contra amenazas Prevención de amenazas Seguridad móvil THE SECURITY LANDSCAPE | ACCELERATION OF OF MALWARE > 1988 Gusano de Morris 1998 Melissa 2000 I Love You 2006 WikiLeaks 2011 Stolen Authentication Information 2012 Flame Malware 2013 Dragonfly 2014 Bitcoin 2017 ¿Pirateo de autos sin conductor? 2020 IoT global 2010 Ataques DDoS Stuxnet SCADA 2007 Caballo de Troya Zeus 2003 Se forma Anonymous 1994 Lotería de Green Card En la ciencia, todo se trata del descubrimiento estudiar la causa y el efecto. Una vez que algo se entiende y puede predecirse, se convierte en un proceso de ingeniería, para replicarlo. En el mundo de las amenazas cibernéticas, es lo mismo. Los criminales cibernéticos están estudiando las estructuras y pensando en cómo ciertos factores pueden generar los resultados deseados. Una vez que tienen un modelo predictivo, hacen que la ingeniería libere lo que han diseñado, para el mayor efecto. ¿Cuales son sus herramientas? 1. Malware - Código de software malicioso que desarrollan los hackers para crear alteraciones o robar datos. Cuando se conoce el malware, se crean firmas para ayudar a identificarlo, filtrarlo y bloquearlo en intentos de implementación posteri- ores. Y entonces es cuando intentan alterar el código para crear malware desconocido nuevo. 2. Vulnerabilidades - defectos en el software o sistemas operativos que los hackers buscan explo- tar, los cuales existen en casi todas las aplicaciones. 3. Dispositivos móviles - teléfonos inteligentes, Fitbits, iPads y otros dispositivos móviles pueden no ser herramientas en sí mismos, pero pueden utilizarse para dar a los hackers la capacidad de penetrar las redes corporativas. Durante el 2014, Check Point observó la explo- tación de vulnerabilidades significativas en software de código abierto, así como en aplicacio- nes comunes de Adobe y Microsoft. El malware conocido permaneció estable y causando daño. Pero con la creación de firmas para ayudar a identificar, filtrar y bloquear intentos posteriores de implementación de malware conocido, el enfoque entre los hackers cambió. Buscaban algo más fácil y que diera más recompensas: lanzar nuevos ataques con malware desconocido modificando ligeramente lo que ya existía, permitiéndole evadir la detección. Es esta área, el malware desconocido, la que aumentó y captó la atención de la mayoría de las personas durante el 2014. Lanzándose a velocidades sin precedentes, el nuevo malware pareció tener un solo propósito: robar datos.
  • 5. INTRODUCCIÓN Y METODOLOGÍA | 6 CADA 24 SEGUNDOS un host accede a un sitio web malicioso CADA 1 MINUTO un bot se comunica con su centro de comando y control CADA 34 SEGUNDOS se descarga un malware desconocido CADA 5 MINUTOS se usa una aplicación de alto riesgo CADA 6 MINUTOS se descarga un malware conocido CADA 36 MINUTOS se envían datos privados fuera de la organización UN DÍA PROMEDIO ENUNAORGANIZACIÓNEMPRESARIAL 1.1 FUENTE: Check Point Software Technologies
  • 6. INTRODUCCIÓN Y METODOLOGÍA | 7 -Presidente Barack Obama METODOLOGÍA 81% Los primeros virus informáticos atacaron a las computadoras a inicios de la década de los 80, y esencialmente han estado en una carrera de armas cibernéticas desde entonces. Diseñamos nuevas defensas, y entonces los hackers y criminales diseñan nuevas maneras para penetrarlas... Tenemos que ser igualmente rápidos, flexibles y ágiles para hacer evolucionar constantemente nuestras defensas” Contribuyendo al problema: cambios culturales. La movilidad, virtualización y otras nuevas tecnologías han cambiado la manera en que trabajamos. Y en el proceso, los negocios se han apresurado adoptar estas herramientas para aumentar la productividad y la eficiencia. Pero lo han hecho sin tomar en cuenta las implicaciones de seguridad. aunque están bastante enfocadas en la estabilidad y el tiempo de actividad, no se dan cuenta de que los ambientes con mejor seguridad tienen tiempos de actividad mayores. Entre la frecuencia de las violaciones y los perfiles altos de las empresas atacadas, el 2014 le envió a todas las organizaciones un mensaje claro: Todos están en riesgo. Y cuando los líderes mundiales eligen enfocarse en la seguridad cibernética al dirigirse a sus naciones, parece ser claro que el crimen cibernético ha alcanzado un punto crítico. Durante el 2014, Check Point recopiló datos de eventos de tres fuentes diferentes en el mundo para arrojar luz sobre las tendencias de seguridad, e identificar problemas que estén en aumento o en algunos casos, disminuyendo. Fuentes de la investigación de Check Point: 1. Eventos de seguridad durante Verificaciones de Seguridad de más de 1,300 organizaciones. Esta información se obtuvo de empresas en todos los sectores industriales en el mundo. 2. Eventos descubiertos mediante Check Point ThreatCloud, la cual esta conectada a puertas de enlace de seguridad de más de 16,000 organizacio- nes. 3. Más de 3,000 Gateways conectadas a nuestros servicios de emulación de nube de amenazas. ¿Qué temas tratamos? Malware desconocido Malware conocido Prevención de intrusiones Aplicaciones de alto riesgo Incidentes de pérdida de datos Casi todas las organizaciones estudiadas experimentaron ataques debido aplicaciones de alto riesgo. de las organizaciones muestreadas han sufrido un inci- dente de pérdida de datos
  • 7. INTRODUCCIÓN Y METODOLOGÍA | 8 1.2 FUENTE: Check Point Software Technologies MANUFACTURA 46 15 FINANZAS 12 GOBIERNO 4 VENTA MINORISTA Y MAYORISTA 3 TELECO- MUNICA- CIONES 2 CONSULTORÍA 17 OTRO PORCENTAJEDEORGANIZACIONESPORSECTORINDUSTRIAL LA INVESTIGACIÓN DE CHECK POINT ABARCÓ TODOS LOS SECTORES INDUSTRIALES Examinando los mercados verticales que participaron en nuestra investigación, la manufactura fue la principal con un 46 por ciento, con representación en todo el espectro para finanzas, gobierno, venta minorista y mayorista, telecomunicaciones y consultoría
  • 8. INTRODUCCIÓN Y METODOLOGÍA | 9 -Sarah Lacy, periodista y autora Estadísticas de seguridad en 2014 • El nuevo malware aumentó en 71%.4 • 106 descargas de malware desconocido ocurrieron por hora. • 86% de las organizaciones accedieron a un sitio malicioso. • 83% de las organizaciones tenían infecciones de bots existentes. • 42% de los negocios sufrieron incidentes de seguridad móvil que costaron más de $250,000 para remediar. • 96% de las organizaciones usaron por lo menos una aplicación de alto riesgo. • 81% de las organizaciones sufrieron un incidente de pérdida de datos. • La pérdida de información privada aumentó 71% durante los tres años pasados. En las siguientes páginas, Check Point Revela los hallazgos de nuestro análisis a profundidad de amenazas de seguridad y tendencias descubiertas en 2014. Nuestro objetivo es ayudar a los líderes en seguridad y negocios a entender el panorama de las amenazas y cómo crear la postura de seguridad más fuerte posible. “Los hackers no dan por sentadas las realidades del mundo; buscan romper y reconstruir lo que no les gusta. Buscan ser más inteligentes que el resto del mundo”.5
  • 9. INTRODUCTION AND METHODOLOGY | 1010 | INTRODUCTION AND METHODOLOGY MALWARE DESCONOCIDO: VASTO “Siempre existe el riesgo de que existan desconocidos.”6 –Nate Silver, estadístico, periodista 02 CHECK POINT - INFORME DE SEGURIDAD 2015 | 10
  • 10. MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 11 malwares desconocidos atacan una organización cada hora106 El malware desconocido es malware que normalmente no es reconocido o conocido por los sistemas antivirus. Cada nueva variante desconocida de malware, aún si tiene sólo alteraciones menores, es potencialmente capaz de anular las protecciones de antivirus y entornos aislados virtuales más actuales. Aunque vimos una explosión de malware descono- cido el año pasado, fue únicamente la punta del iceberg, en comparación con el panorama del día de hoy. Ahora, la tasa de malware de día cero y desconocido es masiva. De 2013 a 2014, el malware nuevo aumentó de apenas sobre el 71% de 81M a 142M, de acuerdo con AV-Test, un proveedor de servicios independiente de investigación del antivirus. Además, se encontró más malware durante los primeros dos años que en los primeros 10 años combinados. Durante el 2014, Check Point analizó más de 3,000 puertas de enlace y encontró que el 41% de las organizaciones descargaron por lo menos un archivo invectado con malware desconocido un aumento de casi el 25% con respecto al año anterior. Lo peor es la velocidad a la que esto ocurre. La investigación de Check Point mostró que diariamente, 106 descargas de malware desconoci- das ocurrieron por hora. La cifra abrumadora es 48 veces mayor que las meras 2.2 descargas por hora del año pasado. Increíblemente, sólo un 1% de las empresas utilizan tecnologías para evitar ataques del día cero. Y, únicamente un décimo de las empresas consumen servicios de inteligencia contra amena- zas. Examinando el volumen de malware descono- cido descargado, el 52% de los archivos infectados fueron archivos PDF, mientras que el 3% fueron archivos de Office.
  • 11. 2.1 FUENTE: AV-Test 2009 2011 2010 142M 83M 34M 18M 12M 18.5M 142M 2012 2013 2014 MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 12 NUEVO MALWARE EN 2014 Y UN AUMENTO DEL 71% CONTRA 2013 ¿Qué tan malo es, realmente? Muy malo. sin una firma de malware reconocida que atrapar, las herramientas preventivas típicas no pueden hacer su trabajo. El nuevo rostro del malware es rápido y silencioso gracias a las herra-mientas de ocultamiento que ayudan a los ataques a evadir las soluciones anti-malware más sofistica-das. Para los hackers, trabajar con malware desconocido se ha convertido en la herramienta indispensable debido a que es fácil y eficiente crear variantes del malware existente. De hecho, es tan fácil que aún una persona sin habilidades técnicas podría hacerlo. Para ilustrar, los investigadores de Check Point tomaron 300 malwares conocidos7 , descargados de un conjunto de muestras de archivos PDF, DOC y ejecutables bien conocidos de la base de datos “VirusTotal” de Google. La meta: probar la velocidad y frecuencia de detec- ción a la cual el malware podría ser bloqueado. Para convertir el malware conocido en descono- cido, sencillamente añadieron un caracter nulo al final de cada archivo PDF y DOC [p.ej. “echo’0000’>>1.doc]. Además se modificó una sección de encabezado sin utilizar en cada archivo ejecutable. A continuación, abrieron y ejecutaron cada archivo para validar que la conducta original permaneciera sin cambios. En resumen, al tomar malware existente y hacer modificaciones al mismo, tiene rápidamente algo que no será reconocido. Con esta técnica sencilla, los investigadores fueron capaces de crear variantes nuevas y desconocidas [de ahí los ”Desconocidos 300”] a partir de malware existente.
