- Kaspersky Security Bulletin: Boletín de seguridad 2009. Desarrollo de las amenazas informáticas en 2009
- Kaspersky Security Bulletin: Boletín de seguridad Estadística general del 2009
- Kaspersky Security Bulletin: Spam en 2009
El presente informe se basa en los datos obtenidos y procesados por el sistema Kaspersky Security Network. Esta nueva forma de recopilar datos es una de las novedades más importantes de los productos personales Kaspersky versión 2009 y actualmente se está preparando su implementación en los productos corporativos de Kaspersky Lab.
Kaspersky Security Network permite a nuestros expertos, en tiempo real, detectar los nuevos programas nocivos que todavía no tienen antídoto en forma de identikits o no son detectados por heurística. KSN permite desenmascarar las fuentes de propagación de programas nocivos en Internet y evitar que los usuarios se conecten a los sitios infectados.
Al mismo tiempo, KSN permite aumentar la velocidad de reacción ante las nuevas amenazas, ya que se puede bloquear el lanzamiento de un nuevo programa nocivo en los equipos de los usuarios de KSN en una fracción de segundo desde el momento en que se les asigne el dictamen de “peligroso”, sin necesidad de actualizar las bases antivirus.
Programas nocivos en Internet (ataques por la Web)
En el artículo principal del informe hemos prestado especial atención al problema de la epidemia causada por Gumblar en la web. En realidad, esta epidemia es sólo el pico del iceberg de las infecciones web, que durante los últimos años se han convertido en la forma dominante de infectar los equipos de los usuarios.
Como hemos podido observar, en este campo la delincuencia informática ha evolucionado con gran rapidez, llegando hasta el extremo de crear botnets completas compuestas por sitios web que no necesitan de ayuda externa para conservar su populación.
Además, se usan activamente las posibilidades que ofrecen las redes sociales. Nuestras investigaciones muestran que el actual nivel de confianza entre los usuarios de redes sociales es muy alto: la posibilidad de que el usuario de una red social ejecute un fichero o siga un enlace enviado por un amigo es casi diez veces mayor que si el fichero hubiese sido enviado por correo electrónico. Y los delincuentes se aprovechan de este fenómeno cuando llega el momento de propagar programas maliciosos y spam.
Hemos escrito más de una vez sobre las tecnologías drive-by-download. Ésta consiste en el equipo se infecta de una forma imperceptible para el usuario cuando éste trabaja en Internet. En 2009 la situación ha empeorado de forma significativa: según nuestros registros, la cantidad de estos ataques se ha multiplicado tres veces. Y esto significa que estamos hablando de decenas de millones de ataques.
Con la ayuda de Kaspersky Security Network, podemos realizar la estadнstica y el anбlisis de todos los intentos de infectar a nuestros usuarios cuando navegan por Internet.
Según los resultados del trabajo de KSN en 2009, se han registrado 73.619.767 ataques a nuestros usuarios, la totalidad de los cuales fue neutralizada por nuestros productos, mientras que en 2008 fueron 23.680.646. Además de los intentos de descargar programas maliciosos y potencialmente peligrosos, el número citado incluye 14.899.238 intentos de acceso a sitios de phishing y maliciosos, que fueron bloqueados por nuestro antivirus.
Programas maliciosos en Internet: TOP-20
De todos los programas maliciosos que tomaron parte en ataques a los usuarios, hemos destacado 20 que fueron los más activos. Nuestra compañía registró cada una de estas 20 amenazas más de 170.000 veces y fueron las responsables de más del 37% (27.268.356) de todos los incidentes detectados.
№ | Nombre | Cantidad de ataques | % del total |
1 | HEUR:Trojan.Script.Iframer | 9858304 | 13,39 |
2 | Trojan-Downloader.JS.Gumblar.x | 2940448 | 3,99 |
3 | not-a-virus:AdWare.Win32.Boran.z | 2875110 | 3,91 |
4 | HEUR:Exploit.Script.Generic | 2571443 | 3,49 |
5 | HEUR:Trojan-Downloader.Script.Generic | 1512262 | 2,05 |
6 | HEUR:Trojan.Win32.Generic | 1396496 | 1,9 |
7 | Worm.VBS.Autorun.hf | 1131293 | 1,54 |
8 | Trojan-Downloader.HTML.IFrame.sz | 935231 | 1,27 |
9 | HEUR:Exploit.Script.Generic | 752690 | 1,02 |
10 | Trojan.JS.Redirector.l | 705627 | 0,96 |
11 | Packed.JS.Agent.bd | 546184 | 0,74 |
12 | Trojan-Clicker.HTML.Agent.aq | 379872 | 0,52 |
13 | HEUR:Trojan-Downloader.Win32.Generic | 322166 | 0,44 |
14 | Trojan.JS.Agent.aat | 271448 | 0,37 |
15 | Trojan-Downloader.Win32.Small.aacq | 265172 | 0,36 |
16 | Trojan-Clicker.HTML.IFrame.ani | 224657 | 0,31 |
17 | Trojan-Clicker.JS.Iframe.be | 216738 | 0,3 |
18 | Trojan-Downloader.JS.Zapchast.m | 193130 | 0,27 |
19 | Trojan.JS.Iframe.ez | 175401 | 0,24 |
20 | not-a-virus:AdWare.Win32.GamezTar.a | 170085 | 0,23 |
Total TOP20 | 27443757 | 37,3 |
El primer lugar de la estadística, a gran distancia del resto, lo ocupa la detección heurística de enlaces maliciosos puestos por los hackers y muchas veces por los programas maliciosos en el código de los sitios capturados. Estos enlaces hacen que el navegador, sin que el usuario se dé cuenta, vaya a otro sitio donde, como regla, se encuentra el conjunto de exploits para vulnerabilidades de navegadores y aplicaciones.
El segundo puesto le pertenece a Gumblar, lo que no es sorprendente si se toma en cuenta las dimensiones de su epidemia. Nuestro antivirus detectó más de 300.000.000 millones de veces solicitudes de nuestros clientes dirigidas a los servidores de esta botnet. Sólo nos queda imaginarnos cuántos millones de ordenadores personales habrían podido convertirse en víctimas de este programa malicioso.
Es digno de mención que el tercer puesto lo ocupa el programa de publicidad Boran.z. El así denominado Adware es, a la par que la pornografía, uno de los principales elementos en la estructura de la delincuencia cibernética.
Prácticamente todos los demás participantes del TOP20, de una u otra manera, son variantes de exploits para vulnerabilidades.
TOP-20 de los países que hospedan programas nocivos TOP-20
73.619.767 de los ataques que registramos en 2009 se realizaron desde recursos de Internet ubicados en 174 países. Más del 97% de los ataques detectados por nuestra compañía se realizaron desde 20 países.
1 | CHINA (continental) | 52,70% |
2 | Estados Unidos | 19,02% |
3 | Países Bajos | 5,86% |
4 | Alemania | 5,07% |
5 | Rusia | 2,58% |
6 | Reino Unido | 2,54% |
7 | Canadá | 2,22% |
8 | Ucrania | 2,17% |
9 | Letonia | 1,53% |
10 | Francia | 0,60% |
11 | España | 0,49% |
12 | Corea del Sur | 0,48% |
13 | Brasil | 0,44% |
14 | Chipre | 0,34% |
15 | Suecia | 0,32% |
16 | Taiwán | 0,27% |
17 | Noruega | 0,23% |
18 | Israel | 0,21% |
19 | Luxemburgo | 0,16% |
20 | Estonia | 0,16% |
97,38% |
Los primeros cinco países de la tabla son los mismos de la estadística de 2008.
Al igual que en 2008, China sigue siendo el líder absoluto por el total de ataques desde los recursos ubicados en este país. Sin embargo el porcentaje de ataques lanzados desde recursos web chinos bajó del 79% a casi el 53%. Los Estados Unidos siguen ocupando el segundo lugar y la cantidad de servidores infectados en este país ha crecido considerablemente, del 6,8% al 19%. Rusia, Alemania y Holanda forma el “segundo escalón” pero sus porcentajes no han experimentado notable crecimiento.
El liderazgo de china, tanto en el campo de creación de nuevos programas maliciosos, como por la cantidad de sitios web infectados ya ha llamado la atención de los órganos estatales y de seguridad del país. Para salvar la situación, los órganos reguladores ya han tomado una serie de medidas destinadas a dificultar la aparición de recursos maliciosos. Ahora, para registrar un nombre de dominio en la zona .cn, es necesario rellenar una solicitud impresa, pero esto se puede hacer sólo después de que el solicitante presente personalmente su cédula de identidad y licencia comercial. Ya se han cerrado varias compañías chinas registradoras de dominios que no cumplían con estos requisitos.
Muy pronto después de la introducción de estas medidas (a finales de 2009) en el spam se notó la reducción de la cantidad de enlaces a dominios chinos. Esperamos que en 2010 esta tendencia afecte a los demás métodos de infectar ordenadores y engañar a los usuarios.
Países cuyos habitantes fueron atacados en 2009: TOP-20
El siguiente índice que exige análisis es en qué países y regiones se atacó a los usuarios.
Los ordenadores de los habitantes de los siguientes veinte países sufrieron más del 86% de los 73.619.767 intentos de ataque registrados:
1 | CHINA (continental) | 46,75% |
2 | Estados Unidos | 6,64% |
3 | Rusia | 5,83% |
4 | India | 4,54% |
5 | Alemania | 2,53% |
6 | Reino Unido | 2,25% |
7 | Arabia Saudita | 1,81% |
8 | Brasil | 1,78% |
9 | Italia | 1,74% |
10 | Vietnam | 1,64% |
11 | México | 1,58% |
12 | Francia | 1,49% |
13 | Egipto | 1,37% |
14 | Turquía | 1,23% |
15 | España | 1,20% |
16 | Ucrania | 0,91% |
17 | Canadá | 0,81% |
18 | Malasia | 0,80% |
19 | Tailandia | 0,76% |
20 | Kazajtán | 0,71% |
86,37% |
En comparación con el año pasado han ocurrido cambios significativos. China sigue liderando según la cantidad de víctimas potenciales, pero su participación se ha reducido en un 7%. En cambio, los líderes del año pasado – Egipto, Turquía y Vietnam – se han vuelto mucho menos interesantes para los delincuentes virtuales. Al mismo tiempo, es notable el crecimiento de la cantidad de ataques contra ciudadanos de EEUU, Alemania, Inglaterra y Rusia.
En nuestra opinión, este cambio en los objetivos de los ataques es una consecuencia más de la crisis económica mundial. Hay mucho menos dinero en Internet y el crecimiento de la cantidad de los usuarios de banca virtual se ha reducido en una serie de paises. Los delincuentes se han visto obligados a buscar mercados más “ricos”, donde la probabilidad de lucrar infectando a los usuarios es mucho mayor.
Los delincuentes chinos han hecho su aporte en este proceso al lanzar menos ataques contra sus compatriotas. Ya hemos escrito sobre las virulencia de los troyanos para juegos. Es probable que, en lo que se refiere a los ataques mediante la web, estemos observando las consecuencias de esta tendencia.
Ataques de red
Los cortafuegos (firewall) se han convertido en parte imprescindible de todo programa antivirus moderno. Permiten bloquear los diferentes ataques provenientes del exterior que se realizan sin usar el navegador. Tambiйn evitan que se roben los datos confidenciales del usuario.
Una de las funciones del cortafuegos de Kaspersky Internet Security es el anбlisis de los paquetes entrantes, porque que muchos de ellos son exploits que aprovechan las vulnerabilidades de los servicios de red de los sistemas operativos y pueden infectar los sistemas que carecen de los parches correspondientes o permitir que los delincuentes obtengan acceso irrestricto al sistema.
En 2009 el sistema UDS de Kaspersky Internet Security 2009 neutralizó 291.899.678 ataques de red. En 2008 había contrarrestado un poco más de 30 millones de incidentes similares.
Cantidad | % | ||
1 | DoS.Generic.SYNFlood | 156550484 | 71,192 |
2 | Intrusion.Win.NETAPI.buffer-overflow.exploit | 32605798 | 14,828 |
3 | Intrusion.Win.MSSQL.worm.Helkern | 23263431 | 10,579 |
4 | Intrusion.Win.DCOM.exploit | 3245943 | 1,476 |
5 | Scan.Generic.UDP | 1799685 | 0,818 |
6 | Intrusion.Win.LSASS.exploit | 812775 | 0,37 |
7 | Intrusion.Generic.TCP.Flags.Bad.Combine.attack | 604621 | 0,275 |
8 | Intrusion.Win.LSASS.ASN1-kill-bill.exploit | 555107 | 0,252 |
9 | DoS.Generic.ICMPFlood | 131925 | 0,06 |
10 | Scan.Generic.TCP | 101737 | 0,046 |
11 | Intrusion.Win.HTTPD.GET.buffer-overflow.exploit | 86511 | 0,039 |
12 | Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit | 24375 | 0,011 |
13 | Intrusion.Win.SMB.CVE-2009-3103.exploit | 19378 | 0,009 |
14 | Intrusion.Win.WINS.heap-overflow.exploit | 15200 | 0,007 |
15 | Intrusion.Generic.OmniWeb.Alert.format-string.exploit | 14291 | 0,006 |
16 | Intrusion.Win.Messenger.exploit | 10296 | 0,005 |
17 | DoS.Win.IGMP.Host-Membership-Query.exploit | 8976 | 0,004 |
18 | Intrusion.Win.PnP.exploit | 8783 | 0,004 |
19 | Intrusion.Win.EasyAddressWebServer.format-string.exploit | 6561 | 0,003 |
20 | DoS.Generic.Land | 3505 | 0,002 |
99,986 |
En el primer lugar, al igual que el año anterior, se encuentra un sencillo y difundo ataque, Dos.Generic.SYNFlood, que usada con éxito provoca que el equipo atacado quede fuera de servicio. Los sistemas modernos de protección saben hacer frente a este tipo de ataques.
En el segundo lugar tenemos una amenaza más interesante y peligrosa, NETATPI.buffer-overflow.exploit, que se aprovecha de la vulnerabilidad MS08-067.
Se trata de la misma vulnerabilidad que usó el tristemente conocido gusano Kido. Fue detectada a finales de 2008 y entonces ocupó el cuarto puesto de nuestra estadística. En 2009 Kido ocupaba un gran porcentaje de los 32 millones de intentos de infección detectados y bloqueados en ordenadores con MS08-’67.
Sigue existiendo en la red el gusano Helkern (Slammer). A pesar de que ya está por cumplir los 7 años, sigue estando entre los líderes porque es responsable de 23 millones de intentos de infección. Es igual de venerable por su edad el exploit que ocupa el cuarto lugar, RPC-DCOM (MS03-026). Esta misma vulnerabilidad preparó el terreno para la epidemia del gusano Lovesan en agosto de 20003.
Infecciones locales
Un factor de primordial importancia es la estadística de las infecciones locales que afectan a los equipos de los usuarios. Aquí se reflejan los datos de los objetos que penetraron en los equipos sin usar la Web, el correo electrónico o los puertos de red.
Nuestras soluciones antivirus detectaron más de cien millones (107.370.258) de incidentes virales en los equipos que integran Kaspersky Security Network.
En estos incidentes se pudo registrar 703.700 diferentes programas nocivos y potencialmente indeseables.
Los primeros cien de la lista son responsables de 28.597.901 incidentes, o sea el 14,72%.
Los programas nocivos que ocupan los primeros veinte lugares son las amenazas más difundidas en 2009.
Lugar | Objeto detectado | Cantidad de equipos únicos dónde se descubrió el objeto |
1 | HEUR:Trojan.Win32.Generic | 3050753 |
2 | Net-Worm.Win32.Kido.ih | 2924062 |
3 | Virus.Win32.Sality.aa | 1407976 |
4 | Net-Worm.Win32.Kido.ir | 1176726 |
5 | UDS:DangerousObject.Multi.Generic | 620716 |
6 | Packed.Win32.Black.d | 527718 |
7 | Net-Worm.Win32.Kido.iq | 518120 |
8 | HEUR:Worm.Win32.Generic | 516467 |
9 | Virus.Win32.Virut.ce | 488852 |
10 | not-a-virus:AdWare.Win32.Boran.z | 466106 |
11 | Virus.Win32.Induc.a | 455798 |
12 | HEUR:Trojan-Downloader.Win32.Generic | 436229 |
13 | HEUR:Trojan.Win32.StartPage | 412245 |
14 | MultiPacked.Multi.Generic | 377741 |
15 | Trojan-Downloader.Win32.VB.eql | 362685 |
16 | Worm.Win32.FlyStudio.cu | 361056 |
17 | Trojan-Dropper.Win32.Flystud.yo | 356950 |
18 | Packed.Win32.Black.a | 333705 |
19 | Packed.Win32.Klone.bj | 320665 |
20 | Trojan.Win32.Chifrax.a | 296947 |
97,38% |
En más de tres millones de ordenadores se bloquearon intentos de infección que fueron detectados exitosamente con la ayuda de métodos heurísticos. La mayoría de las detecciones registradas de esta manera entraron en la estadística: se trata de HEUR:Trojan.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan-Downloader.Win32.Generic и HEUR:Trojan.Win32.StartPage.
Sin duda, como lo pronosticamos, la epidemia más importante del año fue la causada por el gusano Kido (Conficker), que contagió millones de equipos en todo el mundo. En el TOP20 de las amenazas más propagadas aparecieron de golpe tres modificaciones de este gusano (Kido.ir, Kido.ih y Kido.iq) que en total, según la cantidad de equipos afectados, están por delante del líder HEUR:Trojan.Win32.Generic con más de un millón y medio de detecciones.
El siguiente después de Kido es Sality.aa, que provocó una epidemia mundial el año pasado y fue el líder de nuestro informe anual. Vale decir que su éxito fue breve, porque los gusanos de red reconquistaron sus posiciones.
Sin embargo, además de Sality, en la estadística están presentes dos virus más, uno de los cuales es un virus de fichero clásico y el otro no entra en la clasificación existente.
El primero es Virus.Win32.Virut.ce, que además de su función principal (infectar ficheros ejecutables), infecta servidores web y se propaga mediante redes P2P. La epidemia de este virus también fue uno de los acontecimientos más notables de 2009.
El segundo, Virus.Win32.Induc.a es un ejemplo muy curioso de las actividades creativas de los escritores de programas maliciosos, que para multiplicarse usa un mecanismo de creación de dos pasos en Delphi. De acuerdo con este mecanismo, el código inicial de las aplicaciones se compila en módulos .dcu intermedios, a partir de los cuales se generan los ficheros ejecutables para Windows. Felizmente, en este momento el virus no tiene otras funciones aparte de la infección, pero demuestra que existe un nuevo y potencial vector de infección. Vale decir que la razón de la tardía detección de Induc (los ficheros infectados aparecieron a finales de 2008, pero el virus fue detectado sólo en agosto de 2009) es precisamente la ausencia de funciones destructivas, aparte de la infección.
Gracias al sistema de detección instantánea de amenazas UDS, que es parte de Kaspersky Security Network, más de 600.000 equipos gozaron de protección en tiempo real: se detectó de inmediato los nuevos ficheros maliciosos como UDS:DangerousObject.Multi.Generic.
También cabe destacar la gran cantidad de programas maliciosos creados con la ayuda del idioma de script FlyStudio. En la estadística hay tres, Worm.Win32.FlyStudio.cu, Trojan-Dropper.Win32.Flystud.yo y Packed.Win32.Klone.bj. Tomando en cuenta que FlyStudio es usado sobre todo por los delincuentes chinos, el que estén presentes en el TOP20 confirma lo dicho en la primera parte del informe: en este momento China es uno de los mayores productores de programas maliciosos.
Otra tendencia clara en la creación de programas maliciosos este año fue su empaquetamiento y enmarañamiento mediante empaquetadores creados especialmente para este efecto, lo que complica su detección aunque se trate de especímenes ya conocidos. En la estadística hay varios representantes de estos empaquetadores, que pertenecen al comportamiento Packed: Black.a, Black.d y Klone.bj.
Vulnerabilidades
Las vulnerabilidades en los productos de software son las que representan más peligro para el usuario. Pueden dar a los delincuentes la posibilidad de evadir los sistemas de defensa instalados y atacar el equipo.
La más ruidosa epidemia de 2009, el gusano Kido, tuvo lugar precísamente debido a una vulnerabilidad crítica más descubierta en el sistema operativo Windows.
Sin embargo, como hace un año, las infecciones a través de navegadores de Internet son el método más usado para introducir los programas nocivos en el sistema. Al mismo tiempo, el navegador en sí puede estar libre de vulnerabilidades, pero la infección sigue siendo posible si existen vulnerabilidades en los diferentes complementos y aplicaciones que interactúan con el navegador.
Según los resultados del sistema de análisis de vulnerabilidades, en 2009 nuestra compañía detectó 404 diferentes vulnerabilidades. El total de los ficheros y aplicaciones vulnerables en los ordenadores de los usuarios sumó 461.828.538.
Hemos analizado las 20 vulnerabilidades más difundidas. Y son responsables del 90% (415.608.137) de aplicaciones vulnerables encontrados en los equipos de los usuarios de nuestras soluciones antivirus.
№ | Vulnerabilidad | Número de ficheros y aplicaciones vulnerables |
% de fichero s y aplicaciones vulnerables |
Clasificación | Impacto | Fecha de publicación |
|
1 | 33632 | Vulnerabilidades múltiples de Apple QuickTime | 165658505 | 35,87 | Altamente crítica | Acceso al sistema | 22.01.2009 |
2 | 35091 | Vulnerabilidades múltiples de Apple QuickTime | 68645338 | 14,86 | Altamente crítica | Acceso al sistema | 22.05.2009 |
3 | 31821 | Vulnerabilidades múltiples de Apple QuickTime | 58141113 | 12,59 | Altamente crítica | Acceso al sistema | 10.09.2008 |
4 | 29293 | Vulnerabilidades múltiples de Apple QuickTime | 38368954 | 8,31 | Altamente crítica | Acceso al sistema | 10.06.2008 |
5 | 23655 | Múltiples vulnerabilidades de Microsoft XML Core Services | 8906277 | 1,93 | Altamente crítica | Cross Site Scripting, DoS, acceso al sistema | 09.01.2007 |
6 | 34012 | Múltiples vulnerabilidades de Adobe Flash Player | 7728963 | 1,67 | Altamente crítica | Evasión de seguridad, exposición de información sensitiva, escalación de privilegios, acceso irrestricto al sistema. | 25.02.2009 |
7 | 34451 | Múltiples vulnerabilidades de Sun Java JDK / JRE | 6783414 | 1,47 | Altamente crítica | Evasión de seguridad, DoS, acceso irrestricto al sistema. | 26.03.2009 |
8 | 29320 | Microsoft Outlook “mailto:” Vulnerabilidad URI Handling | 6336962 | 1,37 | Altamente crítica | Acceso al sistema | 11.03.2008 |
9 | 35364 | Múltiples vulnerabilidades de Microsoft Office Excel | 6290278 | 1,36 | Altamente crítica | Acceso al sistema | 09.06.2009 |
10 | 35377 | Dos vulnerabilidades de Office Word | 6088207 | 1,32 | Altamente crítica | Acceso al sistema | 09.06.2009 |
11 | 34572 | Vulnerabilidad Microsoft PowerPoint OutlineTextRefAtom | 5704617 | 1,24 | Extremamente crítica | Acceso al sistema | 03.04.2009 |
12 | 31744 | Vulnerabilidad de Microsoft Office OneNote URI Handling | 5652570 | 1,22 | Altamente crítica | Acceso al sistema | 09.09.2008 |
13 | 32270 | Múltiples vulnerabilidades y problemas de seguridad de Adobe Flash Player | 5078221 | 1,1 | Moderadamente crítica | Neutralización de la seguridad del sistema, Cross Site Scripting, manipulación de datos, amenaza a la información sensitiva | 16.10.2008 |
14 | 35948 | Múltiples vulnerabilidades de Adobe Flash Player | 5073297 | 1,1 | Altamente crítica | Evasión de seguridad, exposición de información sensitiva, acceso irrestricto al sistema. | 23.07.2009 |
15 | 30285 | Múltiples vulnerabilidades de Microsoft Office Word | 4984582 | 1,08 | Altamente crítica | Acceso al sistema | 09.12.2008 |
16 | 31453 | Múltiples vulnerabilidades de Microsoft Office PowerPoint | 4203122 | 0,91 | Altamente crítica | Acceso al sistema | 12.08.2008 |
17 | 30150 | Vulnerabilidad Microsoft Publisher Object Handler Validation | 3965019 | 0,86 | Altamente crítica | Acceso al sistema | 13.05.2008 |
18 | 32991 | Múltiples vulnerabilidades de Sun Java JDK / JRE | 2980650 | 0,65 | Altamente crítica | Acceso al sistema, amenazas a la información del sistema, amenazas a la información sensitiva, DoS, acceso irrestricto al sistema | 04.12.2008 |
19 | 31593 | Múltiples vulnerabilidades de Microsoft Office Excel | 2604816 | 0,56 | Altamente crítica | Acceso al sistema | 09.12.2008 |
20 | 26027 | Múltiples vulnerabilidades de Adobe Flash Player | 2413232 | 0,52 | Altamente crítica | Amenazas a información sensitiva, acceso al sistema | 11.07.2007 |
Top20 | 415608137 | 89,99 |
De las cinco vulnerabilidades más propagadas, las primeras dos fueron descubiertas en 2009, la segunda y tercera en 2008, y las vulnerabilidades Microsoft XML Core Services Multiple Vulnerabilities (quinto lugar en la tabla) en 2007.
Por la cantidad de aplicaciones y ficheros detectados en los equipos de los usuarios, las vulnerabilidades más propagadas en 2009 fueron las que afectaban al producto de la compañía Apple, QuickTime 7.x. Más del 70% de las vulnerabilidades fueron descubiertas precisamente en este producto. Al mismo tiempo, hay que destacar que el año pasado QuickTime también fue líder por la cantidad de vulnerabilidades (más de 80%).
Pero veamos en los productos de quй compaснa se detectaron mбs vulnerabilidades (de entre las 20 primeras):
El año pasado en esta lista había siete compañías, pero ahora su cantidad se ha reducido a cuatro.
De nuevo, como hace un año, Microsoft encabeza la lista con 10 vulnerabilidades, lo que no nos sorprende porque estamos analizando las vulnerabilidades en la plataforma Windows. 9 de ellas fueron descubiertas en las aplicaciones que integran Microsoft Office: Word, Excel, Outlook, PowerPoint, etc.
A la compañía Apple le corresponden 4 vulnerabilidades, todas ellas detectadas en QuickTime.
Así, podemos constatar que la situación es completamente similar a la de 2008: las vulnerabilidades más comunes en los sistemas Windows modernos continúan siendo QuickTime y MS Office.
Además, Adobe, la tercera compañía de software no está muy rezagada en su posición. Las cuatro vulnerabilidades de las que es responsable le pertenecen al mismo producto, Adobe Flash Player. Dos de las cuatro vulnerabilidades fueron detectadas este año. Y una vez más pasado un año la nueva situación es peor que la anterior.
La estadística de las aplicaciones más peligrosas de 2009 es la siguiente:
- QuickTime
- Microsoft Office
- Adobe Flash Player
Si agrupamos las veinte vulnerabilidades más propagadas según las consecuencias que pueden causar, tenemos el siguiente gráfico:
Las veinte vulnerabilidades más detectadas pertenecen a la categoría “a distancia” (remote), que presupone la posibilidad de que el delincuente las use incluso si no cuenta con acceso local al equipo.
El uso de cada una de estas vulnerabilidades provoca diferentes consecuencias en el sistema atacado. El más peligroso es el “acceso al sistema”, que permite al delincuente obtener acceso casi irrestricto al sistema.
19 vulnerabilidades abren brechas para obtener “acceso al sistema”, mientras que 5 pueden conducir a fugas de información importante.
Kaspersky Security Bulletin: Boletín de seguridad Estadística general del 2009