Números del trimestre
- Según los datos de Kaspersky Security Network, en el tercer trimestre de 2012 los productos de Kaspersky Lab han detectado y neutralizado más de 1.347.231.728 de objetos maliciosos.
- El 28% de los dispositivos móviles atacados funcionan con el sistema operativo Android 2.3.6, lanzado en septiembre de 2011.
- El 56% de los exploits neutralizados en el tercer trimestre usaban vulnerabilidades de Java.
- Hemos registrado más de 91,9 millones de urls dedicadas a la propagación de programas maliciosos, un 3% más que en el segundo trimestre de 2012.
Panorama de la situación
Malware y sistemas operativos móviles
En el tercer trimestre de 2012, nuestra colección de ficheros .dex maliciosos ha aumentado en más de 9.000 ejemplares. Son 5.000 menos que en el trimestre pasado, pero 3.500 más que en el primer trimestre de 2012.
La explicación es que en el segundo trimestre nuestra colección de ficheros maliciosos aumentó gracias a ejemplares que antes se detectaban sólo mediante métodos heurísticos. (Recordamos que con métodos heurísticos se detectan muchos programas maliciosos diferentes). En el tercer trimestre la situación era estándar y la cantidad de nuevos ficheros en nuestra colección corresponde a la tendencia que se viene observando desde principios de año.
Cantidad de modificaciones de malware detectadas para Android OS
Es interesante ver cuales son las versiones de Android que con más frecuencia se convierten en blanco de los delincuentes.
Distribución por versiones de Android de los programas maliciosos detectados
Tercer trimestre de 2012
El primer puesto lo ocupa Android 2.3.6 “Gingerbread”, cuyos usuarios sufrieron el 28% de los intentos de instalación de programas maliciosos. Este sistema no es nuevo, su lanzamiento fue en septiembre de 2011. Pero debido a la fuerte segmentación del mercado de dispositivos con Android, esta versión sigue siendo una de las más populares.
Para responder a la pregunta de cuán estrecha es la relación entre la distribución por versiones del SO Android instaladas en los dispositivos móviles y la distribución por versiones de los sistemas operativos atacados por los delincuentes es necesario comparar nuestros datos con las cifras oficiales de la distribución por versiones del SO Android del sitio developer.android.com.
A continuación damos la proporción porcentual de versiones del SO en las dos últimas semanas de septiembre:
Fuente: http://developer.android.com/about/dashboards/index.html
Y las comparamos con nuestros datos del mismo periodo:
Distribución por versiones de Android de los programas maliciosos detectados en los últimos 14 días de septiembre de 2012
Como podemos ver, los diagramas son bastante diferentes: en el 48% de los casos las víctimas de los delincuentes son los usuarios de la versión Gingerbread, instalada en el 55% de los dispositivos y en el 43% de los casos son los de la última versión de Android OS, Ice Cream Sandwich, que está instalada en el 23,7% de los dispositivos.
Es evidente que los dispositivos que tienen instaladas versiones más modernas del SO son más apropiados para su uso activo en Internet. Pero por desgracia, mientras más activa es la navegación en la web, con más frecuencia llegan los usuarios a sitios con contenidos maliciosos.
Para entender qué programas atacan los dispositivos de los usuarios, usaremos los datos de KSM referentes a los dispositivos móviles.
Distribución por comportamiento de los programas maliciosos para Android detectados. Tercer trimestre de 2012*
Más de la mitad del malware detectado en los smartphones de los usuarios eran troyanos SMS, programas maliciosos que roban dinero de las cuentas móviles de las víctimas enviando mensajes de texto a teléfonos de pago.
Distribución por familias de los programas maliciosos para Android OS, tercer trimestre de 2012*
*Veredictos de detección del módulo de verificación de ficheros de Kaspersky Mobile Security. Información prestada por los usuarios de productos de Kaspersky Lab que han dado su consentimiento para el envío de datos estadísticos.
Entre todas las familias del malware móvil, el más propagado fue OpFake (38,3% del total de las detecciones de programas para Android). Los programas de esta familia se hacen pasar por Opera Mini. En el tercer puesto está la familia FakeInst, cuyos vástagos pretenden ser instaladores de programas populares (17%). El semillero de estos programas maliciosos son las llamadas “tiendas alternativas” de aplicaciones creadas por los delincuentes cibernéticos.
El 20%, es decir, la quinta parte de los programas detectados, son troyanos multifuncionales, cuya mayor parte pertenece a la familia Plangton. Después de instalarse, los troyanos recopilan información de servicio sobre el teléfono, la envían al servidor de administración y quedan a la espera de que los delincuentes les envíen instrucciones. En particular, los programas maliciosos de esta familia saben como modificar los marcadores y la página de inicio.
Un 5% son not-a-virus:RiskTool.AndroidOS.SMSreg, que dan de alta al usuario en servicios de alto precio. Los programas de esta familia están dirigidos a los usuarios de países como EE.UU., Holanda, Inglaterra y Malasia. En nuestro blog hemos escrito con más detalles sobre estos programas.
El 4% pertenece a la familia Exploit.AndroidOS.Lotoor. Para obtener el control del teléfono, los delincuentes necesitan hacer un jailbreak (romper el sistema de seguridad del teléfono para recibir acceso al sistema de ficheros). El malware de esta familia se usa para obtener privilegios de root, que dan posibilidades irrestrictas para hacer manipulaciones sobre el sistema.
La misma cantidad (4%) son diversos programas publicitarios detectados como AdWare, entre los cuales la familia más popular es la de Hamob. Los programas de esta familia muestran anuncios dentro de la aplicación.
De esta manera, en el tercer trimestre, los delincuentes atacaron con más frecuencia los sistemas Android 2.3.6 “Gingerbread” y 4.0.4 “Ice Cream Sandwich”. Los delincuentes tienen bastante éxito en evadir las limitaciones de instalación de software, sobre todo gracias a la ingeniería social. En “estado libre” es la variedad más común de troyanos que de una u otra forma roban dinero de la cuenta móvil del usuario. Pero también es evidente que los troyanos multifuncionales los están desplazando poco a poco.
Exploits: en más de la mitad de los ataques se usan errores de Java
El problema de los ataques en Internet está relacionado en primer lugar con los diferentes exploits que permiten a los delincuentes descargar programas maliciosos durante ataques drive-by sin que sea necesario usar la ingeniería social. La garantía de que la aplicación de los exploits tenga éxito es que haya vulnerabilidades en el código de aplicaciones populares instaladas en los equipos de los usuarios.
Veamos a qué aplicaciones vulnerables apuntaron los exploits en el tercer trimestre. En este trimestre hemos modificado el método y hemos incluido en la estadística los exploits detectados por diferentes métodos heurísticos.
Aplicaciones cuyas vulnerabilidades usaron los exploits web, tercer trimestre de 2012
En más del 50% de los ataques se usaron brechas en Java. Diferentes versiones de esta máquina virtual, según los datos de Oracle, están instaladas en más de 1.000.000.000 de ordenadores. Es importante tener en cuenta que las actualizaciones de este software se instalan a petición del usuario, y no de forma automática, lo que alarga el tiempo vital de las vulnerabilidades. Además, es fácil usar los exploits para Java en cualquier versión de Windows y en algunas creaciones de los delincuentes (como sucedió en el caso de Flashfake), el exploit puede ser multiplataforma. Esto explica el especial interés de los delincuentes cibernéticos por las vulnerabilidades Java. Por supuesto, la mayor parte de las detecciones corresponde a diferentes conjuntos de exploits.
En el tercer trimestre detectamos varias vulnerabilidades que los delincuentes empezaron a utilizar con gran rapidez. La vulnerabilidad CVE-2012-1723 detectada en julio es un error en el componente HotSpot, que los delincuentes pueden aprovechar para ejecutar una clase fuera de la sandbox de la máquina virtual Java. La segunda vulnerabilidad, CVE-2012-4681, se detectó a finales de agosto. Al principio, los exploits para esta vulnerabilidad se usaban en ataques con blancos específicos, pero no tardaron mucho en convertirse en populares exploit-packs. Los productos de Kaspersky Lab los detectan gracias a la tecnología Advanced Exploit Protection. En nuestro blog se pueden encontrar una información más detallada sobre el tema.
En el segundo lugar están los ataques mediante Adobe Reader, que constituyeron la cuarta parte de los ataques neutralizados. Poco a poco va bajando la popularidad de los exploits para Adobe Reader, debido a que el mecanismo usado para detectarlos es bastante simple y a las actualizaciones automáticas introducidas en las últimas versiones de Reader.
El 3% de los ataques son exploits para vulnerabilidades en Windows Help and Support Center, y para diversas vulnerabilidades en Internet Explorer. En particular, en el tercer trimestre se detectó la vulnerabilidad CVE-2012-1876 en las versiones 6-9 del navegador Internet Explorer, que hacía un procesamiento incorrecto de los objetos en la memoria, lo que daba a los delincuentes la posibilidad de referirse a un objeto inexistente, acción que conducía a un error tipo heap-overflow. Es interesante que la vulnerabilidad se usara en Pwn2Own en la conferencia CanSecWest 2012 en marzo.
Aconsejamos a los usuarios que estén pendientes de las actualizaciones para los programas instalados, que utilicen medios modernos de defensa contra los exploits y a las compañías, que usen la tecnología Patch Management.
Espionaje cibernético: Gauss, Madi y otros
El tercer trimestre ha sido abundante en incidentes relacionados con el espionaje cibernético. Los más significativos fueron las investigaciones de los programas maliciosos Madi, Gauss y Flame, cuya principal región de actividad, según nuestra estadística, son los países del Cercano Oriente.
Una de las campañas de intrusión en los sistemas informáticos duró casi un año y estuvo dirigida sobre todo a los usuarios en Irán, Israel y Afganistán. En colaboración con nuestro partner, la compañía israelí Seculert, llevamos a cabo una detallada investigación de esta operación, a la que dimos el nombre de “Madi”, por los renglones e identificadores que usaron los delincuentes informáticos en el programa malicioso. Durante la operación se usó un conjunto de tecnologías simples y bien conocidas de lanzamiento de ataques para infiltrar los componentes maliciosos, lo que muestra el bajo nivel de conocimiento que tienen las víctimas sobre la seguridad en Internet.
Como resultado de los ataques, se instalan en el sistema backdoors escritos en Delphi. Este proceder es típico de un programador aficionado, o de uno profesional que casi no tiene tiempo libre. La campaña apuntaba a la infraestructura vital de empresas de ingeniería, organizaciones estatales, bancos y universidades en el Próximo Oriente. Se escogió como víctimas a usuarios relacionados con estas organizaciones y su correspondencia y otros medios de comunicación estuvieron bajo vigilancia estricta durante largo tiempo.
El programa Gauss fue descubierto durante una investigación realizada por iniciativa de la Unión Internacional de Telecomunicaciones (UIT), después de la detección del programa malicioso Flame. En esencia Gauss es un troyano bancario creado por un gobierno. Aparte de las funciones de robo de diferentes datos en los equipos infectados que funcionan con Windows, el programa contiene ciertas funcionalidades maliciosas cuyo código está cifrado y todavía no se sabe a ciencia cierta para qué sirven. El programa malicioso se activa sólo en los sistemas que tienen una configuración determinada. Gauss está basado en la plataforma Flame, con la que comparte algunos elementos funcionales, como lo subprogramas de infección de dispositivos USB.
Nuestros expertos lograron obtener nueva información sobre los servidores de administración del programa malicioso Flame. La investigación, llevada a cabo en colaboración con nuestros partners, Symantec, ITU-IMPACT y CERT-Bund/BSI nos ha permitido sacar una serie de importantes conclusiones. En primer lugar, el desarrollo de nuevos servidores de administración para esta plataforma empezó ya en diciembre de 2006 y, a juzgar por los comentarios en el código fuente, por lo menos cuatro programadores trabajaban en el proyecto. El código del servidor de administración admite tres protocolos de transmisión de datos. Y lo más interesante es que procesa las peticiones de cuatro diferentes programas maliciosos, a los que los autores se refieren como SP, SPE, FL y IP.
De estos cuatro programas maliciosos, en este momento conocemos dos: Flame y SPE (miniFlame).
Partiendo de los datos obtenidos, podemos afirmar que pronto sabremos la continuación de la historia del espionaje cibernético. El objetivo de la labor de Kaspersky Lab es reducir los riesgos que surgen con la aparición de las armas cibernéticas.
Estadística
Más adelante analizaremos la estadística proporcionada por los diferentes componentes de protección contra programas maliciosos. Todos los datos estadísticos usados en el informe se han obtenido mediante la red antivirus distribuida Kaspersky Security Network (KSN). Los datos se obtuvieron en los equipos de los usuarios de KSN que confirmaron su consentimiento en enviarlos. En el intercambio global de información sobre las actividades maliciosas toman parte millones de usuarios de los productos de Kaspersky Lab de 213 países del mundo.
Las amenazas en Internet
Los datos estadísticos citados en esta sección se han recibido del funcionamiento del antivirus web, que protege a los usuarios cuando se descargan códigos maliciosos de páginas web infectadas. Pueden estar infectados sitios que los delincuentes hayan creado con este fin, páginas web con contenido creado por los usuarios (por ejemplo, los foros) y páginas legítimas hackeadas.
Objetos detectados en Internet
En el tercer trimestre de 2012 se rechazaron 511.269.302 ataques realizados desde recursos de Internet ubicados en diferentes países. En estos incidentes se pudo registrar 165.732 diferentes programas nocivos y potencialmente indeseables.
TOP 20 de objetos detectados en Internet
Puesto | Nombre* | % del total de ataques* |
1 | Malicious URL | 90,70% |
2 | Trojan.Script.Generic | 2,30% |
3 | Trojan.Script.Iframer | 1,60% |
4 | Trojan-Downloader.SWF.Voleydaytor.h | 0,40% |
5 | Trojan.Win32.Generic | 0,40% |
6 | Exploit.Script.Blocker | 0,30% |
7 | AdWare.Win32.IBryte.x | 0,20% |
8 | Trojan-Downloader.JS.Iframe.cyq | 0,20% |
9 | Exploit.Script.Generic | 0,20% |
10 | Trojan-Downloader.JS.Agent.gsv | 0,20% |
11 | Trojan-Downloader.JS.JScript.bp | 0,20% |
12 | Hoax.HTML.FraudLoad.i | 0,20% |
13 | Trojan-Downloader.Script.Generic | 0,10% |
14 | Trojan.HTML.Redirector.am | 0,10% |
15 | Trojan-Downloader.Win32.Generic | 0,10% |
16 | Trojan-Downloader.JS.Iframe.czo | 0,10% |
17 | AdWare.Win32.ScreenSaver.e | 0,10% |
18 | Backdoor.MSIL.Agent.gtx | 0,10% |
19 | Trojan.JS.Popupper.aw | 0,10% |
20 | Exploit.Java.CVE-2012-4681.gen | 0,10% |
* Veredictos de detección del módulo antivirus para la web. Información prestada por los usuarios de productos de Kaspersky Lab que han dado su consentimiento para el envío de datos estadísticos.
** Porcentaje del total de ataques web registrados en los equipos de usuarios únicos
En la estadística, el primer puesto le sigue perteneciendo a los enlaces maliciosos de la lista de rechazados. En comparación con el trimestre anterior, su cantidad ha crecido en un 5% y en total representan el 90% de las detecciones del antivirus. Merece la pena destacar que el uso de la tecnología de actualizaciones inmediatas a través de “la nube” ha permitido bloquear el 4% de los enlaces maliciosos. Se trata de enlaces a sitios hackeados o creados por los delincuentes y que los usuarios han empezado a visitar. Si el usuario no ha instalado un antivirus, al llegar a estos sitios lo espera un ataque drive-by.
El tercer puesto lo ocupa Trojan-Downloader.SWF.Voleydaytor.h, descubierto en diferentes sitios de la categoría “Para adultos”. Bajo la apariencia de una actualización de un programa de reproducción de vídeos se instalan diferentes programas maliciosos en los equipos de los usuarios.
En el séptimo lugar está el programa publicitario AdWare.Win32.IBryte.x, que se propaga como un descargador de programas populares gratuitos. Después de iniciarse, descarga el programa gratuito solicitado por el usuario y al mismo tiempo instala un módulo publicitario. El programa se puede descargar del sitio oficial con el mismo éxito y así evitar la instalación del módulo publicitario. Según los resultados de nuestra breve investigación, con este programa se topan sobre todo los usuarios de Internet Explorer.
Hoax.HTML.FraudLoad.i (duodécimo puesto) es un ejemplar interesante. Se trata de una amenaza que afecta sobre todo a los aficionados a descargar, sin pagar, diferentes películas y programas. Esta detección corresponde a las páginas web en las que los usuarios pueden, supuestamente, descargar contenidos, pero para hacerlo tienen que enviar un mensaje SMS de pago. Si el usuario envía un mensaje, en lugar del archivo deseado recibe un archivo txt con instrucciones de como usar los sistemas de búsqueda o un programa malicioso.
En el último puesto del TOP 20 está Exploit.Java.CVE-2012-4681.gen, un exploit detectado a finales de agosto y que usa dos vulnerabilidades al mismo tiempo. Los exploits para Java son bastante populares entre los delincuentes, porque esta máquina virtual está instalada en más de tres mil millones de equipos. El exploit es interesante porque se usa en ataques específicos (APT), y también como parte de conjuntos de exploits para infecciones masivas.
Los programas maliciosos (y sus componentes) que descargan troyanos al equipos del usuario mediante exploits ocupan 12 posiciones de la estadística.
Países en cuyos recursos se hospedan programas nocivos
La presente estadística muestra en qué países del mundo se encuentran físicamente los sitios desde donde se descargan los programas maliciosos. Para determinar la fuente geográfica de los ataques se usó el método de yuxtaponer el nombre de dominio a la dirección IP real, en la cual se encuentra este dominio, y determinar la ubicación geográfica de esta dirección IP (GEOIP).
El 89% de los recursos web usados para propagar programas maliciosos se encuentra en 10 países. Este índice se viene incrementando en un 1% por dos trimestres consecutivos.
Distribución por países de recursos web que contienen programas maliciosos, tercer trimestre de 2012
En la estadística de países con más hostings maliciosos hay un nuevo líder: en lugar de EE.UU. (20,3%) tenemos a Rusia (23,2%). En los últimos tres meses ha aumentado notablemente la cantidad de hostings ubicados en el territorio de la Federación de Rusia (+8,6%) y al mismo tiempo, se ha reducido la cantidad de hostings en EE.UU. (-9,7%). También ha sido notable el crecimiento de la cantidad de hostings maliciosos en Holanda (+5,8%) que al igual que el trimestre pasado, ocupa el tercer lugar. El 60% de los contenidos maliciosos se encuentra en los recursos web de los países que ocupan los primeros tres puestos, Rusia, EE.UU. y Holanda. Si las autoridades y los proveedores de hosting no toman medidas, esta situación puede conservarse por varios meses.
El porcentaje de programas maliciosos propagados desde los recursos web prácticamente no ha sufrido cambios en los demás países del TOP 10, excepto Inglaterra (-2,6%).
Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección mediante Internet
Para evaluar el grado de riesgo de infección mediante Internet al que están sometidos los ordenadores de los usuarios en diferentes países, hemos calculado para cada país la frecuencia de las reacciones del antivirus web durante el trimestre. Cabe destacar que este índice no depende de la cantidad de usuarios de Kaspersky Security Network en el país.
20 países* con mayor riesgo de infección de equipos mediante Internet**, tercer trimestre de 2012
*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
**Porcentaje de usuarios únicos que fueron víctimas de ataques web, de entre todos los usuarios únicos de los productos de Kaspersky Lab en el país.
En el trimestre anterior, el primer TOP 20 estaba constituido en su totalidad por países del espacio postsoviético, África y el Sureste Asiático. Pero ahora hay también dos países del sur de Europa: Italia (36,5%) y España (37,4%).
Todos los países se pueden dividir en varios grupos.
- Grupo de máximo riesgo: países donde más del 60% de los usuarios se ha topado por lo menos una vez con programas maliciosos en Internet. En el tercer trimestre, en esta categoría Tayikistán (61,1%) ha desplazado a Rusia (58%) del primer puesto.
- Grupo de riesgo alto. Han entrado en este grupo, con un índice del 41-60%, 10 países del TOP 20, 8 menos que en el trimestre anterior. Además de Rusia (58%), han ingresado Kazajstán (54,9%), Bielorrusia (49,6%) y Ucrania (46,1%).
- Grupo de riesgo. En este grupo, con un índice del 21-40%, han ingresado 99 países, entre ellos India (38,4%), España (37,4%), Italia (36,5%), Lituania (33,5%), China (33,4%), Turquía (33,3%), EE.UU. (32,4%), Brasil (32,9%), Inglaterra (30,2%), Bélgica (28,3%) y Francia (28,2%).
- Grupo de los países más seguros para navegar en Internet. En el tercer trimestre de 2012 en este grupo hay 33 países con índices del 10,6-21%.
El menor porcentaje de usuarios atacados durante la visualización de páginas web está en Japón (13,6%), Dinamarca (17,7%), Taiwán (15,4%), Hong-Kong (19,3%), Luxemburgo (19,7%), Eslovaquia (20,7%) y Singapur (20,9%).
Riesgo que corren los ordenadores de infectarse mediante Internet en diferentes países, tercer trimestre de 2012
Cabe destacar que en el grupo de países más seguros para navegar en Internet hay países de África. Nos parece que el bajo porcentaje de usuarios atacados mediante Internet se debe a que éste todavía está poco desarrollado en estos países. Pero en cuanto a infecciones locales, la situación en estos países es lamentable (ver más abajo), lo que confirma nuestras suposiciones.
En general, el 36,7% de los ordenadores de los usuarios de KSN sufrieron en este trimestre por lo menos un ataque mientras navegaban en Internet. Hacemos notar que el término medio de equipos atacados, en comparación con el trimestre anterior, se ha reducido en un 3%.
Amenazas locales
En este apartado analizaremos los datos estadísticos obtenidos gracias al funcionamiento del módulo antivirus, que analiza los ficheros en el disco duro durante su creación o cuando se los lee, y la estadística del análisis de diferentes memorias extraíbles.
Objetos detectables encontrados en los ordenadores de los usuarios
En el tercer trimestre de 2012 nuestras soluciones antivirus bloquearon con éxito 882.545.490 intentos de infección local en los equipos de los usuarios que participan en Kaspersky Security Network.
En total, el scanner online detectó 328.804 modificaciones únicas de programas maliciosos y potencialmente peligrosos que intentaban ejecutarse en los ordenadores de los usuarios.
Objetos detectables encontrados en los ordenadores de los usuarios: Top 20
Puesto | Nombre | % de usuarios atacados** |
1 | Trojan.Win32.Generic | 17,1% |
2 | DangerousObject.Multi.Generic | 15,6% |
3 | Trojan.Win32.AutoRun.gen | 14,5% |
4 | Trojan.Win32.Starter.yy | 7,6% |
5 | Virus.Win32.Virut.ce | 5,5% |
6 | Net-Worm.Win32.Kido.ih | 4,8% |
7 | Virus.Win32.Sality.aa | 3,9% |
8 | HiddenObject.Multi.Generic | 3,9% |
9 | Virus.Win32.Generic | 3,7% |
10 | Virus.Win32.Nimnul.a | 3,2% |
11 | Trojan.WinLNK.Runner.bl | 2,5% |
12 | Worm.Win32.AutoRun.hxw | 1,8% |
13 | Virus.Win32.Sality.ag | 1,5% |
14 | Trojan.Win32.Patched.dj | 0,7% |
15 | Email-Worm.Win32.Runouce.b | 0,5% |
16 | AdWare.Win32.BHO.awvu | 0,4% |
17 | Trojan-Dropper.Script.Generic | 0,4% |
18 | AdWare.Win32.GoonSearch.b | 0,4% |
19 | Backdoor.Win64.Generic | 0,3% |
20 | AdWare.Win32.RelevantKnowledge.a | 0,3% |
Esta estadística contiene los veredictos de detección los módulos OAS y ODS del antivirus, enviados por los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.
*Porcentaje de usuarios únicos en cuyos equipos el antivirus detectó este objeto, de entre todos los usuarios únicos de los productos de Kaspersky Lab en cuyos equipos hubo reacciones del antivirus.
El primer puesto de la estadística lo ocupa el veredicto del analizador heurístico cuando hace la detección proactiva de un grupo de programas maliciosos, Trojan.Win32.Generic (17,1%).
Los programas maliciosos detectados mediante las tecnologías “en la nube” (DangerousObject.Multi.Generic) han subido una posición (15.6%) y ahora ocupan el segundo puesto. Estas tecnologías se activan cuando en las bases antivirus todavía no existen firmas ni heurísticas que detecten el programa malicioso, pero la compañía antivirus ya tiene información sobre el objeto “en la nube”. De hecho, esta es la forma en que se detectan los programas maliciosos más nuevos.
Los puestos 16, 18 y 20 los ocupan programas publicitarios. La novedad del tercer trimestre es la familia AdWare.Win32.RelevantKnowledge (0,3%). Los programas de esta familia se incrustan en el navegador y a intervalos periódicos crean ventanas que proponen encuestas al usuario.
Países cuyos usuarios estuvieron bajo el mayor riesgo de infección local
Las cifras que citamos a continuación reflejan el promedio de equipos infectados en uno u otro país. Entre los usuarios de KSN que nos envían información, se encontró un fichero malicioso por lo menos una vez en uno de cada tres equipos (32,5%), ya sea en el disco duro o en una memoria removible conectada al mismo. Esto es un 3,9% menos que en el trimestre anterior.
Nivel de infección de los equipos** TOP 20 de países*, tercer trimestre de 2012
*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
**Porcentaje de usuarios únicos en cuyos ordenadores se detectaron amenazas locales, de entre la cantidad total de usuarios de productos de Kaspersky Lab en el país.
Al igual que el trimestre anterior, el primer TOP 20 está compuesto en su totalidad por países de África, Cercano Oriente y el Sureste Asiático. La cantidad de equipos con código malicioso bloqueado en el líder, Bangladesh, se ha reducido en un 7,3% y es del 90,9%.
En lo que atañe a las infecciones locales, podemos agrupar todos los países según su nivel de infección:
- Nivel máximo de infección (más del 60%): este grupo se ha reducido en 9 países y ahora lo constituyen 11 países de la región asiática (India, Vietnam, Nepal y otros), Cercano Oriente (Afganistán) y África (Sudán, Malí, Tanzania y otros).
- Nivel de infección alto (41-60%): son 39 países, entre ellos Indonesia (53,5%), Egipto (46%), Tailandia (42,3%), China (41,4%) y Filipinas (44,3%).
- Nivel de infección medio 21-40%: son 56 países, entre ellos Turquía, México, Israel, Portugal, Italia, Rusia y España.
- Nivel de infección mínimo: este grupo tiene 8 países más, y ahora son 31 en total, entre ellos EE.UU., Australia, Canadá, Nueva Zelanda, Puerto Rico, 19 países europeos (entre ellos Noruega, Estonia y Francia) y dos países asiáticos, Japón y Hong Kong.
Riesgo de infección local que corren los equipos en diferentes países, tercer trimestre de 2012
Entre los 10 países más seguros por su bajo nivel de infección local están:
Puesto | País | % de usuarios únicos |
1 | Dinamarca | 10,5 |
2 | Japón | 10,6 |
3 | Luxemburgo | 13,8 |
4 | Suiza | 14,3 |
5 | Suecia | 14,7 |
6 | Alemania | 15 |
7 | Finlandia | 15,1 |
8 | Holanda | 15,1 |
9 | República Checa | 15,2 |
10 | Irlanda | 15,5 |
En esta lista ha aparecido un nuevo país, Irlanda, que ocupa el décimo puesto con un 15,5% de equipos donde se bloquearon programas maliciosos en diferentes medios de almacenamiento digital.
Vulnerabilidades
En el segundo trimestre de 2012 hemos detectado en los ordenadores de los usuarios 30.749.066 aplicaciones y ficheros vulnerables. En término medio, en cada ordenador vulnerable hemos detectado cerca de 8 diferentes vulnerabilidades.
En la siguiente tabla mostramos diez de las vulnerabilidades usadas con más frecuencia.
№ | Secunia ID (identificador único de la vulnerabilidad) | Nombre y vínculo a la descripción de la vulnerabilidad | Posibilidades que ofrece la vulnerabilidad a los delincuentes | Porcentaje de usuarios en cuyos equipos se detectó la vulnerabilidad | Fecha de publicación | Nivel de peligro de la vulnerabilidad |
1 | SA 49472 | Múltiples vulnerabilidades en Oracle Java | Ataque DoS. Acceso al sistema y ejecución de código con privilegios de usuario local. Cross-site scripting. Obtención de acceso a datos confidenciales. Manipulación de datos. | 35,00% | 20.08.2012 | Altamente crítica |
2 | SA 50133 | Tres vulnerabilidades en Oracle Java | Acceso al sistema y ejecución de código con privilegios de usuario local | 21,70% | 31.08.2012 | Extremamente crítico |
3 | SA 50354 | Múltiples vulnerabilidades en Adobe Flash Player | Acceso al sistema y ejecución de código con privilegios de usuario local. Obtención de acceso a datos confidenciales. Manipulación de datos. | 19,00% | 25.09.2012 | Altamente crítica |
4 | SA 49388 | Múltiples vulnerabilidades en Adobe Flash Player | Acceso al sistema y ejecución de código con privilegios de usuario local. Evasión del sistema de protección. | 18,80% | 18.06.2012 | Altamente crítica |
5 | SA 47133 | Múltiples vulnerabilidades en Adobe Reader/Acrobat | Acceso al sistema y ejecución de código con privilegios de usuario local | 14,70% | 11.01.2012 | Extremamente crítico |
6 | SA 47447 | Múltiples vulnerabilidades en Apple QuickTime | Acceso al sistema y ejecución de código con privilegios de usuario local | 13,80% | 23.08.2012 | Altamente crítica |
7 | SA 49489 | Múltiples vulnerabilidades en Apple QuickTime | Acceso al sistema y ejecución de código con privilegios de usuario local | 11,70% | 10.07.2012 | Altamente crítica |
8 | SA 46624 | Vulnerabilidades en el procesamiento de archivos Winamp AVI / IT | Acceso al sistema y ejecución de código con privilegios de usuario local | 10,90% | 03.08.2012 | Altamente crítica |
9 | SA 50283 | Múltiples vulnerabilidades en Adobe Shockwave Player | Acceso al sistema y ejecución de código con privilegios de usuario local | 10,80% | 14.08.2012 | Altamente crítica |
10 | SA 41917 | Múltiples vulnerabilidades en Adobe Flash Player | Acceso al sistema y ejecución de código con privilegios de usuario local. Evasión del sistema de defensa. Obtención de acceso a datos confidenciales. | 9,70% | 09.11.2010 | Extremamente crítico |
* Por 100% se toma a los usuarios en cuyos ordenadores se ha descubierto por lo menos una vulnerabilidad
Los dos primeros puestos los ocupan vulnerabilidades en Java de Oracle, descubiertas en el 35% y 21,7% de los equipos vulnerables, respectivamente.
Cinco de las posiciones de la estadística pertenecen a productos de la compañía Adobe: los reproductores Flash Player y Shockwave y la popular aplicación para la lectura de documentos pdf, Acrobat Reader.
En la estadística también han entrado dos programas de Apple, el reproductor QuickTime y iTunes, y un popular reproductor de ficheros multimedia, Winamp de la compañía Nullsoft.
Fabricantes de productos con vulnerabilidades del TOP 10.
Tercer trimestre de 2012
Todas las vulnerabilidades del TOP 10 tienen una influencia negativa en la seguridad del equipo: dan al delincuente la posibilidad de obtener acceso irrestricto al sistema mediante exploits. Al igual que en el segundo trimestre, tres vulnerabilidades brindan al delincuente la posibilidad de obtener acceso a la información confidencial. Ambas vulnerabilidades en Flash Player permiten evadir los mecanismos de defensa de la aplicación. En la estadística también han entrado las vulnerabilidades que dan la posibilidad de manipular datos y lanzar ataques DDoS y XSS.
Distribución de vulnerabilidades del TOP 10 según el tipo de influencia en el sistema, tercer trimestre de 2012
Vale decir que los productos de Microsoft han desaparecido de la lista de productos con vulnerabilidades del TOP 10. Esto se debe a que el mecanismo de actualizaciones automáticas de las últimas versiones del sistema operativo Windows está bien organizado.
Desarrollo de las amenazas informáticas en el tercer trimestre de 2012