  • 12. MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 13 MALWARE CONOCIDO MALWARE DESCONOCIDO MD5 para originalmalware.doc fd96b96bd956a397fbb1150f3 echo '0000' >> originalmalware.doc MD5 para el archivo modificado 83aac4393f17f1805111beaa76a4012e 41% de las organizaciones descargaron por lo menos un archivo infectado con malware desconocido Estos archivos no vistos previamente probaron la capacidad de los sistemas de seguridad para detec- tar el malware desconocido. A partir de aquí, los archivos sospechosos se descargaron a un host tras el dispositivo de seguri- dad, simular la descarga accidental de malware desde una página web maliciosa por un empleado. En el caso de los 300 Desconocidos, si el archivo se comportó según lo esperado, se permitió a los datos entrar a la red segura. De no ser así, la tecnología de emulación, creó una firma para el tipo de archivo inspeccionado y se aseguró de que el archivo fuera bloqueado. Entonces comunicó la firma a todas las puertas de enlace de seguridad, haciendo al malware desconocido reconocible o conocido. Recientemente, Check Point descubrió una campaña de ataques que se originó en 2012, pero que desde entonces ha estado mutando en versio- nes más recientes. Llamada Volatile Cedar, usa un implante de malware personalizado llamado “Explosivo”. Con el paso de los años que esta campaña ha estado activa, ha penetrado objetivos en todo el mundo, permitiendo a los hackers monitorear las acciones de las víctimas y robar información privada. Para seleccionar objetivos, tiende a elegir principal- mente contratistas de defensa, telecomunicacio- nes y empresas de medios, así como instituciones educativas. Pensamos que es debido a que estos servidores están expuestos públicamente, son puertas de enlace fácilmente accesibles a redes internas privadas más seguras. Y debido a que tienen un propósito comercial común, su seguri- dad a menudo se sacrifica por la productividad, haciéndolos blancos fáciles para los atacantes. La campaña puede pasar desapercibida porque limita estas acciones para lograr metas específicas con el fin de minimizar el riesgo de exposición. Un ataque típico de Volatile Cedar con un análisis del servidor objetivo. Una vez que identifica una vulnerabilidad explotable, inyecta un
  • 13. 52% MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 14 de los archivos infectados con malware desconocido son archivos PDF USTED DICE QUE QUIERE UNA EVOLUCIÓN: MALWARE EN EVOLUCIÓN - TECNOLOGÍA EN EVOLUCIÓN código de shell web en el servidor. A continuación el motor web se usa como el medio a través del cual el caballo de Troya Explosivo se implanta en el servidor de la víctima. Una vez dentro, permite a los atacantes enviar comandos a todos los objetivos a través de un arreglo de servidores de comando y control [C&C]. La lista de comando contiene toda la funcionalidad requerida por el atacante para mantener el control y extraer información acerca de los servidores, como el registro de pulsaciones de teclas, registro de portapapeles (clipboard), capturas de pantalla y comandos de ejecución. Entonces, una vez que el atacante obtenga el control sobre estos servidores, puede usarlos como un punto central para explorar, identificar y atacar objetivos adicionales ubicados más profunda- mente dentro de la red interna. Pero el malware de día cero es aún peor que el malware desconocido . ¿Cuál es la diferencia? El malware desconocido se basa en malware cono- cido, y el malware de día cero efectivamente se crea desde cero, para explotar vulnerabilidades de software que los vendedores aún no conocen. En comparación con el costo de un kit de malware desconocido, los hackers encontraron que el malware de día cero es mucho más caro. Es por ello que, por sí mismo los ataques de día cero tienden a dirigirse selectivamente. Uno de los ataques de día cero notables de 2014 fue llamado “Gusano de arena”, una referencia a las criaturas de la serie de ciencia ficción “Dunas” en un ataque dirigido hacia la OTAN (Organización del Tratado del Atlántico Norte), el gobierno ucraniano y algunos otros objetivos políticos, hackers rusos explotaron la vulnerabilidad CVE-2014-4114 el administrador de paquetes OLE (Object Linking and Embedding) en Microsoft Windows y Windows Server. El vector: archivos maliciosos de PowerPoint enviados como archivos adjuntos de correo electrónico. Cuando un usuario hizo clic en el archivo adjunto, se activó una explotación de una vulnerabilidad e instaló código malicioso que abrió una puerta trasera al sistema. Como resultado, los atacantes entonces podían ejecutar comandos. El enfoque de primera generación para mejorar las tasas de captura de malware fue ejecutar archivos sospechosos en un entorno aislado fuera de la red; el punto era emular un sistema operativo (SO) estándar en un entorno restringido para observa- ción segura. Después, usando herramientas del entorno aislado, se activarían los archivos en varias maneras para simular un usuario real que usara el archivo. Después, examinaría si activó algo más de lo esperado normalmente. El problema: los criminales cibernéticos reconocen que estas protecciones existen en un porcentaje de las redes y ya están implementando técnicas de evasión sencillas.
  • 14. MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 15 DETECTA MALWARE CONOCIDO O ANTIGUO Del malware conocido, 71 de 1000 no son detectados| DETECTA MALWARE NUEVO O DESCONOCIDO Con prevención a nivel de SO y CPU| ELIMINACIÓN COMPLETA DE AMENAZAS Reconstruye y entrega documentos libres de malware| 2.2 FUENTE: Check Point Software Technologies CHECK POINT SALVA LAS BRECHAS DE SEGURIDAD Por ejemplo, el malware puede permanecer inactivo hasta que se cumplen condiciones especí- ficas, como abrir en un martes, o cuando el usuario hace clic con el botón derecho . Es por ello que es importante enfocarse constantemente en la innovación y lo más reciente en la tecnología de seguridad, para permanecer a la delantera de los hackers. Las soluciones de entorno aislado a nivel de SO de primera generación ayudan a evitar los ataques de día cero y puede detectar malware una vez que esté en ejecución. Sin embargo, una gran cantidad de malware puede evitar la detección. Por ese motivo, se necesita un método de protección de día cero de próxima generación: el entorno aislado a nivel de CPU. Aunque existen incontables vulnerabilidades, existen únicamente unos cuantos métodos de explotación que pueden usarse para descargar el malware y ejecutarlo. El entorno aislado a nivel de CPU le permite detectar el uso de métodos de explotación examinando la actividad de la CPU y el flujo de ejecucíon a nivel de código al ocurrir la explotación. Como resultado, previene cualquier posibilidad de que los hackers evadan la detección. La velocidad y exactitud de la detección hacen del entorno aislado a nivel de CPU la mejor tecnología para detectar ataques de día cero y desconocidos. Llevando ese enfoque un paso más allá, al combi- nar capacidades de entorno aislado a nivel profundo de SO y CPU con la extracción de amena- zas, como la Protección de Día Cero de Próxima Generación de Check Point, eleva la apuesta para la eliminación de amenazas. A nivel de SO, puede detectar ataques tanto en archivos ejecutables como de datos. A nivel profundo de CPU, puede detectar una infección en los archivos de datos en la fase de explotación. La extracción de amenazas, el tercer elemento de esta poderosa combinación, intercepta todos los documentos, ya sean malicio- sos o no, y elimina los objetos dinámicos para protegerse contra un ataque de día cero. Después, integra el archivo y lo entrega en un formato en forma de imagen libre de amenazas. A medida que las técnicas de evasión evolucionan y se hacen más inteligentes, junto con los tipos de ataques, también debe hacerlo la tecnología para mantener su negocio seguro. Lo que ha surgido como de vanguardia en 2014 sencillamente será el estándar de 2015. IPS, ANTIVIRUS Y ANTI-BOT PROTECCIÓN DE DÍA CERO A NIVEL DE SO Y CPU EXTRACCIÓN DE AMENAZAS
  • 15. Cómo la emulación de amenazas podría haber prevenido una venta minorista. MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 16 • Extraer, capturar y manipular las credenciales de inicio de sesión de los sistemas Windows El Black Friday , el siguiente después de la celebración Día de Acción de Gracias de los Estados Unidos, es uno de los mayores días de compras del año. El lunes justo antes del día festivo de 2014, el Equipo de Respuesta a Incidentes de Check Point [CPIRT] fue contactado por un minorista que había descubierto archivos desconocidos en sus sistemas. Estos archivos no fueron detectados por los principales proveedores de antivirus. Los fragmentos de información disponibles para cada uno de los archivos pueden no haber sido suficientes para activar alarmas, pero la suma colectiva mostró una imagen mucho mayor. Los archivos parecieron formar parte de un conjunto diseñado para entregar archivos maliciosos lateralmente, a través de una red. Los componentes del kit consistieron en herramientas usadas para: • Captura pulsaciones de teclas en los sistemas Windows • Transferencia de archivos Aún así, la información obtenida de otros archivos en el kit fueron más ambiguos. Continuando con la investigación, el equipo de respuesta buscaba confirmar algunas sospechas examinando los archivos a través de los Servicios de Emulación en Nube de Amenazas en línea de Check Point. Muchos de estos archivos se marcaron como sospechosos y mostraron actividad claramente maliciosa. Una fue especial- mente interesante para esta situación: El archivo se capturó escribiendo un archivo de texto en un directorio de sistema de Windows. Ver al archivo escribir tracks.txt en el directorio C:WindowsSystem32 soportó la creencia de que este archivo era malware PoS, diseñado para recolectar información de rastreo de tarjetas. con ese concimiento, se hizo evidente que este malware formaba parte de un kit que podía capturar credencia- les, usarlas para instalar malware, moverse en el interior y filtrar datos al exterior de la red. De imple- mentarse la emulación de amenazas, podrían haberse bloqueado este malware y otros componentes en el kit malicioso.
  • 16. MALWARE DESCONOCIDO: VASTO Y DESCONOCIDO | 17 “Sólo lo desconocido asusta a los hombres. Pero una vez que un hombre enfrenta lo desconocido, ese terror se vuelve lo conocido”.8 -Antoine de Saint-Exupery, escritor y poeta • Capacidad de bloquear ataques, no sólo detectarlos • Capacidad de evitar evasiones • Detección rápida y exacta • Capacidad para descifrar SSL • Capacidad para soportar tipos de archivo comunes • Capacidad para soportar objetos web como Flash RECOMENDACIONES Para tratar las amenazas de malware desconocido y de día cero, deberá poder identificarlas dentro del sistema operativo y más allá. La meta: no sólo detectar las amenazas, sino también enfrentar las técnicas de evasión. Check Point recomienda usar un enfoque de tres elementos: una combinación de capacidades de entorno aislado a nivel de SO y CPU con extracción de amenazas. Los factores clave a considerar al seleccionar un buen entorno aislado incluyen:
  • 17. INTRODUCTION AND METHODOLOGY | 1818 | INTRODUCTION AND METHODOLOGY MALWARE CONOCIDO: CONOCIDO Y PELIGROSO 03 INFORME DE SEGURIDAD | 18 “Todos somos digitales, todos somos vulnerables y todo es instantáneo - tan instantáneo.”9 –Madonna, estrella pop, sobre el robo digital y fuga de su álbum aún no terminado, “Rebel Heart”, antes de su lanzamiento.
