Publicaciones

La geografía del ciberdelito: Europa occidental y Norteamérica

Internet no tiene fronteras, pero según nuestros datos, el ciberdelito tiene “características geográficas” específicas. En cada parte del mundo los ciberdelincuentes lanzan diferentes programas maliciosos, asignan diferentes prioridades a sus ataques y usan una variedad de trucos para ganar dinero. Esto no se debe sólo a la situación geográfica, sino también a la naturaleza de los países en los que se encuentran sus potenciales víctimas. Los principales factores en este caso son el nivel de desarrollo económico, la cantidad de usuarios de Internet y el nivel de penetración de Internet en el país.

En este artículo analizaremos los detalles de la actividad de los ciberdelincuentes en estos países occidentales: EE.UU., Canadá y Europa occidental (Reino Unido, Austria, Bélgica, Dinamarca, Francia, Alemania, Holanda, Luxemburgo, Irlanda, Italia, España, Suiza y Portugal).

Resumen

  • PIB (por paridad de poder adquisitivo, fuente: cia.gov):

    • EE.UU. – 14,66 mil millones de dólares (estimación en 2010), 2? en el mundo;
    • Unión Europea – 14,82 mil millones de dólares (estimación en 2010), 1? en el mundo.
  • Número de usuarios de Internet (fuente: cia.gov):

    • EE.UU. – 245 millones, 2? en el mundo;
    • Alemania – 65,125 millones, 5? en el mundo;
    • Reino Unido – 51,444 millones, 7? en el mundo;
    • Francia – 45,262 millones, 8? en el mundo;
    • Italia – 29,235 millones, 13? en el mundo.
  • Nivel de penetración de Internet (fuente: http://www.internetworldstats.com/):

    • Norteamérica – 78,3%, 1? en el mundo;
    • Europa – 58,3%, 3? en el mundo.
  • Uso de Internet:

    • Internet está presente en todas partes: en escuelas, instituciones públicas, hogares y oficinas.
    • Internet está siempre al alcance: El Internet móvil es muy barato, los dispositivos móviles (tabletas y smartphones) son muy populares.
    • Internet se usa ampliamente para el pago de servicios públicos, realizar compras  y transacciones bancarias online.
  • Porcentaje de usuarios expuestos a ataques de Internet (primer semestre de 2012):

    • EE.UU. – 38,8%, 31? en el mundo;
    • Alemania – 28,8%, 101? en el mundo;
    • Reino Unido – 36,8%, 42? en el mundo;
    • Francia – 36,3%, 44? en el mundo;
    • Italia – 43,5%, 18? en el mundo;
    • Unión Europea – 32,1%.
  • Muchos usuarios de Mac OS X, y cada vez más smartphones con plataformas Android.
  • Sistemas operativos atacados con más frecuencia:

    • Windows
    • Android
    • Mac OS X

Casi la mitad de los países occidentales analizados se encuentra entre los 20 países con mayor número de usuarios de Internet, y suelen ser muy activos. Para la mayoría, Internet no sólo es una fuente de información, sino también la forma más fácil de mantenerse en contacto y la más accesible para realizar compras y pagos. Además, en los países occidentales, la gente está acostumbrada a depositar su dinero en los bancos y a usar activamente los sistemas de banca online o móviles para gestionar sus cuentas bancarias.

Al mismo tiempo, los ordenadores en estos países por lo general tienen muy buena protección, lo que mantiene a raya a los ciberdelincuentes en sus intentos de penetrarlos. Los usuarios occidentales poseen los suficientes conocimientos y habilidades para proteger sus equipos contra infecciones. En realidad, para los usuarios de EE.UU. y de Europa occidental, instalar un programa antivirus es una cuestión esencial.

Estos usuarios suelen migrar con rapidez a las nuevas versiones de los sistemas operativos, lo que dificulta los esfuerzos de los ciberdelincuentes por encontrar brechas para penetrar los sistemas. Por ejemplo, en el primer semestre de 2012, más de la mitad de todos los ordenadores (62,4%) en estos países funcionaban con Windows 7. Esto significa un 6% más que el promedio mundial.

