Desarrollo de las amenazas informáticas en el tercer trimestre de 2011

Panorama de la situación

Dile adiós a tu negocio:la irrupción en Diginotar

En agosto en uno de los foros de Google un usuario escribió que su navegador le había advertido sobre un certificado sospechoso de google.com.Pero el usuario aseguraba que el certificado tenía la apariencia de uno legal.Este mensaje hizo que empezara la investigación del hackeo del centro de certificación DigiNotar, que permitió a los delincuentes expedir 531 certificados falsos.Estos pueden usar los certificados SSL de los sitios web para obtener acceso a los datos que se transmiten a o desdeestos sitiosmediante conexiones cifradas.

Los hackers irrumpieron en los servidores de DigiNotar en julio de 2011.La fecha se puede deducirporque el primer certificado falso fue expedido el 10 de julio de 2011.Según las declaraciones de DigiNotar, el 19 de julio los empleados de la compañía descubrieron la invasión y tomaron medidas para anular los certificados expedidos.La compañía consideró que estas medidas eran suficientes y decidió no hacer público el incidente.Esta decisión tuvo consecuencias nefastas:como los empleados no fueron capaces de detectar y anular todos los certificados falsos, los delincuentes los pudieron usar para organizar ataques contra los usuarios.

El hackeo de DigiNotar tuvo dimensiones más grandes que un caso similar, el de la publicación de certificados en nombre del centro de certificación Comodo.Entre los recursos atacados por los delincuentes estaban órganos gubernamentales de diferentes países, grandes compañías de servicios en Internet como Google, Yahoo, Tor, Mozilla y los sitios de una serie de otras compañías.

Como ya hemos mencionado, los delincuentes expidieron 531 certificados falsos para diferentes sitios.Entre los certificados estaban algunos de los sitios de los servicios de inteligencia de EE.UU. (CIA), Israel (Mossad) y Gran Bretaña (Mi6).Por supuesto, en el tráfico de los sitios web públicos de los servicios de inteligencia no se transmite ninguna información secreta.Por eso no está claro cuáles son los verdaderos objetivos de los delincuentes en estos casos.

El gobierno de Holanda usaba los servicios del centro de certificación de DigiNotar.Los certificados de DigiNotar se usaban en una serie de servicios, como el sistema de registro de automóviles y licencias de conducir (RDW), el registro de bienes inmuebles, el servicio de impuestos, etc.Después de la irrupción en los servidores de DigiNotar, los órganos estatales de Holanda se vieron obligados a abandonar los servicios de la compañía y anular los certificados.Como resultado, se tuvo que reconfigurar muchos sistemas para que funcionen con nuevos certificados, lo que para una parte de los clientes representó interrupciones en el trabajo.

De hecho, este ataque demostró que con la ayuda de certificados falsos se puede detener el trabajo o comprometer los sistemas que tienen conexión directa con la economía del país y los órganos de poder del estado.

Para DigiNotar la historia terminó con una declaración de bancarrota voluntaria.Junto con la pérdida de confianza se fue también todo el negocio de la compañía.Cabe destacar que este no es el primer caso en que las compañías, debido a las acciones de hackers, se ven obligadas a abandonar sus negocios.Por ejemplo, la compañía BlueFrog, que en 2006 abandonó el negocio de antispam debido a ataques DDoS masivos contra sus servidores, que provocaron grandes desperfectos en sus servicios.El hackeo en 2010 de HBGary Federal por el grupo Anonymous provocó la anulación del contrato de venta de la compañía, porque como resultado de las acciones de los delincuentes su valor se redujo significativamente.Este año el proveedor australiano distribute.IT perdió todos sus datos como consecuencia de ataques de hackers.La única salida que le quedó fue ayudar a los clientes que perdieron sus sitios y correo a pasarse a otro proveedor y cerrar su negocio.

Por supuesto, no todas las grandes irrupciones terminan de una forma tan dramática.Las historias de Sony, RSA y Mitsubishi muestran que después de los hackeos se puede seguir a flote.Pero para las grandes compañías es mucho más fácil recuperar su reputación que para las pequeñas.Para las pequeñas organizaciones la seguridad informática es uno de los factores que determinan su capacidad vital.Y si nadie se ocupa de ella, el resultado puede ser la clausura del negocio.

Queda por mencionar otro aspecto importante.La intrusión en DigiNotar es la segunda historia de hackeo de centros de certificación este año.Y esto a pesar de que las compañías que expiden certificados SSL raíz tienenla obligación de pasar titularización y auditoría de seguridad.Pero, por desgracia, el nivel de seguridad de los centros de certificación DigiNotar y Comododejaban mucho que desear.Pero los demás centros ¿están mejor protegidos?El caso de la bancarrota de DigiNotar debe convertirse en una señal para hacer más estrictas las políticas de seguridad de las demás compañías que participan en este mercado.

Vendemos aire caro. Los profesionales se interesan por Bitcoin

La posibilidad de generar dinero “de la nada”, y a costa de equipos ajenos es más que interesante para los delincuentes.Los primeros programas maliciosos dedicados al robo o generación de dinero en el sistema Bitcoinsedescubrieron en el segundo trimestre de 2011.Sin embargo, no se caracterizaban por su complejidad y no se difundieron mucho.En el tercer trimestre la situación cambió.Hemos registrado varios incidentes que testifican que la idea de generar dinero “de la nada” ha interesado a los delincuentes informáticos.

En agosto nuestra compañía, en colaboración con Arbor Networks descubrió el programa malicioso Trojan.Win32.Miner.h, cuyo principal objetivo era crear redes P2P.El análisis de la red mostró que se componía de por lo menos 38.000 equipos en Internet.La mayor parte de los ordenadores de hoy en día utiliza routers y otros dispositivos de red, por eso esta red puede ser mucho mayor.Y los delincuentes pueden usar esta impresionante botnet para generar monedas Bitcoin.El bot instala al mismo tiempo tres programas para generar Bitcoin (Ufasoftminer, RCP miner y Phoenix miner) que se conectan a los pool de Bitcoin ubicados en diferentes países del mundo.