  • 18. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 19 En 2014 los hosts descargaron malware cada6 minutos En 2014 los hosts accedieron a un sitio web malicioso cada24 segundos ALOJAN ARCHIVOS MALICIOSOS PORCENTAJEDEORGANIZACIONES EE.UU.CANADA PAÍSES BAJO S REINO UNIDO 38 5 5 4 4 RUSIA REINO UNIDOPO LO NIA 26 22 8 8 2 INDIA TURQUÍA M EXICO 17 14 6 4 3 INDIA M EXICO 38 8 7 6 5 PRINCIPALES 5 PAÍSES QUE: ALOJAN SITIOS MALICIOSOS DESCARGAN ARCHIVOS MALICIOSOS ACCEDEN A SITIOS MALICIOSOS FRANCIA EE.UU.UCRANIA ISRAEL ISRAEL REINO UNIDO EE.UU. EE.UU. Dada la facilidad para crear y lanzar malware desconocido potente, se pensaría que comenzare- mos a ver una disminución del malware conocido. Sin embargo, la realidad es que los hackers siguen manteniendo este método de ataque en su arsenal. En 2014, los investigadores de Check Point descu- brieron que aproximadamente el 86% de las organizaciones acedieron a un sitio malicioso. Es más, cerca del 63% de las organizaciones descargaron un archivo malicioso. Observando la velocidad y frecuencia, los hosts accedieron a un sitio web malicioso cada 24 segundos [en comparación con cada minuto en el año pasado], y descargaron malware cada seis minutos [en comparación con cada 10 minutos el año pasado]. Al considerar qué tan rápidamente los virus pueden propagarse y crear caos, esto va más allá de ser alarmante. 3.1 FUENTE: Check Point Software Technologies
  • 19. 83% de las organizaciones estudiadas fueron infectadas con bots. Y un bot se comunica con su centro de C y C cada minuto. 3.2 FUENTE: Check Point Software Technologies FAMILIA CONTEODEATAQUES DAÑO ZEUS 51,848,194 Robo de credenciales bancarias GRAFTOR 21,673,764 Descarga de archivos maliciosos RAMNIT 12,978,788 Robo de credenciales bancarias CONFICKER 12,357,794 Desactiva servicios de seguridad del sistema, obtiene acceso remoto para el atacante SALITY 11,791,594 Robo de información privada SMOKELOADER 9,417,333 Instalación de malware RAMDO 5,771,478 Realiza fraude de clicks GAMARUE 3,329,930 Abre una puerta trasera ataques TORPIG 3,290,148 Robo de información privada Y HABRÁ BOTS MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 20 Una de las maneras más eficientes de amplificar y acelerar la propagación del malware es a través de bots - cuando una computadora ha sido infectada con un caballo de Troya o virus, puede permitir control de un tercero sobre algunas o todas las funciones de la máquina. Una “botnet” es una red de computadoras convertidas en bots o zombies bajo el control de una persona u organización que las usa para reenviar correo electrónico no deseado, atacar a otras computadoras o lanzar ataques DDoS. Casi el 83% de las organizaciones sufrieron infecc- ciones de bots existentes en 2014. Y el 47% de ellas estuvieron activas durante más de cuatro semanas - una duración perturbadora de tiempo dado que un bot se comunica con su centro de comando y control (C&C) cada minuto. Aún más, esa velocidad y frecuencia representan un salto del 66.7% con respecto al año pasado, y un aumento del 95% con respecto al 2012. Al examinar los bots, ¿de qué clase de daño habla- mos? Robar credenciales bancarias y otra información privada, desactivar servicios de seguri- dad de sistemas; instalación de malware; realización de fraudes de clicks; obtener acceso remoto; y abrir una puerta trasera para ataques constituyó la mayoría de la actividad de los bots en el 2014. Una de las infecciones más notorias con bots aprovechó una vulnerabilidad en las computadoras Mac de Apple en conjunto con el sitio social, de entretenimiento y noticias Reddit. Una entrada de puerta trasera llamada “Mac.BackDoor.iWorm”
  • 20. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 21 Vortex de recopilación de credenciales obtuvo acceso a equipos Mac. A partir de este punto, usó Reddit para conectar la computadora pirateada con un servidor de comando. Después de infectar las computadoras, los hackers la publi- carían en Reddit y después aprovecharían la función de búsqueda del sitio para identificar estas publicaciones. Usando el iWorm, fueron capaces de capturar direcciones de servidor de las publica- ciones y usarlas como guía para conectarse a la red de bots. El bot que tuvo la mayor acción en 2014, sin embargo, también fue el campeón reinante el año anterior: ZeuS. Parece que este año, los hackers siguieron el principio de que si no está descom- puesto, no hay que repararlo. De acuerdo con el Informe Resumido Botnet de Spamhaus para 2014, ZeuS encabezó la lista de bots con 2,246 comandos y controles, prácticamente el doble que Citadel, el siguiente bot líder.10 Así, con el alcance y la potencia de bots a su disposición, ¿en qué se enfocan más los criminales cibernéticos? Esencialmente, los elementos críticos que reducen significativamente la productividad de una organización. Laautomatizacióndeherramientasy ladistribucióndebotnet hacenlarecopilacióndecredencialesmediantefuerzabrutamásfácil cada día.Porejemplo,antesde2014, solounacomputadoraalavezpodíadescifrarunacontraseña.Esteañopasado,sinembargo,una herramientade decodificacióndesumadecomprobacióndecontraseñasllamadaHashcatmodificósucódigofuenteparahacer posiblela decodificacióndistribuida,así másdeunacomputadorapodríaayudaradescifrarlacontraseña haciendolasoperaciones muchomás rápidasparalosatacantes. ¿Así que,cómofunciona?Loscriminalescapturangrandescantidadesdedatosdelosataques.Algunasveces usanunasumade comprobaciónocodificación y noesfácil usardeinmediato.Allíesdonde entranlasherramientas automatizanladecodificacióndelas contraseñasyyapodríanformarpartedeunabotnetquepermitaunadistribuciónmásfácil.Una vezquesedescifren,losataquesde fuerzabrutaintentanexplotarelreusodecontraseñas,tambiénpuedenintentaraveriguarsilacontraseñadeunapersonafuncionapara eliniciodesesióndealguienmás.Dehecho,CheckPointhaobservadoataquesdefuerzabrutaconstantesqueduransemanas,donde losintentosporsegundo/minuto/hora/díaestánajustadosporelatacanteparaevadirladetección.Loqueesmás,estopuedeconducira sitiosdeusocompartidodetextoabiertocomoPastebin,dondelainformaciónpuedevendersedespués. Paraprotegerelalmacenamientodecontraseñas,genereunasumadecomprobacióncriptográficaunidireccionaldeunacontraseña. Enotraspalabras,siunacontraseñaes“bluesky”,uncriptógrafolaconvertiráenalgocomo“fna84K”.Estoevitamantenercontraseñasde textoplanoypermitelaverificacióndecontraseñassuministradasporelusuariorepitiendoelsistemadesumadecomprobación unilateral. Añadirunvalorgeneradoaleatoriamenteaunacontraseña antesdecrearsusumadecomprobacióncriptográficatambién puedeaumentarladificultaddeunaoperacióndedescifradodecontraseñas. Dadoqueyaexistenherramientasparaexplorar laInternetenbuscade contraseñas y automatizareldescifradodecontraseñas distribuido yfortaleciendo lamanera enquealmacenanestosdatosescrucial. Paramantenerestainformaciónsegura,tome precaucionesextrasyuseunaverificacióndefactordoble,autentificacióndeusuariofueradebandaoinclusoautentificaciónbiométrica. Recuerde,elhechodequelaspersonasreutilicencontraseñassimilaressignificaquecadaviolacióndemiles denombrescrealassemillas para potencialmentecientosdeviolacionesadicionales.
  • 21. DDOS: LA NUEVA TRINCHERA 3.3 FUENTE: Check Point Software Technologies 48ataques de DDoS ocurrieron cadadíaen 2014 60 23 39 51 22 35 43 36 19 47 23 %DEORGANIZACIONESCONPORLOMENOSUNATAQUE PRINCIPALES VECTORES DE ATAQUE 20132014 MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 22 NEGACIÓN DE SERVICIO DESBORDAMIENTO DE BÚFER EJECUCIÓN DE CÓDIGO SCRIPTS ENTRE SITIOS ANOMALÍA DAÑO DE MEMORIA En el pasado, si usted quería oponerse a las políti- cas de una empresa, reuniría gente, haría algunos letreros y se pararía fuera de su sede comercial para una demostración pública de protesta. ¿Ahora? sólo busca en línea y compra un juego de herrami- entas para DDoS barato, ingresa la dirección URL para la empresa contra la que protesta, y listo el sitio web de la empresa se desfigura. Es fácil, cómodo y barato. En 2014, la Negación de Servicio Distribuida (DDoS) fue el principal ataque, que representa el 60% de todos los ataques, casi el doble con respecto al año pasado. Los ataques DDoS, que ponen fuera de servicio un servidor o recurso de red temporal-mente, ocurrieron 48 veces al día en 2014 hasta ocho veces por día en 2013. ¡Esto representa un aumento del 500%. El año pasado, la mayoría de los ataques de DDoS se encontró principalmente en el sector de consultoría. Este año, abarca casi dos terceras partes de los negocios en todos los sectores industriales. Después de DDoS, los siguientes vectores de ataque de mayor tamaño para el año fueron el Desbordamiento de búfer, un ataque que puede dañar datos, y Ejecución de Código, el cual permite a un hacker inyectar código arbitrario. Ambos aumentaron significativamente con respecto al año pasado.
  • 22. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 23 HACKTIVISMO: Cuando los protestantes llevan su ideología a la red El año pasado se observó un aumento en DDoS contra las instalaciones educativas, proveedores de servicio, gobiernos estatales de los EE.UU y gobiernos de las ciudades. Sin importar la política, el efecto del hacktivismo a través de ataques de DDoS ha sido percibido por espectadores inocentes tanto, si no más que por los blancos pretendidos. En países donde el gobierno proporciona la mayoría de la conectividad para servicios educativos, un ataque en una escuela pequeña puede afectar a todas las escuelas en la red. Un DDoS dirigido al sitio web de una ciudad puede causar (y ha causado) una pérdida de conectividad con las unidades de campo de seguridad pública y servicios de emergencia, y no sólo durante una protesta mayor. Aunque el orden de los pasos puede variar, los hacktivistas usan cuatro técnicas principales: 1. Un ataque volumétrico de varios ejes que usa millones de paquetes de protocolo de datagrama de usuario (UDP) en el puerto 80. Como un protocolo sin estado, UDP es muy fácil de falsificar, haciendo que la fuente parezca como si fuera enviada desde una dirección de protocolo de internet (IP) diferente. Esto satura la conexión antes de que los dispositivos de seguridad de las instalaciones de la organización puedan detectar y reaccionar. 2. Un ataque del sistema de nombre de dominio (DNS) en donde los atacantes envían millones de solicitudes de DNS a servidores DNS legítimos, usando una dirección IP con una fuente falsificada para que parezca como si se origina desde un servidor en la red de la víctima. Los servidores DNS legítimos reaccionan saturando las respuestas de DNS a la víctima, causando otra ola de ataques volumétricos. 3. Un ataque se dirige a un host específico. Falsificar la dirección de origen en alto volumen consume suficientess recursos para que el host no responda al tráfico legítimo. 4. Los ataques lentos abren tan pocas conexiones como sean posibles a un servidor y mantienen estas conexiones abiertas durante tanto tiempo como sea posible enviando bits de datos justo antes de que se agote el tiempo de espera de las sesiones del protocolo de transmisión (TCP), pero el volumen de las conexiones lentas congestiona los puertos de red entrantes. Esto es lo que puede hacer para asegurar su organización: 1. Entender y monitorear el volumen de tráfico como conexiones por segundo, paquetes por segundo y velocidad de transmisión por segundo. Si se exceden los límites base, herramientas como Check Point DDoS ProtectorTM pueden implementarse frente a puertas de seguridad para mitigar el tráfico DDoS antes de alcanzar la puerta de enlace. Cuando el tráfico de ataque volumétrico excede la veloci- dad del circuito de internet, saturará la conexión de red antes de que alcance DDoS Protector o la puerta de enlace de seguridad, negando así el servicio. Para evitar que esto ocurra, DDoS desvía el tráfico a través de DefensePipe a centros de depuración de Internet, donde el tráfico malicioso se elimina y se devuelve tráfico limpio. 2. Implementar controles estrictos en las redes con acceso a invitados o bases de usuarios desconoci- dos como instalaciones educativas, proveedores de nube y compañías de alojamiento de servicios. 3. Implementar reglas de falsificación de IP de origen para evitar que los usuarios en las redes objetivo lancen ataques de reflejo. Los estilos de ataques dinámicos y variantes pueden convertir el detener todas las formas de DDoS en un desafío. Pero Firewall Software Blade e IPS Software Blade de Check Point tienen herramientas de mitigación y protecciones incorporadas, como limitación de velocidad, Syn Defender, IPS SYN Attack e IPS DNS, para evitar ataques de DDoS.
  • 23. CATACLISMO DE INFRAESTRUCTURA CRÍTICA: No “Si”, sino “Cuándo” MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 24 James Arbuthnot, anterior presidente del Comité Selecto de Defensa del Reino Unido, lo dijo mejor: “Nuestra red nacional está bajo ataque no sólo cada día, sino cada minuto”.11 De hecho, casi el 70 % de las empresas de infraestructura crítica (CI) sufrieron una violación de seguridad durante el año pasado.12 Un ataque durante el 2014, por un grupo de hackers rusos llamado Energetic Bear, lanzó una campaña dirigida a las compañías de petróleo y gas. A través de la infección de software de control industrial en el que se basaban estas compañías, los atacantes incorporaron malware que se descargó e instaló automáticamente cuando las organizaciones víctimas actualizaron su software. Esto le dio a los atacantes visibilidad de las redes atacadas, y el control potencial de las mismas. En un incidente por separado, se atacó una fundidora alemana, causando un daño mayor al horno de fundición. De acuerdo con la oficina federal alemana de seguridad de la información, BSI, los atacantes implementaron una campaña mediante ingeniería social para engañar a personas específicas para que abrieran mensajes. A partir de este punto, los criminales cibernéticos fueron capaces de capturar nombres y contraseñas de inicio de sesión, lo que les ayudó a acceder a la red de producción de la fundición. Una vez dentro, atacaron los sistemas de control, causando la falla de elementos, lo cual evitó que el horno se apagara normalmente. Como resultado, el sistema se dañó. ¿Por qué ocurre esto? Al observar las causas de incidentes de CI, vemos que ocurren algunas cosas. Para comenzar, el sistema de control de supervisión y adquisición de datos (SCADA), usado comúnmente para CI, no está diseñado para la seguridad. No sólo sus dispositivos son vulnerables, sino que sus redes son obsoletas. Además, los sistemas SCADA integran los sistemas operativos Windows y Linux, los cuales también son vulnerables. Una segunda causa es que, con demasiada frecuencia, la visión de la seguridad es de corto alcance, con un énfasis únicamente en el perímetro electrónico. Esto no es suficiente porque deja los sistemas de producción en riesgo. finalmente, un tercer problema que observamos es la creencia equivocada de que una buena seguridad física significa buena seguridad de red. No reconocer la diferencia puede conducir a consecuencias severas. Asegurando la infraestructura crítica: qué hacer Así como observamos tres causas de incidentes de CI, también observamos tres maneras clave de evitar tales ocurrencias. Los siguientes son pasos para proteger infraestructuras críticas. 1. Arquitectura de seguridad: En primer lugar, proteja la red corporativa para bloquear la infiltración de la red de producción. Después, segmente y proteja su red de producción con seguridad especializada. Para la seguridad del perímetro, use herramientas adecuadas como un sistema de protección, preven- ción de intrusiones, antivirus, anti-bot y emulación de amenazas. 2. Productos de seguridad con soporte SCADA granular: Siempre use productos diseñados específica- mente para sistemas SCADA. Recuerde, las industrias CI se basan en sistemas dedicados sobre redes especializadas con protocolos únicos. Las soluciones como las soluciones de seguridad SCADA incluyen registros de SCADA, sistema de protección, control de aplicaciones, prevención de intrusiones y seguridad de puntos terminales de la estación de trabajo SCADA. 3. Información sobre amenazas: Asegurese de registrar independientemente toda la actividad SCADA usando el monitoreo de tráfico SCADA a profundidad y el análisis de amenazas.