Con cada nueva actualización de un sistema operativo, las soluciones integradas de seguridad también se actualizan. Los actuales sistemas operativos incorporan varios mecanismos para neutralizar los programas maliciosos: DEP. ASLR, restricciones para la instalación de controladores que con cuenten con firmas digitales, etc. Además, la mayoría de los sistemas operativos cuentan con su respectiva licencia. Esto les permite recibir actualizaciones de forma automática, que son críticas para una protección efectiva.

Características específicas de los programas maliciosos

El nivel de seguridad informática en los países occidentales obliga a los ciberdelincuentes a desarrollar nuevas tecnologías. Los programas maliciosos propagados en estos países tienen en común una alta complejidad. Los usuarios de Norteamérica y Europa occidental se han convertido en conejillos de indias con los que los ciberdelincuentes experimentan sus últimas creaciones: tecnologías diseñadas para infectar ordenadores ocultando un código malicioso en el sistema, y varios mecanismos para ganar dinero.

El principal objetivo de los ciberdelincuentes en esta región es el dinero y los programas troyanos son su herramienta favorita para robarlo.

Todos los troyanos que circulan en los países occidentales se dividen en cuatro grupos:


Distribución de programas troyanos por tipo. Europa occidental y Norteamérica, primer semestre de 2012

El más grande es el grupo de los troyanos que descargan otros programas maliciosos en los ordenadores de los usuarios. Puesto que los autores de los programas maliciosos están continuamente agregando modificaciones a sus creaciones para evadir las defensas antivirus, existe un gran número de éstos. Por otra parte, los ataques de programas maliciosos a blancos seleccionados han dado lugar a otro tipo de oscuras prácticas comerciales.

Los ciberdelincuentes están particularmente interesados en este segundo grupo de programas que monitorean las actividades del usuario para robar información confidencial. Los más peligrosos entre éstos son los troyanos orientados a capturar información de acceso a los sistemas bancarios online, como Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes y Backdoor.Win32.Sinowal. Si uno de estos programas logra infectar un ordenador, los ciberdelincuentes acceden a la cuenta bancaria del usuario, pudiendo entonces disponer a discreción del dinero de su víctima.

Otros troyanos están diseñados para extorsionar dinero a sus víctimas bajo algún pretexto. En este grupo figuran los falsos programas antivirus y los conocidos como ransomware o programas chantajistas.

Los troyanos multifuncionales cumplen dos o más funciones, como robar la información del usuario y descargar otros programas maliciosos en el ordenador capturado.

Dinero

Principales formas de ganar dinero Programas maliciosos que usan los ciberdelincuentes (según la clasificación de Kaspersky Lab)
Robo de información financiera
(Lograr acceso a cuentas financieras, banca online, PayPal, EBay)
Trojan-Banker, Trojan-Spy, Backdoor
Instalación y venta de falsos programas antivirus

Trojan-FakeAV
Robo de cuentas de servicios de pago, juegos y servicios online (Steam, WoW, Facebook, Skype, etc.)

Trojan-PSW, Trojan-GameThief, Trojan-Spy
Robo de información personal Backdoor, Trojan-Spy
Sustitución de resultados de búsqueda, avisos, fraude al clic

Trojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
Chantajes Trojan-Ransom

Veamos cómo los ciberdelincuentes lucran mediante los ordenadores o dispositivos móviles capturados de los usuarios.

Robo de información financiera

La banca online hace que los usuarios de EE.UU., Canadá y Europa occidental sean un blanco apetecible para los ciberdelincuentes. En estas regiones circulan los troyanos más famosos diseñados para recopilar información financiera.

  • Sinowal (Mebroot) — un troyano puerta trasera que roba información financiera. Para penetrar en el sistema, infecta el registro del primer registro de arranque en el disco duro.
  • Zbot (ZeuS) — un troyano universal que ataca las cuentas de muchos bancos. Los autores de programas maliciosos lo desarrollan en base a los códigos fuente de la segunda versión, que se publicaron en Internet.
  • SpyEye — un troyano universal que ataca las cuentas de muchos bancos. Es la competencia de Zbot (ZeuS), pero no existen códigos fuente gratuitos en Internet.

En el primer semestre de 2012, en EE.UU., Canadá y Europa occidental recibieron el 70% de todos los ataques de Backdoor.Win32.Sinowal (Mebroot), el 41% de los ataques de Trojan-Spy.Win32.SpyEye y se neutralizó casi un 25% de los ataques de Trojan-Spy.Win32.Zbot .

Además de las cuentas bancarias de los usuarios, a los ciberdelincuentes les interesa capturar las cuentas de PayPal y EBay: el 34% y el 9% respectivamente de todos los ataques atacaron estos servicios de pago online. En ambos casos las cuentas estaban vinculadas a tarjetas bancarias, lo que permitía a los ciberdelincuentes robar los fondos de los usuarios. Además de la información de las cuentas, los phishers tratan de extraer también información personal, como los números de seguridad social, fechas de nacimiento y los códigos de seguridad cvv2de las tarjetas de crédito.

Los bancos europeos y americanos y los sistemas de pago online asumen la gravedad de este problema y ofrecen una variedad de formas de protección para sus usuarios: tokens online de autenticación, contraseñas de un solo uso, confirmación de transacciones mediante códigos enviados por teléfono, etc. Sin embargo, los ciberdelincuentes están desarrollando programas para superar estas medidas de prevención. Por ejemplo, la familia de programas Zitmo está diseñada para atacar el teléfono móvil del usuario y puede burlar los sistemas de autenticación de dos factores de los bancos europeos. Estos programas maliciosos para teléfonos móviles funcionan conjuntamente Zbot (ZeuS). En primer lugar, Zbot roba el nombre de usuario y la contraseña para acceder al sistema de banca online desde el ordenador infectado; después, durante una transferencia financiera, su contraparte móvil, Zitmo, interviene para enviar a los ciberdelincuentes el código de autorización de la transacción (TAN, por sus siglas en inglés).

Los datos oficiales dan una idea de cuán lucrativo puede ser el ciberdelito. Los ciberdelincuentes arrestados en 2010 lograron robar 9 millones de dólares de más de 600 cuentas en tres meses usando Trojan-Spy.Win32.Zbot. Y esta es sólo la cantidad que se pudo rastrear. Con tantos grupos distintos de ciberdelincuentes en acción, se estima que sus ingresos pueden ser 10 veces la cifra mencionada.

Robo de información personal

El robo de información personal es un aspecto importante de la actividad de los ciberdelincuentes en Norteamérica y Europa occidental. En los foros de hackers se ofrecen a la venta bases de datos de diferentes tiendas y servicios. Con tanta información disponible, los precios son bajos, apenas unos centavos (en caso de compras al por mayor) por la información de una sola persona. Sin embargo, la información sobre miles de diferentes usuarios de varios servicios suele terminar en las manos de hackers como resultado de vulnerabilidades o errores en la configuración de servidores y bases de datos.

Las vulnerabilidades más expandidas que propician fugas de información son las inyecciones SQL, las referencias Insecure Direct Object, y Broken Authentication and Session Management. Sin embargo, además de las vulnerabilidades, los ciberdelincuentes explotan los errores en la configuración de aplicaciones de aplicaciones web, como cuentas por defecto que no se borran, acceso abierto a los directorios de los servidores, almacenamiento de contraseñas codificadas y de información crítica, robots .txt que se llenan incorrectamente, etc.

La forma más evidente de usar esta información es el lanzamiento de ataques personalizados contra usuarios específicos. Estos ataques tienen más posibilidades de éxito: la propagación de mensajes de correo maliciosos o phishing contra las cuentas de un determinado banco sólo tendrá efecto si los mensajes llegan a las bandejas de entrada de los clientes del banco en cuestión.

También es necesaria la información personal de los usuarios para acceder a diferentes servicios financieros, lo que explica la frecuente solicitud de estos datos por parte de los ciberdelincuentes especialistas en la banca online y en estafas de tarjetas.

Propagación de falsos programas antivirus

Casi todos los programas antivirus poseen una interfaz en inglés porque sus principales blancos son los usuarios occidentales. En el negocio de los falsos programas antivirus se manipula el deseo del usuario de estar protegido y su disposición a pagar importantes sumas por la seguridad de su equipo.

Los falsos programas antivirus se propagan mediante los programas partner.


Dinámica de la detección de falsos programas antivirus en EE.UU., Canadá y Europa occidental en 2011-2012

Los ciberdelincuentes comenzaron a propagar falsos programas antivirus en Europa y en EE.UU. a principios de 2011. En mayo introdujeron estos programas para Mac OS X, que también se propagaban mediante los programas partner.

En junio de 2011, la cantidad de falsos programas antivirus alcanzó su pico (Kaspersky Lab detectó más de 900.000) antes de estabilizarse en su antiguo nivel. Esto coincidió con el arresto de Pavel Vrublevsky. Al mismo tiempo, la policía arrestaba a los miembros de dos pandillas de ciberdelincuentes que habían estado propagando falsos programas antivirus. Mientras tanto, los motores de búsqueda se hicieron más efectivos en la eliminación de enlaces maliciosos de la lista de resultados de búsqueda.

Aunque el periodo entre diciembre de 2011 y enero de 2012 estuvo marcado por otra ola de ataques de falsos programas antivirus, las cifras volvieron después a su nivel inicial.

Hoy en día, estos programas ya no son tan lucrativos para los ciberdelincuentes, aunque todavía les proporcionan un ingreso regular que satisface a muchos “partners”. La rentabilidad de este negocio puede ilustrarse con el hecho de que la policía cree que un grupo de propagadores de falsos programas antivirus arrestados en Letonia en junio de 2011 había extorsionado 72 millones de dólares de 960.000 usuarios en un lapso de tres años.

Suplantación de los resultados de búsqueda

Los esquemas para ganar dinero que implican la suplantación de los resultados de búsqueda o anuncios son un mal muy común que sufren los usuarios occidentales. Atendiendo la petición de un usuario, los motores de búsqueda más populares son expertos en producir resultados en el que los primeros lugares los ocupan enlaces de redes de avisos, en vez de los resultados genuinos de la búsqueda. Los anunciantes pagan a los ciberdelincuentes por cada pulsación en los enlaces que remplazan a los resultados de búsqueda.


Ejemplo de un mensaje sobre un foro ruso de hackers que ofrecen la substitución de resultados de búsqueda
para usuarios de EE.UU., Canadá, Reino Unido y Australia.

Técnicamente, se realiza con la ayuda de troyanos que modifican la configuración de servidores DNS / host files de manera que todas las peticiones a los motores de búsqueda pasen por los servidores de los ciberdelincuentes permitiendo así la substitución. Al final, los resultados de búsqueda muestran los enlaces que les interesan a los ciberdelincuentes.

Por ejemplo, Trojan-Downloader.OSX.Flashfake, descubierto a fines de 2011, infectó ordenadores con plataforma Mac OS X con el fin de sustituir los resultados de búsqueda. La red zombi detectada incluía más de 700.000 equipos comprometidos, que es más del 1% de todos los usuarios de Mac OS X. El 84% de todos los ordenadores infectados se encontraba en Europa occidental y en Norteamérica.


Top 10 de los países desde los que Trojan-Downloader.OSX.Flashfake enviaba peticiones a los centros de comando

Otro ejemplo de un troyano con la misma funcionalidad es Backdoor.Win32.ZAccess (ZeroAccess). Sus blancos favoritos son los usuarios en EE.UU. (27,7%) y en Alemania (11%).


Propagación de Backdoor.Win32.ZAccess, Julio de 2012

El Departamento de justicia de EE.UU. acusó a un grupo de ciberdelincuentes de desarrollar un esquema para ganar dinero por la sustitución de los resultados de búsqueda. Según las autoridades competentes, los ciberdelincuentes se habían apropiado de 14 millones de dólares en 5 años de operaciones ilegales con Trojan.Win32.DnsChanger.

Extorsión encubierta

En los países occidentales, los ciberdelincuentes han comenzado a usar de forma activa programas troyanos chantajistas (Troyan-Ransom) que eran prácticamente desconocidos fuera de la ex Unión Soviética hasta no hace mucho. Su principio operativo es sencillo: tras infectar un ordenador, bloqueando todo acceso al mismo mediante la modificación de la configuración del sistema o abriendo su propia ventana por encima de otras ventanas.

Los dos tipos de troyano ransomeware que más se detectan en la Unión de Estados Independientes (CIS, por sus siglas en inglés), que exigen dinero a cambio de cerrar la ventana que muestra contenidos obscenos y bloquean el funcionamiento normal del ordenador, o programas que bloquean el sistema operativo bajo la excusa de que el ordenador del usuario contiene software son licencia.

En Europa no funcionan estos trucos. En caso de cualquier intento de chantaje, un ciudadano respetuoso de las leyes se pondrá en contacto con la policía. Además, la mayoría de los usuarios cuenta con software bajo licencia. Por esa razón, los estafadores han recurrido a otra astucia: bloquean el ordenador y supuestamente en nombre de la policía le solicitan al usuario que pague una multa por visitar sitios con contenidos de pornografía infantil o escenas de violencia contra niños.


Ventana abierta por un programa Tojan-Ransom que ataca a los usuarios en Reino Unido

Actualmente conocemos varias versiones de troyanos que usan los nombres y símbolos de la policía de diversos países: Alemania, Francia, Reino Unido, Suiza, Holanda, Finlandia y España. Por desgracia, no es fácil saber quién recibe el dinero porque los estafadores hacen transferencias mediante sistemas de pago online, como Ukash, Epay o PayPoint en los que no es posible monitorear las transacciones. Ukash se usaba originalmente en un esquema en el que participaba el troyano codificador GpCode que se creó en la ex URSS.

Características de la propagación de los programas maliciosos

Para lanzar un programa malicioso, los ciberdelincuentes primero deben hacer que llegue al ordenador del usuario. Los principales canales de propagación de programas maliciosos en todo el mundo son Internet y los dispositivos portátiles. Nuestra investigación revela que los programas que penetran el ordenador de un usuario a través de dispositivos portátiles, así como los virus clásicos que infectan archivos, no operan en las regiones en cuestión. Los programas antivirus instalados en la mayoría de los equipos sencillamente no permiten que gusanos ni virus comprometan suficientes equipos para promover un proceso de autoinfección. El siguiente gráfico muestra cómo penetran los programas maliciosos en los ordenadores en los países occidentales:


Vectores de ataques en Europa occidental y Norteamérica, primer semestre de 2012

* El porcentaje de usuarios de Kaspersky Lab atacados mediante un canal específico del total de usuarios de productos de Kaspersky Lab atacados en la región.

Internet es una vía mucho más efectiva para atacar a los usuarios europeos y americanos. Según nuestros datos, en el primer semestre de 2012, el 80% de todos los ordenadores comprometidos sufrieron ataques mientras los usuarios navegaban por Internet.

Las primeras dos posiciones en la clasificación pertenecen a Italia y España, que son parte del grupo de alto riesgo por infecciones durante la navegación en Internet (los países en los cuales el porcentaje de ataques a ordenadores supera el 40%).


Riesgo de infección durante la navegación por Internet* en Norteamérica y Europa occidental en el primer semestre de 2012

* Porcentaje de usuarios únicos expuestos a ataques en Internet de todos los usuarios únicos de productos de Kaspersky Lab en el país.

Todos los otros países, salvo Dinamarca, pertenecen al grupo de riesgo medio (21-40%). Sin embargo, en Suiza, Alemania, Austria y Luxemburgo el porcentaje de usuarios atacados no sobrepasa el 30%. Dinamarca, el último en la lista, es uno de los países más seguros con menos del 20% de usuarios atacados.

Para infectar los ordenadores mientras los usuarios navegan por Internet, los ciberdelincuentes recurren a una variedad de trucos:

  • Infectan sitios legítimos
  • Suplantación (spoofing) en los motores de búsqueda
  • Propagación de spam malicioso en los sitios de redes sociales y en Twitter

Infección de sitios web legítimos

La infección de sitios legítimos es el truco más peligroso para quienes los visitan y es a la vez el más efectivo. De una u otra forma, los ciberdelincuentes logran acceder a un sitio popular e introducir pequeñas modificaciones en su código. Cuando un usuario visita el sitio, el navegador de Internet va a través de todos los vínculos en el código de la página descargando sus contenidos; en este punto, una cadena con códigos maliciosos incrustados desvía el navegador a un sitio dedicado que contiene un exploit, es decir, un programa malicioso que explota vulnerabilidades en programas legítimos para penetrar en el ordenador del usuario. Este ataque se realiza de forma silenciosa: para el usuario, el sitio parece normal y funciona normalmente.

Es muy común el uso de paquetes de exploits en este tipo de ataques. Lo que primero hacen es buscar automáticamente vulnerabilidades en los programas instalados en el ordenador del usuario, y después envían un exploit adecuado al ordenador. Entonces, para conseguir su objetivo, los ciberdelincuentes necesitan encontrar una sola aplicación popular que esté desactualizada.

Los exploits populares vienen y van todo el tiempo: a fines de 2011, Java fue el blanco favorito de los hackers, por delante de Adobe Acrobat Reader y de FlashPlayer: cuatro de los cinco exploits más comunes atacaban a Java. Y en el primer semestre de 2012 los exploits para los productos de Apple volvieron a entrar en escena.

Top 5 de los exploits dirigidos contra los usuarios de Norteamérica y Europa occidental

Segundo semestre de 2011

  Nombre del exploit Porcentaje de usuarios atacados Aplicación vulnerable
1 Exploit.Java.CVE-2010-4452.a 20,6% Oracle Java (JRE)
2 Exploit.JS.CVE-2010-4452.l 3,4% Oracle Java (JRE)
3 Exploit.JS.Pdfka.exr 3,0% Adobe PDF Reader
4 Exploit.JS.CVE-2010-4452.t 2,9% Oracle Java (JRE)
5 Exploit.Java.CVE-2010-0840.d 2,6% Oracle Java (JRE)

Primer semestre de 2012

  Nombre del exploit Porcentaje de usuarios atacados Aplicación vulnerable
1 Exploit.JS.Pdfka.fhh 20,1% Adobe PDF Reader
2 Exploit.SWF.CVE-2011-0611.bt 10,8% Adobe Flash Player
3 Exploit.Java.CVE-2011-3544.ct 6,9% Oracle Java (JRE)
4 Exploit.JS.Agent.blb 5,6% Oracle Java (JRE)
5 Exploit.JS.Pdfka.fhp 4,7% Adobe PDF Reader

Engañando a los motores de búsqueda

El segundo truco más popular es engañar a los motores de búsqueda (Black Hat SEO). Cuando se aplica esta técnica, aparecen al principio de los resultados de búsqueda sitios especialmente diseñados que contienen códigos maliciosos.

Los desarrolladores de motores de búsqueda velan por la relevancia de los resultados de búsqueda. Por eso, puede resultar muy complicado y hasta improductivo mantener sitios maliciosos en los primeros puestos de los resultados de búsqueda. A los ciberdelincuentes se les ha ocurrido un método más efectivo: optimizan sus sitios para que funcionen con peticiones de búsqueda de temas de actualidad, es decir, para satisfacer las peticiones que son populares por poco tiempo, como el fallecimiento de una celebridad o el lanzamiento de una nueva película, de manera que los desarrolladores de los motores de búsqueda no tengan el suficiente tiempo para velar por la limpieza de sus resultados de búsqueda.

Spam

El envío de spam en las redes sociales y por Twitter consiste en enviar enlaces maliciosos, lo que es muy popular entre los ciberdelincuentes. Los temas de actualidad son también una característica muy común del spam.

Últimamente, los ciberdelincuentes que se dedican a atacar a los usuarios de países occidentales han reinventado el spam por correo como medio de propagación de cargas maliciosas. Hoy en día, en los países occidentales se usa el correo para confirmar la inscripción a varios servicios o para comunicarse con bancos, fondos de pensión, tiendas, organizaciones estatales, etc. Entonces, los mensajes que contienen programas maliciosos se camuflan como notificaciones oficiales de dichas organizaciones. En el primer semestre de 2012, el promedio mensual de los mensajes con adjuntos maliciosos fue del 2,8-4,3% de todo el tráfico de correo, lo que es considerablemente mayor que los valores medios en los últimos tres años.

Según las estadísticas de Kaspersky Lab, los mensajes representaron el 2,5% de todas las fuentes de infección en el primer semestre de 2012. Estas estadísticas sólo incluyen los mensajes con adjuntos y scripts maliciosos (los mensajes con enlaces peligrosos se clasifican como ataques por la web), y no incluyen los mensajes que recibieron los usuarios de clientes de correo web.

La infraestructura del ciberdelito

Los ciberdelitos sólo son posibles si existe una moderna infraestructura: servidores de control y comando, plataformas para la propagación de programas maliciosos, servidores proxy, y redes zombi. Todos estos componentes también tienen sus peculiaridades geográficas.

Alojamiento de contenidos maliciosos en la web

En Europa occidental, EE.UU. y Canadá, Existe un sólido marco legal para combatir los contenidos maliciosos. Pero a pesar de ello, el 69% de todos los contenidos maliciosos se alojaron en estas regiones en el primer semestre de 2012. En otras palabras, mucho más que la mitad de los programas maliciosos que circulan en Internet se propagan desde servidores localizados en estas regiones.


Distribución de alojamientos para contenidos maliciosos en la web en 2010 – H1 2012

Hay varias razones para ello. En primer lugar, una gran mayoría de los centros de datos que ofrecen alojamiento seguro se encuentran en Occidente. Muchos actores eligen estas instalaciones de alojamiento para sus proyectos. Los ciberdelincuentes hackean estos servidores para obtener un alojamiento de calidad. Otra importante ventaja de estos servidores, desde el punto de vista de los ciberdelincuentes, es que pueden lanzar ataques desde sitios legales, lo que en gran medida dificulta la protección. En segundo lugar, resulta casi imposible para un proveedor diferenciar entre un servidor malicioso y uno legítimo. Es por esto que los hackers no tienen muchos problemas para recurrir a los servicios de proveedores legales. Aunque los servicios de alojamiento en los proveedores occidentales no son baratos, los ciberdelincuentes pueden pagarlos gracias a sus jugosos ingresos.

Zonas de dominio

Además de los servidores físicos, los ciberdelincuentes necesitan nombres de dominio para propagar sus programas maliciosos. Los más comunes son los nombres de sitios en las zonas de dominio .net, .com, .info y org. Estas zonas representan el 44,5% de los ataques neutralizados que se lanzaron desde sitios maliciosos contra los usuarios de Norteamérica y Europa occidental.

Sin embargo, también existen muchas zonas de dominio nacionales desde los cuales los ciberdelincuentes propagan activamente sus programas maliciosos.


Top 15 de las zonas de dominio nacionales de sitios maliciosos desde los que se lanzan ataques contra usuarios de Norteamérica y Europa occidental

Los usuarios de EE.UU., Canadá y Europa occidental suelen ser desviados a sitios localizados en las zonas de dominio de India (.in), Rusia (.ru) y las Islas Cocos (co.cc). Los dominios pueden registrarse gratuitamente en el dominio .oc.cc, el cual se ha contaminado tanto que en 2011 Google decidió no indexar más los sitios localizados ahí. Sin embargo, los dominios gratuitos siguen atrayendo a los ciberdelincuentes.

La 4a y 5a posiciones corresponden respectivamente a los sitios localizados en España (.com.es) y en Italia (.it). La zona de dominio de Montenegro .me provoca obvias asociaciones entre los angloparlantes y contiene una multitud de sitios en inglés, como love.me. La zona de dominio de Italia (.it) se usa de forma similar: muchas compañías usan este nombre de dominio por la palabra “it” en inglés (do.it, get.it, etc.). Por tanto, los sitios en estas zonas de dominio que han sido hackeados o han sido creados por ciberdelincuentes, atacan a los usuarios tanto locales como angloparlantes.

Las zonas de dominio de la Unión Europea (.eu), Alemania (.de) y EE.UU. (.us) se encuentran al fondo del Top 10 de zonas de dominio nacionales preferidas por los ciberdelincuentes para lanzar ataques contra los usuarios de Norteamérica y Europa occidental.

Redes zombi

Las redes zombi que trabajan con programas partner son otra parte relevante de la infraestructura ciberdelincuente en esta región.

Un programa partner es un esquema que usan los ciberdelincuentes se basa en una clara división del trabajo: existen desarrolladores de programas maliciosos y clientes dispuestos a pagar para propagar programas maliciosos; hay otros que propagan programas maliciosos de forma gratuita; y hay organizadores de programas partner que crean un sitio en el que los mencionados grupos se comunican.

Muchas redes zombi constituyen una enorme base para otros programas maliciosos. Estas redes se desarrollan con el propósito específico de infectar ordenadores y descargar otros programas maliciosos en los ordenadores infectados, a petición de los “clientes”. Estas redes pueden ocultar la presencia de programas descargados en el sistema, y ejecutar varias tareas adicionales. Un ejemplo de red zombi en la famosa TDSS que propagaba troyanos banqueros, cambiadores DNS y falsos programas antivirus entre los ordenadores cautivos. En 2011, el 41,5% de todos los ordenadores infectados con TDSS se encontraban en Norteamérica y Europa occidental.

El cliente puede escoger países específicos en los que desee propagar sus programas maliciosos. Europa y EE.UU. son los más caros (y obviamente, los más valiosos para los ciberdelincuentes): infectar 1000 ordenadores cuesta 100-150 dólares. Infectar ordenadores en Asia cuesta la décima parte.

Conclusión

La mayoría de los países en Norteamérica y Europa occidental se encuentran entre los países con mayores índices de penetración en Internet. Prácticamente todos sus habitantes depositan su dinero en cuentas bancarias y usan activamente sus tarjetas vinculadas con estas cuentas para pagar por bienes y servicios online.

Los ciberdelincuentes lucran a costa de los usuarios en estas regiones robándoles su información bancaria, o los engañan o extorsionan su dinero. Las estadísticas muestran que muchos ordenadores en estas regiones están infectados con robots que recopilan información bancaria, propagan falsos programas antivirus y suplantan (spoof) el tráfico de Internet: los usuarios de estas regiones representan más del 70% de las víctimas de los ataques de Sinowal, más del 40% de las víctimas de ataques de SpyEyes que recopila información bancaria, y el 67% de las detecciones de falsos programas antivirus en el primer semestre de 2012.

Sin embargo, si analizamos la infraestructura de los ciberdelincuentes, veremos que no hay muchas redes zombi en estas regiones que realicen tareas de poca monta, como propagar spam, lanzar ataques DDoS u ocultar sitios maliciosos. (En el próximo artículo trataremos dónde se localizan los ordenadores que realizan estas actividades).

En estas dos regiones, las nuevas versiones de sistemas operativos se implementan con mayor rapidez que en cualquier otra parte, la mayoría de los ordenadores poseen soluciones de seguridad, y las autoridades combaten activamente contra los ciberdelincuentes. Sin embargo, incluso si comparativamente es difícil penetrar ordenadores en estas regiones, los ciberdelincuentes no cesan en sus esfuerzos pues desarrollan sofisticadas tecnologías y las implementan. Los troyanos más sofisticados hasta ahora (naturalmente, aparte de los que crean los servicios secretos), operan en estas regiones. Por desgracia, los usuarios de Mac OS X también han sufrido ataques: durante la epidemia MacTrojan FlashFake, más del 80% de las infecciones se localizaron en EE.UU., Canadá y Europa occidental.

En estas regiones, los ciberdelincuentes recurren a sitios infectados y servicios seguros de alojamiento para implementar sus servidores de control y comando y propagar programas maliciosos. Casi un 70% de los intentos registrados de descargas de programas maliciosos provienen de EE.UU., Canadá y Europa occidental.

La investigación de Kaspersky Lab ha demostrado que los ciberdelincuentes usan Internet como su principal vector de ataque en los países occidentales. Curiosamente, más del 40% de los usuarios en Italia y España corrieron el riesgo de infectar sus equipo mientras navegaban por Internet en el primer semestre de 2011, mientras que en otros países las cifras eran menores: Reino Unido (27%), Francia (36%) y Alemania (29%). Del otro lado del Atlántico, la situación es en gran medida similar: el 39% de los usuarios de KSN en EE.UU., y el 37% en Canadá sufrieron al menos un ataque a través de Internet.

Si la pronosticada crisis económica se materializa, entre otras cosas afectará la situación del ciberdelito en estos países. La cantidad de ataques contra ordenadores puede aumentar, y la seguridad informática podría deteriorarse ya que los usuarios gastarán menos en actualizar sus ordenadores y en comprar nuevas versiones de software.

En el futuro previsible, la banca móvil se convertirá en el nuevo blanco de los ciberdelincuentes. Este cambio sucederá por la creciente popularidad de los servicios bancarios entre los propietarios de smartphones y tabletas, y por el hecho de que muchos dispositivos no tienen instalados programas de seguridad. Los dispositivos con plataforma Android serán probablemente los más atacados.

La geografía del ciberdelito: Europa occidental y Norteamérica

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada