Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin. Estadísticas 2011

  1. Kaspersky Security Bulletin. Boletín de seguridad Desarrollo de las amenazas informáticas en 2011
  2. Kaspersky Security Bulletin. Estadísticas 2011
  3. Kaspersky Security Bulletin. Spam en 2011

Esta sección del informe es parte de Kaspersky Security Bulletin 2011 y se basa en datos obtenidos y procesados mediante Kaspersky Security Network (KSN). KSN integra tecnologías de nube en los productos personales y corporativos y es una de las innovaciones más importantes de Kaspersky Lab.

KSN ayuda a los expertos de Kaspersky Lab a detectar oportunamente y en tiempo real nuevos programas maliciosos, incluso cuando aún no existe la firma correspondiente o no se cuenta con la detección heurística para estas amenazas. KSN ayuda a identificar las fuentes de propagación de programas maliciosos en Internet y evita que el usuario acceda a ellas.

A la vez, la rapidísima respuesta de KSN ante nuevas amenazas, es decir en tiempo real, nos permite evitar que las nuevas amenazas se ejecuten en los equipos de los usuarios a segundos de su identificación como maliciosas, y sin necesidad de tener que actualizar primero la base de datos antivirus.

Los datos estadísticos en este informe se basan en datos obtenidos de los productos de Kaspersky Lab instalados en los equipos de los usuarios en todo el mundo, con su debida autorización.

Programas maliciosos en Internet (ataques por la web)

El número de ataques mediante el navegador en 2011 se incrementó de 580.371.937 a 946.393.693, lo que significa que los productos de Kaspersky Lab protegieron a sus usuarios, mientras navegaban en Internet, un promedio de 2.592.859 veces al día en ese periodo.

El número de ataques por la web en 2011 es 1,63 veces más que en 2010, lo que indica un crecimiento mucho menor del que hemos visto en el transcurso de los últimos tres años. En el año 2010, registramos un volumen mucho mayor de intentos de infección, casi 8 veces más que en el año 2009.

La disminución en el crecimiento del número de intentos de infección por la web se debe a que en el año 2011 los usuarios maliciosos no usaron ningún nuevo método importante de infección masiva cuando lanzaban sus ataques cibernéticos. La principal arma de las infecciones por la web sigue siendo el paquete de exploits que permite a los usuarios maliciosos lanzar ataques tipo drive-by sin que la víctima se entere de ello. En el transcurso del año, se vendieron dos colecciones de exploits en el mercado negro: BlackHole e Incognito, que tuvieron un éxito inmediato entro los ciberdelincuentes y se convirtieron en dos de los cinco paquetes de exploits más populares. Por cierto, este negocio se basa casi exclusivamente en programas afiliados a cargo de hackers.

No hay muestras evidentes de cambios significativos en las actuales condiciones, por lo que podemos prever que el crecimiento de los ataques por la web continúe disminuyendo antes de que la cantidad de intentos de ataque comience a estabilizarse.

Los Top 20 programas maliciosos en Internet

La siguiente lista muestra los programas maliciosos más populares involucrados en ataques contra los usuarios de Internet.

Posición Nombre Número de ataques* % del total de ataques
1 URLs maliciosas 712 999 644 75,01%
2 Trojan.Script.Iframer 35 522 262 3,67%
3 Exploit.Script.Generic 17 176 066 1,81%
4 Trojan.Script.Generic 15 760 473 1,66%
5 Trojan-Downloader.Script.Generic 10 445 279 1,10%
6 Trojan.Win32.Generic 10 241 588 1,08%
7 AdWare.Win32.HotBar.dh 7 038 405 0,74%
8 Trojan.JS.Popupper.aw 5 128 483 0,54%
9 AdWare.Win32.FunWeb.kd 2 167 974 0,23%
10 Trojan-Downloader.Win32.Generic 1 979 322 0,21%
11 AdWare.Win32.Eorezo.heur 1 911 042 0,20%
12 AdWare.Win32.Zwangi.heur 1 676 633 0,18%
13 Hoax.Win32.ArchSMS.heur 1 596 642 0,17%
14 Trojan.HTML.Iframe.dl 1 593 268 0,17%
15 Trojan.JS.Agent.uo 1 338 965 0,14%
16 AdWare.Win32.FunWeb.jp 1 294 786 0,14%
17 Trojan-Ransom.Win32.Digitala.bpk 1 189 324 0,13%
18 Trojan.JS.Iframe.tm 1 048 962 0,11%
19 AdWare.Win32.Agent.uxx 992 971 0,10%
20 AdWare.Win32.Shopper.ee 970 557 0,10%

Estos datos representan los veredictos detectados por el módulo web antivirus y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que accedieron a compartir sus datos locales.

*Cantidad total de incidentes únicos registrados por el módulo web antivirus instalado en los equipos de los usuarios.

El desarrollo de nuevas tecnologías de detección para KSN a ayudado a incrementar el porcentaje de amenazas detectadas por métodos heurísticos, y sin actualizar las bases de datos antivirus tradicionales, del 60% al 75%. Los sitios web maliciosos detectados con estos métodos se colocaron en el primer lugar. Cabe notar que las detecciones de URLs maliciosas se realizaron en sitios web con exploits.

En la segunda posición se encuentran los scripts maliciosos que los hackers inyectan en los códigos de sitios web legítimos. Es muy común la inyección de etiquetas iframe ocultas con enlaces a recursos maliciosos en la web en los ataques tipo drive-by: un usuario intenta visitar un sitio web legítimo, y el navegador lo desvía hacia un recurso en Internet que contiene un paquete exploit, sin que el usuario note nada sospechoso. Similares scripts maliciosos se detectaron con métodos más simples de firmas, y se colocaron en la 14a y 18a posiciones.

Las amenazas que ocuparon el 3o y 6o lugares consisten en diferentes veredictos heurísticos que detectan códigos maliciosos en forma de scripts y archivos PE ejecutables. Estos programas descargan y ejecutan otros programas maliciosos. También roban información desde cuentas de bancos online y de redes sociales, y datos de ingreso y contraseñas de otros servicios.

Otras siete amenazas que se encuentran entre los Top 20 son los programas publicitarios, o adware, de las familias Zwangi, FunWeb, Eorezo, Shopper y HotBar, que aparecen en nuestro radar desde hace varios años. Estos programas intentan penetrar en los equipos de los usuarios mediante una serie de métodos, a veces bordeando la línea de la legalidad.

Dos nuevos tipos de programas maliciosos están presentes en el Top 20 de este año. El primero es Hoax.Win32.ArchSMS.heur, en el 13o lugar, que incluye programas para estafas con mensajes de números cortos. Los productos de Kaspersky Lab han registrado más de un millón de incidentes relacionados con estas estafas, y la mayor parte corresponde al segmento ruso de Internet. El segundo es Digitala, un troyano chantajista, en el 17o lugar. Esta amenaza evita que los ordenadores funcionen con normalidad y exige a las víctimas que paguen un rescate a los ciberdelincuentes para que sus sistemas se restauren.

Top 20 de los países en los que los recursos web están sembrados de programas maliciosos

Para lanzar los 946.393.693 ataques en la web, los ciberdelincuentes usaron 4.073.646 dominios. Se han detectado servidores sembrados de códigos maliciosos en las zonas internet de 198 países en todo el mundo, pero apenas 20 de ellos acaparan el 89,4% de los alojamientos maliciosos detectados por Kaspersky Lab.

Posición País* Número de ataques** % del total de ataques
1 Estados Unidos 24.0022.553 25,4%
2 Federación Rusa 13.8554.755 14,6%
3 Holanda 92.652.499 9,8%
4 Alemania 82.544.498 8,7%
5 Ucrania 47.886.774 5,1%
6 China 46.482.840 4,9%
7 Reino Unido 44.676.036 4,7%
8 Islas vírgenes británicas 26.336.323 2,8%
9 Canadá 19.723.107 2,1%
10 Suecia 15.472.406 1,6%
11 Francia 14.706.167 1,6%
12 Rumania 12.685.394 1,3%
13 Corea del Sur 7.220.494 0,8%
14 República Checa 6.009.847 0,6%
15 Letonia 5.371.299 0,6%
16 España 5.066.469 0,5%
17 Japón 3.468.602 0,4%
18 Turquía 3.150.767 0,3%
19 Brasil 2.712.440 0,3%
20 Belice 2.660.150 0,3%

Estos datos representan los veredictos detectados por el módulo web antivirus y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que accedieron a compartir sus datos estadísticos.

*Para determinar la fuente geográfica de un ataque, se compara el nombre de dominio con la dirección IP en la que se encuentra el dominio en cuestión, y se determina la ubicación geográfica de la dirección IP (GEOIP).

**El módulo web antivirus registra el número total de ataques únicos desde recursos web localizados en el país.

Las primeras dos posiciones en el Top-20 corresponden a los mismos países de hace un año: Estados Unidos (25,4%) y Rusia (14,6%). Es importante señalar que el crecimiento activo del porcentaje de servicios de alojamiento malicioso registrado por Kaspersky Lab en estos países en anteriores años se ha detenido, gracias a los esfuerzos de las autoridades correspondientes para clausurar redes zombi. Sin embargo, y a pesar de la disminución del porcentaje de servicios de alojamiento malicioso en estos países, sigue situado en un muy alto nivel.

La estricta regulación de los dominios en China continúa teniendo un positivo impacto. Hace apenas un par de años, China era uno de los principales alojamientos de servicios maliciosos, junto a otros países. En el punto más álgido del problema, el 52% de las amenazas en el mundo provinieron de dominios chinos. Sin embargo, durante el anterior periodo analizado, este número cayó al 13%. En el año 2011, el porcentaje de servicios chinos de alojamiento malicioso volvió a caer, esta vez en un 8,2%, y el país bajó del 3o al 6o lugar.

Holanda y Alemania ocupan la 3a y la 4a posiciones. Esto se debe en parte a la presencia de proveedores de bajo precio pero de alta calidad en estos países que atraen tanto a clientes honestos como deshonestos.

Dónde se plantan los enlaces maliciosos

Además de las descargas del tipo drive-by, los arsenales de los ciberdelincuentes también están equipados con otros métodos para inducir a los usuarios a que visiten sitios web maliciosos: black SEO, spam para redes sociales y enlaces con convincentes argumentos o asuntos colocados en sitios web populares.

Hemos clasificado los sitios que con mayor frecuencia intentaron engañar a los usuarios de KSN mediante enlaces maliciosos, y en el año 2011 los 20 sitios web que propiciaron con mayor frecuencia los intentos de desvío caen en los siguientes grupos.


Top 20 de sitios con mayor frecuencia de desvíos a través de enlaces maliciosos

Porcentaje de desvíos, 2011

En el primer lugar, hemos identificado una variedad de sitios web de entretenimiento con contenidos de video, como YouTube.

En le segundo lugar se encuentran los motores de búsqueda, ya que los usuarios a veces activan los enlaces maliciosos directamente desde los sitios de los más importantes motores de búsqueda, como Google y Yandex.

En el tercer lugar, y apenas un 1% por detrás, se encuentran las redes sociales. Los usuarios deben tener mucho cuidado cuando usan sitios como Facebook y Vkontakte, ya que son blancos favoritos de los ataques de los ciberdelincuentes y en los que propagan contenidos dañinos.

La 4a y la 5a posiciones pertenecen a diferentes sitios de publicidad (en general avisos en banners) y sitios con contenido para adultos.

Aplicaciones vulnerables blanco de ciberdelincuentes

Como mencionamos anteriormente, por segundo año consecutivo, los exploits siguen siendo el arma favorita de los ciberdelincuentes para lanzar sus ataques en Internet. Un análisis de los exploits más populares nos ha ayudado a identificar los programas cuyas vulnerabilidades han sido blanco favorito de los hackers en el año 2011.


Aplicaciones con vulnerabilidades atacadas por exploits en 2011

El 35% de todos los incidentes relacionados con exploits tuvieron que ver con ataques a vulnerabilidades en Adobe Acrobat Reader.

En el año 2011, la preponderancia de los exploits dirigidos a Java aumentó notablemente, y como resultado, las vulnerabilidades de Java ocuparon el segundo lugar de los blancos más atacados, pues representan un cuarto de todos los incidentes. Por cierto, un 50% de los paquetes de exploits de hoy en día se componen de exploits para Java.

Las vulnerabilidades de los componentes de Windows ocuparon el tercer lugar. Los más notables de estos fueron los exploits dirigidos a las vulnerabilidades en 2010 MS10-042 Help and Support Center. Un 4% se refiere a las vulnerabilidades encontradas en los parámetros predefinidos en todas las versiones del navegador Windows Internet Explorer.

Extraordinariamente, los exploits para la plataforma móvil Android se ubicaron en la sexta posición con el 4% (nadie había previsto una clasificación tan alta antes del año 2011). Estos programas permiten que los programas maliciosos obtengan los privilegios administrativos y ganen el control total de un teléfono o de una tableta (jailbreak).


Distribución por versiones del SO Windows instaladas en equipos en todo el mundo

Para efectuar infecciones masivas, los ciberdelincuentes suelen aprovechar vulnerabilidades ya conocidas por mucho tiempo, mientras que se guardan los exploits del día cero para ataques más específicos. La razón es muy sencilla: existen abundantes equipos en el mundo que aún funcionan con software y sistemas operativos obsoletos. En particular, en KSN, el 63% de los equipos que sufrieron ataques funcionaban con Windows XP, mientras que sólo el 37% de los ataques fueron contra Windows 7 y Vista.

Amenazas locales

Los datos estadísticos sobre infecciones locales son un indicador crítico. Estos datos apuntan a amenazas que han penetrado en un sistema operativo a través de Internet, correo, o puertos de red.

Las soluciones antivirus de Kaspersky Lab han detectado con éxito más de 2.367.130.584 incidentes virales en los ordenadores de los usuarios de KSN.

En total, se detectaron 1.590.861 distintos programas maliciosos y potencialmente indeseables.

Top 20 de amenazas detectadas en los equipos de los usuarios

Posición Objeto detectado Número de usuarios únicos* %%
1 Trojan.Win32.Generic 12 804 003 24,2%
2 DangerousObject.Multi.Generic 12 327 029 23,3%
3 Net-Worm.Win32.Kido.ih 5 073 357 9,6%
4 Virus.Win32.Sality.aa 4 017 673 7,6%
5 Net-Worm.Win32.Kido.ir 3 927 070 7,4%
6 Virus.Win32.Sality.bh 3 222 166 6,1%
7 Trojan.Win32.Starter.yy 2 985 017 5,7%
8 Worm.Win32.Generic 2 113 422 4,0%
9 Hoax.Win32.ArchSMS.heur 1 771 798 3,4%
10 Virus.Win32.Sality.ag 1 566 186 3,0%
11 Packed.Win32.Katusha.o 1 507 697 2,9%
12 HiddenObject.Multi.Generic 1 416 697 2,7%
13 Virus.Win32.Nimnul.a 1 310 704 2,5%
14 Worm.Win32.VBNA.b 1 136 110 2,2%
15 HackTool.Win32.Kiser.zv 1 102 150 2,1%
16 Hoax.Win32.Screensaver.b 1 067 025 2,0%
17 Packed.Win32.Klone.bq 979 917 1,9%
18 Exploit.Script.Generic 951 659 1,8%
19 Trojan.Script.Iframer 945 149 1,8%
20 AdWare.Win32.HotBar.dh 849 450 1,6%

Estos datos representan los veredictos detectados por el módulo web antivirus y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que accedieron a compartir sus datos locales.

Número de usuarios únicos con equipos que tienen instalado un programa antivirus que detectó esta amenaza en particular.

Se bloquearon intentos de infección en más de 18 millones (18.230.930) de ordenadores después de que se los detectara mediante varios métodos heurísticos: Trojan.Win32.Generic (1o), Worm.Win32.Generic (8o), HiddenObject.Multi.Generic (12o), Exploit.Script.Generic (18o).

En el segundo lugar, tenemos una variedad de programas maliciosos que se detectaron con tecnología de nube, como DangerousObject.Multi.Generic. Las tecnologías de nube son efectivas cuando todavía no existen firmas en bases de datos antivirus ni métodos heurísticos para detectar un determinado programa malicioso, sin embargo una compañía antivirus ya cuenta con datos sobre la amenaza en su nube. Con la ayuda del sistema de detección instantánea de amenazas de KSN, más de 12 millones de ordenadores quedan protegidos en tiempo real.

Ocho de los Top 20 programas maliciosos cuentan con mecanismos de autoduplicación, o son parte de los medios de proliferación de un gusano. Net-Worm.Win32.Kido.ih (3o), Virus.Win32.Sality.aa (4o), Net-Worm.Win32.Kido.ir (5o), Virus.Win32.Sality.bh (6o), Trojan.Win32.Starter.yy (7o), Virus.Win32.Sality.ag (10o), Virus.Win32.Nimnul.a (13o), y Worm.Win32.VBNA.b (14o).

Casi 2 millones de usuarios (1.771.798) han recibido estafas por medio de mensajes de texto que usan números cortos (Hoax.Win32.ArchSMS.heur, 9o). Estos mensajes fraudulentos suelen ofrecer acceso a contenidos de un archivo o un instalador para un juego o programa, etc. Los ciberestafadores usan esta carnada para incitar a los usuarios a mandar un texto a un determinado número corto de pago. En la mayoría de los casos, después de mandar el texto, los usuarios no reciben nada a cambio.

Hay una nueva adición a los cásicos virus de archivos: Virus.Win32.Nimnul.a Este programa malicioso se propaga de dos maneras: mediante archivos ejecutables infectados, y a través de dispositivos de almacenamiento removibles con autorun. Esta infección es más común en países asiáticos, como India (21%), Indonesia (16%), Vietnam (18%), y Bangladesh (10%), donde los sistemas operativos se actualizan con menor frecuencia y el uso de soluciones de seguridad es escaso. Esta infección, ante todo envía Backdoor.Win32.IRCNite.yb a un ordenador que después se conecta a un servidor remoto y añade el equipo infectado a una red zombie.

La ofuscación y el empaquetamiento siguen contando entre las tácticas más comunes de los ciberdelincuentes para que sus programas maliciosos eviten la detección antivirus: el 11o, el 14o y el 17o lugares corresponden a este tipo de programas que representan a las familias Katusha, VBNA y Klone. Sorprendentemente, estos tres programas se detectaron casi al mismo tiempo, entre fines de agosto y principios de septiembre del año 2010.

El gran cuadro

Una de las preguntas más interesantes que podemos responder con estadísticas es esta: “¿en qué parte del mundo se enfrentan los usuarios a amenazas cibernéticas?” En esencia, este es un indicador de la agresividad del ambiente en el que funciona un ordenador.

Para evaluar el riesgo de infección al que se exponen los ordenadores en cualquier país, hemos calculado la frecuencia en la que los programas antivirus instalados en los ordenadores de los usuarios detectaron amenazas en el año 2011, en cada país.

Amenazas online

Posición País % de usuarios únicos*
1 Federación Rusa 55,9
2 Omán 54,8
3 Estados Unidos 50,1
4 Armenia 49,6
5 Bielorrusia 48,7
6 Azerbaiyán 47,5
7 Kazajistán 47
8 Irak 45,4
9 Ucrania 45,1
10 Guinea-Bissau 45,1
11 Malasia 44,4
12 Sri Lanka 44,2
13 Arabia Saudí 43,9
14 India 43,8
15 Sudán 43,5
16 Reino Unido 43,2
17 Tayikistán 43,1
18 Qatar 42,4
19 Kuwait 42,3
20 Canadá 42,1

Estos datos representan los veredictos detectados por el módulo web antivirus y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que accedieron a compartir sus datos locales. Para nuestros cálculos, hemos excluido aquellos países en los que el número de usuarios de productos de Kaspersky Lab es relativamente bajo (menos de 10.000).

*Porcentaje de usuarios únicos en el país que tienen istalados los productos de Kaspersky Lab que bloquearon las amenazas online.

En el año 2011, los porcentajes de países desarrollados y en desarrollo cambiaron en el Top 20. El año anterior, sólo un país desarrollado estaba en la lista (Estados Unidos), y en 2011, se unieron Reino Unido y Canadá.

También hubo algunos cambios entre los tres primeros. En el transcurso del año, el riesgo de navegar en la web cayó del 61,8% al 45,5% en Irak. Este país bajó del primer al octavo lugar de la clasificación. Rusia aumento en un 2,2% y trepó del tercer al primer lugar, con el 55,9% del total de sus usuarios atacados mientras navegaban en Internet. Omán ocupó la segunda plaza con el 54,8%. Estados Unidos alcanzó el tercer lugar con el 50,1%. Una significativa cantidad de ataques contra los usuarios norteamericanos se lanzó en el año 2011 desde sitios hackeados con BlackHole Exploit Pack. Como resultado de los ataques exitosos, se infectaron los equipos con una amplia variedad de programas maliciosos: troyanos banqueros Zbot (ZeuS), clickers backdoor multifuncionales ZeroAccess, falsos programas antivirus, y chantajistas.

Todos los países pueden distribuirse en tres categorías según su nivel de riesgo online:

  1. Alto riesgo
    Este grupo incluye 22 países con resultados que varían entre el 41% y el 60%. Además de los países del Top 20, Australia (41,5%) y China (41,4%) también presentan un alto riego al navegar en Internet.

  2. Riesgo moderado
    Este grupo presenta un nivel de riesgo que varía entre el 21% y el 40% e incluye 118 países, como Italia (38,9%), Emiratos Árabes Unidos (38,2%), Francia (37%), Suecia (32%), Holanda (37,1%), y Alemania (26,6%).

  3. Bajo riesgo (0% – 20%).
    En el año 2011, nueve países presentaban un bajo riesgo de infección al navegar en Internet: Etiopía (20,5%), Haití (20,2%), Dinamarca (19,9%), Nigeria (19,9%), Togo (19,6%), Burundi (18,6%), Zimbabwe (18,6%), Benin (18,0%), y Myanmar (17,8%).

Los cambios más significativos en 2011 tuvieron lugar en el último grupo de países, que es muy distinto. Alemania, Japón, Luxemburgo, Austria y Noruega, cuyos indicadores del año 2010 variaron entre el 19% y el 20%, pasaron al grupo de “riesgo moderado” en el año 2011. Todos los países del grupo de “bajo riesgo” en el año 2011 son nuevos, salvo Dinamarca.

Cabe notar que los países del grupo de bajo riesgo están en realidad en los grupos de alto y moderado riesgo en cuanto a amenazas locales. Se encuentran en el grupo de bajo riesgo de amenazas online por la manera en que los archivos suelen compartirse en estos países en los que Internet aún no está muy desarrollado. Es por esto que los usuarios a menudo usan diferentes tipos de dispositivos removibles para guardar y compartir sus archivos. En consecuencia, nuestro radar registra de pocas a ninguna amenazas en estos países, aunque alberguen una enorme cantidad de virus y gusanos que se propagan a través de dispositivos portátiles de almacenamiento y de archivos infectados.

En todo el mundo, los riesgos online se han incrementado en un 2% en el año 2011, alcanzando un 32,3%. Además, la incorporación de muchos países de Europa occidental y Japón en el grupo de riesgo moderado es una señal perturbadora: estos usuarios son blanco de ciberdelincuentes profesionales.

Amenazas locales por país

Además de las infecciones online, también resulta interesante la detección de programas maliciosos directamente en los equipos de los usuarios o en dispositivos removibles. Los dispositivos removibles incluyen unidades USB, tarjetas de memoria para cámaras, tarjetas de memoria para teléfonos móviles, y discos duros externos. En esencia, las siguientes cifras reflejan el nivel de infección de PCs en diferentes países en el mundo.

Posición País %*
1 Sudán 94,6%
2 Bangladesh 92,6%
3 Irak 81,0%
4 Tanzania 80,8%
5 Angola 79,4%
6 Ruanda 78,5%
7 India 77,5%
8 Nepal 77,1%
9 Uganda 75,5%
10 Sri Lanka 74,6%
11 Omán 74,3%
12 Malawi 73,9%
13 Indonesia 73,6%
14 Afganistán 73,6%
15 Mongolia 72,9%
16 Nigeria 71,9%
17 Mauritania 71,8%
18 Maldivas 71,7%
19 Irán 71,5%
20 Etiopía 70,7%

Estos datos representan los veredictos detectados por el módulo web antivirus y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que accedieron a compartir sus datos locales. Para nuestros cálculos, hemos excluido aquellos países en los que el número de usuarios de productos de Kaspersky Lab es relativamente bajo (menos de 10.000).

*Porcentaje de usuarios únicos en el país que tienen instalados los productos de Kaspersky Lab que bloquearon las amenazas online.

El Top 20 está compuesto en su totalidad por países de África y Asia. La situación en algunos países es particularmente alarmante. Por ejemplo, en Sudán y Bangladesh, 9 de cada 10 ordenadores están infectados. En estos países no existe una cultura de usar soluciones antivirus, y el bajo nivel de alfabetización en computación y del conocimiento de amenazas informáticas hace que estos países sean especialmente vulnerables a los programas maliciosos.

También podemos clasificar los países en distintos grupos de riesgo según las amenazas locales. Hemos modificado la metodología de cálculo desde el año pasado a fin de incluir datos sobre amenazas detectadas en análisis a petición, que analizan los datos en el disco duro y en unidades externas. Como resultado, aumentó el nivel general de infección y revisamos los umbrales para cada grupo para lograr un cuadro más adecuado de la situación actual.

    Máximo riesgo (más del 75%): 9 países de Asia y África.
    Alto riesgo (56% – 75%): 70 países en todo el mundo, incluyendo Filipinas (61%), Rusia (60,6%), Ecuador (57,8%) y China (57,5%).
    Riesgo moderado (35% – 55%): Un total de 55 países, incluyendo México (55%), Turquía (55%), Brasil (54,1%), Rumania (48,6%), España (44,9%), Estados Unidos (40,2%), Australia (39,1%), Francia (37,9%), Canadá (37,4%), y Reino Unido (37%).
    Bajo riesgo (0% – 35%): 14 países.

Países con los menores porcentajes de ordenadores infectados:

Posición País %
1 Dinamarca 20,6
2 Japón 21,1
3 Alemania 25,3
4 Finlandia 26,3
5 República Checa 27
6 Suiza 27,6
7 Luxemburgo 27,9
8 Austria 28,4
9 Suecia 28,8
10 Noruega 29,5
11 Holanda 29,7
12 Bélgica 32,3
13 Eslovenia 32,7
14 Nueva Zelanda 34,7

El grupo de países con el menor riesgo permanece relativamente estable desde el año 2010, a pesar de los cambios efectuados en la metodología de cálculo.

Ataques de red

Los cortafuegos son un elemento fundamental en los modernos programas de seguridad. Ayudan a neutralizar ataques contra el equipo, tanto internos como los provenientes de un recurso online, y también bloquean ataques lanzados para robar la información de los usuarios guardada en sus ordenadores.

Kaspersky Internet Security incluye un cortafuegos capaz de detectar paquetes entrantes (IDS), muchos de los cuales consisten en exploits que aprovechan las vulnerabilidades en los servicios del sistema operativo y que pueden infectar el sistema si no se han reparado las vulnerabilidades, lo que potencialmente resulta en que el ciberdelincuente llegue a controlar el ordenador del usuario.

En el año 2011, nuestro sistema de seguridad contra ataques de red detectó 2.656.409.669 intentos de penetración ilegal en los ordenadores de los usuarios; esta cifra duplica el número de intentos registrados en el año 2010.

Top 20 Ataques de red

Posición Nombre % de intentos únicos de infección*
1 Intrusion.Win.MSSQL.worm.Helkern 67,7%
2 Intrusion.Win.NETAPI.buffer-overflow.exploit 24,7%
3 DoS.Generic.SYNFlood 14,6%
4 Scan.Generic.UDP 8,7%
5 Scan.Generic.TCP 3,9%
6 Intrusion.Win.DCOM.exploit 2,0%
7 Intrusion.Win.LSASS.exploit 1,8%
8 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1,3%
9 DoS.Generic.ICMPFlood 1,2%
10 DoS.Win.ICMP.BadCheckSum 0,8%
11 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 0,8%
12 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 0,4%
13 DoS.Generic.PingOfDeath 0,4%
14 Intrusion.Generic.WebApp.DirTravers.exploit 0,4%
15 Intrusion.Win.EasyAddressWebServer.format-string.exploit 0,4%
16 Intrusion.Win.PnP.exploit 0,2%
17 Intrusion.Win.CVE-2010-2729.a.exploit 0,1%
18 Intrusion.Win.MSFP2000SE.exploit 0,1%
19 Intrusion.Unix.Efscsar.buffer-overflow.exploit 0,1%
20 Intrusion.Win.MSSQL.preauth.buffer-overflow.exploit 0,1%

Estos datos representan los veredictos detectados por el módulo IDS y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que accedieron a compartir sus datos locales.

*Porcentaje de incidentes únicos registrados por el módulo IDS en los equipos de los usuarios.

Una vez más, el gusano Slammer (Helkern) se colocó en la primera posición. Su comportamiento durante el transcurso del año fue irregular, perdiéndose del radar por varias semanas, para luego, inesperadamente, reaparecer.


Número de usuarios únicos en cuyos equipos se detectaron
ataques del gusano Slammer

El líder del año pasado, Intrusion.Win.NETAPI.buffer-overflow.exploit, se desplazó a la segunda posición. Recordemos que este exploit está dirigido contra la vulnerabilidad MS08-067 que primero se usó en el gusano Kido, y después en el famoso gusano Stuxnet.

La mayoría de estos exploits han estado circulando en Internet por varios años. Las cifras de nueve dígitos de los intentos de infecciones simplemente muestran la enorme cantidad de ordenadores con conexión a Internet que permanecen desprotegidos.

Kaspersky Security Bulletin. Estadísticas 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada