Boletín de seguridad Kaspersky 2016. Panorama del año. Seguridad estadísticas generales de 2016

 Panorama del año

 Seguridad estadísticas generales de 2016

Introducción

Si se les pidiera que resumieran el 2016 en una sola palabra, muchas personas en todo el mundo, y particularmente en Europa y EE.UU., probablemente escogerían la palabra “impredecible”. En vista de ello, lo mismo podría aplicarse a las ciberamenazas en 2016: las masivas redes zombis compuestas por dispositivos conectados que paralizaron gran parte de Internet en octubre, el incesante hackeo de sitios web de alto perfil, el vaciado de datos, los robos millonarios a bancos mediante el sistema SWIFT, y mucho más. Sin embargo, la industria de la ciberseguridad ya había pronosticado varios de estos incidentes, en algunos casos hace ya varios años, y para ellos, probablemente el mejor término sería “inevitable”.

Para las ciberamenazas, 2016 fue el año en que el “tarde o temprano” se convirtió en “ahora”. #KLReport

Tweet

Por sobre todo, en 2016, el ransomware prosiguió su arrolladora marcha por todo el mundo con más familias nuevas de estos programas, más modificaciones, más ataques y más víctimas. Sin embargo, siempre hay un rayo de esperanza, como la nueva iniciativa colaborativa No More Ransom. Kaspersky Lab ha denominado a la revolución del ransomware su Historia del año 2016, y aquí puede leer más sobre su evolución e impacto.

En otro escenario del panorama de la ciberseguridad, los ataques específicos de ciberespionaje, los robos financieros, el “hacktivismo” y las redes vulnerables de dispositivos conectados jugaron un papel preponderante en este año tenso y turbulento.

Este resumen ejecutivo ofrece una visión general de las principales amenazas y estadísticas de 2016. Los detalles completos se incluyen en el complemento Panorama y Estadísticas.

También se considera lo que estas amenazas significan para las organizaciones que sufren ciberataques. ¿En qué medida están preparadas las compañías para, de forma proactiva, prevenir y mitigar una ciberamenaza? ¿Qué se puede hacer para ayudarlas?

Este año hemos aprendido seis cosas que no sabíamos antes:

1. La economía clandestina es más sofisticada y más amplia que nunca: xDedic, el mercado en las sombras

En mayo descubrimos una plataforma de comercio que operaba en las sombras del cibercrimen, llamada xDedic. xDedic hacía listas y facilitaba la compra-venta de credenciales robadas de servidores. Se ofrecían unos 70.000 servidores comprometidos, aunque evidencias posteriores indica que podrían haber sido hasta 176.000, pertenecientes a organizaciones en todo el mundo. En la mayoría de los casos, los propietarios legítimos no sospechaban que uno de sus servidores, zumbando en una sala o centro de datos, había sido atacado y que pasaba de un ciberpirata a otro.

xDedic no es el primer mercado clandestino, pero es un ejemplo de la creciente complejidad y sofisticación del ecosistema económico de los mercados negros.

2. El robo financiero más grande no afectó a bolsas de valores: las transferencias vía SWIFT

Uno de los ataques más serios en el 2016 utilizó la red interna bancaria, conocida como SWIFT (Society for Worldwide Interbank Financial Telecommunication). En febrero de 2016, unos hackers se valieron de las credenciales SWIFT de empleados del Banco Central de Bangladesh para enviar peticiones fraudulentas de transferencias al Banco de la Reserva Federal de Nueva York, solicitando la transferencia de millones de dólares a varias cuentas bancarias en Asia. Los hackers consiguieron transferir 81 millones de dólares a Rizal Commercial Banking Corporation en Filipinas, además de 20 millones a Banca Pan Asia. La campaña fue detenida cuando el banco detectó un error ortográfico en una de las peticiones. Aquí ampliamos la historia. En los meses siguientes nos enteramos de otros ataques contra bancos que utilizaban credenciales SWIFT.

Después del robo de 100 millones de dólares muchos bancos se vieron obligados a mejorar sus métodos de autenticación de software y SWIFT. #KLReport

Tweet

3. Esa infraestructura crítica es tremendamente vulnerable: los ataques de BlackEnergy

BlackEnergy merece un lugar en esta lista, aunque, estrictamente hablando, sucediera a fines de 2015. Sin embargo, sólo fue a principios de 2016 que este ataque alcanzó su máximo poder al atacar el sector energético de Ucrania. Este ataque fue único por los daños ocasionados. Entre estos están la suspensión del sistema de distribución eléctrica en el oeste de Ucrania, la eliminación de software en los sistemas atacados y el lanzamiento de un ataque de denegación de servicio distribuido (DDoS) contra los servicios de soporte técnico de las compañías afectadas. Kaspersky Lab ha apoyado la investigación de BlackEnergy desde 2010, entre otras cosas con un análisis de la herramienta utilizada para penetrar los sistemas atacados. Aquí se encuentra nuestro informe de 2016.

El ciberataque BlackEnergy contra el sector eléctrico de Ucrania reveló la vulnerabilidad de las infraestructuras críticas en todo el mundo. #KLReport

Tweet

Para ayudar a las organizaciones que trabajan con sistemas de control industrial (ICS) a identificar posibles puntos débiles, los expertos de Kaspersky Lab realizaron una investigación de las amenazas contra estos sistemas. Los resultados se publicaron en el Informe del escenario de amenazas contra sistemas de control industrial.

4. Los ataques dirigidos no siguen patrones: El APT ProjectSauron.

En 2016 descubrimos la APT ProjectSauron: un grupo de ciberespionaje posiblemente con posible apoyo gubernamental que ha estado robando datos confidenciales de organizaciones en Rusia, Irán y Ruanda, y probablemente otros países, desde junio de 2011. Nuestro análisis reveló algunas características notables, por ejemplo, que el grupo adoptaba técnicas innovadoras de otros grupos APT importantes, mejorando sus tácticas para permanecer oculto. Y lo más importante de todo es que las herramientas son diseñadas especialmente según el perfil de los blancos, reduciendo su valor como Indicadores de compromiso (IoCs) para cualquier otra víctima. Aquí se encuentra un resumen de los métodos existentes para enfrentar esta compleja amenaza.

La independencia de patrones de la plataforma de ciberespionaje ProjectSauron tiene implicaciones de largo alcance para algunos de los principios básicos de la detección de amenazas. #KLReport

Tweet

5. La publicación en Internet de grandes volúmenes de datos puede ser una táctica influyente: ShadowBrokers y otros vaciados de datos

En 2016 vimos significativos vaciados de datos en Internet. Quizás el más famoso es el realizado por un grupo autodenominado ShadowBrokers. Aparecieron en Internet el 13 de agosto afirmando estar en posesión de archivos pertenecientes al más reciente depredador APT, Equation Group. Nuestra investigación sugiere la existencia de similitudes entre los datos vaciados por ShadowBrokers y los utilizados por Equation Group. Los datos iniciales vaciados incluyen varios día cero desconocidos, y se reportaron otros vaciados en los últimos meses. El impacto a largo plazo de toda esta actividad aún es desconocido, pero ya ha revelado la enorme y preocupante influencia que estos vaciados de datos potencialmente tienen en la opinión pública y en la discusión.

En 2016 también se dieron fugas de datos en beautifulpeople.com, Tumblr, el foro de hackers nulled.io, Kiddicare, VK.com, Sage, the official forum of DotA 2, Yahoo, Brazzers, Weebly y Tesco Bank, por razones que van desde la búsqueda de lucro hasta chantajes contra la reputación personal.

Un ataque contra LinkedIn reportado en 2016 reveló el exagerado uso de la contraseña “123456”. #KLReport

Tweet

6. Una cámara puede ser parte de un ciberejército global: la inseguridad de Internet de las Cosas

Los dispositivos y sistemas conectados, desde casas y vehículos hasta hospitales y ciudades inteligentes, tienen el fin de hacer nuestras vidas más seguras y fáciles. Sin embargo, muchos se diseñaron y fabricaron sin pensar en la seguridad, y los compró gente que desestimaba la necesidad de protegerse con algo más que la configuración de seguridad original de fábrica.

El riesgo de conectar todo sin las medidas de seguridad necesarias, después de 2016 ¿es necesario decir algo más? #KLReport

Tweet

Como todo el mundo sabe, todos estos millones de dispositivos inseguros conectados son una poderosa tentación para los ciberpiratas. En octubre, unos atacantes usaron una red zombi con más de medio millón de dispósitivos domésticos conectados a Internet para lanzar un ataque DDoS contra Dyn, un proveedor de servicios DNS para Twitter, Amazon, PayPal, Netflix y otros. El mundo entró en shock, a pesar de que las advertencias contra la seguridad inestable de IoT ya habían estado circulando por bastante tiempo.

Por ejemplo, en febrero, demostramos con qué facilidad se podía encontrar un hospital, penetrar su red interna y controlar un dispositivo MRI, encontrar datos personales sobre pacientes y los procedimientos de sus tratamientos, y acceder al sistema de archivos del dispositivo MRI. En abril publicamos los resultados de nuestra investigación de, entre otras cosas, la vulnerabilidad de los sensores de tráfico urbano y las terminales inteligentes de boletos.

Los fabricantes tienen que trabajar junto a la industria de la seguridad para implementar la seguridad en el diseño de los dispositivos que fabrican #KLReport

Tweet

Otras amenazas destacadas

APTs ingeniosas

Al menos 33 países fueron atacados por APTs, reportadas por Kaspersky Lab #KLReport

Tweet

En febrero informamos sobre la Operación Blockbuster, una investigación conjunta entre varias compañías importantes de seguridad informática de las actividades del grupo Lazarus, una entidad altamente maliciosa responsable de la destrucción de datos.

Se cree que este grupo fue el responsable del ataque contra Sony pictures Entertainment en 2014 #KLReport

Tweet

Adwin es una herramienta de acceso remoto (RAT) multifuncional y multiplataforma que se distribuye abiertamente como un servicio pago de software malicioso ofrecido a los usuarios. Posee la dudosa fama de ser una de las plataformas de programas maliciosos más grandes actualmente, con unos 1.800 clientes a fines de 2015.

Los programas que Adwind alquila tenían una base de 1.800 clientes #KLReport

Tweet

Las APTs en todas partes siguieron aprovechando al máximo el hecho de que no todos instalan inmediatamente las actualizaciones de programas. En mayo informamos que al menos seis grupos diferentes en las regiones Asia-Pacífico y Lejano Oriente, incluyendo los recientemente descubiertos Danti y SVCMONDR, estaban explotando la vulnerabilidad CVE-2015-254. Esta falla permite que un atacante ejecute códigos arbitrarios mediante un archivo de imagen EPS especialmente diseñado. En 2015 se había publicado un parche para esta vulnerabilidad.

Más de seis grupos de APT utilizaban la misma vulnerabilidad, reparada en 2015 #KLReport

Tweet

Nuevos día cero

Los días cero siguieron siendo el premio gordo para muchos grupos APT.

En junio informamos sobre una campaña de ciberespionaje lanzada por un grupo llamado ScarCruft, conocido como Operation Daybreak, que utilizaba un exploit hasta entonces desconocido para Adobe Flash Player (CVE-2016-1010). Luego, en septiembre descubrimos un día cero para Windows: CVE-2016-3393, que estaba siendo utilizado por la APT FruityArmor para lanzar ataques selectivos.

En resumen, las nuevas tecnologías de Kaspersky Lab diseñadas para identificar y bloquear estas vulnerabilidades nos ayudaron a descubrir cuatro días cero en 2016. Las otras dos son una vulnerabilidad para Adobe Flash (CVE-2016-4171) y un exploit de escalada de privilegios (EoP) para Windows CVE-2016-0165.

A la caza del lucro financiero

Engañar a la gente para que revele su información personal o instale un programa malicioso que captura los datos de sus cuentas de banca en línea se mantuvo como una opción popular y exitosa para los ciberpiratas en 2016. Las soluciones de Kaspersky Lab bloquearon intentos de ejecución de estos programas maliciosos en 2.871.965 dispositivos. La proporción de los ataques contra dispositivos Android se cuadruplicó.

Un tercio de los ataques de programas maliciosos contra la banca ahora apuntan a los dispositivos Android #KLReport

Tweet

Algunos grupos APT también mostraron más interés en el lucro financiero que en el ciberespionaje. Por ejemplo, el grupo responsable de Metel se infiltró en las redes corporativas de bancos para automatizar la reversión de las transacciones en cajeros automáticos, de manera que los ciberpiratas pudieran utilizar repetidamente las tarjetas de débito para robar dinero desde cajeros automáticos sin afectar el saldo en la tarjeta. A fines de 2016, este grupo se mantiene activo.

Metel lanzaba ataques selectivos contra bancos y luego enviaba equipos a los cajeros automáticos durante la noche para retirar el efectivo #KLReport

Tweet

En junio, Kaspersky Lab apoyó a la policía rusa en su investigación del grupo Lurk. Esta colaboración dio como fruto el arresto de 50 sospechosos de estar involucrados en la creación de redes zombis y en el robo de más de 45 millones de dólares desde bancos locales, otras instituciones financieras y organizaciones comerciales.

Durante la investigación, los investigadores detectaron que los usuarios atacados por Lurk tenían instalado en sus equipos el programa de administración remota Ammyy Admin. Esto condujo al descubrimiento de que el sitio web oficial de Ammyy Admin estaba probablemente infectado, y el troyano se descargaba en los equipos de los usuarios junto con el programa Ammyy Admin legítimo.

El desmantelamiento de este grupo fue el mayor arresto de hakers en la historia de Rusia #KLReport

Tweet

El último eslabón vulnerable: la gente

En 2016 también descubrimos que las campañas de ataques dirigidos no necesitan ser técnicamente avanzadas para tener éxito. Los seres humanos, desde desafortunados empleados hasta infiltrados maliciosos, a menudo fueron la ruta más fácil de acceso para los atacantes y sus herramientas.

En julio se informó sobre un grupo llamado Dropping Elephant (también conocido como “Chinastrats” y “Patchwork”). Mediante una ingeniería social de alta calidad, combinada con códigos de exploits antiguos y algunos programas maliciosos basados en PowerShell, el grupo logró robar datos críticos de organizaciones diplomáticas y económicas de alto perfil relacionadas con las relaciones exteriores de China.

Dropping Elephant y Operation Ghoul confirmaron el aterrador poder de la ingeniería social de alta calidad #KLReport

Tweet

Además, la Operación Ghoul enviaba mensajes de correo spear- phishing que simulaban provenir de un banco en los EAU dirigidos gerentes de nivel medio de numerosas compañías. Estos mensajes ofrecían asesoría del banco y tenían adjunto un documento SWIFT falso que contenía un programa malicioso.

Publicidad móvil

Las principales amenazas móviles en 2016 fueron los troyanos publicitarios capaces de obtener derechos de root o de superusuario en un dispositivo Android infectado; este nivel de acceso les permitía hacer lo que se les antojara. Esto incluía ocultarse en la carpeta del sistema, lo que imposibilitaba su eliminación, e instalar y ejecutar en total sigilo diferentes aplicaciones que mostraban agresivamente avisos publicitarios. Incluso pueden comprar nuevas aplicaciones desde Google Play.

22 de los 33 troyanos más populares en 2016 son troyanos publicitarios; esta cifra duplica a la de 2015 #KLReport

Tweet

Muchos de estos troyanos se distribuyeron mediante Google Play Store; algunos se instalaron más de 100.000 veces, y uno de ellos, una aplicación infectada de una guía de Pokemon GO se instaló más de 500.000 veces.

Los programas maliciosos que se distribuyen en Google Play se han descargado cientos de miles de veces #KLReport

Tweet

Un troyano para Android se instalaba e incluso actualizaba como una aplicación “limpia” (libre de programas maliciosos) antes de atacar a objetivos con una versión infectada. Otros, incluyendo Svpeng, usaban la red de avisos publicitarios Google AdSense para propagarse

Además, algunos troyanos encontraron nuevas formas para ignorar las funciones de seguridad de Android (en particular las pantallas flotantes y la necesidad de pedir permiso antes de abrir una nueva aplicación), obligando al usuario a conceder los derechos de acceso que el troyano pretendía.

Los programas ransomware móviles también evolucionaron para usar las pantallas flotantes y, en vez de codificar los datos, bloquearlos, ya que estos suelen tener copia de respaldo.

Para conocer más estas historias, descargue aquí el informe anual completo.

Para obtener las estadísticas completas de 2016, debe registrarse aquí para descargar el informe de estadísticas.

El impacto en las compañías. El panorama de amenazas de 2016 señala la creciente necesidad de la inteligencia de seguridad

El Boletín de seguridad de 2016 de Kaspersky Lab destaca el aumento de las amenazas complejas y dañinas contra la ciberseguridad, muchas de las cuales tienen un impacto de largo alcance en las compañías. Este impacto también se ve reflejado en nuestros informes de riesgos de seguridad informática corporativa (1, 2) basados en una encuesta a más de 4.000 empresas en todo el mundo llevada a cabo en 2016.

Entre otras cosas, esta encuesta preguntaba a las compañías acerca de la medida más importante de detección de incidentes y su respuesta: el tiempo.

El tiempo de detección de incidentes es crucial

Resultados de este estudio nunca antes publicados muestran que el tiempo típico requerido para detectar un evento de seguridad informática es de varios días; el 28,7% de las compañías encuestadas respondió que eso era lo que tardaban en detectar una falla de seguridad.

Tiempo requerido para detectar un evento de seguridad informática

Sólo el 8,2% de las empresas consultadas lograba detectar fallas de seguridad casi de forma inmediata, mientras que el 19,1% tardaba varias semanas en detectar un evento de seguridad serio. Cuando preguntamos cómo llegaban a detectar una falla de seguridad prolongada, las respuestas fueron reveladoras.

Más allá de la prevención

iempo promedio requerido para detectar un evento de seguridad, entre todos los eventos de seguridad
en los últimos 12 meses

Este cuadro combina el tiempo promedio para descubrir un evento de seguridad con las respuestas que recibimos sobre cómo las compañías detectan una brecha en sus sistemas. Aparentemente, a las empresas les cuesta detectar rápidamente una falla de seguridad, y llegan a detectarlas mediante una o más de las siguientes formas: auditoría de seguridad interna o externa, o lamentablemente la notificación de una tercera parte.

Resulta que para estas compañías una auditoría de seguridad de cualquier tipo es el mejor “último recurso” para detectar la falla. Pero, ¿debería ser el último recurso?

Es aquí donde nuestro estudio detecta una discrepancia obvia entre la teoría y la práctica. Aunque el 65% de las compañías admite que una auditoría de seguridad es una medida efectiva de seguridad, menos de la mitad (48%) de las empresas encuestadas han realizado una auditoría en los últimos 12 meses. Además, el 52% de las compañías opera bajo el supuesto de que su seguridad informática inevitablemente se verá comprometida en algún momento, aunque el 48% no aceptan este punto. En resumen: muchas compañías encuentran difícil adoptar una estrategia estructurada de detección y respuesta.

El costo del retraso

Resulta claro asumir que cuanto más se tarde en detectar una falla de seguridad, mayores serán los costos de mitigación y los daños potenciales. Los resultados revelan la impactante verdad de que un retraso de algunos días en descubrir una falla resulta en, al menos, la duplicación de los costos.

Costo de recuperación versus tiempo requerido para descubrir una falla de seguridad en empresas

Un ataque que pase desapercibido durante una semana o más le cuesta a una empresa 2,77 veces más que si la falla se hubiese descubierto al instante. Las pequeñas y medianas empresas terminan pagando 3,8 veces más para recuperarse de un incidente detectado muy tarde.

Resulta claro que una mejor detección reduce significativamente los costos empresariales. Pero implementar estrategias de detección y respuesta es bastante diferente a asegurar una protección adecuada. La última permite elegir entre varias soluciones corporativas bien establecidas. La primera requiere inteligencia de seguridad, conocimiento profundo del escenario de amenazas y talentosos expertos en seguridad capaces de aplicar esa experiencia para los requerimientos específicos de cada compañía. Según nuestro informe especial de Riesgos de seguridad informática corporativa, las empresas que se resisten a contratar a expertos en seguridad terminan pagando el doble para recuperarse tras un incidente.

La solución de Kaspersky Lab: convertir la inteligencia en protección

En 2016, Kaspersky Lab amplió significativamente su portafolio con productos como Kaspersky Anti-Targeted Attack Platform y servicios de seguridad como Penetration Testing y Threat Data Feeds, para responder a la necesidad de los clientes de contar con mejor detección y respuesta. Nuestro plan consiste en ofrecer inteligencia de seguridad mediante cualquier medida que sea necesaria: con tecnología para detectar amenazas dirigidas, servicios para analizar y responder ante eventos de seguridad, e inteligencia que ayude a investigar adecuadamente un evento de tal naturaleza.

[youtube https://www.youtube.com/watch?v=9myhQw1exTE&w=560&h=315]

Apreciamos que muchas compañías asuman el desafío de ir más allá de la prevención. Pero incluso un solo ataque dirigido que se detecte inmediatamente y se mitigue rápidamente ya compensa la inversión, además de aumentar las posibilidades de que un próximo ataque contra la infraestructura corporativa sea completamente neutralizado.