- Kaspersky Security Bulletin 2010: Boletín de seguridad Desarrollo de las amenazas informáticas en 2010
- Principales Estadisticas de 2010
- Kaspersky Security Bulletin 2010: El spam en 2010
Introducción
Este informe estadístico es parte de Kaspersky Security Bulletin 2010 y ha sido elaborado en base a los datos obtenidos y procesados mediante Kaspersky Security Network (KSN). Esta red KSN es una de las principales tecnologías de Kaspersky Lab y se basa en una arquitectura descentralizada (cloud) de las aplicaciones destinadas a los usuarios particulares y corporativos.
Kaspersky Security Network ayuda a los expertos a descubrir en tiempo real nuevos programas maliciosos para los que todavía no existen medios de detección de signaturas o de análisis heurístico. KSN permite identificar el origen de la propagación de programas maliciosos en Internet y bloquear el acceso a los usuarios.
Del mismo modo, KSN permite una reacción rápida contra nuevas amenazas. Hoy en día, estamos en condiciones de bloquear la ejecución de un nuevo programa malicioso alojado en el equipo de un usuario unas décimas de segundo después de decidir sobre su carácter nocivo, sin necesidad de recurrir a la tradicional actualización de las bases antivirus.
Las estadísticas ofrecidas en este informe se basan en datos obtenidos mediante los programas de Kaspersky Lab cuyos usuarios aceptaron transmitir datos estadísticos.
Programas maliciosos en Internet (ataques por Internet)
En los doce meses posteriores a la publicación de la versión previa de este informe, la situación en el frente de ataques a través de los navegadores se deterioró de manera considerable. Mientras que en 2008 se registraron 23.680.646 ataques contra usuarios de KSN (73.619.767 en 2009), esta cantidad aumentó a 580.371.937 en 2010.
Tal incremento en el número de incidentes está vinculado a la amplia propagación de grupos de códigos de explotación que permiten organizar ataques tipo descargas “drive-by”. Entre estos grupos, Eleonore y Neosploit merecen atención especial. Los ciberdelincuentes los usan principalmente con el objetivo de propagar un programa malicioso a través de programas asociados tipo PPI (Pay Par Install, pago por instalación).
Además, no hay que olvidar que las infecciones vía Internet se propagan automáticamente, como es el caso de Gumblar o Pegel. Estos sistemas que usan contraseñas robadas para acceder a recursos web, son capaces de infectar sitios de forma automática. Las redes zombis, que no cesan de crecer sumando cada vez más equipos infectados, constituyen hoy en día uno de los problemas más complejos de seguridad informática, ya que en el transcurso de la primera etapa de la propagación de bots, se usan principalmente sitios cautivos, y la modificación de su estructura es bastante dinámica.
En 2010, la organización de ataques a través de navegadores ha sido el principal método de inyección de programas maliciosos en los equipos cautivos, y nada parece indicar que en un futuro no muy lejano las cosas vayan a cambiar. No pasa un mes sin que se identifiquen, y los ciberdelincuentes exploten, vulnerabilidades en los navegadores (principalmente en Internet Explorer) y en las aplicaciones que interactúan con los navegadores, como Adobe Flash Player o PDF Reader.
En 2010 incorporamos a Kaspersky Security Network nuevos y mejorados algoritmos de detección de sitios web y programas potencialmente peligrosos en Internet. Además de las técnicas de detección de sitios phishing, estas tecnologías nos permiten detectar más del 60% de los ataques vía Internet en su primera etapa, sin necesidad de recurrir a métodos de detección de signaturas, ni que el usuario tenga que actualizar las bases de datos antivirus.
Top 20 de los programas maliciosos en Internet
Entre todos los programas maliciosos responsables de los ataques contra los usuarios de Internet, hemos identificado los 20 programas más activos. Cada una de estas 20 amenazas se registró más de un millón de veces, y juntas representan más del 80% (461.046.555) del total de los incidentes detectados.
Categoría | Nombre | Número de ataques únicos* | % del total de ataques |
1 | Blocked | 347.848.449 | 59,94 % |
2 | Trojan.Script.Iframer | 37.436.009 | 6,45% |
3 | Trojan.Script.Generic | 19.601.498 | 3,38% |
4 | Trojan-Downloader.Script.Generic | 13.887.220 | 2,39% |
5 | Trojan.Win32.Generic | 9.515.072 | 1,64% |
6 | Exploit.Script.Generic | 9.118.706 | 1,57% |
7 | Exploit.JS.Agent.bab | 3.161.815 | 0,54% |
8 | AdWare.Win32.Shopper.l | 2.620.672 | 0,45% |
9 | Trojan-Clicker.JS.Iframe.bb | 2.320.419 | 0,40% |
10 | Trojan-Dropper.JS.Hexzone.bu | 2.125.007 | 0,37% |
11 | Trojan.JS.Agent.bhr | 2.014.679 | 0,35% |
12 | Trojan.Win32.StartPage | 1.610.123 | 0,28% |
13 | Trojan.HTML.Fraud.bl | 1.547.961 | 0,27% |
14 | AdWare.Win32.FunWeb.q | 1.463.179 | 0,25% |
15 | Trojan-Spy.Win32.Agent.bdpj | 1.290.311 | 0,22% |
16 | Exploit.Java.CVE-2010-0886.a | 1.246.382 | 0,21% |
17 | Trojan.JS.Iframe.fe | 1.109.354 | 0,19% |
18 | Trojan-Downloader.Win32.Generic | 1.071.929 | 0,18% |
19 | AdWare.Win32.HotBar.dh | 1.046.306 | 0,18% |
20 | Trojan-Downloader.Win32.Zlob.aces | 1.011.464 | 0,17% |
Estas estadísticas son los veredictos detectados por el módulo Antivirus Internet, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión.
*Total de incidentes únicos registrados por Antivirus Internet en los equipos de los usuarios.
El primer lugar de la categoría pertenece a amenazas bloqueadas gracias a los algoritmos especiales de detección de sitios web, enlaces y aplicaciones potencialmente peligrosos, anteriormente mencionados.
El segundo lugar corresponde a la detección heurística de enlaces maliciosos introducidos por ciberdelincuentes, a veces mediante los mismos programas maliciosos, en el código de los sitios comprometidos. Estos enlaces realizan supuestas peticiones a nombre del navegador a otro sitio en el que se encuentra la colección principal de códigos de explotación de vulnerabilidades para navegadores y aplicaciones. Asimismo, estos programas se encuentran en la 9? y 17? posiciones, pero en este caso en particular, se trata más bien de una detección de signaturas. Se trata de las amenazas más difundidas de la familia iframe.
En 2009, los scripts Gumblar y el programa publicitario Boran.z aparecían entre las Top 5 amenazas en Internet. En 2010, de la 2? a la 6? posiciones, pertenecen a programas maliciosos detectados mediante el análisis heurístico. En la 7? y 8? posiciones se encuentran programas similares a Gumblar y Boran.z (Agent.bab y Shopper.1).
Exploit.JS.Agent.bab, que apareció en mayo de 2010, fue detectado más de 340.000 veces en el transcurso del primer mes de su existencia. Este programa malicioso explota la vulnerabilidad CVE-2010-0806, y descarga en el equipo cautivo varios programas maliciosos. Su composición indica claramente el origen chino de este código de explotación. Trojan-Downloader.Win32.Geral y Backdoor.Win32.Hupigon, Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW, etc.
El programa publicitario Adware.Win32.Shopper.l adopta un comportamiento agresivo en su intento de introducirse de distintas formas en un equipo e instalar sus extensiones para el navegador Internet Explorer. Además de Shopper, otros dos programas publicitarios aparecen entre los Top 20: Funweb.q (14? posición) y HotBar.dh (19? posición).
Los demás programas entre los Top 20 son códigos de explotación, o aplicaciones que usan códigos de explotación contra vulnerabilidades.
Top 20 de los países cuyos recursos alojan a programas maliciosos
Los 580.371.937 ataques registrados en 2010 fueron lanzados desde recursos de Internet dispersos en 201 países. Cerca del 90% del total de programas maliciosos que detectamos en Internet se encuentran en el espacio de Internet de veinte países.
Categoría | País* | Número de ataques únicos por Internet** | % del total de ataques |
1 | Estados Unidos | 137.487.939 | 25,98% |
2 | Federación Rusa | 80.053.584 | 15,13% |
3 | China | 69.178.484 | 13,07% |
4 | Holanda | 35.248.627 | 6,66% |
5 | Alemania | 31.502.020 | 5,95% |
6 | España | 22.266.022 | 4,21% |
7 | Ucrania | 20.304.022 | 3,84% |
8 | Reino Unido | 18.624.666 | 3,52% |
9 | Suecia | 13.747.084 | 2,60% |
10 | Letonia | 9.398.597 | 1,78% |
11 | Francia | 9.080.399 | 1,72% |
12 | Canadá | 7.606.163 | 1,44% |
13 | Islas Vírgenes británicas | 5.447.433 | 1,03% |
14 | Polonia | 3.867.382 | 0,73% |
15 | Moldavia | 3.756.679 | 0,71% |
16 | Filipinas | 2.618.504 | 0,49% |
17 | Turquía | 2.394.933 | 0,45% |
18 | Vietnam | 1.915.727 | 0,36% |
19 | Hong Kong | 1.909.675 | 0,36% |
20 | Australia | 1.908.612 | 0,36% |
Estas estadísticas son los veredictos detectados por el módulo Antivirus Internet, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión.
*Para definir el origen geográfico de un ataque, recurrimos a una técnica de comparación del nombre del dominio y la dirección IP auténtica sobre la cual se encuentra este dominio y la definición del lugar geográfico de esta dirección IP (GEOIP).
** Total de ataques únicos detectados por Antivirus Internet desde sitios web en estos países.
El análisis de estas estadísticas indica claramente que no se trata sólo de alojamientos maliciosos creados por ciberdelincuentes, sino también de sitios web legítimos capturados y que se usan para alojar contenidos maliciosos. La mala interpretación de estos datos podría llevar a creer que un país determinado es el responsable de estos ataques. Estas acusaciones ya han salido a la luz pública, pero son completamente infundadas. En realidad, estas estadísticas indican los países víctimas, es decir, los países cuyo ciberespacio es explotado activamente por ciberdelincuentes.
En relación a 2009, la geografía de amenazas que circulan en Internet ha cambiado de manera radical. El año pasado, la primera posición pertenecía a China, con un índice particularmente alto de más del 52%. Durante el año 2010, las autoridades chinas adoptaron medidas para afrentar este problema y lograron eliminar de su ciberespacio a una multitud de alojamientos maliciosos usados por ciberdelincuentes del mundo entero. Asimismo, se han endurecido las normas de registro de dominio en esta zona. Estas acciones han hecho que China (13%) ya no sea el principal origen de las amenazas que circulan en Internet. Su lugar fue cedido a Estados Unidos (26%), seguido por Rusia (15%).
La cuota de Estados Unidos aumenta cada año (7% en 2008, 19% en 2009, y 26% en 2010), lo que es alarmante. La situación no ha cambiado a pesar de los resonantes casos de clausura de alojamientos (hosting) ilegales. Todo indica que nos estamos enfrentando a una multitud de sitios legítimos infectados.
Alemania, Holanda y Rusia, que nunca había superado la 5? posición, están detrás de Estados Unidos. Pero, en 2010 Rusia logró la amarga victoria de conquistar el 2? lugar. En un año, el porcentaje de ataques lanzados desde recursos de Internet localizados en Rusia pasó del 2,6% al 15,1%. El aumento de la cantidad de recursos de Internet rusos que alojan a contenidos maliciosos se explica en gran medida por la ya mencionada situación en China. Los ciberdelincuentes rusos se encontraban entre los principales usuarios, por no decir que eran los principales, de alojamientos ilícitos en China, y tras la clausura de este mercado, se vieron obligados a usar los recursos rusos.
Distribución, por país, de equipos expuestos a ataques por Internet
Otro indicador que merece análisis son los países cuyos internautas fueron víctimas de ataques por Internet.
Casi el 82% de las 561.869.053 tentativas de infección registradas, tenían relación con los equipos de los ciudadanos de los siguientes 20 países:
Categoría | País* | % de ataques por Internet** |
1 | China | 19,05% |
2 | Federación Rusa | 17,52% |
3 | Estados Unidos | 10,54% |
4 | India | 5,56% |
5 | Alemania | 3,16% |
6 | Ucrania | 2,66% |
7 | Vietnam | 2,60% |
8 | Reino Unido | 2,56% |
9 | Francia | 2,55% |
10 | Italia | 2,39% |
11 | España | 2,06% |
12 | Arabia Saudí | 1,77% |
13 | Malasia | 1,62% |
14 | Turquía | 1,60% |
15 | Brasil | 1,49% |
16 | México | 1,47% |
17 | Canadá | 1,31% |
18 | Tailandia | 1,15% |
19 | Polonia | 1,09% |
20 | Egipto | 1,02% |
Estas estadísticas son los veredictos detectados por el módulo Antivirus Internet, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión.
* El lugar geográfico del blanco del ataque fue determinado mediante la dirección IP del usuario que transmite los datos estadísticos.
** Porcentaje del total de ataques por Internet registrados en los equipos de usuarios únicos.
Podemos observar aquí una modificación significativa de la distribución geográfica de las víctimas de ataques en relación a 2009. Aunque los usuarios chinos continuaron siendo las víctimas más numerosas de ataques por Internet, esta cifra se redujo en más de la mitad en un año, pasando del 46,8% al 19,1%.
Rusia y Estados Unidos intercambiaron lugares, con un aumento en el número de ataques desde estos dos países, del 5,8% y el 6,6% al 17,5% y al 10,5%, respectivamente. El significativo aumento de la cantidad de usuarios rusos se explica por la elevada cantidad de ataques por Internet mediante los sitios de las redes sociales más populares en Rusia, « Vkontakte » y « Odnoklasniki », y por las epidemias de SMS bloqueadores relacionados con estos ataques, que ya mencionamos en la parte central de este informe.
Alemania y Japón conservaron sus posiciones entre los Top5 países víctimas de ataques.
El incremento en la cantidad de ataques contra los usuarios de Ucrania (del 0,9% en 2009, al 2,7% en 2010), se explica en gran medida por los mismos factores que los señalados en el caso de los usuarios rusos: la intersección del ciberespacio de estos dos países genera problemas similares.
La caída en el número de ataques contra los usuarios de Turquía, Egipto y Vietnam, iniciada en 2009, sólo se mantuvo parcialmente para los dos primeros países. La situación empeoró para los usuarios de Vietnam: este país avanzó hasta la 7? posición.
No hay que olvidar que estas estadísticas dependen del número total de usuarios de Internet en este país, pero también, y sobre todo, de la cantidad de usuarios de las soluciones de Kaspersky Lab.
Ataques de red
El cortafuegos es un elemento indispensable para toda solución moderna de seguridad. Permite bloquear los ataques lanzados contra el equipo desde el exterior a través del navegador. También protege al usuario contra intentos de robo de sus datos.
Kaspersky Internet Security contiene un cortafuegos con una función de detección de los paquetes entrantes (IDS), de los cuales muchos son códigos de explotación que aprovechan las vulnerabilidades en los servicios de la red de los sistemas de explotación y son capaces de infectar los sistemas que no cuentan con los parches requeridos, o de permitir el acceso completo a un equipo.
En 2010, el sistema IDS integrado a KIS2010 neutralizó 1.311.156.130 ataques de red. En 2009, este indicador fue de unos 220 millones de incidentes.
Top 20 de los ataques de red
Categoría | Nombre | Número de ataques únicos | %% |
1 | Intrusion.Win.NETAPI.buffer-overflow.exploit | 557.126.500 | 42,49% |
2 | DoS.Generic.SYNFlood | 400.491.518 | 30,54% |
3 | Intrusion.Win.MSSQL.worm.Helkern | 262.443.478 | 20,02% |
4 | Scan.Generic.UDP | 45.343.780 | 3,46% |
5 | Intrusion.Win.DCOM.exploit | 14.134.307 | 1,08% |
6 | Intrusion.Generic.TCP.Flags.Bad.Combine.attack | 10.631.023 | 0,81% |
7 | Scan.Generic.TCP | 5.238.178 | 0,40% |
8 | Intrusion.Win.LSASS.exploit | 5.089.038 | 0,39% |
9 | Intrusion.Win.LSASS.ASN1-kill-bill.exploit | 3.256.429 | 0,25% |
10 | DoS.Generic.ICMPFlood | 2.341.724 | 0,18% |
11 | DoS.Win.IGMP.Host-Membership-Query.exploit | 1.641.578 | 0,13% |
12 | Intrusion.Win.HTTPD.GET.buffer-overflow.exploit | 1.399.613 | 0,11% |
13 | Intrusion.Win.PnP.exploit | 579.249 | 0,04% |
14 | Intrusion.Win.EasyAddressWebServer.format-string.exploit | 384.278 | 0,03% |
15 | Intrusion.Win.SMB.CVE-2009-3103.exploit | 236.122 | 0,02% |
16 | Intrusion.Win.WINS.heap-overflow.exploit | 190.272 | 0,01% |
17 | DoS.Win.ICMP.BadCheckSum | 101.063 | 0,01% |
18 | Intrusion.Generic.FTPD.format-string.attack | 98.239 | 0,01% |
19 | Intrusion.Win.CVE-2010-2729.a.exploit | 71.671 | 0,01% |
20 | Intrusion.Win.MSFP2000SE.exploit | 44.674 | 0,00% |
Estas estadísticas son los veredictos detectados por el módulo IDS, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión.
*Total de incidentes únicos registrados por IDS en los equipos de los usuarios.
Se observa un cambio en el liderazgo de la clasificación en relación a 2009. En términos de número de ataques, el 1? lugar pertenece a NETAPI.buffer-overflow.exploit que explota la vulnerabilidad MS08-067 y que se aplica en los gusanos de la familia Kido. El resto de los Top 5 de ataques de red permanece inalterado: nos volvemos a encontrar con los paquetes maliciosos del gusano Helkern (Slammer) y los códigos de explotación de la vulnerabilidad MS03-026 utilizada, por ejemplo, por el gusano Lovesan en 2003.
El ataque de red CVE-2010-2729.a (19? lugar) realizado por el gusano Stuxnet con la ayuda del código de explotación de la vulnerabilidad MS10-61 merece atención particular. Los expertos de Kaspersky Lab ya habían descubierto el uso de esta vulnerabilidad por parte de Stuxnet. Una vulnerabilidad en el servicio Print Spooler permitía a este gusano propagarse por la red local; en el momento de su detección se trataba de una vulnerabilidad de tipo día-cero. Sólo tardó 5 meses tras su detección para pertenecer a los Top 20; Stuxnet sigue siendo uno de los pocos programas que utiliza esta vulnerabilidad.
Infecciones locales
Las estadísticas relacionadas con las infecciones de equipos son un importante indicador. Estos datos, en parte, se refieren a objetos que penetraron en equipos por otros medios aparte de Internet, correo o mensajes electrónicos.
Nuestras soluciones antivirus detectaron case 1,5 mil millones (1.325.667.443) de incidentes relacionados virales en los equipos miembros de Kaspersky Security Network.
En estos incidentes se registraron 1.590.861 programas maliciosos o potencialmente indeseables.
Los programas maliciosos del Top 20 figuran entre las amenazas más expandidas en 2010.
Top 20 de los objetos maliciosos descubiertos en equipos de usuarios
Categoría | Objeto detectado | Número de usuarios únicos* | % |
1 | Trojan.Win32.Generic | 9.226.235 | 20,16% |
2 | DangerousObject.Multi.Generic | 8.400.880 | 18,36% |
3 | Net-Worm.Win32.Kido.ih | 6.386.762 | 13,96% |
4 | Virus.Win32.Sality.aa | 4.182.229 | 9,14% |
5 | Net-Worm.Win32.Kido.ir | 3.785.066 | 8,27% |
6 | Virus.Win32.Virut.ce | 1.950.967 | 4,26% |
7 | Worm.Win32.Generic | 1.706.624 | 3,73% |
8 | Worm.Win32.FlyStudio.cu | 1.384.379 | 3,02% |
9 | Net-Worm.Win32.Kido.iq | 1.057.900 | 2,31% |
10 | P2P-Worm.Win32.Palevo.fuc | 1.049.861 | 2,29% |
11 | HackTool.Win32.Kiser.il | 1.007.745 | 2,20% |
12 | Trojan.Win32.Invader | 974.957 | 2,13% |
13 | Trojan.Win32.Pakes.Katusha.o | 968.850 | 2,12% |
14 | Worm.Win32.VBNA.b | 941.102 | 2,06% |
15 | Trojan.JS.Agent.bhr | 941.092 | 2,06% |
16 | Trojan-Dropper.Win32.Flystud.yo | 886.356 | 1,94% |
17 | Exploit.Script.Generic | 855.842 | 1,87% |
18 | Trojan-Downloader.Win32.Generic | 806.024 | 1,76% |
19 | Worm.Win32.Mabezat.b | 783.831 | 1,71% |
20 | Virus.Win32.Sality.bh | 739.712 | 1,62% |
Estas estadísticas son los veredictos detectados por el módulo Antivirus, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión.
*Número de usuarios únicos en cuyos ordenadores el antivirus detectó el objeto en cuestión.
Varios intentos de infección detectados por nuestros métodos heurísticos universales se neutralizaron en más de 14 millones de equipos (Trojan.Win32.Generic, Worm.Win32.Generic, Trojan.Win32.Invader, Exploit.Script.Generic, Trojan-Downloader.Win32.Generic).
Más de 8 millones de equipos de usuarios estuvieron protegidos en tiempo real gracias al sistema UDS (detección instantánea de amenazas) incorporado en Kaspersky Security Network. Se detectaron nuevos archivos maliciosos con el nombre DangerousObject.Multi.Generic.
El gusano Kido sigue siendo uno de los programas maliciosos más expandidos neutralizados en equipos de usuarios, a pesar de que ya contaba con más de dos años de circulación a fines de 2010. Lo que es más preocupante aún, es que no se observa ninguna reducción en el número de los incidentes que provoca. En el transcurso de 2010 constatamos el doble de casos. Todo indica que la situación provocada por este gusano, y la causada por el gusano Sality (líder en 2008), seguirá en niveles amenazantes al menos durante todo el 2011, y probablemente habrá que esperar unos 2 a 3 años antes de verlos abandonar el Top 20.
La 10? posición la ocupa una de las versiones del gusano Palevo, responsable de la creación de la red zombi Mariposa. Hemos hecho referencia a la detención, en 2010, de los autores del gusano y de los propietarios de la red en la parte central del informe. La posición de Palevo en la clasificación demuestra la gran difusión de esta amenaza. Todo indica que las suposiciones de la policía española sobre los 12 millones de equipos infectados por Palevo son acertadas.
Los programas maliciosos desarrollados mediante el lenguaje de script FlyStudio, detectados el año pasado, siguen presentes entre los Top 20 (8? y 16? posiciones, respectivamente).
El nivel de compresión y de ofuscación de los programas maliciosos gracias a empaquetadores especiales sigue llamando la atención. Los empaquetadores Katusha y VBNA sustituyen a otros empaquetadores activamente utilizados en 2009.
Distribución por país de equipos en los que se detectaron infecciones locales
Las infecciones locales descritas arriba se detectaron en equipos de usuarios de prácticamente todos los países.
Categoría | País* | % de intentos de infección únicos** |
1 | China | 19,86% |
2 | Federación Rusa | 15,53% |
3 | India | 7,35% |
4 | Estados Unidos | 5,72% |
5 | Vietnam | 4,44% |
6 | Ucrania | 2,59% |
7 | Alemania | 2,36% |
8 | México | 2,18% |
9 | Italia | 2,08% |
10 | Malasia | 2,07% |
11 | Francia | 2,00% |
12 | Arabia Saudí | 1,92% |
13 | Turquía | 1,91% |
14 | España | 1,88% |
15 | Brasil | 1,77% |
16 | Reino Unido | 1,67% |
17 | Egipto | 1,66% |
18 | Tailandia | 1,58% |
19 | Polonia | 1,26% |
20 | Indonesia | 1,12% |
Estas estadísticas son los veredictos detectados por el módulo Antivirus, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión.
* El lugar geográfico del blanco del ataque fue determinado mediante la dirección IP del usuario que transmite los datos estadísticos.
** Porcentaje del total de intentos de infección únicos registrados en los equipos de usuarios únicos.
El Top 20 de países en los que el 80% de los intentos de infección únicos fueron registrados es una copia casi exacta de la lista de países víctimas de ataques por Internet. No hay que olvidar que estas estadísticas dependen del número total de usuarios de Internet en este país, pero también, y sobre todo, de la cantidad de usuarios de las soluciones de Kaspersky Lab.
«Representación del mundo»
Las estadísticas ofrecidas por cualquier fabricante de soluciones antivirus se basan sobre todo en la información obtenida de los clientes de este fabricante. La popularidad de las soluciones de un fabricante en cualquier región del mundo ejerce una gran influencia sobre los datos recibidos. Como hemos subrayado varias veces en este informe, los resultados que obtenemos sobre la distribución por país de los ataques por Internet y sobre todas las infecciones locales, depende del número total de internautas en un país u otro, pero especialmente del número de usuarios de las soluciones de Kaspersky Lab.
Para evaluar con la mayor precisión posible el riesgo de infección al que se exponen los equipos de usuarios de distintos países del mundo, hemos calculado, por cada país, la frecuencia de activación del antivirus en el año 2010.
Amenazas en Internet
Categoría | País | Número de usuarios únicos* |
1 | Irak | 618.420 |
2 | Omán | 561.884 |
3 | Federación Rusa | 536.922 |
4 | Bielorrusia | 480.310 |
5 | Estados Unidos | 461.497 |
6 | Sudán | 459.262 |
7 | Kuwait | 442.358 |
8 | Armenia | 441.996 |
9 | Kazakstán | 432.014 |
10 | Angola | 429.854 |
11 | Ucrania | 426.281 |
12 | China | 413.646 |
13 | Azerbayán | 409.806 |
14 | India | 406.102 |
15 | Turkmenistán | 399.695 |
16 | Bangladesh | 398.528 |
17 | Jamahiriya árabe libia | 397.903 |
18 | Sri Lanka | 395.818 |
19 | Arabia Saudí | 387.151 |
20 | Djibouti | 377.816 |
Estas estadísticas son los veredictos detectados por el módulo Antivirus Internet, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión. Para los cálculos, hemos excluido aquellos países cuyo número de usuarios de los productos de Kaspersky Lab es menor a 10.000.
* Porcentaje de usuarios únicos sometidos a ataques por Internet en relación al total de usuarios únicos de productos de Kaspersky Lab en el país.
Se trata del Top 20 de países en los que los usuarios han sufrido frecuentes ataques por Internet. Por ejemplo, en 2010, dos de cada tres internautas en Irak fueron víctimas de ataques por Internet. En Rusia, esta cifra es de uno de cada dos internautas.
A nivel mundial, podemos repartir todos los países del mundo en varios grupos. En el grupo de riesgo máximo con un índice de más del 60% de usuarios que sufrieron incidentes por Internet, encontramos un solo país: Irak. El grupo de países con alto riesgo (entre el 41% y el 60%) incluye a los 11 países del Top 20 por detrás de Irak. El grupo de riesgo incluye a los países con el 21% al 40%. Durante el 2010, este grupo acogió a 116 países. El último grupo incluye a los países cuyo índice está entre el 0% y el 20% Se trata de los países relativamente más seguros del mundo. Entre ellos sobresalen 5: Alemania, Japón, Luxemburgo, Austria y Noruega. El índice para estos países varía entre el 19% y el 20,8%.
Amenazas locales
Es posible obtener estadísticas similares para la detección de amenazas locales, es decir, aquellas detectadas en el equipo y que, de una manera u otra, ya habían penetrado en el sistema (por ejemplo, a través de la red local o de discos portátiles). Estas cifras muestran el índice de infección promedio de equipos en un país u otro.
Categoría | País | Número de usuarios únicos* |
1 | Irak | 792.608 |
2 | Sudán | 704.211 |
3 | Ruanda | 691.798 |
4 | Nigeria | 677.693 |
5 | República Unida de Tanzania | 676.782 |
6 | Bangladesh | 672.685 |
7 | Angola | 660.113 |
8 | Burkina Faso | 625.769 |
9 | Afganistán | 625.000 |
10 | Uganda | 620.151 |
11 | Omán | 619.510 |
12 | Turkmenistán | 612.507 |
13 | Djibouti | 607.995 |
14 | Nepal | 604.366 |
15 | Mongolia | 600.984 |
16 | Camerún | 596.633 |
17 | Kenia | 594.906 |
18 | Maldivas | 582.855 |
19 | Zambia | 582.437 |
20 | Mali | 580.034 |
Estas estadísticas son los veredictos detectados por el módulo Antivirus, transmitidos por los usuarios de las soluciones de Kaspersky Lab que aceptaron dicha transmisión.
Para los cálculos, hemos excluido a los países en los que el número de usuarios de los productos de Kaspersky Lab es inferior a 10 000.
*Porcentaje de usuarios únicos en equipos en los que se neutralizaron amenazas locales, en relación al total de usuarios únicos de los productos de Kaspersky Lab en el país.
La presencia en esta clasificación de países en vías de desarrollo de África y Asia se explica por la implementación progresiva de Internet en estas regiones del mundo, por el bajo nivel de conocimientos informáticos de los usuarios, y por la falta de experiencia en materia de lucha contra las ciberamenazas.
Respecto a las amenazas locales, es también lógico repartir los países en varios grupos. El grupo de máximo nivel de infección contiene a los doce primeros países del Top 20. El segundo grupo (41% a 60%) incluye a 66 países. El tercer grupo (21% a 40%) cuenta con 45 países.
Los ordenadores “más limpios” (0% a 20%) se encuentran en 16 países. Este índice es relativo, ya que, como lo dijimos, estas estadísticas se basan sólo en los usuarios de soluciones de Kaspersky Lab.
Países en los que el porcentaje de equipos infectados es mínimo:
Categoría | País | % * |
1 | Japón | 8,6525 |
2 | Alemania | 10,7865 |
3 | Luxemburgo | 11,7887 |
4 | Austria | 12,8684 |
5 | Suiza | 10,1475 |
6 | Dinamarca | 13,1531 |
7 | Finlandia | 15,9136 |
8 | Noruega | 16,1966 |
9 | Suecia | 16,612 |
10 | Reino Unido | 17,4274 |
11 | Canadá | 18,2753 |
12 | Holanda | 18,3106 |
13 | Nueva Zelanda | 19,7266 |
14 | Estonia | 19,9988 |
15 | Estados Unidos | 20,059 |
16 | Irlanda | 20,093 |
Vemos claramente los cinco países entre los más seguros en cuanto al uso de Internet: Austria, Alemania, Luxemburgo, Noruega y Japón. La presencia de estos países en las dos clasificaciones constata el alto grado de seguridad de sus usuarios.
Vulnerabilidades
En los últimos 5 a 6 años, la cantidad de vulnerabilidades detectadas cada año permanece relativamente sin alteraciones. Según los datos de CVE (cve.mitre.org), la cantidad de vulnerabilidades detectadas en 2010 en las aplicaciones de Microsoft y en las aplicaciones populares para la plataforma Windows fue muy superior a la cifra del 2009.
Aunque el número de vulnerabilidades detectadas cada año no varía mucho, los ciberdelincuentes las utilizan activamente en sus proyectos. En 2010, la problemática de las vulnerabilidades en las aplicaciones populares llamó repetidamente la atención de expertos en seguridad informática y de periodistas. Los ataques que se ganaron titulares de prensa se realizaron a través de vulnerabilidades, y queremos referirnos a la operación Aurora y al ataque Stuxnet. La cobertura mediática tiene un doble efecto: por una parte los ciberdelincuentes han empezado a usar la vulnerabilidad “descubierta” y, por otra, los fabricantes se han puesto a reparar rápidamente las grietas.
Anteriormente, los objetos más interesantes para los ciberdelincuentes y los investigadores especializados en vulnerabilidades, eran los componentes del sistema operativo Windows y las aplicaciones de Microsoft. Pero el constante mejoramiento de la seguridad de este sistema operativo y el desarrollo del módulo de actualización automática han hecho que los usuarios comienzen a actualizar rápidamente sus aplicaciones Microsoft. En estas condiciones, a los ciberdelincuentes les queda muy poco tiempo para explotar las vulnerabilidades en estas aplicaciones. Es por esta razón que los ciberdelincuentes se han visto obligados a buscar fallas en las aplicaciones cuya seguridad no figure como prioridad para sus fabricantes. Se trata de vulnerabilidades en aplicaciones muy populares de otras marcas, pero que el sistema operativo Windows no las reconoce por defecto. En general, cada usuario cuenta, en promedio, con una veintena de aplicaciones de esta categoría por cuya actualización no se preocupan.
Nuestras estadísticas confirman la atención brindada por los ciberdelincuentes a las aplicaciones que no son parte del sistema operativo: En el primer trimestre de 2010, de 10 de las vulnerabilidades más expandidas, 6 eran de Microsoft. En el último trimestre, esta relación pasó a ser de ¡1 de 10! Las nueve otras vulnerabilidades correspondían a aplicaciones muy utilizadas, como los lectores multimedia, las aplicaciones de lectura de documentos electrónicos, los navegadores o los ordenadores virtuales.
Microsoft | Adobe | Oracle | Mozilla | Apple | HP | |
Q1 2010 | 6 | 3 | 1 | 0 | 0 | 0 |
Q2 2010 | 6 | 3 | 1 | 0 | 0 | 0 |
Q3 2010 | 5 | 4 | 1 | 0 | 0 | 0 |
Q4 2010 | 1 | 5 | 1 | 1 | 1 | 1 |
En 2010, el sistema de análisis de vulnerabilidades descubrió 510 vulnerabilidades en los equipos de los miembros de la red KSN. Hemos analizado 20 de las vulnerabilidades más detectadas en 2010, es decir, el 89,6% del total de las vulnerabilidades descubiertas.
Vulnerabilidad | Porcentaje del total de equipos en las que se detectaron estas vulnerabilidades | Nombre | Impacto | Clasificación | Fecha de publicación |
31744 | 26,98% | Microsoft Office OneNote URI Handling Vulnerability | Acceso al sistema | Altamente crítica | 09.09.2008 |
35377 | 26,64% | Microsoft Office Word Two Vulnerabilities | Acceso al sistema | Altamente crítica | 09.06.2009 |
38805 | 24,98% | Microsoft Office Excel Multiple Vulnerabilities | Acceso al sistema | Altamente crítica | 09.03.2010 |
37255 | 23,18% | Sun Java JDK / JRE Multiple Vulnerabilities | Acceso al sistema. DoS, Exposición de información confidencial, exposición del sistema de información, manipulación de datos, omisión d e la seguridad | Altamente crítica | 31.03.2010 |
38547 | 17,41% | Adobe Flash Player Domain Sandbox Bypass Vulnerability | Omisión de la seguridad | Moderadamente crítica | 12.02.2010 |
34572 | 15,87% | Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability | Acceso al sistema | Extremadamente crítica | 03.04.2009 |
37690 | 14,46% | Adobe Reader/Acrobat Multiple Vulnerabilities | Acceso al sistema, Cross Site Scripting | Extremadamente crítica | 15.12.2009 |
29320 | 12,96% | Microsoft Outlook “mailto:” URI Handling Vulnerability | Acceso al sistema | Altamente crítica | 11.03.2008 |
41340 | 12,63% | Adobe Reader / Acrobat SING “uniqueName” Buffer Overflow Vulnerability | Acceso al sistema | Extremadamente crítica | 08.09.2010 |
39272 | 12,55% | Adobe Reader / Acrobat Multiple Vulnerabilities | Acceso al sistema, Cross Site Scripting | Altamente crítica | 14.04.2010 |
40026 | 12,38% | Adobe Flash Player Multiple Vulnerabilities | Acceso al sistema, Cross Site Scripting | Extremadamente crítica | 05.06.2010 |
23655 | 12,27% | Microsoft XML Core Services Multiple Vulnerabilities | Acceso al sistema, Cross Site Scripting, DoS | Altamente crítica | 09.01.2007 |
41917 | 11,99% | Adobe Flash Player Multiple Vulnerabilities | Acceso al sistema, exposición de información confidencial, omisión de la seguridad | Extremadamente crítica | 28.10.2010 |
41791 | 11,21% | Sun Java JDK / JRE / SDK Multiple Vulnerabilities | Acceso al sistema. DoS, Exposición de información confidencial, exposición del sistema de información, manipulación de datos, omisión de la seguridad | Altamente crítica | 13.10.2010 |
32428 | 10,33% | Microsoft PowerPoint Multiple Vulnerabilities | Acceso al sistema | Altamente crítica | 12.05.2009 |
40907 | 9,99% | Adobe Flash Player Multiple Vulnerabilities | Acceso al sistema | Altamente crítica | 11.08.2010 |
25952 | 9,88% | ACDSee Products Image and Archive Plug-ins Buffer Overflows | Acceso al sistema | Altamente crítica | 02.11.2007 |
38551 | 9,50% | Adobe Reader/Acrobat Two Vulnerabilities | Acceso al sistema. Omisión de la seguridad | Altamente crítica | 12.02.2010 |
37231 | 9,03% | Sun Java JDK / JRE Multiple Vulnerabilities | Acceso al sistema, DoS, exposición de información confidencial, omisión de la seguridad | Altamente crítica | 04.11.2009 |
39375 | 8,51% | Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability | Acceso al sistema | Altamente crítica | 13.04.2010 |
Primeramente, hay que tomar en cuenta que casi la mitad de las vulnerabilidades en esta lista se descubrieron antes de 2010. Es importante el hecho de que dos de ellas (una en Microsoft XML Core Services y otra en ACDSee Products Image y Archive Plug-In) se detectaron por primera vez ¡en 2007!
El Top 20 elaborado en base al año 2010 sobre la distribución de vulnerabilidades entre los equipos de usuarios, incluye vulnerabilidades relacionadas con las aplicaciones de cuatro fabricantes: Microsoft, Adobe, Oracle y ACDSee :
Hace un año, los productos de Microsoft ocupaban el 1? lugar con una gran ventaja sobre sus seguidores. En 2010, la situación cambió dramáticamente: el 1? lugar del Top 20 de las vulnerabilidades descubiertas lo comparten los productos de Microsoft y Adobe. Esta situación se explica en gran medida por el hecho de que sólo las vulnerabilidades en Adobe Flash Player aparecían en la clasificación de 2009, mientras que en 2010, cuatro de las ocho vulnerabilidades descubiertas en los productos de Adobe correspondían a Adobe Reader que se convirtió en blanco favorito de los ciberdelincuentes.
Las aplicaciones más vulnerables en los sistemas Windows eran en 2010 las aplicaciones del paquete Microsoft Office, Adobe Reader y Adobe Flash Player. La cantidad de vulnerabilidades detectadas en Sun (Oracle) Java JDK/JRE aumenta progresivamente. Notemos la ausencia en el Top 20 de las vulnerabilidades en QuickTime Player desarrollado por Apple, mientras que en 2009 esta aplicación representaba el 70% del total de archivos vulnerables detectados.
Si agrupamos las Top 20 vulnerabilidades descubiertas en los equipos de los usuarios miembros de KSN por tipo de actividad en el sistema, obtendremos el siguiente resultado:
El principal objetivo de los ciberdelincuentes es obviamente el acceso remoto al sistema del usuario. Al igual que el año pasado, 19 de 20 vulnerabilidades pertenecían a la categoría de las vulnerabilidades que permiten el acceso completo al sistema (tipo de actividad “acceso al sistema”). Resulta interesante evidenciar que 6 de estas 19 vulnerabilidades permiten, asimismo, evadir el sistema de protección.
Como se trata de las vulnerabilidades más peligrosas (Extremadamente críticas), encontraremos dos de ellas en Adobe Reader, dos en Adobe Flash Player y una en Microsoft Power Point.
Por desgracia, algunos fabricantes no incluyen ni desarrollan mecanismos de actualización para sus productos y, en la mayoría de los casos, la responsabilidad de la actualización del sistema se la deja en manos del usuario. Y a la mayoría de los usuarios no les interesa realmente actualizar las aplicaciones si esta acción no está ligada a alguna otra funcionalidad. Como resultado, existen en todo el mundo millones de equipos con aplicaciones populares que jamás se han actualizado. Por lo tanto, los ciberdelincuentes tienen las puertas abiertas para penetrar en estos millones de equipos.
Kaspersky Security Bulletin 2010 Principales Estadisticas de 2010