  • 24. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 25 SENTIRSE VULNERABLE NÚMERO TOTAL DE VULNERABILIDADES Y EXPOSICIONES COMUNES 2014 2013 2009 2012 2010 2008 2011 7945 5191 5297 4651 5736 4155 5632 2 014: VULNERABILIDADES Y EXPOSICIONES PRINCIPALES IBM ORACLE GOOGLE M ICROSOFT APPLE LINUX REDHAT CISCO ADOBE 450 431 376 287 156 135138 368 155 M OZILLA 120 NÚMERODEVULNERABILIDADES 3.4 FUENTE: Base de datos de Vulnerabilidades y Exposiciones Comunes (CVE) (gráficas superiores), Check Point Software Technologies (gráfica inferior) %DEORGANIZACIONES NOVELL 2 2013 M ICROSOFT 67 ADOBE 15 VIDEOLAN 10 3COM 4 SQUID 4 SUN/ORACLE 4 APPLE 3 CA 3 M ICROSOFT 77 ADOBE 14 APACHE 6 HP 6 SUN/ORACLE 5 M OZILLA 3 JOOM LA 3 2014 2012 M ICROSOFT 68 SUN/ORACLE 15 ADOBE 13 NOVELL 5 SQUID 2 VIDEOLAN 1 EVENTOS DE SEGURIDAD POR LOS PRINCIPALES PROVEEDORES DE SOFTWARE años, observó muy poco aumento entre 2012 a 2013. Sin embargo, del 2013 al 2014, observamos un salto de sólo un 53%. Por lo que mientras las buenas noticias son que la concientización aumenta con respecto a estas exposiciones poten- ciales, las malas noticias son que aún existen y están creciendo. Uno de los grandes problemas que las organizacio- nes necesitan tratar para ayudar a mejorar su seguridad es parchar y actualizar el software. Cuando esto se , crea una vulnerabilidad de nego- cios seria que puede interrumpir el desempeño sin necesidad, tanto del hombre como de la máquina. Al examinar el número total de vulnerabilidades comunes y exposiciones durante los pasados tres
  • 25. SHELLSHOCK: Atacando el núcleo de las redes EL NUEVO OBJETIVO DE LAS EXPLOTACIONES: MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 26 SOFTWARE Y SO DE CÓDIGO ABIERTO visibles. Como resultado, el OSS se ha convertido en un objetivo atractivo con el fin de robar datos, propiedad intelectual y otra información privada. Pero se convierte en una puerta abierta a la red para explotación por parte de los hackers. Por ejemplo, OpenDaylight, un proyecto de software de código abierto multiproveedor, fue forzado a enfocarse en la seguridad cuando una falla de red definida por software [SDN] vino a la luz. En agosto de 2014, se encontró una vulnerabilidad crítica en esta plataforma, pero tardó cerca de cuatro meses para parcharse. El uso compartido en la comunidad no siempre es algo bueno. Tome el software de código abierto (OSS), por ejemplo. A diferencia del software propi- etario cerrado, el software de código abierto se escribe de manera que su código abierto esté libremente disponible al público y puede ser modi- ficado por cualquier persona. Aún peor, el OSS no se maneja de manera más cercana debido a que no siempre forma parte del proceso de suministro de TI. Debido a que es software gratuito (freeware) no se mantiene de manera tan cercana como otro software. Los criminales cibernéticos saben esto, por lo que reimplementan ataques hacia aplicacio- nes y sistemas con menos mantenimiento y menos Los hackers entienden que la manera más impactante de atacar los blancos es atacar su fundamento. Para la mayoría de los sistemas operativos, esta base es una serie de comandos fundamentales, a menudo ejecutados en Unix. En el núcleo del shell de la línea de comandos usada comúnmente en los sistemas operativos Apple MAC OS X y Linux/UNIX hay un procesador de comandos llamado Bash o Bourne Again Shell. En septiembre de 2014, se descubrió una vulnerabilidad de seguridad mayor en Bash que permitía a los atacantes ejecutar en forma remota comandos de shell. Funcionó agregando código malicioso en las variables de entorno usadas por el sistema operativo. Desde el punto de vista de un hacker, no mejora mucho. En un plazo de días a partir del anuncio de la vulnerabilidad, también se descubrieron fallas de diseño adicionales y se creó una serie de parches. La carrera comenzó para atacar las redes antes de que los parches se insertaran. En horas, los atacantes explotaron Shellshock creando botnets en computadoras en riesgo, para realizar ataques de negación de servicio y análisis de vulnerabilidad. Aunque las redes protegidas por Check Point IPS fueron el mismo día, Shellshock puso en riesgo millones de servidores y redes sin parchar. Los clientes de Check Point apoyados por la protección IPS observaron intentos bloqueados mientras los ataques se dirigían predominantemente a protocolos HTTP, Correo electrónico (SMTP/POP3/IMAP), FTP y DHCP. Los hallazgos de la investigación mostraron que los EE.UU. fueron el objetivo principal y el principal atacante por un margen significativo.
  • 26. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 27 3.5 FUENTE: Check Point Software Technologies NADIE A QUIEN CULPAR EXCEPTO A NOSOTROS PRINCIPALES EVENTOS 40% PORCENTAJE DEL TOTAL CLIENTE 60% La persona que encontro la vulnerabilidad inicialmente intentó reportarla en forma privada, pero dado que OpenDaylight no tiene un equipo de seguridad, sus esfuerzos no tuvieron fruto alguno. En lugar de ello, terminó publicando la vulnerabilidad en una lista de correo popular sobre fallas de seguridad. fue el potencial de que un controlador SDN se pusiera en riesgo, lo que permitiría a los atacantes tomar control de la red.14 Una vulnerabilidad de código abierto descubierta durante el 2014 fue con la plataforma MediaWiki, la cual se usó para ejecutar Wikipedia y miles de otros sitios wiki en el mundo. Los investigadores de Check Point descubrieron que un defecto en el código podría permitir a los atacantes inyectar código malicioso en todas las páginas en Wikipedia.org, así como en otros sitios wiki internos o expuestos a la red en MediaWiki. Con más de 94 millones de visitantes únicos por mes sólo en Wikipedia y casi 2 millones de sitios vincula- dos a este sitio, es fácil ver el potencial de propa- gación del daño. Las código abierto del año fueron Heartbleed, Shellshock y Poodle. En el año pasado, parece que los negocios fueron ataca-dos con malware nuevo y devastador, peor que nunca antes - hasta meses después, el siguiente malware nuevo y peor que nunca entró en escena. Heartbleed fue descubierto en abril de 2014, una vulnerabilidad en el software de OpenSSL. Lo que hace es permitir a los hackers acceso a la memoria de los servidores de datos - hasta 64 kilobytes. Este acceso entonces les da la capacidad de robar información crítica como identidades de usuarios, contraseñas y otra información privada contenida en los servidores. Después, llegó Shellshock. La abrumadora vergüenza de esto es que se deriva de una falla de seguridad de un cuarto de siglo de antigüedad que permite la ejecución de código con el shell Bash. Esto permite a un hacker controlar el sistema operativo y acceder a información confidencial. Además de eso, muchos programas ejecutan el shell Bash en segundo plano. Cuando se agrega el código extra dentro de las líneas de código existentes, el error se libera.16 Después de Shellshock fue Poodle, un simpático acrónimo que proviene de Padding Oracle On Downgraded Legacy Encryption (Relleno de Oracle en el Cifrado Preexistente Degradado) Su enfoque: una tecnología de cifrado de 18 años de antigüe- dad, SSL 3.0. Si un sitio web usa ese protocolo para cifrar el tráfico, los atacantes podrían solicitar a su computadora degradar su cifrado al mismo están- dar anticuado, creando problemas de seguridad con comunicaciones a servidores. Las vulnerabilidades de código abierto como Heartbleed, Poodle y Shellshock afectaron a casi todas las operaciones de TI en el mundo. Las organizaciones pueden no ser capaces para antici- par la siguiente vulnerabilidad masiva, pero deben entender que los hackers disfrutan encontrar y explotar fallas en plataformas de código abierto y comúnmente utilizadas (como Windows, Linux e iOS) debido a las oportunidades abundantes que ofrecen. En 2013, los servidores fueron el blanco preferido. El año pasado todo esto cambió. Los clientes ahora son el eslabón más débil. Cuando examinamos el cambio en la distribución de los eventos de IPS principales entre el cliente y servidor, vemos que el lado del cliente saltó dramáti- camente - de 60 a 32%. Mientras, el lado del servidor IPS SERVIDOR
  • 27. 3.6 FUENTE: Check Point Software Technologies TERMINALES EMPRESARIALES VULNERABILIDADES Y CONFIGURACIONES ERRÓNEAS 25% 25%54% 20% 10%35% MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 28 disminuyó de un 68% a un 40%. ¿Por qué? Los hackers muestran una preferencia por atacar a los clientes debido a que usan ingeniería social y tácticas de phishing para engañar a las personas. En otras palabras, los humanos son mucho más fáciles de duplicar que las máquinas. ¿Entonces qué contribuye al problema? la Negli- gencia con respecto a las protecciones básicas. Además, las organizaciones usan herramientas de seguridad preexistentes que no son suficientes para tratar las amenazas en evolución de hoy en día. Si quiere mantener sus terminales seguras, puede comenzar con acciones fundamentales como asegurar sus computadoras y ejecutar un sistema de protección de escritorio; tener paquetes de servicio y software actualizados; y tener insta- lado el software antivirus más reciente. Sin embargo, de acuerdo con nuestros hallazgos, el 20% de los hosts empresariales no ejecutan un sistema de protección de escritorio; el 10% de los hosts empresariales no tienen paquetes de servicio actualizados; el 25% no tienen versiones actualiza- das de su software; y el 17% no tienen un antivirus instalado en absoluto. Además, el 35% de los hosts empresariales están configurados de manera que los usuarios tengan permisos de administrador locales, poniendo sus sistemas operativos en un mayor riesgo de explotación por malware. Aunque estos números pueden no parecer muy grandes, son una señal importante de que hay algunas empresas que no han recibido el mensaje de seguridad: sólo se necesita un host vulnerable para infectar una red completa. Y pensar en el número de negocios con los que estas empresas interactúan e intercambian información. Parte de manejar la amenaza del crimen cibernético significa ser un ciudadano cibernético al tratarse con protecciones básicas y compartir información de seguridad importante con otros. Hosts donde el usuario tiene permisos de administrador local Hosts que no ejecutan sistemas de protección de escritorio Hosts que tienen por lo menos un dispositivo Bluetooth instalado Hosts que no tienen firmas de AV actualizadas Hosts que no tienen versiones de software actualizadas Hosts que no tienen firmas de AV actualizadas PORCENTAJE DE HOSTS
  • 28. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 29 PCI DSS 3.0 NIST 800:41 ISO 27001 PCI DSS 3.0 NIST 800:41 ISO 27001 PCI DSS 3.0 ISO 27001 Aunque la mayoría de las empresas entienden sus responsabilidades con respecto a la conformidad y cumplimiento de las normas industriales con respecto a la seguridad, aún es un asunto muy complejo. Podría encontrarse completamente en conformidad un día, y después hacer un cambio relacionado con la empresa a su red y súbitamente encontrarse fuera de cumplimiento. Saber qué buscar es crucial. Pero no caiga en la trampa de pensar que únicamente porque su organización se encuentra en conformidad está completamente segura. El cumplimiento de los requisitos regulatorios normalmente se relaciona con amenazas específicas, haciendo lo menos completo de lo que una postura de seguri- dad podría y debería ser. No debe ser la base de su política de seguridad. A continuación se muestran los hallazgos de Check Point en la investigación de 2014. Las medidas contra falsificación (anti- spoofing) no estaban activas para el 75% de los encuestados. Se descubrió la regla “aceptar cualquiera” en el 27% de los encuestados Los paquetes TCP fuera de estado no se omiten en el 19% de los encuestados El anti-spoofing verifica que los paquetes provengan desde y se dirijan hacia las interfaces correctas en la puerta de enlace. confirma que los paquetes que dicen provenir de una red interna verdaderamente provengan de la interfaz de red interna. También verifica que, una vez que se enrute un paquete, pase a través de la interfaz adecuada. El concepto fundamental de la regla básica del sistema de protección es “aquello que no se permite explícitamente esta prohibido”. Para descubrir que el 27% de los encuesta- dos tenían la regla “Aceptar cualquiera” en su base de reglas fue una sorpresa mayor. Estos son los fundamentos básicos del sistema de protección. El tiempo de espera de la sesión TCP es en un periodo de tiempo que una conexión inactiva permanecerá en la tabla de conexiones de la puerta de enlace de seguridad. Esta sesión inactiva es el retraso en el que un atacante puede intentar robar y usar el transporte de paquetes de la sesión del usuario existente. Los paquetes que están fuera de estado deben omitirse. Encontramos que 1 de cada 5 empresas no omiten los paquetes fuera de estado. HALLAZGO DE CHECK POINT ANÁLISIS DEL PROBLEMA DE CHECK POINT NORMA PAÍSES AFECTADOS POR ESTA NORMA Global - cualquier empresa que procesa o almacena datos de tarjetas de crédito Principalmente relevante a uso Federal en los EE.UU, pero igualmente aplicable a cualquier empresa de los EE.UU. que adopte un estándar de protección robusto Global - cualquier empresa certificada en este estándar o que lo adopte como una mejor práctica Global - cualquier empresa que procese o almacene datos de tarjetas de crédito Global - cualquier empresa que siga esta norma Principalmente relevante a uso Federal en los EE.UU, pero igualmente aplicable a cualquier empresa de los EE.UU. que adopte un estándar de protección robusto Global - cualquier empresa que procesa o almacena datos de tarjetas de crédito Global - cualquier empresa certificada eneste estándar o que lo adopte como una mejor práctica
  • 29. ‘Quienes no aprenden de la historia, están condenados a repetirla’. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 30 Evite que la historia se repita Esto también es cierto para la seguridad. Mantenerse al día con los problemas y emplear las mejores prácticas de seguridad puede mantener negocios de todos los tamaños seguros contra la catástrofe de repetir errores pasados. A continuación se presenta un resumen de las mejores prácticas que pueden ayudarle a evitar muchas de las trampas de seguridad de clientes grandes y pequeños. Protecciones en Detectar vs Prevenir Con las protecciones de red, el modo ‘Detectar’ se usa para amenazas de bajo riesgo, mientras que el modo ‘Prevenir’ se usa para amenazas de severidad crítica y riesgo alto, a menudo escuchamos de los clientes que se ‘detectó’ un ataque pero no se previno porque estaba mal categorizado. Asegúrese de revisar las políticas de amenazas periódicamente para entender cómo categorizarlos apropiadamente. Parches desactualizados. A pesar del hecho de que hay parches disponibles para vulnerabilidades con años de antigüedad en las plataformas, a menudo no se instalan. Los atacantes se enfocan en esta debilidad; mientras más antigua sea la vulnerabilidad, más probable es que haya disponible una explotación de código abierto. Para evitar ser un blanco fácil, le recomentamos parchar pronto y frecuentemente. Mala política de contraseñas o reuso de contraseñas La mayoría de las credenciales recopiladas en ataques de fuerza bruta se descifran debido a que la contraseña de la cuenta es débil. En otras ocasiones, las cuentas se recopilan debido a que se usó una contraseña para un sitio en otro sitio en riesgo. Las políticas de contraseñas más fuertes y educar a los usuarios acerca del reuso de contraseñas, los negocios pueden minimizar las violaciones de cuentas. Además, las buenas políticas de contraseña hacen redes más seguras. Compartir información entre departamentos En organizaciones más grandes, a menudo se observa un tema común de compartir información y algunas veces, señalamientos acusatorios entre departamentos. En su forma más inocente, algunas empresas carecen de mecanismos para uso compartido de información o políticas de TI consistentes; esto tiene como resultado que un grupo tenga una red mucho más moderna que otro. Desafortunadamente, muchas no están segmentadas internamente por lo que una violación para una puede tener como resultado una violación para todas.
  • 30. MALWARE CONOCIDO: CONOCIDO Y PELIGROSO | 31 “No existe nada como una seguridad perfecta, sólo niveles variables de inseguridad.” 17 –Salman Rushdie, autor RECOMENDACIONES Usted pensaría que si se conoce algo, sería más fácil mantenerlo vigilado. Como ha leído al respecto del malware conocido en este capítulo, es claro que esta idea está equivocada. Combatir el malware conocido requiere un enfoque de varios elementos. El principio central: automatizar y coordinar múltiples capas de defensa. • Detectar y Defender: Asegúrese de utilizar puertas de enlace y tarjetas de software antivirus para terminales junto con el filtrado de direccio- nes URL. Esto ayuda a evitar conexiones con distribuidores conocidos de malware. • Bloquear al bot. Use una tarjeta de software anti-bot para detectar malware y comunicaciones directas de botnets. • Cubra los elementos críticos. Extienda su protec- ción IPS para asegurarse de poder defenderse contra ataques de severidad crítica. Cubra su servidor de red y los sistemas de infraestructura de TI, sin importar el proveedor o plataforma. • Gestione y manténgase a la delantera de las vulnerabilidades con procesos de parchado para todos los sistemas y aplicaciones. • Regule y restringa. Al tratarse de una configura- ción cliente/servidor, restrinja el uso de privilegios de administrador; desactive Java y otros motores de scripts; y regule qué aplicaciones pueden instalarse en los puntos terminales.
  • 31. INTRODUCTION AND METHODOLOGY | 3232 | INTRODUCTION AND METHODOLOGY SEGURIDAD MÓVIL: NO ME ENCIERREN “Además de lo conocido y lo desconocido, ¿qué más hay?”18 –Harold Pinter, dramaturgo ganador del premio Nobel, guinista, director, actor 04 CHECK POINT - INFORME DE SEGURIDAD 2015 | 32
  • 32. SEGURIDAD MÓVIL: NO ME ENCIERREN | 33 42% sufrieron incidentes de seguridad móvil que costaron más de $250,000 Cuando llegó la tecnología móvil, también lo hizo la promesa de una productividad sin restricciones. Pero para muchos, la seguridad móvil fue un tema tardío. La meta para todos debería ser identificar soluciones que posibiliten la productivi- dad, ya sea que esté o no en las instalaciones. Y esto se vuelve especialmente importante ya que vemos un aumento en el uso de teléfonos inteli- gentes y tablets, junto con sus aplicaciones asociadas, para facilitar nuestras vida. Debido a que con este aumento ha surgido un deseo de hacer negocios con estos mismos dispositivos, los datos corporativos se ponen en riesgo. De manera predecible, la tendencia creciente de “Traiga su propio dispositivo” (BYOD, Bring Your Own Device) ha generado una multitud de problemas de seguridad móviles. Como un vector de ataque, los dispositivos móviles proporcionan un acceso directo más fácil a los recursos organizacionales valiosos que cualquier otro punto de intrusión de la red, haciéndolos el eslabón más débil en la cadena de seguridad. En una encuesta global de más de 700 negocios, el 42% de la muestra de la encuesta ha sufrido incidentes de seguridad móvil que cuestan más de $250,000 para remediar y el 82% esperaron que los incidentes aumentaran durante el 2015.
  • 33. LLAMADAS FUERA DE CONTROL 4.1 FUENTE: Check Point Software Technologies cc | || | | SEGURIDAD MÓVIL: NO ME ENCIERREN | 34 DATOS CORPORATIVOS EN RIESGO Cuando la seguridad móvil es débil, puede proporcionar a los atacantes información personal, contraseñas, correo electrónico de negocios y personal, documentos corporativos y acceso a redes y aplicaciones empresari- ales. En una situación de negocios, esta preocupación aumenta. De hecho, el 87% de los profesionales en TI declararon que los empleados descuidados son una amenaza a la seguridad mayor que los criminales cibernéticos. Y el 92% declararon que las conductas de los empleados podrían haber hecho una diferencia en la prevención de violaciones a la seguridad de alto perfil. COMUNICACIÓN PRIVILEGIADA UBICACIÓN DEL EMPLEADO CREDENCIALES DE RED PROPIEDAD INTELECTUAL Entre los encuestados, el 91% han observado un aumento en el número de dispositivos móviles conecta- dos a las redes corporativas durante los pasados dos años. De manera alarmante, el 44% de las organizacio- nes no administran los datos corporativos en los disposi- tivos propiedad de los empleados. Además de esto, el 33% de los desarrolladores de aplicaciones no comprue- ban la seguridad de sus aplicaciones. Así que no es una sorpresa que los dos retos principales de la seguridad de BYOD enfrentados por TI sean proteger la información corporativa reportado por el 72% de nuestra muestra y administrar los dispositivos personales que contienen información tanto corporativa como personal y aplicaciones citado por el 67% de nuestros encuestados.
  • 34. SEGURIDAD MÓVIL: NO ME ENCIERREN | 35 4.2 FUENTE: Check Point Software Technologies RETOS DE SEGURIDAD DE BYOD PROTEGER INFORMACIÓN CORPORATIVA 72 ADMINISTRAR DISPOSITIVOS PERSONALES QUE CONTENGAN DATOS Y APLICACIONES CORPORATIVOS Y PERSONALES 67 RASTREAR Y CONTROLAR ACCESO A REDES CORPORATIVAS Y PRIVADAS 59 MANTENER ACTUALIZADO EL SISTEMA OPERATIVO Y APLICACIONES DEL DISPOSITIVO 46 ENCONTRAR SOLUCIONES DE SEGURIDAD AGNÓSTICAS (P.EJ. ADMINISTRAR TODOS LOS SO) 42 PORCENTAJE DE ORGANIZACIONES NO TENEMOS RETOS CON BYOD 5 OTRO 2 Los retos de BYOD se hacen aún más notorios en el contexto de un estudio global por separado que realizamos. Los kits de vigilancia móvil comerciales, que normalmente se utilizan para supervisar a los niños, o en algunos casos para espiar, fueron puestos bajo el microscopio. El motivo: tales productos son vulnerables a caballos de Troya de acceso remoto móviles (mRAT) los cuales encabezan la lista de malware móvil. Se estudiaron más de 500,000 dispositivos Android y 400,000 dispositivos iOS que se conectaron a Wi-Fi corporativa a través de sistemas de protección de Check Point en más de 100 países. Si los dispositivos se comunicaron con un servidor de comando y control, fueron considerados como infectados. Los investigadores encontraron que uno de cada 1,000 dispositi- vos estaba infectado. Y de hecho, los investigadores deter- minaron que si hay 2,000 dispositivos o más en una organización, hay una probabilidad de 50% de que haya por lo menos seis dispositivos móviles infectados o atacados en su red. Por plataforma, esto se distribuye en un 60% Android y 40% iOS.
  • 35. ¿CUÁL ES EL DAÑO? BÚSQUEDA DE AMENAZAS MÓVILES: Ataquesdirigidossobredispositivosmóvilesempresariales SEGURIDAD MÓVIL: NO ME ENCIERREN | 36 Los atacantes pueden atacar a una empresa y extraer información privada de los dispositivos móviles de sus empleados. Los mRAT maliciosos pueden permitir a los atacantes potenciales robar información privada de un dispositivo. Pueden tomar el control de los diferentes sensores para ejecutar el registro de pulsaciones de teclas, robar mensajes, encender cámaras de video y más. Como un punto interesante, los investigadores descubrieron que los empleados de las corporaciones son atacados por los mRAT. Más específicamente, el estudio mostró que los atacantes elegían ciertas organizaciones y atacaban varios objetivos dentro de ellas, en lugar de atacar a empleados corporativos de organizaciones al azar y atacarlos sin relación con su organización. En la encuesta referida anteriormente, preguntamos cuál plataforma de dispositivos móviles representaba más problemas, 64% de los profesionales de TI mencionaron Android como la más riesgosa. Le siguieron Apple iOS y Windows Mobile, ambos con un 16%. Sólo el 4% citaron a BlackBerry. Muestra de la encuesta Más de 500,000 dispositivos Android y 400,000 dispositivos iOS de más de 100 países Infecciones Aproximadamente 1,000 dispositivos infectados: 60% Android, 40% iOS. Malware Más de 20 variantes y 18 diferentes familias de mRAT encontradas Riesgo Datos corporativos en forma de correo electrónico, mensajes, pulsaciones de teclas, llamadas, ubicación de empleados
  • 36. SEGURIDAD MÓVIL: NO ME ENCIERREN | 37 4.3 FUENTE: Check Point Software Technologies 18 FAMILIAS DE MRAT ENCONTRADAS Mobile Spy Shadow Copy Mspy Spy2Mobile My Mobile Watchdog Otros Bosspy MobiStealth TalkLog
  • 37. CUIDADOCON BINDER SEGURIDAD MÓVIL: NO ME ENCIERREN | 38 Con el factor de riesgo de Android mucho más alto que los otros, no es sorprendente que los hackers estén teniendo un gran día con él. Un malware descubierto recientemente engaña a los usuarios de Android haciéndoles creer que apagaron sus dispositivos, cuando realmente no lo han hecho. El malware permite a los usuarios remotos hacer llamadas, enviar y recibir mensajes, y tomar fotografías. Finalmente, esto puede habilitar una vía más sencilla para robar tanto identidades como datos. Tener conocimiento de los riesgos asociados con la tecnología móvil es crítica. En los meses siguientes será necesario considerar las implicaciones de seguridad de la tecnología vestible y dispositivos complementarios como Fitbit, Google Glass, relojes inteligentes y otros que se conectan a tablets y teléfonos inteligentes. A medida que la Internet de las Cosas (IoT) se hace común en muchos hogares y lugares de trabajo, la interconexión de las tecnologías harán posible leer todo desde un dispositivo al otro. Es por ello que necesitamos entender la seguridad móvil ahora. La belleza de la comunicación interprocesos (IPC) es que permite que los procesos especializados dispares funcionen con un sistema operativo. En Android, el mecanismo de transmisión de mensajes de ese sistema es Binder. En octubre de 2014, el equipo de investigación de Check Point expuso una falla fundamental asociada con ese sistema en un informe titulado “Man in the Binder" : quien controla la IPC, controla el droid”. En esencia, nuestro equipo de investigación encontró que es posible capturar datos comunicados a través del protocolo Binder e interceptar información privada. Otros hallazgos clave: • La información enviada y recibida a través de las aplicaciones en un dispositivo, incluyendo aquellas protegidas mediante autentificación de dos factores, líneas de cifrado y otras medidas de seguridad, pueden interceptarse. • Los comandos intermedios pueden insertarse en el flujo de comandos interceptados. • Los datos interceptados a través de Binder pueden incluir la entrada mediante el teclado del dispositivo, actividades en la aplicación como transacciones bancarias y mensajes SMS. Aprenda más acerca "Man in the Binder" y otros hallazgos de investigación de Check Point en checkpoint.com/threatcloud-central.
  • 38. SEGURIDAD MÓVIL: NO ME ENCIERREN | 39 RECOMENDACIONES -Eric Schmidt, presidente de Google No confíe en MDM como una solución universal La Administración de Dispositivos Móviles (MDM) permite a un departamento de TI controlar lo que un usuario puede y no puede hacer con el disposi- tivo. Pero existen dos inconvenientes principales con MDM: en primer lugar, desde el lado del usuario, las políticas de MDM pueden ser muy restrictivas según el departamento de TI; cuando los empleados se sienten restringidos, tienden a encontrar maneras de evitar las protecciones de seguridad. En segundo lugar, desde el lado de la organización, MDM en realidad no protege el dispositivo dado que las soluciones MDM no incluyen capacidades de protección contra malware. Así todavía necesita identificar soluciones que protegen el dispositivo en sí mismo y controlar los datos que entran y salen del mismo. Proteger en movimiento La protección de documentos es un aspecto ignorado de la seguridad móvil. Controle sus docu- mentos comerciales, sin importar dónde vayan. Cifre los archivos y asegure los accesos por parte de los usuarios autorizados únicamente. Las solucio- nes como Check Point Capsule proporcionan seguridad de documentos y controles granulares sobre quién puede acceder a los datos. Proteger el espacio Establezca un ambiente de negocios seguro, segre- gando datos de negocios y aplicaciones, incluyendo aquellos en dispositivos propiedad de las personas. Si el dispositivo se pone en riesgo, las protecciones pueden activarse para proteger información corpo- rativa hasta eliminar la amenaza. Evite amenazas Identifique y evite amenazas cibernéticas para proteger el dispositivo móvil completo. Asegúrese de que su solución de seguridad móvil le ayuda a evitar descargas de archivos sospechosos, bloquear sitios web maliciosos, y evitar amenazas antes de que hagan daño. Conecte a la nube Proteja el tráfico de red usando servicios de nube que extienden las políticas corporativas a los dispositivos móviles personales (BYOD) para asegu- rar el cumplimiento. Buscar una solución que hace cumplir una sola política de seguridad para disposi- tivos dentro y fuera de las instalaciones, y sigue a los usuarios móviles fuera del perímetro de seguridad de la empresa. “Lo que estamos viendo con las tecnologías como dispositivos móviles y computación en nube es que están habilitando los modelos de negocios que sencillamente no existían antes... Los gigantes en todo el mundo están listos para ser afectados por las nuevas empresas que entienden cómo usar la tecnología para crear una nueva propuesta de valor para sus clientes que no era posible antes”.23
  • 39. INTRODUCTION AND METHODOLOGY | 4040 | INTRODUCTION AND METHODOLOGY APLICACIONES: ATACANDO DONDE DUELE –John Battelle, empresario, autor, periodista 05 CHECK POINT - INFORME DE SEGURIDAD 2015 | 40 “A medida que nuestros consejos de sociedad se basan en datos, nuestras decisiones colectivas acerca de cómo pueden usarse los datos determinarán el tipo de cultura en la que vivimos”.24
  • 40. APLICACIONES: ATACANDO DONDE DUELE | 41 96%de las organizaciones usan por lo menos una aplicación de alto riesgo Es claro que el panorama digital es traicionero. Las amenazas pueden provenir de un ataque, un error interno o sabotaje. Lo único que representa un punto de entrada especialmente vulnerable para las empresas es en el que más confían para la produc- ción organizacional: aplicaciones. Algunas aplicaciones, como el uso compartido de archivos, es obviamente riesgoso. Pero otros no son tan evidentes debido a que forman parte de lo que se conoce como “shadow IT” o aplicaciones no autorizadas - aplicaciones que no son avaladas o soportadas por la organización de TI central. En lugar de ello, estas tecnologías y aplicaciones se compran e instalan fuera de TI como herramientas necesarias para realizar el trabajo. Dada la dependencia de otros en estas aplicaciones, TI no puede bloquear su uso. Entonces, si se permiten, es necesario proporcionar prevención contra amenazas. La red debe protegerse mientras funciona bajo la suposición de que estas aplicacio- nes de alto riesgo son maliciosas, no que podrían serlo. Para darle un sentido de la predominancia de aplicaciones de alto riesgo, los investigadores de Check Point encontraron evidencia de ellas en el 96% de las organizaciones estudiadas, un salto de 10 puntos del año pasado. Las categorías que observamos incluyen: • Herramientas de administración remota - aplica- ciones como TeamViewer, RDP y LogMeIn permiten a operadores remotos trabajar con su máquina y sus funciones como si estuvieran allí físicamente, en persona. Una herramienta práctica para solucionar problemas de TI, también es una herramietna práctica que puede proporcionar a los hackers una cantidad sorprendente de control y poder sobre su red. • Almacenamiento y uso compartido de archivos - aplicaciones como DropBox y otros le permiten intercambiar y trabajar con archivos más grandes de los que normalmente podría enviar por correo electrónico. • Uso compartido de archivos P2P - el protocolo BitTorrent y SoulSeek son sólo dos ejemplos popu- lares de lo usado normalmente para intercambio de medios como música, videos o comunicación en tiempo real. • Anonymizers : complementos para navegador o servicios web como Tor u OpenVPN permiten a los usuarios interactuar én línea de forma anónima.
  • 41. 5.1 FUENTE: Check Point Software Technologies Seencontraronherramientasdeadministraciónremotaen 92% de las organizaciones 92 90 81 86 86 77 75 62 56 43 PORCENTAJEDEORGANIZACIONES 201220132014 80 61 APLICACIONES: ATACANDO DONDE DUELE | 42 ORGANIZACIONESQUEUSANAPLICACIONESDEALTORIESGO Estas pueden usarse legítimamente, para minimizar el riesgo, pero con demasiada frecuencia, se usan con fines maliciosos. En 2014, las herramientas de administración remota (RAT) encabezaron la lista de los mayores infracto- res en aplicaciones de alto riesgo, con el 92% de las organizaciones estudiadas afectadas. De todas las herramientas de administración remota disponibles, TeamViewer desplazó al RDP en el primer lugar para vectores de ataque en esa categoría, con el 78% de las organizaciones repor- tando incidentes. Check Point encontró que el uso de anonymizers aumentaron en general en todos los verticales. Y mientras los principales tres vectores de cada categoría principal de aplicaciones de alto riesgo permaneció algo consistente del año pasado a este año, hubo uno en la categoría de anonymizers. Por ejemplo, los principales tres de este año incluyeron Tor, Ultrasurf y Hide My Ass. Este año: Tor bajó al tercer lugar, OpenVPN y Coralcdn fueron el primer y segundo lugar. Ultrasurf bajó en la lista y ADMINISTRADOR REMOTO ALMACENAMIENTO Y USO COMPARTIDO DE ARCHIVOS USO COMPARTIDO DE ARCHIVOS P2P ANONIMIZADOR
  • 42. APLICACIONES: ATACANDO DONDE DUELE | 43 ¿Dónde está Wally? Ya sea que la violación se realice para ganancia financiera o para probar un punto, los atacantes tienen varias herramientas a su disposición para enmascarar su ubicación e identidades. Y a diferencia de lo que Hollywood muestre, rastrear e identificar a los criminales es muy complejo. Los investigadores de crimen cibernético admiten que sólo están atrapando ‘la parte inferior de la cadena alimenticia’ en lo relacionado al crimen cibernético. Esto se debe a que las empresas criminales administradas por atacantes informados y experimentados probablemente pasan desapercibidas. Dado que están distribuidas geográficamente, bien estructuradas y divididas en compartimientos, los hackers afiliados conocen sólo una parte pequeña de la organización más grande, minimizando adicionalmente la exposición a la organización criminal. Al operar bajo el radar, los criminales cibernéticos emplean una diversidad de herramientas para mantener su anonimato. Comienzan por borrar los rastros en Internet hasta su ubicación de origen. La herramienta más básica para esto es un proxy de web. También conocidos como anonymizers, un servidor proxy actúa como una computadora cliente intermediaria, redirigiendo solicitudes al destino deseado finalmente. En los primeros días de Internet, los servidores proxy ayudaron a ocultar la dirección IP de origen, pero el día de hoy se contrarrestan y rastrean más fácilmente. Oculte su ubicación El uso de conexiones VPN permiten a los emisores cifrar el tráfico entre las terminales. El servidor VPN puede usarse para ocultar la identidad de un emisor, haciendo que la IP no pueda rastrearse (en tiempo real). La conexión entre la máquina del atacante y el servidor VPN se cifra de manera que el tráfico no puede decodificarse. El servidor VPN mismo no está enmascarado, ni los datos una vez que se reenvían más allá de los límites de la conexión a la VPN. Oculte su ruta Para una anonymizers más avanzada, algunos se basan en herramientas como las redes Tor. El “proyecto Tor” usa software gratuito que aprovecha una red de 5,000 puntos de retransmisión volun- tarios en todo el mundo, diseñados para enmascarar cualquier ubicación y uso individual. Derivada del término “onion routing”, la red Tor usa capas de cifrado en el direccionamiento de manera que cada retransmisor vea únicamente la dirección para el siguiente retransmisor, no el origen o el destino final. Oculte la ID de su computadora Cada máquina que accede a Internet tiene una huella única: la dirección MAC interna de la máquina, única para cada procesador de computadora, combinada con este sistema de operación y certificados web. Una de las maneras más populares de enmascarar la identidad de una computadora es “Tails”, que puede arrancar desde un CD o memoria USB ofrece una función de “estación de trabajo de un solo uso” que transfiere las firmas de identificación de la máquina al sistema operativo del CD/USB. Los hackers lo usan una sola vez y después sencillamente destruyen el CD/USB. Esto permite a un atacante “cambiar” identidades de la máquina tantas veces como deseen, en el mismo equipo. En algunos casos, los hackers usan varias capas de ocultamiento, como una conexión a una red privada virtual (VPN) detrás de la red Tor, obtenida de Wi-Fi pública, que oculta la máquina de origen y las ubicaciones de enrutamiento de Internet.
  • 43. 5.2 SOURCE: Check Point Software Technologies AMÉRICAS EMEA APAC 2014 2013 Tor ∙ Ultrasurf ∙ Hotspot Shield OpenVPN ∙ Coralcdn Proxy Suppliers Ultrasurf ∙ Tor ∙ Hide My Ass Dropbox ∙ Windows Live Office Hightail Dropbox ∙ Windows Live Office Hightail Dropbox ∙ Windows Live Office Hightail RDP ∙ LogMeIn ∙ TeamViewer RDP ∙ TeamViewer ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeIn BitTorrent Protocol ∙ SoulSeek BoxCloud BitTorrent Protocol ∙ SoulSeek eDonkey Protocol BitTorrent Protocol ∙ Xunlei SoulSeek Hola ∙ Tor ∙ Coralcdn OpenVPN ∙ Coralcdn Proxy Suppliers OpenVPN ∙ Coralcdn ∙ TorANONYMIZERS BitTorrent Protocol ∙ SoulSeek BoxCloud BitTorrent Protocol ∙ SoulSeek iMesh USO COMPARTIDO DE ARCHIVOS P2P Dropbox ∙ Hightail Windows Live Office Dropbox ∙ Hightail ∙ Jalbum Dropbox ∙ Hightail ∙ Mendeley ALMACENAMIENTO Y USO COMPARTIDO DE ARCHIVOS RDP ∙ LogMeIn ∙ TeamViewer TeamViewer ∙ RDP ∙ LogMeIn TeamViewer ∙ RDP ∙ LogMeIn ADMINISTRACIÓN REMOTA BitTorrent Protocol ∙ Xunlei QQ Download PRINCIPALES APLICACIONES DE ALTO RIESGO POR REGIÓN APLICACIONES: ATACANDO DONDE DUELE | 44 ANONYMIZERS USO COMPARTIDO DE ARCHIVOS P2P ALMACENAMIENTO Y USO COMPARTIDO DE ARCHIVOS ADMINISTRACIÓN REMOTA
  • 44. APLICACIONES: ATACANDO DONDE DUELE | 45 5.3 FUENTE: Check Point Software Technologies PRINCIPALES APLICACIONES DE ADMINISTRACIÓN REMOTA PORCENTAJEDEORGANIZACIONESTEAM VIEW ER RDPLOGM EIN VNC AM M YY ADM IN REM OTESUPPORT 78 69 43 24 12 11 BITTORRENTSOULSEEK XUNLEI IM ESHEDONKEY PRINCIPALES APLICACIONES DE USO COMPARTIDO DE ARCHIVOS P2P + PROTOCOLO BITTORRENT 60 21 13 12 11 DROPBOXHIGHTAIL W INDOW SLIVEOFFICE IM AGEVENUEJALBUM M ENDELEY SUGARSYNC DROPBOX W INDOW SLIVEOFFICE HIGHTAIL(YOUSENDIT) SUGARSYNC IM AGEVENUE M ENDELEY DROPBOX HIGHTAIL(YOUSENDIT) W INDOW SLIVEOFFICE M ENDELEYIM AGEVENUE PRINCIPALES APLICACIONES DE ALMACENAMIENTO Y USO COMPARTIDO DE ARCHIVOS 69 51 22 13 9 14 48 85 26 16 15 14 84 14 20 14 11 11 201220132014 2014 2014 Las organizaciones experimentaron 12.7 eventos de aplicaciones de alto riesgo por hora, 305 veces al día Hide My Ass no se veía por ninguna parte. Probable- mente, OpenVPN ganó popularidad después de las declaraciones de Edward Snowden acerca del espionaje por parte de la Agencia de Seguridad Nacional de los EE.UU. (NSA). El motivo es que como un estándar en la industria, OpenVPN usa tecnología de cifrado que no puede violarse si se implementa correctamente, manteniendo así las comunicaciones privadas. Mientras, otros anonymizers han aumentado su popularidad enormemente, aún si no se encuentran en los principales tres. Por ejemplo, la aplicación anonymizers Hola aumentó de un 3% a un 17%. Parte del motivo de su fama podría atribuirse a estar en el lugar correcto en el momento justo, finalizó sus pruebas beta justo antes de las Olimpiadas de Sochi 2014. Debido a que permite el acceso a Internet a través de las fronteras, la programación que de otro modo estaría disponible únicamente para las personas en un área geográfica específica es accesible para quienes usen Hola para ocultar su ubicación geográfica.
  • 45. 5.4 FUENTE: Check Point Software Technologies APLICACIONES ANONYMIZERS MÁS POPULARES PORCENTAJEDEORGANIZACIONES USO DE APLICACIONES ANONYMIZERS POR REGIÓN 17 TOR ULTRASURF HIDEM Y ASSOPENVPN 2012 23 8 7 3 TOR OPENVPNCORALCDN PROXY SUPPLIERS HOLA 2014 23 19 18 17 TOR ULTRASURF HIDEM Y ASSOPENVPN CORALCDN 2013 15 14 12 10 10 49 35 AMERICAS EMEA APAC 20122013 58 40 64 54 49 63 54 59 2014 APLICACIONES: ATACANDO DONDE DUELE | 46 Para almacenamiento y uso compartido de archi- vos, así como uso compartido de archivos punto a punto (P2P), las principales aplicaciones observadas el año pasado fueron aproximadamente las mismas. Las buenas noticias: menos ocurrencias de estas en las organizaciones. Con la gran cobertura de medios de fotografías y mensajes de correo electrónico privado extraídas, sin duda esto ayudó a que muchos tomaran conciencia y precauciones. Pero las grandes noticias en las aplicaciones de alto riesgo pueden verse en el número promedio de eventos por hora y por día. Los investigadores de Check Point estudiaron 4,049,111 eventos. Las organizaciones experimentaron 12.7 eventos de aplicaciones de alto riesgo por hora, 305 veces al día. Compare esto con la cantidad de 162 veces al día del año pasado y tiene un aumento del 88%.
  • 46. APLICACIONES: ATACANDO DONDE DUELE | 47 “Vivimos en un mundo donde existen muchos riesgos, y es hora de que comencemos a tomar en serio sobre cuáles deberíamos preocuparnos”.25 -Lisa Randall, física RECOMENDACIONES Aunque el malware - tanto conocido como desconocido - algunas veces puede parecer fuera de control, el uso de aplicaciones de alto riesgo por lo menos ofrece una cierta medida de regulación. Estos son cuatro pasos que puede tomar para minimizar los peligros de estas aplicaciones: 1. Eduque a sus empleados. ayude a las personas en su organización a entender los riesgos asociados con aplicaciones específicas. No suponga que lo saben. Además, señáleles herramientas soportadas por TI más seguras que puedan atender sus necesi- dades de negocios y productividad. 2. Estandarice usando aplicaciones de confianza de grado empresarial. Identifique las aplicaciones específicas necesarias para asegurar la productivi- dad e innovación. Después, mapee las personas quienes deberían tener acceso a esos programas. Monitoree su red para asegurarse de que no haya aplicaciones no autorizadas presentes. 3. Cifre los documentos para evitar la pérdida de datos. Si se envía un archivo alguien que no debería verlo, el cifrado ayuda a evitar que el recep- tor vea o abra el documento. 4. Defina y practique el control de aplicaciones basado en categorías. Ayude a sus administradores a ayudarle. Facúltelos con la capacidad de bloquear categorías completas de aplicaciones según sea necesario. Esto simplifica la administración extendiendo el control de políticas a nuevas aplicaciones a medida que se adopten.
  • 47. INTRODUCTION AND METHODOLOGY | 4848 | INTRODUCTION AND METHODOLOGY PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ 06 “Los errores son un hecho de la vida. es la respuesta ante el error la que cuenta”.26 –Nikki Giovanni, poeta, escritor, educador y activista CHECK POINT - INFORME DE SEGURIDAD 2015 | 48
  • 48. PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 49 Las organizaciones sufrieron una pérdida de datos a una tasa de 1.7 veces por hora, 41 veces al día Las violaciones a la seguridad no son la única manera en que los criminales hacen su trabajo. Algunas veces necesitan cómplices, incluso si no saben que lo son. Y aquí es donde entran en escena la ingeniería social y la suplantación de identidad (phishing). Los criminales cibernéticos se han vuelto tan buenos para conocer la psicología de sus blancos que sus mensajes de correo electrónico pasan por ser creíbles incluso para algunos que se consideran conocedores. Por ejemplo, un empleado recibe un mensaje de correo electrónico de alguien quien dice ser un reclutador y le habla a la persona acerca de un puesto vacante. Cuando la persona expresa interés, el supuesto reclutador solicita más información acerca de la compañía y posiblemente otra información privada. En otros casos, los empleados reciben mensajes de correo electrónico de personas que pretenden ser compa- ñeros de trabajo y solicitan información privada, conociendo el planteamiento correcto para obtener una respuesta. De hecho, algunos empleados han comenzado a crear pruebas de sustitución de identidad. Debido a que el error interno puede ser una de las principales fuentes de fuga de información, las empresas están enviando mensajes falsos de sustitución de identidad a los emplea- dos. Si caen en la trampa, se convierte en el momento para enseñarles. Aunque el problema interno podría no captar tanta atención de los medios, definitivamente es algo que debería ser contemplado por cualquier empresa que tome en cuenta la seguridad. En 2014, el 81% de las organizaciones experimentaron por lo menos un incidente de pérdida de datos. Profundizando, una organización experimenta 1.7 eventos de pérdida de datos por hora, 41 veces al día, un aumento del 41% sobre el año pasado.
  • 49. 6.1 FUENTE: Check Point Software Technologies DATOS ENVIADOS FUERA DE LA ORGANIZACIÓN POR EMPLEADOS PORCENTAJE DE ORGANIZACIONES 2014 2013 2012 INFORMACIÓN PRIVADA DATOS DE TARJETAS DE CRÉDITO REGISTROS DE DATOS COMERCIALES INFORMACIÓN PERSONAL PRIVADA INFORMACIÓN SALARIAL INFORMACIÓN DE RED MENSAJE DE OUTLOOK CONFIDENCIAL NÚMEROS DE CUENTA BANCARIA OTROS 41% 35% 24% 30% 29% 29% 13% 14% 13% 10% 10% 14% 27% 31% 21% 5% 5% 7% 5% 4% 3% 20% 21% 6% 25% 22% 13% 14% PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 50 ARCHIVOS PROTEGIDOS POR CONTRASEÑA
  • 50. PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 51 Cada 36 minutos se envía información fuera de la organización La pérdida de información privada aumentó un 71 % respecto a los 3 años pasados Al examinar los tipos de datos robados, la información privada encabeza la lista, con el 41%. Es notable que esta cifra continúa creciendo. Desde 2012, hemos visto un aumento de casi el 71%. Los datos de tarjetas de crédito fueron el segundo tipo principal de fuga de información, aunque se mantiene estable de un año a otro. El mayor cambio al examinar los tres años pasados de datos, con respecto al tipo de datos perdidos, fueron los registros de datos comerciales, que tuvo el 6% en 2012 y hoy es del 20%. ¿Cómo ocurrió esto? En algunos casos, un empleado podría haber incluido accidentalmente a alguien fuera de la organización en un mensaje de correo electrónico confidencial. Por ejemplo, ¿cuántos de nosotros hemos comenzado a escribir el nombre de alguien en el campo ‘Para’, sólo para darnos cuenta de que el cliente de correo electrónico lo autocompleta con un destinatario diferente con un nombre similar? En otros casos, un empleado mal intencionado podría incluir a desti- natarios externos en el campo BCC de un mensaje de correo electrónico confidencial. De manera interesante, el porcentaje de empresas que vieron esto ocurrir disminuyó entre el 2012 y 2013, pero aumentó nuevamente en 2014. En promedio, las empresas experimentaron cuatro eventos de pérdida de datos por día como resultado del envío de correo electrónico a varios destinatarios interno y un solo destinatario externo; cuando examinamos los mensajes de correo electrónico enviados con destinatarios internos visibles (Para y CC) y más de un destinatario externo en el campo BCC, observa- mos 15 eventos de pérdida de datos por día. Pero los datos se fugan por otros motivos: un empleado inadvertidamente publica información privada en línea o un tercero proveedor, quizá un empleado temporal o contratista, roba los datos.
  • 51. ALL OVER THE WORLD PROVIDE BULK CARDING SERVICES ALSO ELECTRONICS CARDING SERVICE FRESH WEEKLY UPDATES SNIFFED FROM POS 411773 DEBIT PLATINUM 10/17 Yes 101 BANK OF AMERICA N.A. 52.5$VISA +United States, NY Rochester, 14623 American Sanctions 1 432388 DEBIT PLATINUM 05/15 Yes 101 WELLS FARGO N.A. 52.5$VISA +United States, IA Bettendorf, 52722 American Sanctions 1 414548 DEBIT BUSINESS 05/16 Yes 101 MEMBERS 1ST F.C.U. 52.5$VISA +United States, PA Hanover, 17331 American Sanctions 1 486831 DEBIT PLATINUM 04/17 Yes 101 WELLS FARGO N.A. 52.5$VISA +United States, CO Littleton, 80129 American Sanctions 1 448055 DEBIT CLASSIC 01/16 Yes 101 ITS BANK 22.5$VISA +United States, WI Green Bay, 54303 American Sanctions 1 414709 CREDIT SIGNATURE 10/16 Yes 101 CAPITAL ONE BANK (USA) N.A. 42.01$VISA +United States, CA Mission Viejo, 92692 American Sanctions 1 ALL OVER THE WORLD PROVIDE BULK CARDING SERVICES ALSO ELECTRONICS CARDING SERVICE FRESH WEEKLY UPDATES SNIFFED FROM POS 411773 DEBIT PLATINUM 10/17 Yes 101 BANK OF AMERICA N.A. 52.5$VISA +United States, NY Rochester, 14623 American Sanctions 1 432388 DEBIT PLATINUM 05/15 Yes 101 WELLS FARGO N.A. 52.5$VISA +United States, IA Bettendorf, 52722 American Sanctions 1 414548 DEBIT BUSINESS 05/16 Yes 101 MEMBERS 1ST F.C.U. 52.5$VISA +United States, PA Hanover, 17331 American Sanctions 1 486831 DEBIT PLATINUM 04/17 Yes 101 WELLS FARGO N.A. 52.5$VISA +United States, CO Littleton, 80129 American Sanctions 1 448055 DEBIT CLASSIC 01/16 Yes 101 ITS BANK 22.5$VISA +United States, WI Green Bay, 54303 American Sanctions 1 414709 CREDIT SIGNATURE 10/16 Yes 101 CAPITAL ONE BANK (USA) N.A. 42.01$VISA +United States, CA Mission Viejo, 92692 American Sanctions 1 ¿A DÓNDE CONDUCE TODO ESTO? PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 52 Sin importar si los datos se fugan debido a ingeni- ería externa o interna, el apetito de información es alimentado por una sola cosa: ganancias finan- cieras. El crimen cibernético no sólo se ha vuelto rentable; se ha convertido en un gran negocio. En el otro lado del espejo, los datos robados no sólo se venden en el mercado negro, sino que se comer- cializan. Los sitios web publican las tarjetas de crédito disponibles para compra con criterios relevantes: banco emisor, qué tan “fresca” es. No sólo se pasan en secreto a una o dos personas en un callejón oscuro, sino que se anuncian a plena luz del día. Y esto ocurre más rápido de lo que podría imaginar. A los 30 minutos de salir de una tienda departamen- tal, la información de su tarjeta de crédito podría estar “en venta” en el mercado negro. Mientras más reciente sea el robo de datos, vale más dinero. ¿Entonces quién paga? En los Estados Unidos, debido a malas prácticas de seguridad para venta minorista, los jueces dictaminaron que puede demandarse a los minoristas, permitiendo a los bancos recuperar sus costos.
  • 52. PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 53 DINERO FÁCIL ORGANIZACIONES CON POR LO MENOS UN EVENTO DE PÉRDIDA DE DATOS POTENCIAL, POR SECTOR INDUSTRIAL MANUFACTURA FINANZAS GOBIERNO TELECOMUNICACIONES 61 78 87 70 79 PORCENTAJEDEORGANIZACIONES 50 45 82 8888 78 86 201220132014 6.2 FUENTE: Check Point Software Technologies Como cazadores que buscan una presa fácil, los criminales cibernéticos se han enfocado en el punto de venta (PoS) como su coto de caza. El motivo principal: Muchas terminales PoS ejecutan sistemas operativos obsoletos, como Windows XP, que acaban sin tener actualizaciones y adminis- tración. Si estuvo al tanto de los medios durante el año pasado, parecería que uno tras otro de los principales minoristas fue atacado con violaciones a la seguridad. El año comenzó con una explosión cuando Neiman Marcus fue atacado y perdió 1.1 millones de registros de cuentas, sólo para ser superado ese mismo mes para la tienda de pasatiempos Michael’s, que perdió tres millones. A medida que continuó el año, los taxis, tiendas de belleza, Goodwill, UPS y Dairy Queen siguieron. En septiembre, Home Depot los encabezó con 56 millones. Todo esto suma 112,250,000 registros perdidos en los Estados Unidos, que afectan a uno de cada tres estadounidenses. Las infecciones de malware de PoS ciertamente ocurren en todo el mundo, pero los Estados Unidos van a la cabeza con el mayor número de infecciones, en parte debido a que aún no ha adoptado el sistema de tarjetas de crédito de chip y NIP utilizado en otros países. El Chip y NIP son un estándar de pago mundial que incorpora un chip de circuito integrado en la tarjeta y sólo puede autorizarse cuando se usa con un NIP. Como parte de este estándar, los minoristas deberán actualizar sus sistemas PoS para asegurar la compatibilidad. Pero aún con el chip y NIP, los minoristas necesitarán permanecer un paso adelante. Infecciones como el malware “BackOff”, el cual afecto a un gran número de negocios en EE.UU. resaltó una gran vulnerabilidad de seguridad: las herramientas de malware preinstaladas en las líneas de suministro de los principales fabricantes de terminales PoS antes de ser enviados a los comerciantes. Las contraseñas débiles o contraseñas de administrador no modificadas permitieron a los hackers el acceso remoto a los dispositivos. El Departamento de Seguridad Nacional reporta que más de 1,000 empresas en los Estados Unidos fueron afectadas por malware de PoS,27 afectando en gran medida a empresas y personas. De hecho, solo el costo de reemplazo de tarjeta sumó hasta $1.3 billones. Un estudio de LexisNexis titulado “The True Cost of Fraud” (El verdadero costo del fraude) declaró que el comerciante promedio sufrió 133 transacciones fraudulentas por mes en 2014. hasta 46% con respecto al año pasado.
  • 53. PoS: Nopuedetenersólounchip PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 54 Durante el 2013 y 2014, la industria minorista experimentó un número alarmante de violaciones de datos y seguridad. Estos ataques tuvieron como resultado la pérdida de millones de tarjetas de crédito e información personal. Las empresas involucradas experimentaron efectos financieros negativos debido al evento, donde el mayor minorista experimentó una caída del 13% en su valuación de mercado y una reducción en las ventas de tiendas comparables. Estas violaciones afectan a empresas grandes y pequeñas. Entre 2013 y 2014, nombres notorios como Michaels, Neiman Marcus, PF Chang’s, Target y Home Depot han sufrido pérdi- das impresionantes debido a violaciones de datos relacionadas con el PoS. Las inquietudes del cliente con respecto a la privaci- dad y seguridad financiera recibieron una sacudida, y las juntas corporativas buscan activamente cambios estructurales. Los efectos a corto plazo justo ahora están saliendo a la luz. El impacto a largo plazo solo serán conocidos en los años próximos. En respuesta a estos tipos de incidentes, las empre- sas a menudo implementan tácticas de reflejos. Por ejemplo, se enfocan en las debilidades más obvias o eligen un método que aparece de forma más promi- nente en las noticias. En caso de las infracciones de datos minoristas recientes, se ha hecho mucho énfasis en un cambio a tarjetas de crédito “chip y PIN” - un estándar global de pago que emplea autentificación de dos factores a través de un chip físico en una tarjeta que está vinculado a un número de identificación personal (NIP¨) de un usuario. Pero una revisión cotidiana de los métodos de ataque asociados con las violacio- nes minoristas muestran que el chip y NIP no habrían evitado estos incidentes. Los atacantes que se enfocaron a las tiendas minoristas usaron las conexiones remotas disponibles para acceder a las redes de las tiendas e instalaron diversas variantes de malware y herra- mientas de software para capturar y exportar los datos del cliente. Las deficiencias en el diseño de la red de la tienda y la configuración del punto de venta (PoS) además permitió los ataques simplifi- cando el movimiento horizontal y la infestación de malware. Para protegerse contra estos tipos de ataques, tome un punto de vista más amplio e implemente un enfoque multicapa que abarque la red completa, no sólo las partes que se pensaba eran las más vulnerables.
  • 54. PÉRDIDA DE DATOS: COMO ARENA CAYENDO EN EL RELOJ | 55 “Es mejor ver hacia el futuro y prepararse que ver hacia el pasado y lamentarse”.29 -Jackie Joyner Kersee, atleta y medallista olímpico RECOMENDACIONES • Recuerde que la seguridad no es estática,hay muchos movimientos sutiles en juego que le mantienen en pie. Es igual que la forma en que necesita pensar respecto a su seguridad. Para permanecer a la delantera de las amenazas, debe evaluar y actualizar constantemente sobre la marcha. No se conforme con sólo asegurarse de estar protegido contra ataques exter- nos; asegúrese de estar protegido también interna- mente. Específicamente, le recomendamos: • Proteger sus datos cifrándolos, ya sea en descanso o en movimiento. La meta es proporcionar una capa de protección para los datos, donde quiera que vayan. Cuando están cifrados, sólo las personas autorizadas para ver la información podrán verla. • Crear capas de protección con comprobaciones y balances. • Ayudar a todos los niveles, a entender la importancia de mitigar los riesgos relacionados con la seguridad cibernética para proteger su propiedad intelectual. •Involucrar a su personal a mejorar su postura de seguridad de la información educándolos con respecto a cómo pueden ayudar. Genere políticas de seguridad de la información que los empleados puedan entender y ayuden a reforzar.
  • 55. INTRODUCTION AND METHODOLOGY | 5656 | INTRODUCTION AND METHODOLOGY CONCLUSIÓN Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN “Status quo, saben, es latín para ‘el lío en el que estamos’.”30 –Ronald Reagan, actor y ex-presidente de los Estados Unidos 07 CHECK POINT - INFORME DE SEGURIDAD 2015 | 56
  • 56. CONCLUSIÓN Y RECOMENDACIONES: LA VÍA A LA PROTECCIÓN | 57 “La guerra fría no terminó en la década de los 90. Sólo se mudó en línea.” 31 -Jose Paglieri, periodista Es claro que los criminales cibernéticos no disminuyen el paso. De hecho, con base en qué tan malo fue el 2014, desde una perspectiva de seguri- dad cibernética, los análisis esperan que la industria de la seguridad crezca diez veces. Las amenazas pueden provenir de cualquier direc- ción y se ha vuelto imposible decir que alguna organización está segura contra ataques. De hecho, el mayor error que cualquier organización puede cometer es creer que está protegida, y descuidar el reevaluar su infraestructura de seguridad periódicamente. Al pensar en su postura de seguridad, tómese el tiempo para entender realmente sus amenazas y vulnerabilidades. Busque factores que contribuyan a ello, y también vea la imagen general acerca de a dónde intenta conducir a su organización. Las empresas más preparadas saben que la política de seguridad debe derivarse de las metas estratégicas, objetivos de negocios y la política corporativa, y vincularse con procedimientos y requisitos, medi- ciones de desempeño y, por supuesto, las personas a todos los niveles de la organización. Mapee su proceso y asegúrese de que incluye incluso los pasos mas básicos, como aplicar parches y actualizaciones de software. También piense en su ecosistema de socios y cómo se relacionan con el proceso de seguridad. Al tratarse de tecnología, su programa de seguridad debe unificar varias capas y controles. Dado que las amenazas provienen de varios lugares, las arquitecturas de seguridad de una sola capa y las soluciones puntuales con varios proveedores ya no son adecuadas. Comience por pensar en su arquitectura como tres niveles interconectados.