Boletín de seguridad de Kaspersky

Las amenazas informáticas financieras en 2013. Primera parte: phishing

Introducción: dinero y riesgos en un mundo multidispositivo

Los delincuentes informáticos que se dedican al robo de dinero de las cuentas de los usuarios de las tiendas online, los sistemas de pago y los de banca en Internet están activos desde hace años. Sin embargo, durante largo tiempo el campo de acción de los estafadores financieros estaba limitado por una serie de factores, sobre todo por la relativa baja difusión de los sistemas de pago electrónicos.

En los últimos años el dinero electrónico ha venido haciéndose cada vez más importante. La comodidad y la ubicua disponibilidad de los sistemas de pago electrónicos y los servicios de banca por Internet atraen a una enorme cantidad de usuarios, y los reguladores de la esfera financiera y los bancos de muchos países están pensando seriamente en abandonar por completo el dinero en efectivo en los flujos de las economías nacionales y usar sólo operaciones de giro. La estadística obtenida en la encuesta realizada por la agencia B2B International en colaboración con Kaspersky Lab en 2013 confirma que la creciente popularidad de los pagos digitales son un hecho: el 98% de los encuestados informaron que usan con regularidad la banca en Internet, los sistemas de pago o hacen compras en las tiendas online.

La tendencia de migración a los sistemas de giro va acompañada por el aumento de la cantidad de dispositivos desde donde se realizan las transacciones financieras. Según los datos de la misma encuesta, los ordenadores de escritorio y los portátiles siguen siendo los principales dispositivos desde donde los usuarios interactúan con los servicios financieros: el 87% de los encuestados informaron que realizan operaciones con dinero electrónico usando este tipo de equipos. Pero la cantidad de dispositivos móviles usados para el mismo objetivos también es significativa: el 22% y 27% de los encuestados ejecutaron operaciones financieras mediante tabletas o smartphones.

Todas estas tendencias no quedaron sin la atención de los delincuentes. El galopante crecimiento de la cantidad de usuarios de toda suerte de sistemas de pagos electrónicos atrae a los delincuentes, que invierten cada vez más recursos en esquemas fraudulentos cuya realización permite obtener acceso primero a los datos financieros y después al dinero de los usuarios. A pesar de que los ataques financieros están entre los más complejos y caros de realizar, también son uno de los tipos de delito informático más lucrativos, porque si tienen éxito garantizan acceso directo al dinero de la víctima. Lo único que queda por hacer es robarlo y convertirlo en dinero en efectivo, mientras que por ejemplo, el autor de programas maliciosos o el dueño de una botnet usada para ataques DDoS o envíos de spam todavía tiene que encontrar clientes para sus servicios.

Kaspersky Lab tiene 16 años de experiencia en el desarrollo de medios de defensa contra todo tipo de ataques informáticos, incluidos los financieros. El proceso de desarrollo de estas tecnologías es imposible sin el constante y detallado análisis de nuevos ejemplares de malware, trucos de ingeniería social y otros instrumentos usados ampliamente por los delincuentes que se dedican al fraude informático. Una de las conclusiones más generales que se puede hacer según los resultados de este análisis es que, a diferencia de muchos otros tipos de ataque, los ataques maliciosos financieros, como regla, incluyen un conjunto de los medios más diversos: desde las páginas phishing que se parecen a las de instituciones financieras legítimas hasta el uso de vulnerabilidades en el software popular y programas maliciosos escritos a pedido.

Como los ataques financieros informáticos constan de varios componentes, el análisis de su influencia en el nivel de seguridad de los usuarios de Internet exige un enfoque multicomponente. Por esta razón, durante la elaboración del presente informe los expertos de Kaspersky Lab no sólo tomaron en consideración las amenazas para Windows, sino también las dirigidas a la plataforma OS X y Android; no sólo el malware “especializado”, sino también otros programas potencialmente capaces de robar datos financieros; no sólo programas troyanos peligrosos y difundidos, sino también ataques phishing que pueden servir como medios efectivos para obtener valiosos datos financieros. En la opinión de Kaspersky Lab, sólo este enfoque multifuncional permite alcanzar el objetivo de este informe -dibujar un cuadro de máxima amplitud del paisaje de las amenazas informáticas, dirigidas a las finanzas online y además, tratar de hacer una apreciación de la dimensión del peligro que implican estas amenazas informáticas.

Metodología del informe

En el informe se han usado datos enviados por los usuarios de Kaspersky Security Network, una red distribuida de infraestructura “en la nube” destinada al procesamiento inmediato de los datos sobre las amenazas con las que se han encontrado los usuarios de los productos de Kaspersky Lab. Kaspersky Security Network fue creada para enviar con la máxima rapidez información sobre las amenazas más nuevas a los usuarios de los productos de la compañía. Gracias a esta red, el intervalo entre la detección de una amenaza desconocida y el momento en que se agrega su descripción a la base de datos se mide en minutos. Otra función de Kaspersky Security Network es procesar datos estadísticos que no contienen información personal sobre las amenazas que llegan al equipo del usuario. Los usuarios envían los datos a Kaspersky Security Network de forma voluntaria. Los datos recibidos de estos usuarios son el fundamento de este informe.

En el marco del informe se ha tomado en cuenta la información sobre la cantidad de reacciones de los componentes de los productos de Kaspersky Lab que protegen contra el phishing (en las plataformas Microsoft Windows y Apple OS X), programas maliciosos (en la plataforma Windows) y programas maliciosos móviles (en la plataforma Google Android). Además, en los subsistemas de los productos de Kaspersky Lab que ofrecen esta posibilidad, también se tomó en cuenta la estadística de los usuarios atacados. Además, en el informe se analizan los datos sobre los territorios afectados por los ataques y su intensidad.

La investigación abarca todo el 2013 y para efectos de comparación se usan datos recopilados en 2012. Como objeto de investigación se escogió los blancos de las campañas de phishing – la cantidad de descargas bloqueadas de páginas falsas de sistemas de pago, sistemas de banca online, tiendas en Internet y otros objetivos financieros. Además, los expertos de Kaspersky Lab han seleccionado varias decenas de muestras de programas maliciosos creados con el objetivo específico de robar datos financieros y analizar su grado de propagación en el periodo estudiado.

Como en 2013 la moneda Bitcoin alcanzó un grado extremo de popularidad, los expertos de Kaspersky Lab han clasificado en una categoría aparte las amenazas vinculadas con la generación y robo de esta moneda y hecho un seguimiento de su evolución.

Principales hallazgos

Según los datos provenientes de los subsistemas de protección de los productos de Kaspersky Lab, en 2013 la cantidad de ataques financieros, ya sean phishing o mediante el uso de programas maliciosos, ha crecido notablemente.

Las principales cifras obtenidas durante la investigación son las siguientes:

  • el 31,45% de todos los ataques phishing en 2013 afectó al sector financiero
  • el 22,2% de los ataques se realizó mediante sitios falsificados de bancos; el porcentaje de phishing bancario se ha duplicado en comparación con 2012
  • el 59,5% de los ataques phishing bancarios explotaban los nombres de 25 bancos internacionales. El resto de ataques se repartió entre más de 1000 otros bancos.
  • el 38,92% de las reacciones de las tecnologías de defensa de Kaspersky Lab en equipos Mac ocurrieron al visitar páginas phishing “financieras”.

Más adelante en esta investigación analizaremos con más detalle la dinámica de los ataques, el territorio donde se realizan y la lista de blancos.

Amenazas phishing

El phishing o creación de copias falsificadas de sitios web para obtener los datos confidenciales de los usuarios es una amenaza informática bastante difundida. Esto está muy relacionado con el hecho de que para desarrollar una campaña phishing simple el delincuente informático no necesita tener conocimientos específicos de programación. Basta con saber crear páginas web. El principal objetivo del phishing es convencer a la víctima de que ha llegado a una página web verdadera y no falsificada. A menudo estos intentos tienen éxito y por esto las campañas de phishing se usan con frecuencia como principal instrumento para recibir información importante sobre los usuarios, y también como parte de un ataque complejo, para atraer usuarios al sitio web donde su dispositivo descargará programas maliciosos.

Como quedó claro en los resultados de nuestra investigación, las páginas phishing se usan con gran frecuencia en los ataques informáticos dirigidos a robar datos financieros a los usuarios. Pero antes de empezar el análisis detallado de estos ataques, será provechoso presentar el cuadro general de las amenazas phishing en 2013.

Ataques y usuarios

Los productos de Kaspersky Lab tienen cuatro subsistemas para proteger contra los ataques phishing. Las bases antiphishing (datos de descripciones detalladas de ficheros maliciosos) se almacenan en los dispositivos de los usuarios y contienen una lista de los enlaces más difundidos y activos en el momento de la publicación de la base de enlaces phishing. El segundo subsistema es una base antiphishing “en la nube”, a la que los productos de Kaspersky Lab recurren si el usuario se encuentra ante un enlace sospechoso, sobre el cual todavía no existe información en la base antiphishing local. La base “en la nube” se actualiza con más rapidez que las bases locales y está destinada a descubrir los ataques phishing más nuevos.

Además, en los productos de Kaspersky Lab funcionan dos sistemas automáticos de detección de enlaces y páginas phishing: el de correo y el de web. El sistema de correo analiza los enlaces contenidos en los mensajes de correo del usuario si éste trabaja con alguno de los programas de correo en su equipo (Microsoft Outlook, etc.). El sistema automático de detección en la web analiza todo lo que aparece en el navegador del usuario usando un conjunto de reglas heurísticas y es capaz de detectar páginas phishing absolutamente nuevas, sobre las cuales no hay información en ninguna base.

Para este informe Kaspersky Lab ha usado los datos recibidos sólo del sistema de detección web, ya que este, como regla, reacciona sólo si la información sobre la nueva página phishing está ausente en las bases de Kaspersky Lab y además, a diferencia de las bases locales y “en la nube”, permite determinar el objetivo del ataque phishing. Además, si las bases antiphishing son capaces de reconocer un ataque phishing sólo por la presencia de un enlace en el mensaje o en el resultado de búsqueda de Google, entonces el sistema automático de detección web reacciona en el momento en que el usuario sigue el enlace, es decir, en el momento cuando éste ya está parcialmente involucrado en el sistema de fraude preparado por los delincuentes.

Cuota del antiphishing web en el total de detecciones en 2013

Según los datos de Kaspersky Lab, en 2013 cerca de 39,6 millones de usuarios se toparon con páginas phishing. En comparación con 2012 esta cifra ha crecido un poco, en un 2,32%.

En total, desde todos los subsistemas de defensa antiphishing de Kaspersky Lab han llegado más de 600 millones de notificaciones sobre encuentros de nuestros usuarios con enlaces y páginas phishing. En 2012 esta cifra era similar. Al mismo tiempo, la cantidad de ataques bloqueados por el antiphishing web heurístico ha tenido un crecimiento notable en el mismo periodo, equivalente al 22,2%, es decir, de 270 millones en 2012 a 330 millones en 2013. Esto también guarda relación con el constante perfeccionamiento del sistema de detección heurística.

Territorio de los ataques

En 2013 la mayoría de los ataques phishing bloqueados por Kaspersky Lab fue en EE.UU.: los usuarios de este país fueron el blanco del 30,8% de los ataques. Le siguen Rusia (11,2% de los ataques) y Alemania (9,32%).

Los países más atacados en 2013

Aquí y más adelante presentamos datos de Kaspersky Security Network

En comparación con 2012 en el TOP de países más atacados han sucedido cambios significativos. Por ejemplo, la cantidad de ataques contra los usuarios de Rusia ha bajado en 9,19 puntos porcentuales y la de ataques contra los usuarios de EE.UU., por el contrario, ha tenido un aumento notable: del 17,56% en 2012 al 30,8% en 2013. Asimismo, ha aumentado en 3,49 puntos porcentuales la cantidad de ataques contra los usuarios de Alemania, del 5,83% al 9,32%.

