- Kaspersky Security Bulletin 2010: Boletín de seguridad Desarrollo de las amenazas informáticas en 2010
- Kaspersky Security Bulletin 2010: Principales Estadisticas de 2010
- El spam en 2010
Kaspersky Lab analiza cerca de un millón y medio de mensajes spam cada día. El material que usamos para realizar el análisis son fragmentos, diversos por su calidad y densidad, de los flujos de correo proporcionados por nuestros clientes y socios, además del spam que llega a “trampas” especiales. Todo el spam se clasifica de forma automática. Una parte del tráfico entrante se analiza también manualmente. Un rubricador único en su género permite estudiar la distribución porcentual y temática de los mensajes spam.
La lucha contra el spam y el envío de códigos maliciosos en 2010
Se podría decir que 2010 fue un año revolucionario en lo que atañe a la lucha contra el spam en diferentes niveles. Antes que nada, son notables los éxitos de los órganos de seguridad de los países desarrollados en la lucha contra el delito informático, entre ellos el relacionado con el envío masivo de spam.
En 2010 se clausuraron centros de administración de botnets que enviaban spam, como Waledac, Pushdo/Cutwail, Lethic y Bredolab; se inició varios importantes procesos penales contra los delitos cibernéticos y dejó de existir el programa de afiliados SpamIt. La consecuencia de estos sucesos fueron los cambios en la distribución geográfica de las principales fuentes de spam y su contenido temático. Así, a finales de año hubo una caída sin precedentes del porcentaje de spam enviado desde EEUU y creció el de spam enviado desde Europa Oriental. Por primera vez en toda la historia de nuestras investigaciones observamos una caída sostenida del porcentaje de spam en el tráfico de correo. Sin embargo, hay una mala noticia: el spam se ha hecho mucho más peligroso.
Ya hemos escrito sobre la criminalización del spam y como este nicho de publicidad ilegal, poco a poco, está siendo abandonado por las pequeñas y medianas empresas, para ser reemplazado cada vez en mayor grado por los estafadores y vendedores de productos falsificados e ilegales. En 2010 el spam se convirtió también en una fuente de numerosos ataques maliciosos: en un año la cantidad de adjuntos maliciosos en los mensajes de correo se ha multiplicado por un coeficiente de 2,6.
Spam nocivo
En 2010 la cantidad de mensajes maliciosos en el correo alcanzó el 2,20% (el año anterior era del 0,85%). En el punto más álgido de los ataques, que tuvo lugar en agosto, los mensajes con adjuntos maliciosos constituyeron el 6,29% del tráfico de correo. Es posible que fueran justo estos ataques masivos los que hicieron que los órganos de seguridad del estado presten atención al fenómeno del spam.
Fue justo en los envíos masivos que propagaban programas maliciosos dónde se usaron los métodos y trucos de envío de spam más efectivos. En estos envíos masivos, se falsificaba los mensajes con métodos refinados para hacerlos parecer notificaciones de populares sitios web (redes sociales, tiendas, bancos y servicios de hosting) y para redactarlos se usaron métodos de ingeniería social. El usuario que seguía el enlace de la notificación falsificada acababa en un sitio con publicidad de Viagra y, al mismo tiempo, en un sitio malicioso.
A finales de año cambió el vector de ataque de los distribuidores de spam malicioso: entre los destinatarios de mensajes maliciosos empezó a haber muchos más habitantes de países en desarrollo. Es posible que la causa sea la encarnizada lucha que EEUU y los países de Europa Occidental están librando contra las botnets. Los delincuentes cibernéticos prefirieron expandir las botnets atacando los equipos de los usuarios de aquellos países donde los órganos de seguridad del estado todavía no le prestan suficiente atención a la lucha contra la delincuencia informática.
La clausura de las botnets: cronología
A principios de 2010 se cerró la botnet Lethic. Por desgracia, esto no tuvo casi ninguna repercusión en la cantidad de spam. Y en febrero, Lethic empezó a trabajar de nuevo.
A finales de febrero se cerraron 277 dominios relacionados con el sistema de administración de la botnet Waledac y en la primera quincena de marzo se pudo observar una caída del 3,1%. en el tráfico de correo. Pero al llegar mayo, el porcentaje de spam en el tráfico volvió a su nivel anterior.
En agosto se cerraron cerca de 20 centros de administración de la botnet Pushdo/Cutwail, que según algunas apreciaciones era responsable del 10% del spam mundial. Esto provocó una caída del 1,5% en la cantidad de spam en septiembre (en comparación con agosto).
El último, y más fuerte golpe dado a los spammers fue la clausura el 25 de octubre de 143 centros de la botnet Bredolab. Según los datos de la policía holandesa, en el momento de la clausura de los centros de administración esta botnet constaba de cerca de 30 millones de equipos en diferentes países del mundo. La botnet se utilizaba tanto para enviar spam farmacéutico, como para propagar spam mediante un gran espectro de programas maliciosos. En nuestro informe del tercer trimestre describimos con detalle este spam, que al mismo tiempo publicita fármacos y sirve de instrumento para infectar equipos con programas maliciosos.
La clausura de la botnet Bredolab tuvo un efecto notable en la cantidad de spam. Inmediatamente después de su clausura, el spam se redujo en un 8-9%. Después, el tráfico volvió a su estado normal. Sin embargo, el índice medio de octubre siguió bajo, del 77,4% (un 3,6% menos que en septiembre). La consecuencia de la exitosa lucha contra esta botnet fue la reducción del porcentaje de spam en el correo y una reducción sin precedentes de la cantidad de spam enviado desde EEUU (del 15,5% en agosto al 1,6% en octubre).
La operación de clausura de los centros de administración de la botnet Bredolab la llevaron a cabo, de forma conjunta, el grupo de reacción rápida ante incidentes informáticos (Computer Emergency Readiness Team, CERT), divisiones especializadas de la policía holandesa, especialistas en seguridad de red y el proveedor de hosting, en cuyas redes se detectaron estos servidores. Al día siguiente, en el aeropuerto internacional de Yereván se arrestó a uno de los propietarios de la red zombi clausurada. Los usuarios de los ordenadores-zombi (bots) a quienes se logró identificar, recibieron notificaciones sobre la infección e instrucciones para desinfectar sus equipos.
Cabe destacar que antes de la clausura de la botnet, Bredolab (entre otras cosas) instalaba en los equipos de los usuarios bots de spam, como Rustock (Backdoor.Win32.HareBot) y Pushdo (Backdoor.Win32.NewRest.aq). Por su parte, la botnet de spam Pushdo era la principal propagadora de Backdoor.Win32.Bredolab.
El spam y la ley
El arresto del propietario de la botnet Bredolab no fue el único proceso iniciado contra los spammers en este año.
A finales de septiembre se realizaron arrestos masivos de los participantes en el grupo que propagaba el programa malicioso ZeuS, por lo general mediante envíos masivos de spam. Después de los arrestos hubo una caída notable de la cantidad de equipos infectados por este programa malicioso.
En octubre, fueron los programas de afiliados que envían spam farmacéutico los que estuvieron en el centro de las actividades de los órganos de seguridad del estado. El primer día de octubre se cerró el programa SpamIt, uno de los programas de afiliados más importantes del mundo dedicado a la venta de fármacos, y ya a finales de mes, la Dirección de Investigación del Ministerio del Interior del Distrito Administrativo Central de Moscú inició un proceso penal contra el director general de la SRL Despmedia, Igor Gusev. Se lo acusa de vender fármacos importados ilegalmente, entre ellos Viagra, en el territorio de EEUU, Canadá y otros países. Estos fármacos se publicitaban en los mensajes spam enviados por el programa de afiliados Glavmed.com, al que según algunas opiniones, pertenece SpamIt. Como es de conocimiento público, en Rusia el envío de spam todavía no genera culpabilidad penal y tampoco existe la definición legal del concepto de “spam”. A Igor Gusev se le inició un proceso legal según la parte 2 del artículo 171 del Código Penal de la Federación de Rusia (emprendimiento ilegal, con alta cuantía de lucro). Según los datos de la investigación, la facturación de Glavmed.com en los últimos tres años y medio pudo alcanzar los 120 millones de dólares.
A principios de diciembre arrestaron en Los Ángeles a Oleg Nikolaenko, acusado de enviar spam mediante la botnet Mega-D, cuyos centros de administración fueron clausurados en noviembre de 2009. Fue Lance Atkinson, uno de los fundadores de Affking (programa de afiliados especializada en la difusión de publicidad de relojes Rolex falsificados y fármacos ilegales) condenado a finales de diciembre del años pasado, quien entregó a Nikolaenko a la justicia. Se considera que después de la clausura de la botnet Mega-D y el programa Affking, Nikolaenko había seguido distribuyendo spam como afiliado activo de la red SpamIt. Oleg estará detenido hasta el inicio del juicio, que empezará a más tardar el 11 de febrero. Pero él niega su culpabilidad.
El 7 de diciembre, en Taganrog, se detuvo a tres personas sospechosas de propagar programas maliciosos. Se las acusaba de, por medio del spam, haber irrumpido, infectado con virus y obtenido acceso no sancionado a varios centenares de miles de equipos. Si se demuestra su culpabilidad, podrían recibir condenas de hasta tres años de cárcel.
En la ola de las numerosas detenciones y acusaciones relacionadas con el spam, la Duma Estatal de la Federación de Rusia, conjuntamente con la Academia Rusa de Comunicaciones Electrónicas, empezó a elaborar enmiendas a la Ley Federal “De la protección de la información”. Entre otras cosas, proponen incluir en esta ley la definición del concepto de spam y establecer responsabilidad penal por el envío de spam. Cabe destacar que no es la primera vez que en la Duma surgen este tipo de iniciativas. Ya en 2005 se planeaba introducir enmiendas a la ley correspondiente y establecer responsabilidad penal por el envío de mensajes no solicitados. Esperamos que esta vez las personas responsables lleven a buen fin la iniciativa. Pero hasta ahora no se conoce en qué fecha ni cuáles serán los resultados finales de estas iniciativas. Los representantes de la Academia Rusa de Comunicaciones Electrónicas informaron que todavía no está trabajando sobre las enmiendas a la ley, sino que está dedicada a redactar aspectos complementarios al Código de Actividades Profesionales en Internet.
El spam en su desarrollo dinámico
Los sucesos relatados más arriba –la inhabilitación de los centros de administración de las botnets, la clausura del programa de afiliados SpamIt y el inicio de procesos penales contra los spammers- influyeron en la estructura y el carácter del spam que observamos en los flujos de correo. Se ha reducido la cantidad de correo no solicitado y ha cambiado el listado de países desde los cuales se hacen envíos masivos de spam.
Porcentaje de spam en el tráfico de correo
Porcentaje de spam en el tráfico de correo
En el gráfico se puede ver cómo en 2010 bajó el porcentaje de spam en el tráfico de correo. Esta reducción se hizo muy patente en los meses estivales, justo en el periodo cuando se cerraron los centros de administración de las botnets Pushdo/Cutwail y Bredolab, se clausuró el importante programa de afiliados SpamIt y se inició varios procesos penales contra los spammers.
Hace ya varios años que la cantidad de spam en el tráfico de correo no había estado en un nivel tan bajo durante tanto tiempo. Se nos viene a la mente la clausura en 2008 del tristemente conocido proveedor de hosting McColo (en sus servidores funcionaban los centros de administración de varias botnets), después de lo cual el nivel de spam se mantuvo bajo durante casi un mes (73,7%). Cuánto durará el periodo de calma esta vez es una incógnita. No obstante, como muestra la práctica, no hay que esperar que este bajo nivel se mantenga en el año siguiente. Los escritores de virus pueden organizar nuevas botnets, esta vez en los países con leyes menos elaboradas en el campo de la defensa contra los delitos informáticos. Esta suposición se afirma de forma indirecta por el hecho de que en noviembre la mayor parte del spam malicioso se envió desde Rusia, India y Vietnam (8,6%, 6,8% y 6,5% respectivamente), al mismo tiempo que la cantidad de spam malicioso recibido por los usuarios de EEUU y los países de Europa Occidental se redujo notablemente.
La mayor cantidad de spam en el tráfico de 2010 se registró el 21 de febrero y alcanzó el 90,8%, mientras que la menor cantidad tuvo lugar el 28 de octubre, con un 70,1%. La media de spam en el tráfico de correo en 2010 fue del 82,2%.
Países-fuente de spam
La mayor cantidad de spam en 2010 se envió desde EEUU (11,3%). India está en el segundo lugar (8,3%) y en el tercero, Rusia (6,0%). Al igual que en 2009, en nuestro TOP 20 hay muchos países de Europa Oriental y del Asia, mientras que los países de Europa Occidental son minoría.
La cantidad de spam enviado desde diferentes países ha cambiado durante el año. Estos cambios se pueden observar con gran claridad en el gráfico de los cinco países líderes.
Dinámica del envío de spam desde los países del TOP 5
Los primeros ocho meses del año, EEUU era el líder, dejando muy por detrás a los demás países-fuente de spam. En septiembre, después de la clausura de los centros de administración Pushdo/Cutwail y Bredolab, la cantidad de spam enviada desde este país se redujo abruptamente y en octubre el aporte de EEUU al envío mundial de spam fue menor que el de los demás países del TOP 5. Más adelante (hasta el mismo final de 2010) este índice se mantuvo en un nivel muy bajo, reduciéndose a unos cuantos puntos porcentuales, en comparación con los tradicionales 15-20%. En noviembre y diciembre, EEUU ni siquiera estuvo en el TOP 20. Y empezando desde octubre se observó una importante fluctuación de los porcentajes de los demás países-fuente de spam del TOP 5. Podemos suponer que los spammers, al encontrarse con la presión de los órganos de seguridad estatales de EEUU y Europa Occidental, tratan organizar nuevas botnets en otros países.
Distribución de las fuentes de spam por región
Distribución de las fuentes de spam por región
En 2010 fueron los países de Asia los que enviaron la mayor cantidad de spam. El año anterior ya escribimos sobre la migración del spam hacia oriente. En 2010 los países de Asia y Europa Central (incluyendo Rusia) enviaron más de la mitad del spam (55,9%). A grandes rasgos, la distribución de las fuentes de spam por regiones se diferencia poco de la de 2009.
Pero veamos la dinámica de envío de spam desde diferentes regiones:
Dinámica del envío de spam desde diferentes regiones en 2010
Los cambios más significativos ocurrieron en el cuarto trimestre: junto con la abrupta reducción del spam enviado desde EEUU, creció de golpe la cantidad de spam enviado desde Europa del Este. Como ya hemos dicho más arriba, después de la clausura de los centros de administración de varias botnets, los spammers empezaron a usar fuentes alternativas de spam.
En general, el porcentaje de Europa en su conjunto es bastante estable, pero sin embargo, el aporte de cada país de esta región es diferente. Y la cuestión es que en ciertos países se observa una tendencia al crecimiento del volumen de correo no deseable, mientras que en otros la tendencia es opuesta.
Dinámica de envío de spam en los países de Europa Occidental
A diferencia de los países de Europa Occidental, los índices de algunos países de otras regiones guardan cierta correlación:
Correlación en la dinámica de envío de spam desde dos países de una región determinada
Esto acredita que desde estos países se hacen envíos masivos idénticos. Suponemos que los equipos infectados en estos países son parte de las mismas botnets.
Los temas del spam
Distribución del spam según categorías temáticas en 2010
Según los resultados de 2010 el tema líder del spam en ruso “Educación” y en inglés “Fármacos y otros bienes y servicios para la salud” están en posiciones muy cercanas: “Educación” está sólo un 0,2% por encima de su competidor.
En comparación con 2009 ha bajado de forma notable la rúbrica “Publicidad de servicios de spam” (-6,1%) y el spam “para adultos” (-4,6%). La cantidad de mensajes que contienen síntomas de estafas informáticas ha aumentado en casi el doble (+3,8%).
En el TOP 10 de temas de 2010 ha aparecido una novedad, la rúbrica de “Colecciones de películas en DVD”. Son mensajes, en su aplastante mayoría en ruso, con publicidad de colecciones de películas y dibujos animados en DVD, como también de discos educativos. Antes, estos mensajes también llegaban a los buzones de los usuarios, pero en 2010 su cantidad fue tan notable que tuvimos que crear una nueva rúbrica. Cabe destacar que estos productos se difunden mediante programas de afiliados y por lo general, es pirata.
En el transcurso del año la estructura temática del spam ha cambiado varias veces. Merece especial atención el brusco salto y las altas posiciones del spam agrupado en la rúbrica “Fármacos” que tuvieron lugar en agosto. También fue bastante alto su porcentaje en el tráfico basura de septiembre y octubre, justo antes de la clausura del programa de afiliados SpamIt, especializado en el envío de publicidad de productos farmacéuticos. Es probable que parte de los spammers haya estado al tanto de que se avecinaba la amenaza de clausura de este programa y trató de, con vistas al final, sacar el mayor lucro de SpamIt.
Porcentaje del spam “Fármacos; bienes y servicios para la salud” en 2010
Desde septiembre los spammers que ganaban dinero con la publicidad de productos farmacéuticos empezaron a probar fuerzas en otros programas de afiliados. Esto se puede notar por los breves picos de diferentes tipos del spam generado por los programas de afiliados, entre ellos el spam que publicita casas de juego online y pornografía.
La clausura de los botnets y de SpamIt no podía dejar de ejercer su efecto en la correlación del spam “de afiliados” y el solicitado por los clientes. Así, en agosto la cantidad de spam de los programas de afiliados creció notablemente, y a partir de septiembre, empezó a decaer.
Proporción del spam “de afiliados” y “a solicitud”
A finales de año la cantidad de spam “de afiliados” bajó hasta su nivel mínimo del año, cerca del 30% del total. Es posible que cuando las botnets cerradas se recuperen, crecerá también la cantidad de spam “de afiliados”.
Métodos y trucos usados en los mensajes spam
Este año fueron los propagadores de programas maliciosos quienes usaron los trucos más interesantes. Para obligar a los usuarios a pulsar enlaces maliciosos, enviaban mensajes spam que eran copias casi perfectas de notificaciones supuestamente enviadas por sitios conocidos: bancos, tiendas, proveedores de correo, redes sociales, de hosting y muchos otros (aquí encontrará más detalles sobre este tipo de spam). En los mensajes también se falsificaba los encabezados técnicos invisibles al usuario, pero que son importantes para el funcionamiento de los filtros antispam.
Por lo general los mensajes de phishing están elaborados para asustar al usuario y, sacando provecho de sus reticencias, obligarlo a introducir su login y contraseña en una página phishing. A pesar de que los propagadores de programas maliciosos, al igual que los phishers, enviaban cartas falsificadas en nombre de sitios legítimos, no usaban métodos intimidatorios. Parte de los mensajes simplemente imitaba las notificaciones estándar enviados a los usuarios o clientes de sitios legítimos.
Ejemplos de mensajes spam camuflados como notificaciones de recursos legítimos
Estas falsificaciones de notificaciones neutrales son muy peligrosas: como regla, el usuario experimentado puede darse cuenta de que no son verdaderas (por ejemplo, los bancos nunca piden introducir logins ni contraseñas al seguir un enlace contenido en un mensaje). En los casos descritos, los mensajes copiaban fielmente el original, excepto los enlaces, que al seguirlos contagiaban el equipo del usuario con un coctel entero de programas maliciosos.
Otros mensajes sólo operaban con métodos de ingeniería social. Por ejemplo, en algunos se decía que el usuario había hecho una compra y se le proponía seguir un enlace para ver los detalles:
Ejemplo de mensaje spam con métodos de ingeniería social
Todos los enlaces de este mensaje llevan a un mismo sitio infectado.
También se observaron intentos de lanzar ataques dirigidos a determinados auditorios. He aquí uno de los mensajes que llegaron a una de las direcciones de Kaspersky Lab.
Ejemplo de mensaje spam orientado a determinado auditorio
Este mensaje era una imitación del servicio de soporte: les pedía al usuario confirmar su supuesta solicitud de cambio de contraseña o cancelarla. Llama la atención el hecho de que en el cuerpo del mensaje en todos los lugares correspondientes se indica el dominio correcto adonde llegó el mensaje. Y la dirección del campo “remitente” es la verdadera dirección del servicio de soporte. Es decir, las personas que enviaban estos mensajes, ya sea manualmente o con la ayuda de un robot, buscaban la dirección real del servicio de soporte de Kaspersky Lab y lo ponían en el campo “remitente”, para que sus mensajes parecieran más reales. Todos los enlaces del mensaje, como en los ejemplos anteriores, llevaban al mismo sitio infectado.
Adjuntos maliciosos en el spam
En 2010 los ficheros maliciosos estaban presentes en el 2,2% de los mensajes electrónicos, lo que supera el índice de 2009 en 2,6 veces (entonces había programas maliciosos sólo en el 0,85% del tráfico).
Los envíos maliciosos masivos que se observaron en verano y a principios de otoño de 2010 condicionaron en gran parte el porcentaje del spam del año. El pico de estos envíos fue en agosto.
Porcentaje de spam con adjuntos maliciosos en 2010
Sin embargo, como se ve en el gráfico, la cantidad de spam con adjuntos maliciosos empezó a crecer en mayo y ya en junio alcanzó índices bastante altos. Entonces constituyó casi el 2,7%.
Si hablamos de los envíos masivos, junio fue uno de los meses más notables de 2010. En el primer mes de verano Internet se vio anegado por mensajes spam que contenía adjuntos en html con scripts maliciosos (entre ellos Trojan-Downloader.JS.Pegel.g, que según los resultados del año ocupó el segundo lugar en la estadística de programas maliciosos difundidos por correo). Los mensajes imitaban notificaciones de diferentes recursos legítimos, como tiendas online y redes sociales. Los delincuentes organizaron un esquema bastante complejo de propagación de programas maliciosos con la ayuda de este spam y equipos conectados a botnets. Aquí puede leer más información sobre este esquema.
En agosto y septiembre la cantidad de envíos con adjuntos maliciosos alcanzó sus más altos niveles (6,29% y 4,33%). Tan alto porcentaje de mensajes maliciosos en el correo estuvo condicionado por varios potentes lanzamientos relámpago de código malicioso en el tráfico de correo. En total, fueron seis lanzamientos, tres en agosto y tres en septiembre. Aquellos días los delincuentes empezaron a enviar nuevas modificaciones de diferentes programas maliciosos, entre ellos el famoso Zbot. En el informe del tercer trimestre de 2010 se puede leer información más detallada sobre estos envíos maliciosos.
Una de las consecuencias de los envíos maliciosos masivos de agosto y septiembre fue el brusco crecimiento de la cantidad de mensajes con adjuntos zip. Por lo general, este spam es menos de la mitad del uno por ciento del volumen general del spam. Sin embargo, en el tercer trimestre la cantidad de mensajes con adjuntos zip alcanzó un nivel sin precedentes, el 2,6% del spam en total. En el tercer trimestre la cantidad de mensajes con adjuntos zip se redujo a niveles más comunes (cerca del 0,3% del total del spam). De todos modos, recordamos al usuario una norma importante de seguridad en la red: nunca abrir ficheros desconocidos que lleguen en mensajes sospechosos.
El TOP 10 de programas maliciosos propagados por correo en 2010 es el siguiente:
TOP 10 de programas maliciosos en el correo
El líder es Trojan-Spy.HTML.Fraud.gen, cuya principal tarea es recopilar los datos personales y de registro del usuario.
En el segundo puesto, como ya hemos mencionado, está Trojan-Downloader.JS.Pegel.g. Este programa malicioso estuvo muy por delante del resto en la estadística de junio. Los representantes de la familia Pegel están conformados por una página html que contiene un escenario escrito en JavaScript. Después de abrir la página infectada en el navegador, el troyano, usando un escenario JavaScript empieza a descifrar su código y lo ejecuta. Después, se remite al usuario a un sitio web infectado por exploits, desde el cual -usando una vulnerabilidad en el navegador- se pueden descargar al equipo otros programas maliciosos.
En los puestos cuarto y quinto de la estadística se encuentran los empaquetadores de la familia Krap. Las modificaciones Krap.an y Krap.x por lo general se usan para empaquetar Zbot, FraudTools y Iksmas. El empaquetador Trojan.win32.pakes.Katusha.o,q, que ocupa el noveno puesto, también puede contener con igual probabilidad tanto antivirus falsos como Zbot.
Más del 15% de todos los objetos descubiertos por nuestro antivirus de correo en 2010 eran amenazas desconocidas hasta el momento de su detección.
Entre los países donde el antivirus de correo tuvo más reacciones lideran los EEUU. Le siguen Alemania, Inglaterra y Japón. Además, en el TOP 10 hay dos países europeos más: Francia y España.
Reacciones del antivirus de correo según países: TOP 10
Basándonos en el diagrama de arriba podemos sacar la conclusión de que en 2010 el vector de ataques de los delincuentes siguió apuntando a los países desarrollados. Esto se explica porque los datos personales de los usuarios en estos países representan gran interés para los delincuentes cibernéticos.
Pero a finales de año los delincuentes empezaron a enviar más mensajes maliciosos a los países en vías de desarrollo. Todo parece indicar que esto guarda relación con la activa lucha que se está llevando a cabo contra las botnets en EEUU, Inglaterra y los países de Europa Occidental. La clausura de los centros de administración de las grandes redes botnet, como también la atención que el estado les está prestando obliga a los delincuentes a expandir las botnets, infectando los equipos de los usuarios en aquellos países donde esta lucha no es tan cruda o no existe. En noviembre, la mayor cantidad de reacciones del antivirus de correo tuvo lugar en Rusia, India y Vietnam, mientras que los adjuntos más propagados desde estos países fueron diferentes modificaciones de Zbot, los troyanos-descargadores de la familia Oficla cuya tarea es, entre otras, la instalación de bots en los ordenadores de los usuarios.
Phishing
La cantidad de mensajes phishing en el correo constituyó el 0,35%, un 0,51% menos que el año pasado.
Cabe destacar que en el transcurso de casi todo el año la cantidad de mensajes phishing fue bastante baja: cerca del 0,02%. como se puede ver en el gráfico, sólo a principios y finales de año los mensajes phishing constituyeron una parte notable del tráfico de correo.
Porcentaje de mensajes con enlaces phishing en el tráfico de correo en 2010
Con todo, los gustos de los phishers han sufrido ciertos cambios en comparación con el año pasado. A pesar de que ambos líderes del TOP 10 de las organizaciones más atacadas por los phishers (PayPal y eBay) han conservado sus posiciones, la mayor parte de la estadística ha sufrido grandes cambios.
Organizaciones que sufrieron ataques phishing en 2010
Si bien en 2009 seis de cada diez organizaciones eran bancos, en 2010 el foco esfera de los intereses de los phishers se volcó al lado de los diferentes servicios online.
Después de los ya tradicionales PayPal y eBay, son las cuentas de las redes sociales las que representan mayor interés para los phishers. El principal objetivo de este segmento son las cuentas de Facebook, la red social más popular en este momento. Los ataques contra esta red alcanzaron el 6,95%. En el TOP 10 también entró la red Habbo, que concentró el 1,34% de todos los ataques phishing de 2010.
Los servicios ofrecidos por Google adquirieron popularidad entre los phishers. En el informe del tercer trimestre ya habíamos mencionado que las cuentas de servicios como Google AdWords y Google Checkout representan para los phishers no menor interés que las de los bancos online, porque tienen adjuntos los datos de las tarjetas de crédito de los usuarios. Esta “atadura” les permite a los delincuentes apoderarse de la cuenta y de los datos financieros de las víctimas.
El juego online World of Warcraft también fue uno de los blancos populares durante todo 2010. A los phishers les interesan los personajes “avanzados” y el así llamado WoW Gold. Los delincuentes pueden cambiar ambos bienes por dinero contante y sonante.
A juzgar por el hecho de que el dinero de los mundos virtuales adquiere cada vez más popularidad entre los phishers, podemos decir con toda seguridad que en el futuro el dinero virtual les interesará más que el real. En el caso de robo de dinero virtual, el phisher recibe no menos ganancias que en el caso de robo de tarjetas de crédito, pero sometiéndose a mucho menor riesgo.
Pronósticos
El próximo año se puede esperar la continuación de ataques complejos que unirán las tecnologías de los phishers, spammers y la ingeniería social. Continuarán los envíos masivos de spam malicioso: los spammers tienen que recuperar las botnets perdidas.
Merece la pena destacar que con el restablecimiento de las botnets también aumentará la cantidad de spam en el tráfico postal. Por el momento los spammers no se han podido recuperar del duro golpe dado a las botnets. Pero lo más probable es que al pasar un par de meses la cantidad de spam en el correo vuelva a su alto nivel anterior.
Es probable que los delincuentes cibernéticos se hagan aún más cuidadosos y traten de organizar botnets en los países menos protegidos contra las amenazas informáticas, tanto desde el punto de la ley, como del software. La confirmación indirecta es que en noviembre la mayor parte de las reacciones del antivirus de correo ocurrieron en Rusia, India y Vietnam, y los programas maliciosos enviados a estos países incluían troyanos que instalaban bots. Por lo tanto, continuará cambiando el cuadro general de la distribución del spam según países.
Hemos escrito muchas veces que la lucha contra el spam se debe efectuar en varios niveles al mismo tiempo: legal, jurídico, tecnológico y educativo. 2010 mostró que esta lucha puede tener éxito. La clausura en 2010 de los centros de administración de varias importantes botnets especializadas en el envío de spam, las altas actividades de los órganos de seguridad del estado y algunas iniciativas legislativas siembran la esperanza de que el spam es un fenómeno que ha llamado la atención y que del mismo se están ocupando no sólo las compañías que venden soluciones de seguridad en Internet. Quisiéramos creer que esto es sólo el principio y que el año que viene será el punto de inflexión en la lucha contra el spam.
Si lo órganos de seguridad del estado y los proveedores de hosting, junto con los expertos en informática siguen luchando contra los delincuentes cibernéticos, algún día Internet será un lugar mucho más limpio y seguro para el usuario.
Mientras tanto, seguiremos recomendando a los usuarios tener cuidado con la publicidad y los enlaces contenidos en el spam, hacer a tiempo las actualizaciones de sus programas y usar antivirus modernos. Pues ahora hasta el simple spam es peligroso y puede dañar su equipo.
Kaspersky Security Bulletin 2010: El spam en 2010