El segundo caso de uso de Bitcoin para generar dinero fue el de la mucho mayor botnet TDSS.A principios de agosto los bots de TDSS empezaron a recibir un nuevo fichero de configuración, donde se indicaba el minery el pool de Bitсoin con el nombre y contraseña del asignatario.Pero este método no resultó muy acertado para los delincuentes:como el nombre, contraseña y pool Bitсoin se indican en el fichero de configuración, la estafa se puede descubrir con bastante rapidez.La solución de este problema no se hizo esperar mucho tiempo.En Internet existe software de código libre para crear pools propios, llamado pushpool.Los delincuentes lo usaron, configurándolo como un proxy server.Al conectarse a este servidor proxy, los bots de TDSS reciben nombres y contraseñas aleatorios de usuarios del pool Bitсoin y empiezan a generar dinero.Pero el verdadero nombre del usuario y nombre del pool Bitсoin se guardan en el servidor proxy y todas las transacciones se realizan mediante el mismo.Por desgracia, el uso de este esquema impide que los investigadores averigüen en qué pool Bitсoin se generan las monedas, y en qué cantidad.Según nuestros datos, sólo en el primer trimestre de 2011 TDSS infectó 4,5 millones de equipos en todo el mundo.Más de una cuarta parte de estos equipos se encuentran en EE.UU., donde los dispositivos se renuevan con gran frecuencia.Es evidente:los dueños de TDSS cuentan con grandes recursos informáticos, cuyo volumen sigue creciendo.

Hacemos notar que este esquema de monetización tiene una peculiaridad: las ganancias de los delincuentes dependen del tipo de cambio de la divisa.Así, la botnet basada en Trojan.Win32.Miner.h a principios de agosto empezó a instalar también botsDDoS.Justo en aquellas fechas las ganancias generadas por las monedas Bitcoin debían ir a la baja, causada por la significativa modificación del tipo de cambio:a principios de agosto una moneda Bitcoin se cotizaba en 13 dólares, y a finales de septiembre, en 4,8.

Los datos personales de 3/4 de la población de Corea caen en manos de los hackers

Uno de los incidentes que tuvo más resonancia en el tercer trimestre de 2011 fue el robo de los datos de 35 millones de usuarios de la red social coreana CyWorld.Los habitantes de Corea suman 49 millones, y después de un sencillo cálculo queda claro que en manos de los hackers cayeron los datos (nombres, apellidos, direcciones de correo, números de teléfono, etc.) de casi tres cuartos de la población del país.Semejante fuga de datos ocurrió como resultado del hackeo de los servidores de la compañía SK Telecom, propietaria del sistema Nibu y la red social CyWorld.

¿Qué consecuencia puede tener este robo?En primer lugar, envíos masivos de spam y ataques phishing dirigidos a las víctimas.Los delincuentes cibernéticos también pueden usar la información obtenida para averiguar secretos, tanto personales, como de las compañías en las que trabajan los usuarios.También estuvieron amenazados muchos sistemas de seguridad que dependen de los datos personales, sobre todo los sistemas bancarios.Además, los datos personales robados tienen gran demanda en el mercado negro y los compran los delincuentes que se dedican a falsificar documentos.

Y ahora imaginémonos que este peligro amenaza a tres cuartos de la población de un país entero.Merece la pena mencionar que antes de esta fuga de datos, en Corea el estado luchaba contra el anonimato en Internet y los usuarios tenían que indicar sus datos reales si querían publicar cualquier tipo de información en sitios web de gran concurrencia.Después de tan grande fuga, el gobierno de Corea decidió cambiar su política y volver a propiciar el anonimato en Internet.

Desarrollo de las tecnologías de camuflaje:infección del BIOS

Bien se sabe que todo lo nuevo es lo antiguo, pero bien olvidado.Este dicho le va bien a la tecnología de infección del BIOS y el nuevo troyano que la usa, Backdoor.Win32.Mebromi.

Han pasado más de diez años después de la epidemia CIH, también conocida como Chernobyl, uno de los virus más conocidos del mundo, que también infectaba el BIOS.¿Por qué justo ahora los escritores de virus se han acordado de la infección del MBR y el BIOS?La respuesta a esta pregunta está en las tecnologías de protección contra el código malicioso.Las nuevas funciones de los sistemas operativos modernos, como la posibilidad de instalar sólo los drivers de fabricantes de confianza, la verificación de la integridad de los drivers, etc. hacen que sea bastante difícil instalar rootkits en un sistema en funcionamiento.Por esto, los escritores de virus han tenido que buscar la posibilidad de instalar sus programas antes del inicio del SO.

Fig. 1. Proceso estándar del inicio del SO

Como vemos en el esquema, entre el pulsar el botón de encendido y el inicio del SO hay varias etapas en las que tratan de introducirse los delincuentes.El crecimiento del porcentaje de sistemas operativos de 64 bits, como habíamos pronosticado, ha provocado el aumento del número de bootkits, programas maliciosos que infectan el MBR.Pero los fabricantes de antivirus han aprendido con bastante rapidez a luchar contra este tipo de infección.Para iniciar sus programas maliciosos en una etapa más temprana, el único paso que les quedaba a los delincuentes era infectar el BIOS.

El malware Backdoor.Win32.Mebromi consta de varias partes:el instalador, el rootkit, el cargador de MBR con funciones de virus de fichero y el cargador del BIOS.Ahora nos interesa el código que se agrega al BIOS.Sus acciones son pocas: verificar si está infectado el MBR y si no lo está, infectarlo.Más adelante el programa malicioso actúa según el esquema común del bootkit, a pesar de que teóricamente la infección del BIOS puede dar muchas más posibilidades al código malicioso.

Si damos un vistazo a la lista de documentos, no es fácil descubrir dónde está la “carga útil”.En realidad, toda la compleja tecnología se aplica con un solo objetivo:descargar un fichero de Internet sin que el usuario se dé cuenta y después camuflarlo.Un código agregado por el cargador MBR a los ficheros del sistema wininit.exe (2000) o winlogon.exe (XP/2003) responde de la descarga desde Internet.En realidad es el fichero descargado desde Internet (Trojan-clicker) el que les da dinero a los delincuentes.

¿Porqué Mebromi hace tan poco?Al parecer, esto guarda relación con el hecho de que el programa malicioso ha sido armado por partes y se basa en un conocido concepto de infección del BIOS, presentado en 2007.Por lo visto, esto también explica el que se infecten sólo los BIOS de la compañía AWARD, lo que coincide con el código de PoC.

¿Habrá que esperar el subsiguiente desarrollo de estas tecnologías?En este momento la respuesta a esta pregunta es más bien negativa, porque el desarrollo de estos programas maliciosos se topará con muchos problemas.Actualmente, el porcentaje de ordenadores con AWARD BIOS no es tan grande y una gran cantidad de placas madre usa BIOS de otros fabricantes.Los entusiastas pueden probar crear algo parecido a Mebromi para otras placas.Pero escribir un código universal, que infecte todos los tipos de BIOS es una tarea que está lejos de ser trivial, porque los BIOS de diferentes fabricantes tienen diferente tamaño y diversos componentes.Además, la memoria para almacenar el BIOS no es tan grande, así que el código malicioso puede no entrar en esta memoria.Por otra parte, ahora se está desarrollando activamente un nuevo formato que reemplazará al BIOS, denominado UEFI.Lo más probable es que este último sea un blanco más interesante para los escritores de virus.

La defensa contra este tipo de programas maliciosos puede resultar una tarea difícil.Los antivirus pueden resolver este problema, porque son capaces de escribir datos en el BIOS y, por lo tanto, borrar los datos “superfluos”.Sin embargo este tratamiento exige especial cuidado, porque un error puede hacer que sea imposible encender el ordenador.Por otra parte, después del virus CIH, han aparecido placas madres con dos microchips de BIOS.Estas placas guardan en un chip aparte una copia del BIOS y pueden repararlo si es necesario.

Malware móvil. ¿Qué nos depara el futuro?

>Estadística

Ha quedado atrás el tiempo cuando la creación de virus para plataformas móviles estaba limitada y contenida por la gran cantidad de marcas y sistemas operativos presentes en el mercado de dispositivos móviles.Como muestra nuestra estadística, los delincuentes cibernéticos han hecho su elección: ahora la mayoría del malware se crea para Android OS.Durante el tercer trimestre hemos agregado más de seiscientas firmas para detectar diferentes programas maliciosos escritos para esta plataforma.

Cantidad de firmas agregadas para la detección de malware para diferentes plataformas,
1-er, 2-do y 3-er trimestre de 2011

En el segundo lugar está el malware para J2ME, que en su mayoría se crea en el territorio de China y el espacio postsoviético.

El malware para Symbian poco a poco va desapareciendo:en los tres primeros trimestres de 2011 sólo una décima parte de todos los nuevos programas maliciosos eran para esta plataforma.

En lo que se refiere a iOS, no se ha detectado malware con carga destructiva para esta plataforma.A nuestras bases llegan sólo exploits que permiten burlar el sistema de seguridad e instalar y ejecutar cualquier código.Pero los escritores de virus no se apresuran en usar estas posibilidades, porque para usar el exploit hay que inducir al usuario a que visite el sitio web desde donde se hará el ataque.En general, los ataques contra los usuarios de iOS son una tarea más morosa y compleja que los lanzados contra los dueños de Android u otros smartphones más simples.

El malware para Android lidera

En el último trimestre el porcentaje de malware para Android ha crecido significativamente y alcanzado el 40% de todo el malware para móviles descubiertos en 2011.El análisis de los programas maliciosos para Android ha mostrado que la principal causa de este crecimiento no ha sido la creación de malware completamente nuevo, sino la aparición de una enorme cantidad de programas bastante simples con funciones de robo de datos, envío de SMS de pago y registro obligado a servicios de pago.Estos programas se parecencomo dos gotas de agua al malware ya conocido, pero para la plataforma J2ME.Su producción se ha organizado en dimensiones industriales:cada día se producían automáticamente nuevos programas, los bien diseñados programas para J2ME cambiaban su domicilio de los moralmente caducos dispositivos a los dispositivos con Android.

La migración de programas ocurre mediante la conversión de ficheros jad (J2ME) en apk/dex (Android OS).Desde el punto de vista técnico es una tarea sencilla y en Internet hasta existen servicios online que permiten ejecutarla.Gracias a estos servicios de conversión los escritores de virus han podido adaptar sus criaturas para que funcionen en el nuevo entorno casi sin incurrir en gastos.

Es importante mencionar que el sistema de seguridad de Android podría proteger a los usuarios contra los primitivos troyanos, sino fuera por una razón:durante la instalación del programa los usuarios permiten al programa ejecutar todas las funciones de la lista propuesta, lo que lleva a tristes consecuencias como el vaciado de la cuenta telefónica.

Pero los delincuentes no se limitan a crear una gran cantidad de malware para Android.En el anterior informe ya mencionamos que el desarrollo de la situación de las amenazas móviles recuerda mucho a la historia de Windows.Los delincuentes usan activamente en las nuevas plataformas técnicas ya comprobadas.Hemos descubierto casos de ataques específicos contra dispositivos Android.Como es fácil adivinar, se usó el método de determinación del tipo de dispositivo y sistema operativo mediante el campo user-agent enviado por el navegador al visitar páginas web.El mismo truco se usa con frecuencia en diferentes paquetes de exploits.

La banca online y los troyanos móviles

Nosotros suponíamos que los delincuentes iban a buscar nuevas formas de ganar dinero con el malware para Android, y no hemos tenido que esperar mucho.En julio se descubrió un troyano de la familia Zitmo (zeus-in-the-mobile) para Android, que, trabajando conjuntamente con su hermano de escritorio Trojan-Spy.Win32.Zeus, permite a los delincuentes burlar el sistema de autorización de dos factores usado en varios sistemas de banca en Internet.

Al usar el sistema de autorización de dos factores hay que confirmar cada transacción o entrada en el sistema con un código que el banco envía al teléfono celular.Sin estos códigos los delincuentes no pueden robar dinero de las cuentas del usuario, incluso si pueden obtener acceso a las mismas mediante troyanos como ZeuS o SpyEye, que roban logins y contraseñas.

Todo el sistema de autorización de dos factores se basa en la suposición de que los delincuentes no pueden recibir los códigos enviados por el banco al teléfono móvil del cliente.Sin embargo, esto no es así cuando ZeuS y ZeuS trabajan juntos.

ZeuS, que actúa junto con Zitmo, al infectar el ordenador no sólo roba datos personales al usuarios, sino que también lo induce a instalar el troyano en el teléfono.Al ingresar en el sistema de banca online, aparece un mensaje sobre la necesidad de descargar una aplicación móvil, supuestamente para garantizar la seguridad de las transacciones online.Bajo la apariencia de un programa legal, TrusteerRapport se instala en el teléfono el troyano Trojan.AndroidOS.Zitmo.

Después de penetrar en el teléfono, Zitmo empieza a remitir todos los SMS entrantes al servidor de los delincuentes.Entre estos SMS están los que el banco envía para la autorización de las transacciones y la entrada en el sistema.Y estos son justo los códigos que necesitan los delincuentes.Habiendo recibido mediante ZeuS el login y contraseña de la banca online, pueden usar los códigos recibidos por SMS para confirmar las transacciones y enviarse dinero a sus cuentas.

Vale decir que el troyano Zitmo también se propagaba mediante Google Market, desde donde se lo descargó casi 50 veces.Esta propagación tan pequeña muestra que los delincuentes están perfeccionando una nueva tecnología, pero por el momento no en grandes dimensiones.Existen otras maneras de burlar la autorización en la banca online mediante teléfonos móviles, por ejemplo, cambiando el número de teléfono indicado en la configuración, algo que también están probando los delincuentes.En realidad, el desarrollo futuro de los troyanos móviles para móviles depende de quémétodo de burlar la autorización sea más efectivo.

Malware en cuadritos

La última trama, que no podemos dejar de mencionar en esta sección, es que Kaspersky Lab ha detectado un programa de afiliados que se dedica a propagar programas maliciosos mediante códigos QR.

En esencia, el código QR recuerda el código de barras, con la única diferencia de que tiene más capacidad de almacenamiento de información.Los códigos QR se han empezado a usar activamente para ingresar información a los dispositivos móviles.El usuario sólo tiene que escanear con la cámara de su dispositivo el código y toda la información que contiene queda a su disposición de una forma legible.Muchas personas usan sus ordenadores de escritorio para buscar programas para sus dispositivos móviles.Al hacerlo, para descargar el software al teléfono tienen que ingresar el URL en el navegador del móvil de forma manual.En muchos sitios se les propone a los usuarios, en vez de escribir la dirección, escanear con su teléfono móvil el código QR con un enlace cifrado.

Los delincuentes usaron una técnica similar para propagar troyanos SMS que aparentaban ser software para Android, poniendo un enlace malicioso en el código QR.Después de escanear el código QR en el dispositivo móvil, el usuario descarga automáticamente un fichero APK malicioso (fichero de instalación en Android), el cual una vez instalado actúa según un esquema ya comprobado: envía SMS a números de pago.Nuestros expertos han descubierto varios sitios que propagaban programas maliciosos mediante códigos QR.

Existen varias formas más en que los delincuentes usan las tecnologías QR.Lo que vemos ahora son sólo ensayos.Es evidente que un peligro mucho mayor es el suplantamiento de códigos QR en diferentes anuncios y en carteles informativos, tanto en Internet, como en el mundo real.Por suerte ya existen soluciones de seguridad para dispositivos móviles que pueden defender contra esta amenaza.

Ataques contra las corporaciones más grandes del mundo

A pesar de la atención que prestan los medios y los expertos al tema de los ataques con blancos específicos, que debería poner en guardia a los servicios de seguridad de las grandes compañías y estimularlos a perfeccionar sus sistemas de defensa contra intrusiones, sigue creciendo el número de incidentes con corporaciones.En el tercer trimestre de 2011 se supo de los ataques realizados por el grupo Anonymous y sobre el ataque de hackers desconocidos contra las redes corporativas.

El grupo de activistas Anonymous estuvo más activo en julio y agosto después del arresto de varios miembros de esta organización.Sufrieron ataques la policía cibernética italiana; una serie de sub departamentos de policía de EE.UU.;Booz Allen Hamilton, compañía que trabaja en parte para el gobierno de EE.UU, como también dos compañías subarrendatarias de la CIA, ManTech International y IRC Federal.En la lista de víctimas de los hacktivistas está el sistema de transporte de San Francisco (BART), la compañía agropecuaria Monsanto y la compañía VanguardDefense, dedicada a la creación de equipos militares.Como resultado de los ataques, los hackers obtuvieron información sobre los clientes de las compañías, documentos internos, correspondencia, así como datos secretos, que más tarde los miembros del grupo pondrían a la disposición del público en pastebin.com y trackersTorrent.

En septiembre Anonymous prefirió dedicarse a tomar parte en la organización de protestas civiles en vez de hackear compañías.Las acciones de los órganos de seguridad del estado que lograron arrestar más de una decena de personas implicadas en los ataques de Anonymous han obligado a los deseosos de sumarse a este movimiento a pensar que los pueden castigar.Por esto los reclutas optan por formas de protesta menos peligrosas, que en la mayoría de los países están permitidas por la ley. Sin embargo, tomando en cuenta la descentralización del grupo, podemos decir con seguridad que el “ala hacker” de la organización continuará con sus ataques a pesar de todo.

Tampoco podían faltar este semestre las noticias sobre los ataques que según sus organizadores, debían quedar en secreto.Sufrieron ataques los sistemas informáticos de los fabricantes de equipos militares Mitsubishi Heavy Industries.Los métodos de los ataques son casi los mismos que los usados en la irrupción en la red informática de la compañía RSA en marzo de este año.Los empleados de la compañía recibieron mensajes con adjuntos maliciosos.Esta vez, en lugar de un fichero excel el adjunto venía con un fichero pdf que a su vez contenía un exploit.Después del lanzamiento exitoso del exploit, en el equipo se instalaba un programa malicioso que les otorgaba a los delincuentes el control total sobre el sistema.Después, los hackers encontraban la información que les interesaba en los servidores de la compañía y la enviaban a sus propios servidores.

Según los datos que tenemos en nuestro poder, se infectaron ordenadores en varias empresas dedicadas a la producción de misiles, submarinos y barcos de guerra.También se detectaron programas maliciosos en la oficina central de Mitsubishi Heavy Industries.Es evidente que los hackers pudieron obtener acceso a documentos secretos, pero a diferencia de lo ocurrido con RSA, no se ha podido establecer qué tipo de información llegó a sus manos.Tampoco se sabe quién es el responsable del ataque.Sólo podemos afirmar que los delincuentes cibernéticos tradicionales, movidos por sed de lucro, no se interesan por este tipo de ataques.

Geografía:zonas de dominio

El registro de nombres de dominio es uno de los gastos en que incurren los spammers, phishers, difusores de antivirus falsos y otros estafadores informáticos.Ellos tratan de minimizar sus gastos y prefieren los dominios hackeados, o bien las zonas de dominio donde se puede registrar miles de dominios por unas decenas de dólares o incluso gratis.Entre los últimos está la zona de dominio co.cc.

En el tercer trimestre de 2011 ocurrió una serie de sucesos que influyeron en la distribución de los contenidos maliciosos en las diferentes zonas de dominio.En primer lugar, el 12 de junio Google dejó de dar resultados de búsqueda en los dominios de la zona co.cc.Cabe destacar que el dominio co.cc era usado también por los delincuentes cibernéticos que llevaban a los usuarios a las páginas nocivas engañando a los sistemas de búsqueda y esta medida obligó a los delincuentes a buscar refugio en nuevas zonas de dominio.Como resultado, co.cc bajó en la estadística de zonas de dominio del sexto al decimoquinto puesto.

Cantidad de ataques web rechazados por sitios en diferentes zonas de dominio en el segundo y tercer trimestre de 2011:

 

De esta manera, medidas radicales como la exclusión de los resultados de búsquedas de una zona de dominio completa dan resultado de verdad, pero por el momento solo temporal.En Internet existen decenas de zonas de dominio semejantes a co.cc donde el registro es gratuito o muy barato.En resumidas cuentas, los sitios web de los delincuentes cibernéticos se han mudado a zonas similares: bz.cm, ae.am,gv.vg.

Datos estadísticos

A continuación presentamos los datos estadísticos obtenidos a través de diversos componentes de seguridad contra programas maliciosos. Todos los datos estadísticos aquí mencionados han sido obtenidos gracias a la red antivirus Kaspersky Security Network (KSN). Estos datos han sido proporcionados por los usuarios de KSN que aceptaron compartirlos. Millones de usuarios de los programas de Kaspersky Lab en 213 países y territorios del mundo entero participan de este intercambio global de información sobre actividades de programas maliciosos.

Amenazas en Internet

Los datos estadísticos utilizados en este capítulo se obtuvieron de nuestro programa Antivirus Internet que protege a los usuarios cuando intentan descargar un código malicioso desde un sitio web infectado. Esta página infectada puede ser un sitio creado especialmente con fines ilícitos, con contenido provisto por usuarios (de foros, etc.) o una fuente legítima capturada.

Objetos detectados en Internet

En el tercer trimestre de 2011 se neutralizaron 226.116.594 ataques lanzados desde diferentes sitios en todo el mundo y se detectaron 107.413 modificaciones únicas de programas maliciosos o potencialmente no deseados.

Los Top 20 objetos detectados en Internet

 

*Resultados detectados por el módulo Antivirus Internet. Información proporcionada por los usuarios de los programas de Kaspersky Lab que aceptaron compartirla.
**Porcentaje del total de ataques vía Internet registrados en los ordenadores de usuarios únicos.

A la cabeza de la clasificación se encuentran varias URLs maliciosas (ya detectadas y marcadas con el estatus Bloqueado) que figuran en nuestra lista de rechazados. Su proporción ha aumentado en un 15%, llegando a representar tres cuartos de todas las amenazas bloqueadas al navegar en Internet.

Un cuarto de la clasificación corresponde a representantes de la familia Adware, que son programas publicitarios que se instalan en el ordenador del usuario valiéndose de todos los medios posibles. La tarea de estos programas es simple: una vez que se instalan en el equipo, en general como un complemento para el navegador, comienzan a mostrarle avisos publicitarios al usuario.

11 componentes de los Top 20 explotan las vulnerabilidades que presentan los programas y sirven para instalar programas maliciosos en el ordenador del usuario.

Es por ello que más del 75% de las amenazas en Internet bloqueadas son URLs maliciosas (URLs de páginas web que contienen paquetes de códigos de explotación, robots, troyanos timadores, etc.). El usuario corre el riesgo de llegar a estas páginas maliciosas de dos maneras. La primera consiste en desviarlo a partir de otros sitios, incluso legítimos, mediante scripts maliciosos (ataques por descarga al paso). La segunda requiere la intervención del usuario, cuando activa voluntariamente vínculos peligrosos. Los ciberdelincuentes propagan profusamente este tipo de vínculos por correo, a través de las redes sociales, los colocan en sitios dudosos e infectados, o los “reparten” en los resultados de búsquedas gracias a métodos de referencia blackhat.

Hemos establecido una clasificación de los recursos de Internet desde los cuales, los participantes de la red KSN activaron con más frecuencia vínculos peligrosos bloqueados por las soluciones antivirus de Kaspersky Lab en el tercer trimestre de 2011.

Top 3 recursos desde los cuales se activaron vínculos maliciosos en el T3 2011

 

La red social Facebook ocupa la primera posición entre las fuentes de desvío “voluntario” hacia sitios peligrosos. Cada día bloqueamos en los equipos de los usuarios participantes de la red KSN unos 100.000 intentos de desvío mediante vínculos peligrosos que aparecen en esta red social. Los autores de virus recurren a numerosas tácticas de ingeniería social para confundir e incitar al usuario a activar un vínculo. Los ciberdelincuentes prefieren los temas de actualidad para encandilar a los usuarios curiosos. En el transcurso del trimestre, los temas más frecuentes han sido las fotos osadas de algunas estrellas de Hollywood y la distribución gratuita de iPhones 5.

Los motores de búsqueda Google y Yandex ocuparon la 10a y 13a posiciones, respectivamente. Por desgracia, las búsquedas también pueden resultar peligrosas. Los ciberdelincuentes explotan activamente las referencias blackhat y engañan a los motores de búsqueda. Las primeras páginas de los resultados de búsqueda contienen las palabras más solicitadas que a su vez son vínculos a sitios maliciosos. Otro elemento que explica la aventajada posición que ocupan los motores de búsqueda es que las páginas de los resultados de búsqueda pueden llevar a los usuarios a sitios web populares que han caído en manos de los ciberpiratas.

Top 20 de países donde los recursos de Internet alojan programas maliciosos

Para definir el origen geográfico de un ataque en Internet, hemos recurrido a una técnica que consiste en comparar el nombre del dominio y la dirección IP auténtica en la que se encuentra este dominio con la definición del emplazamiento geográfico de esta dirección IP (GEOIP).

El 88% de los recursos de Internet utilizados para propagar programas maliciosos estaba distribuido entre diez países en el tercer trimestre de 2011.

Distribución de sitios web que alojan programas maliciosos por país.
Tercer trimestre de 2011

El Top 10 sufrió una sola modificación: Rumania trepó a la 10a posición desplazando a Suecia dos lugares más abajo (1,3%). Los tres primeros lugares se mantienen estables y algunos países cambiaron de posición. En el transcurso de los tres últimos meses, la proporción de alojamientos en Alemania (+4,9%) y en las Islas Vírgenes (+2,8%) ha aumentado significativamente. El porcentaje de alojamientos de programas maliciosos en Inglaterra (-1,7%), en Canadá (-1,5%) y en Ucrania (-1,2%) ha disminuido.

Países cuyos internautas han estado más expuestos al riesgo de infecciones por Internet

Para evaluar el riesgo de infección por Internet al que se exponen los ordenadores de los usuarios en distintos países, hemos calculado la frecuencia de activación del módulo Antivirus Internet de nuestros usuarios en sus respectivos países durante el trimestre.

El Top 10 de los países cuyos internautas han estado más expuestos al riesgo de infecciones por Internet

 

*Para nuestros cálculos, hemos excluido aquellos países cuyo número de usuarios de productos de Kaspersky Lab es menor a 10.000.
**Porcentaje de usuarios únicos víctimas de ataques por Internet en relación al total de usuarios únicos de productos de Kaspersky Lab en el país.

Los Estados Unidos (32%), Arabia Saudí (30,9%) y Kuwait (28,8%) dejaron de estar entre los Top 10. Sus vacancias han sido ocupadas por Tayikistán y Kazajistán, países cuyo número de internautas ha crecido notoriamente, y por Ucrania.

La porción de ordenadores víctimas de ataques en los Estados Unidos ha disminuido en un 8%. Esto se explica por la notable reducción de falsas soluciones antivirus en circulación. La cantidad de estos programas fraudulentos tuvo un fuerte crecimiento en el segundo trimestre, pero recuperó su nivel regular en agosto. Este fenómeno también se ha producido en otros países desarrollados en los que el porcentaje de ordenadores atacados por Internet igualmente ha disminuido: por ejemplo, en un 10% en Gran Bretaña (24,7%) y en un 8% en Canadá (24,6%).

Cantidad de ataques de falsas soluciones antivirus bloqueadas en 24 horas.
Mayo a septiembre de 2011

Podemos dividir los países en varios grupos. (Debemos señalar que dos países han ingresado en nuestra clasificación en este trimestre: Libia (24,7%) y Níger (15%)).

1. Grupo de alto riesgo. En este grupo, con un riesgo del 41-60%, están 5 países: Rusia (50%), Omán (47,5%), Armenia (45,5%), Bielorrusia (42,3%) y Azerbaiyán (41,1%).
2. Grupo de riesgo. En este grupo, con un riesgo del 21-40%, están 79 países, entre los cuales tenemos a China (37,9%), Estados Unidos (32%), Brasil (28,4%), España (22,4%) y Francia (22,1%).
3. Grupo de países más seguros para navegar en Internet. En el tercer trimestre de 2011, este grupo comprendía 48 países en los que el índice de seguridad está entre el 10,9-20%.

La distribución de los grupos ha sufrido notables modificaciones en relación al anterior trimestre.

El grupo de alto riesgo ha perdido tres países: Iraq (-1,1%), Sudán (-5,3%) y Arabia Saudí (-11,7%) pertenecen ahora al grupo de riesgo.

El grupo de países en los que navegar por Internet es seguro cuenta con 19 países que en el anterior trimestre figuraban en el grupo de riesgo. Si añadimos el debut de Nigeria, este número llega a 20.

Los porcentajes más bajos de internautas atacados se registraron en Dinamarca (10,9%), Taiwán (12,8%), Eslovenia (13,2), Luxemburgo (14,5%), Eslovaquia (16%) y Suiza (16,4%).

Riesgo de infección de ordenadores de usuarios por Internet en varios países

En promedio, el 24,4% de los ordenadores de los participantes de la red KSN, es decir casi un cuarto de los ordenadores en todo el mundo, fueron víctimas de al menos un ataque al navegar en Internet.

Debemos señalar que la proporción de equipos atacados en relación al anterior trimestre ha disminuido en un 3%. Al mismo tiempo, la cantidad de ataques en Internet ha aumentado en un 8% y pasó de 208.707.447 en el segundo trimestre a 226.116.594 en el tercero. Esto muestra que las fuentes de los ataques son cada vez más peligrosas: varios programas maliciosos intentan penetrar el equipo de la víctima desde sitios web maliciosos.

Las acciones conjuntas llevadas a cabo por las autoridades respectivas y los fabricantes de soluciones antivirus dan sus frutos. En primer lugar están las medidas para reducir el número de ordenadores infectados. Además, los sistemas operativos modernos incorporan cada vez más medidas de seguridad y, en relación a las versiones más antiguas, su porcentaje aumenta. En consecuencia, la única opción que tienen los ciberdelincuentes es intentar penetrar las defensas valiéndose de programas maliciosos.

>Amenazas locales

Hemos modificado la metodología de cálculo de los índices de esta sección y a los datos estadísticos obtenidos mediante el escáner online, les hemos añadido los datos estadísticos resultantes del análisis de varios discos de memoria periféricos portátiles (análisis a petición).

Objetos descubiertos en los ordenadores

En el tercer trimestre de 2011, nuestras soluciones antivirus bloquearon 600.344.563.165 intentos de infección locales en los equipos de los miembros de la red KSN.

Sólo en la etapa de tentativa de ejecución de los equipos de los usuarios (análisis a petición) detectamos 429.685 modificaciones de programas maliciosos y potencialmente maliciosos.

Top 20 de objetos descubiertos en los ordenadores de los usuarios

 

Estas estadísticas corresponden a los veredictos de las detecciones de los módulos OAS y ODS del Antivirus enviados por los usuarios de los programas de Kaspersky Lab que aceptaron compartirlos.
*Porcentaje de usuarios únicos en cuyos ordenadores el módulo Antivirus ha detectado el objeto en cuestión en relación al total de los usuarios únicos de productos de Kaspersky Lab cuyo módulo Antivirus se activó.

La primera posición de la clasificación la ostenta un veredicto proporcionado por el analizador heurístico en el momento de la detección proactiva de una multitud de programas maliciosos (Trojan.Win32.Generic, 17,7 %).

La segunda posición corresponde a varios programas maliciosos detectados mediante tecnologías en la nube. Estas tecnologías en la nube intervienen cuando las bases de datos antivirus no contienen todavía las definiciones y cuando no es posible detectar el programa malicioso mediante el análisis heurístico, pero el fabricante de soluciones antivirus tiene acceso en la “nube” a la información sobre el objeto. En este caso, el objeto detectado recibe el nombre de DangerousObject.Multi.Genric (17,4 %).

La mitad de la clasificación está compuesta de aplicaciones que poseen un mecanismo de autopropagación, es decir, virus y gusanos que infectan discos portátiles y/o archivos ejecutables. La clasificación también incluye los “repuestos” de estos programas, es decir, los archivos auxiliares ejecutados por los principales programas maliciosos. Entre estos programas podemos citar a Trojan.Win32.Starter.yy que aparece en el ordenador después del lanzamiento de Virus.Win32.Nimnul y que a su vez activa Backdoor.Win32.IRCNite.clf y Worm.Win32.Agent.adz.

Packed.Win32.Krap.ar, Packed.Win32.Katusha.o y Worm.Win32.VBNA.b son las “protecciones” para otros programas maliciosos. Los ciberdelincuentes los usan como elementos anti-detecciones para poder instalar falsos programas antivirus en el ordenador del usuario.

Países en los que los ordenadores de los usuarios han estado más expuestos a riesgos de infecciones locales

Hemos calculado el porcentaje de los participantes de la red KSN cuyos ordenadores han sufrido tentativas de infecciones locales que han sido bloqueadas en cada país en el que el número de usuarios es superior a 10.000. Las cifras obtenidas muestran el índice promedio de infección de los ordenadores en sus respectivos países.

El Top 10 de países en función del grado de infección de los ordenadores

 

*Para los cálculos, hemos excluido aquellos países en los que el número de usuarios de productos de Kaspersky Lab es menor a 10.000.
**Porcentaje de usuarios únicos en cuyos ordenadores se han bloqueado amenazas locales, en relación al total de usuarios únicos de los productos de Kaspersky Lab en el respectivo país.

La modificación de la metodología de cálculo no ha tenido significativa repercusión en nuestra clasificación. Sin embargo, señalamos una modificación: Mongolia a reemplazado a Uganda. Sin embargo, las posteriores cifras reflejan todo tipo de programas maliciosos detectados y neutralizados en discos fijos y portátiles.

El líder absoluto es Bangladesh con el 92,7%. En este país, nuestras soluciones han detectado y bloqueado programas maliciosos en 9 de cada 10 ordenadores.

Debemos señalar que la modificación de la metodología ha tenido mayor efecto en los índices de los países en vías de desarrollo. En los países desarrollados, el porcentaje de ordenadores en los que se bloquearon amenazas locales apenas ha cambiado.

Este aumento del porcentaje de ordenadores atacados en los países en vías de desarrollo se explica principalmente por la notable cantidad de gusanos autorun que circulan en estos países. Los autores locales de virus suelen usar estos gusanos para propagar sus programas maliciosos. En los países desarrollados, los ciberdelincuentes recurren a otros métodos para introducir sus programas maliciosos en los ordenadores de los usuarios, especialmente el método de descargas al paso.

En el caso de infecciones locales, podemos clasificar los países en función al nivel de infección:

1. Máximo nivel de infección (más del 60%): 21 países de Asia (Nepal, India, Vietnam, Mongolia, etc.) y de África (Sudán, Angola, Nigeria, Camerún).
2. Alto nivel de infección (41 a 60%): 55 países, entre los cuales están Egipto, Kazajistán, Rusia, Ecuador y Brasil.
3. Nivel medio de infección (21 a 40%): 37 países entre los cuales están Turquía, México, Israel, Letonia, Portugal, Italia, Estados Unidos, Australia y Francia.
4. Mínimo nivel de infección: 16 países, entre los cuales figuran 14 países europeos (Reino Unido, Noruega, Finlandia, Países Bajos, etc.) y dos países de Asia (Japón y el distrito administrativo especial de China y Hong Kong).

Riesgo de infección local de los ordenadores en distintos países

Estos son los Top 5 países más seguros en materia de infecciones locales:

 

Vulnerabilidades

En el tercer trimestre de 2011, se han detectado 28.060.517 aplicaciones y archivos vulnerables en los ordenadores de los usuarios, con un promedio de casi 12 vulnerabilidades diferentes en cada ordenador vulnerable. El Top 10 de vulnerabilidades aparece en el siguiente cuadro:

 

***Para el 100% de los usuarios cuyos ordenadores presentaban al menos una vulnerabilidad.

Esta clasificación, a diferencia de la del trimestre anterior, tiene en cuenta los productos de cinco familias y no sólo de dos. Dicho esto, más de la mitad de la clasificación está compuesta de programas de la familia Adobe: Flash Player, Acrobat Reader y Shockwave Player. Se han detectado dos nuevas vulnerabilidades en Apple Quicktime y en Microsoft XML Core Services, lo que explica su retorno a la clasificación. El Top 10 vuelve a recibir a una antigua vulnerabilidad (2009) en el compresor WinRAR.

Autores de programas vulnerables del Top 10 de vulnerabilidades

Hemos visto que cada una de las vulnerabilidades permite a los ciberdelincuentes obtener el control total del sistema con la ayuda de los códigos de explotación. Asimismo, tres vulnerabilidades permiten lanzar un ataque DoS en un ordenador en el que está instalada la aplicación vulnerable. Además, dos vulnerabilidades permiten desbaratar la protección, dos permiten obtener información importante sobre el sistema, dos permiten organizar ataques XSS, y una permite manipular datos.

Distribución de vulnerabilidades del Top 10 por tipo de efecto sobre el sistema

Conclusión

Entre las nuevas tecnologías, hay que citar la aparición de un código malicioso capaz de infectar el BIOS del ordenador. Este tipo de infección permite ejecutar el código malicioso directamente después del encendido del ordenador, y más importante aún, antes de que el sistema operativo y las soluciones de seguridad se carguen. Al final, esta tecnología permite al código malicioso camuflarse eficazmente en el sistema. Sin embargo, hay pocas posibilidades de que los ciberdelincuentes adopten esta tecnología. En principio, la creación de un código universal para infectar todas las versiones de BIOS está muy lejos de ser simple y de ocurrir pronto; las modernas tarjetas madre van a adoptar las especificaciones EFI que se diferencian marcadamente del BIOS. Entonces será imposible recuperar todos los recursos invertidos en el desarrollo de tecnologías para infectar el BIOS. Observamos en realidad la evolución de tecnologías de herramientas de camuflaje de la actividad, y cada nueva etapa de esta evolución se acerca un paso más a la fase en que se carga el sistema operativo. Estamos entonces en posición de anunciar que la próxima etapa tecnológica estará relacionada con la infección de los supervisores del sistema. Sin embargo, esta amenaza no se cierne sobre los usuarios particulares, sino sobre las corporaciones, puesto que es en las redes de las grandes compañías donde más se aplica la tecnología de la virtualización. En vista del creciente interés de los ciberdelincuentes por las grandes compañías, debemos esperar en el corto plazo que los ataques adopten este concepto.

Los ataques dirigidos se han convertido en una constante inevitable en nuestros informes. Vale la pena señalar que en el tercer trimestre de 2011, los ciberdelincuentes atacaron compañías japonesas y americanas contratistas de los ministerios de defensa de estos países. Estos ataques que apuntan al robo de documentos secretos son menos costosos que los tradicionales métodos para obtener ese tipo de información. Por esta razón, la cantidad de incidentes relacionados con ataques contra compañías que manejan información confidencial seguirá en aumento.

En cuanto a los programas maliciosos dirigidos a los dispositivos móviles, hemos notado una migración activa desde la plataforma J2ME hacia Android OS. La fragmentación del mercado de sistemas operativos móviles durante mucho tiempo ha impedido el crecimiento del número de programas maliciosos. Pero hoy en día, podemos afirmar sin duda alguna que los ciberdelincuentes han hecho su elección y están concentrando todos sus esfuerzos en el desarrollo de programas maliciosos para Android. ¿De qué tipo de programa se trata? Los programas para enviar SMS de pago y para abonarse a servicios de pago constituyen la mayor parte de los ingresos. En el tercer trimestre detectamos un troyano para Android cuya principal tarea consiste en robar los códigos de autorización de transacciones bancarias. Pero los troyanos son capaces de muchas otras cosas. El moderno dispositivo móvil es una herramienta de comunicación y un medio para acceder a algunos servicios en Internet. Prevemos la aparición de programas maliciosos dirigidos al robo de datos de acceso a las cuentas de estos servicios.

Dentro del marco de la “monetización” de los programas maliciosos, notamos en el tercer trimestre, la aparición de troyanos dirigidos al sistema Bitcoin. En el tercer trimestre, las grandes redes zombi entendieron este concepto y se instalaron generadores de decodificación en centenas de ordenadores capturados. Los ciberdelincuentes utilizan estos dispositivos que explotan la potencia de cálculo de los ordenadores para generar dinero. Pero el sistema Bitcoin depende de la confianza de los usuarios: la confianza influye en el transcurso de la decodificación y la pérdida de confianza puede tener un efecto devastador en todo el sistema. Los incidentes relacionados con la seguridad de Bitcom y la aparición de redes zombi que generan dinero han tenido un efecto negativo en la reputación del sistema y han ocasionado la devaluación de esta moneda virtual en más del 50%, pues su valor bajó de 13 USD a 4,8 USD.

Los expertos de Kaspersky Lab llevaron a cabo una encuesta en el tercer trimestre, la cual reveló que uno de los lugares más frecuentados por los usuarios que activaban los enlaces maliciosos era la red social más grande del mundo: Facebook. Según los datos registrados por la red KSN, se dan casi 100.000 intentos diarios de activación de enlaces maliciosos en Facebook. Los ciberdelincuentes intentan explotar al máximo las relaciones de confianza que se dan en las redes sociales.

Según los datos de KSN, la cantidad de alojamientos maliciosos en Internet decayó en un 12% en el tercer trimestre. La cantidad de ataques lanzados contra los ordenadores de los usuarios mientras navegan en Internet aumentó en un 8% durante el tercer trimestre, lo que constata el aumento del riesgo que significa cada fuente individual de programas maliciosos. Sin embargo, la disminución del número de alojamientos maliciosos sólo será temporal y breve, pues los ciberdelincuentes recuperarán los dominios perdidos. Las fiestas de fin de año se acercan y es un periodo muy activo para los ciberdelincuentes de toda laya. Podemos entonces afirmar que la cantidad de fuentes de programas maliciosos va a aumentar.