Las causas de esta distribución geográfica de los ataques pueden ser varias. En los informes anteriores ya nos habíamos encontrado con la reducción de los ataques en una serie de países y el aumento en otros. En la reducción de la cantidad de ataques ha podido influir un factor como el del aumento de la intensidad de la lucha contra los delitos informáticos, la complicación del trámite de alta en el registro de nombres de dominio, etc. El crecimiento de la cantidad de ataques ha podido ser provocado por el aumento “natural” de la cantidad de usuarios de Internet y de algunos recursos web: redes sociales, tiendas en Internet, etc. Mientras mayor es la frecuencia con la que los usuarios de un país descargan páginas web, mayor será el riesgo de que se encuentren con páginas web.

Blancos

Como podemos ver en la figura de abajo, una gran parte de los ataques en 2013 estuvo dirigido a las redes sociales, cerca del 35,4%. Contra los blancos financieros (sitios web de bancos, sistemas de pago y tiendas en Internet falsificados) se lanzó el 31,45% de los ataques. En el tercer lugar con un 23,3% están los servicios de correo.

Blancos phishing en 2013

Merece la pena destacar que en comparación con 2012, la distribución de blancos por tipo ha sufrido serios cambios. La cantidad de ataques mediante páginas falsificadas de redes sociales ha crecido en 6,79 puntos porcentuales, hasta alcanzar el 35,39% y la de los ataques financieros, en 8,5%, hasta el 31,45%. Al mismo tiempo han disminuido los ataques mediante sitios falsificados de servicios de correo, en 10,5 puntos porcentuales, quedando en el 23,3% y de juegos online, del 3,14% en 2012 al 23,3% en 2013.

Blancos de los ataques phishing en 2012 y 2013

Es evidente que en 2013 en comparación con 2012 han tenido un crecimiento más notable los ataques financieros, lo que nos motiva a hacer un análisis más detallado de la dinámica de estos ataques.

Ataques financieros: una tendencia preocupante

En 2012 del 22,95% de los ataques phishing realizados contra todo tipo de servicios financiero, el 11,92% fue usando sitios web de bancos falsificados y de banca en Internet; el 5,66% fue mediante sitios de tiendas online y el 5,37% por medio de sitios de sistemas de pago.

Phishing financiero en 2012

Pero en 2013 hubo grandes cambios en la distribución dentro de la categoría Finanzas Online. La cantidad de phishing que apunta a los bancos casi se ha duplicado, alcanzando el 22,2%. Ha crecido un poco el índice de las tiendas en Internet, del 5,66% al 6,51%. En cambio, el índice de los sistemas de pago ha bajado en un 22,2%. La conclusión es evidente: los delincuentes están prestando cada vez más atención a los servicios de banca online, esta tendencia es una de las más claramente expresadas en la esfera de las amenazas phishing.

Blancos del phishing financiero en 2013

La tendencia también es clara si se echa un vistazo al phishing financiero aislándolo del resto de las categorías. En 2013 en páginas falsificadas de bancos ocurrió el 70,59% del total de reacciones del antiphishing web de Kaspersky Lab en la categoría Finanzas Online, mientras que un año antes el índice del phishing bancario en la repartición total de amenazas phishing era del 51,95%.

La cantidad de ataques contra las tiendas online ha bajado el 24,66% en 2012 al 20,71% en 2013 y la de ataques contra los sistemas financieros del 23,39% al 8,7%.

Phishing financiero en 2012 | Phishing financiero en 2013

Una mirada más cercana a los blancos del phishing financiero

Bancos

A pesar de que en las bases antiphishing de Kaspersky Lab hay más de mil denominaciones de bancos que fueron atacados o que por su popularidad están en riesgo de que los ataquen los delincuentes, la aplastante mayoría de todos los ataques phishing mediante páginas falsificadas de bancos explotaban los nombres de sólo 25 organizaciones bancarias.

Contra estos 25 bancos se lanzó cerca del 59,5% de los ataques “bancarios” en 2013. Pero vale decir que la mayor parte de esta lista son enormes corporaciones bancarias internacionales que funcionan en decenas de países por todo el mundo. Y es que mientras más popular es el nombre, es más fácil que los delincuentes lleven a los usuarios a un sitio falsificado que tenga el mismo nombre.

Ataques contra bancos en 2013

Sistemas de pago

Al igual que en los ataques contra bancos, en la distribución de ataques contra los sistemas de pago la fama del nombre juega un gran papel. Casi el 90% de los ataques phishing contra sistemas de pago se lanzó contra uno de los siguientes nombres internacionales: PayPal, American Express, MasterCard International, Visa y Western Union.

Ataques contra los sistemas de pago en 2013

PayPal, un sistema de pago que goza de una extrema popularidad en Internet también tiene una popularidad estable entre los delincuentes. Contra este sistema se lanzó el 44,12% de los ataques.

Ejemplo de página phishing que finge ser el sitio del sistema de pago PayPal

Una parte importante de los ataques se lanzó contra American Express, el 26,26%. Los delincuentes falsifican las páginas de los sistemas de pago MasterCard International y Visa Inc. con mucha menos frecuencia. Contra estos sistemas se lanzó el 11,63% y 6,36% de los ataques respectivamente.

Ejemplo de página phishing que finge ser el sitio del sistema de pago Visa

Tiendas online

No es el primer año que en la categoría “Tiendas online” el liderazgo lo tienen las páginas y enlaces phishing que mencionan la tienda online Amazon.com (61,11%).

Ejemplo de página de la tienda online Amazon falsificada, dirigida a los usuarios de Alemania

Al ser la tienda online más grande del mundo con una oferta enorme de bienes, muchos usuarios conocen Amazon y por esto, tiene una popularidad estable entre los delincuentes que crean páginas falsas.

Una parte significativa (12,89%) son ataques lanzados contra la marca Apple. Por lo general los delincuentes tratan de imitar las tiendas online de dispositivos Apple, de aplicaciones App Store, y de contenido iTunes Store.

Ataques contra las tiendas online en 2013

eBay está entre los blancos atacados por tradición (12%). Con cada vez mayor frecuencia se lanzan ataques contra la tienda online china Alibaba (4,34%) y en 2013 contra otra tienda online china más, Taobao (1,26%). Casi el 3% de los ataques contra las tiendas online se lanzó contra MercadoLibre.com, el análogo latinoamericano de eBay. Este diagrama muestra con claridad que el phishing financiero es un fenómeno internacional. Como podemos observar, pueden caer víctimas de los ataques no sólo los usuarios de habla inglesa, sino también personas cuyo idioma natal es el chino, español, portugués y muchos otros.

Profundizando en las dinámicas de los ataques

El campo de las actividades profesionales y la actividad de marketing de la empresa cuyo nombre usan los delincuentes en sus esquemas de phishing también influye en la cantidad de ataques.

Esta tendencia se hace patente en el gráfico de los ataques que usaron el nombre de la compañía Apple y sus productos.

Ataques que explotan el nombre de Apple en el segundo semestre de 2013

Durante casi todo el año la dinámica de las reacciones de defensa de las tecnologías de Kaspersky Lab ante las amenazas que explotaban la marca Apple lucía como una sucesión de picos y caídas entre las 1000 y 2500 reacciones por día, pero, como vemos en el gráfico anterior, en la historia de los ataques hubo dos picos máximos que coincidieron con la presentación de los smartphones iPhone 5s y 5c (10 de septiembre de 2013) y las tabletas iPad Air y iPad Mini con pantalla retina (22 de octubre de 2013).

En este caso la lógica es comprensible: los dispositivos Apple son siempre un tema candente en las noticias y discusiones en Internet y sobre todo lo son en las vísperas de las presentaciones de nuevos productos. Para el delincuente el uso de palabras clave “candentes” es un método trillado de atraer público a los sitios falsos y, como vemos en el gráfico, es un truco que funciona.

Apple no es el único blanco de los phishers, cuya cantidad de ataques cambia según las actividades de marketing de la compañía. A la par de los desastres naturales y de los grandes sucesos internacionales, su activa presencia en los medios de comunicación masivos y la discusión en Internet da un impulso para la aparición del así denominado phishing y spam temático, una actividad de campaña de marketing de un banco, tienda online u otra organización comercial o financiera puede convertirse en pretexto para el phishing.

La conclusión lógica para los bancos, sistemas de pago y otras organizaciones financieras que realizan campañas de marketing en Internet es simple: junto con la campaña de marketing hay que empezar una campaña de información a los clientes sobre las posibles amenazas informáticas.

Ataques contra OS X: primeros signos de una amenaza creciente

La cantidad de ataques maliciosos contra los dueños de ordenadores que funcionan con el sistema operativo OS X siempre ha sido varias veces menor que la cantidad de ataques contra los usuarios de Windows, lo que tiene una explicación muy sencilla: a pesar de que Apple promociona activamente sus ordenadores y portátiles Mac en todos los países del mundo, la cantidad de usuarios de estos dispositivos no tiene ninguna comparación con la cantidad de ordenadores con Windows. Llevados por la aspiración de recibir ganancias máximas, los delincuentes prestan más atención a los usuarios de Windows. Pero esta afirmación es justa sólo cuando se trata de programas maliciosos. El delincuente no tiene que hacer nada especial para atacar a los usuarios de Mac usando el phishing, ya que a pesar de que los sistemas operativos Windows y OS X tienen diferencias cardinales, que no permiten escribir programas maliciosos “universales” para ambas plataformas, los usuarios de PC y Mac descargan las mismas páginas web, con lo que las amenazas phishing propagadas por métodos de ingeniería social son tan vigentes para los usuarios de Mac, como para los de PC. Los resultados de la investigación realizada por Kaspersky Lab han confirmado este hecho.

Pero antes es necesario hacer una observación importante: por motivos técnicos, Kaspersky Lab tiene la posibilidad de recopilar datos estadísticos de los usuarios de Mac sólo desde noviembre de 2013 y toda la información de esta investigación relativa a Mac ha sido reunida en el periodo que abarca noviembre y diciembre de 2013. Y a pesar de que el periodo de observación no es muy largo, los datos obtenidos durante este tiempo permiten tener una idea del paisaje de las amenazas para la plataforma OS X y señalar las diferencias existentes con el cuadro general.

En 2013 el 7,8% de las reacciones de las tecnologías de defensa de Kaspersky Lab ha tenido lugar en los productos de la compañía para ordenadores Mac. Casi la mitad de todos los ataques se lanzó contra los usuarios de EE.UU. (47,55%), el 11,53% de los ataques se registraron en Alemania y el 5,47% en Inglaterra. También en la lista de los países más atacados han aparecido Suecia y Australia.

Países atacados con más frecuencia: usuarios de Mac

Las diferencias en la distribución de los ataques por país se pueden explicar por la difusión más amplia de los ordenadores Apple en estos países. Por tradición, EE.UU. y los países europeos desarrollados son los mayores mercados de venta de los dispositivos Apple.

En el periodo estudiado cerca del 38,92% de las reacciones del antiphishing web de Kaspersky Lab en los ordenadores Apple ocurrió en páginas phishing “financieras”, lo que es un 7,5% más que la participación “financiera” en el volumen total de los ataques. Al mismo tiempo la mayoría de los incidentes, el 29,86%, tuvo lugar cuando los usuarios llegaron a sitios falsificados de bancos, mientras que a las tiendas y subastas online les correspondió el 6,6% de las reacciones y el 2,46% a los sistemas de pago.

Phishing financiero: Mac

Las cifras dicen que los dueños de Mac se encuentran con los ataques phishing con la misma frecuencia que los de Windows y la probabilidad de convertirse en víctimas de ataques financieros es incluso mayor.

Así fue el año 2013 en la esfera del phishing financiero desde el punto de vista de los expertos de Kaspersky Lab. Y a pesar de que el phishing es una amenaza bastante difundida, cuando se trata de delitos informáticos, ocupa solo una pequeña parte del paisaje general de las amenazas informáticas financieras. El principal papel en esta esfera lo juegan los programas maliciosos financieros, software peligroso que a escondidas del usuario le roba sus datos de acceso a las cuentas online y su dinero. Sobre esto hablaremos en la siguiente parte del informe de Kaspersky Lab.

Las amenazas informáticas financieras en 2013. Primera parte: phishing

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada