Publicaciones

Panorama viral de América Latina en el 2011 y los pronósticos para el 2012

Dmitry Bestuzhev
Fabio Assolini
Jorge Mieres

Probablemente hasta aquí Usted ya ha leído muchos pronósticos de los ataques de malware para el 2012. Pues muchas compañías e investigadores independientes han dado sus visiones para este año sin embargo todas estas fueron visiones globales, es decir para el mundo entero y no aterrizadas a la realidad de América Latina que siempre ha tenido su propia personalidad y la realidad. Le invitamos a encontrar en el siguiente artículo tanto la información estadística sobre cómo fue el año 2011 desde el punto de vista de los ataques informáticos y cómo será el año 2012 tomando en cuenta todas las particularidades que tiene nuestra región. El informe incluye los datos estadísticos para los siguientes países: México, Guatemala, Honduras, El Salvador, Costa Rica, Nicaragua, Panamá, Cuba, República Dominicana, Colombia, Venezuela, Ecuador, Perú, Bolivia, Chile, Argentina, Uruguay, Paraguay y por supuesto Brasil.

Top 20 programas de código malicioso en América Latina en el 2011

Blocked 18%
Trojan.Win32.Generic 14%
DangerousObject.Multi.Generic 12%
Net-Worm.Win32.Kido.ih 7%
Trojan.Script.Iframer 6%
Net-Worm.Win32.Kido.ir 5%
Virus.Win32.Sality.aa 4%
Trojan-Downloader.Win32.Generic 4%
Exploit.Script.Generic 4%
Trojan.Script.Generic 3%
HackTool.Win32.Kiser.zv 3%
Worm.Win32.Autoit.xl 3%
Packed.Win32.Klone.bq 3%
Worm.Win32.VBNA.b 2%
Worm.Win32.VBNA.a 2%
Virus.Win32.Sality.bh 2%
HackTool.Win32.Kiser.il 2%
Worm.Win32.Generic 2%
Virus.Win32.Virut.ce 2%
Trojan-Downloader.Win32.VB.hir 2%

El veredicto “Blocked” corresponde a todos los ataques de malware bloqueados en los sitios Web que los usuarios pretendían a visitar. Este dato muestra claramente que hoy el principal vector de los ataques en América Latina es la Web. Pues, los criminales cibernéticos utilizan activamente las redes sociales, los sitios Web legítimos pero hackeados y por supuesto sitios Web especialmente creados exclusivamente para los fines delictivos para infectar a la gente.

El veredicto “HackTool.Win32.Kiser.zv” en cambio es utilizado para detectar las herramientas que permiten de forma ilegal usar el anti-virus Kaspersky alterando su sistema de licenciamiento. Es un dato curioso que en realidad lo que muestra es que en América Latina la piratería aun mantiene sus altos niveles.

En cambio los veredictos que comienzan con “Trojan-Downloader.Win32” generalmente están relacionados con los troyanos bancarios que roban las contraseñas y pines del acceso a la banca en línea y las tarjetas de crédito. En su mayoría dichos ataques provienen desde Brasil.

Otro dato interesante es que un 72% de todos los ataques fueron detectados gracias a las tecnologías heurísticas de Kaspersky. Pues, son ataques del “día 0” que los criminales cibernéticos preparan especialmente para evadir la detección clásica por ficheros de los anti-virus. Este hecho muestra que los criminales cibernéticos que atacan a los usuarios de América Latina se afanan mucho por tener éxito, pues existe una gran cantidad de dinero que pueden ganar con infectar a cada usuario.

Medios de los ataques en el 2011


Los criminales cibernéticos siguieron explotando activamente todos los medios para propagar malware. Sin embargo el medio con el mayor crecimiento en proporción al año 2010 fue el correo electrónico. El aumento del uso del email para propagar ataques de malware fue de 42,5%. Este fenómeno se debe a que en América Latina aun hay una gran cantidad de usuarios que son presa fácil de los ataques basados en la ingeniería social.

La Web como el vector del ataque se ubica en el segundo lugar con un crecimiento en comparación al 2010 de 27% y finalmente los dispositivos USB y las redes locales con su crecimiento respectivo de 16,93%.

Si hablamos de los ataques en términos de su cantidad, pues en el 2011 América Latina recibió un 22% más del bombardeo de malware que en el 2010.

Malware en el espacio Web de América Latina

Como hemos visto la Web es importante para los criminales para lanzar sus ataques. A veces los criminales hackean sitios Web legítimos, a veces simplemente pagan por el hosting y a veces simplemente usan hosting gratuito. Las siguientes estadísticas muestran en qué países de la región se encuentra hospedada la mayor cantidad de los programas de código malicioso:

Brasil 45.34%
República Dominicana 25.23%
Panamá 11.98%
México 6.81%
Argentina 5.16%
Colombia 2.42%
Chile 1.26%
Ecuador 0.87%
Venezuela 0.68%
Perú 0.11%
Costa Rica 0.05%
Bolivia 0.03%
Uruguay 0.02%
Guatemala 0.02%
Cuba 0.01%
El Salvador 0.01%
Paraguay 0.00%
Honduras 0.00%
Nicaragua 0.00%

El que la República Dominicana y Panamá estén en el 2do y 3er lugares realmente muestra que al parecer en estos países no existen buenos sistemas de gestión del espacio Web lo que permite a los criminales cibernéticos fácilmente abusar de la situación para lanzar sus ataques.

Los sistemas operativos más utilizados en América Latina


Tan solo hace 1 año el 59% de todos los usuarios utilizaban el sistema operativo Microsoft Windows XP. En el transcurso de 12 meses hubo un excelente crecimiento de la migración de los usuarios al Microsoft Windows 7 que incluye la versión de 64 bits. Al sumar todas las ediciones del Windows 7 en América Latina vemos que hay un 49% de los usuarios que ya están trabajando con esta nueva versión que es más segura en comparación con el Microsoft Windows XP. Sin embargo los criminales cibernéticos no siempre se valen solamente del sistema operativo y sus vulnerabilidades para infectar a la gente sino de las vulnerabilidades de las aplicaciones de los terceros.

Vulnerabilidades más típicas

Las 3 aplicaciones en las máquinas de los usuarios de América Latina más típicas y no parchadas durante el 2011 son: Adobe Reader, Adobe Flash Player, Sun Java JDK / JRE / SDK.

Es muy preocupante ver que las vulnerabilidades mencionadas remontan al año 2010. Quiere decir que los usuarios simplemente las arrastran sin parchar nunca. Pues, esto indica que existen un grave problema de los hábitos de la salud de la seguridad informática que incluye las instalaciones de los parches en el sistema operativo y las aplicaciones. Muchas veces estos malos hábitos nuevamente van acompañados de un alto índice de la piratería que hace que los usuarios teman instalar las actualizaciones ya que las aplicaciones piratas podrían dejar de funcionar. Los criminales cibernéticos en cambio entienden muy bien esta situación y siempre la aprovechan para lanzar los ataques vía Web o Email.

Distribución geográfica de las víctimas

Teniendo en cuenta los antecedentes mencionados podemos ver en qué países reside la mayor cantidad de víctimas latinoamericanas en el 2011


Conclusiones

El que en América Latina existan hábitos de no parchar las aplicaciones, de aun no aprender a fondo lo que supone la ingeniería social y los elevados niveles de la piratería hace que los usuarios locales se vuelvan presa fácil de los criminales cibernéticos tanto locales como los internacionales. Esta “ventaja” sirve de mucho estímulo para los criminales cibernéticos de robar dinero de las víctimas de América Latina vía Internet. Este hecho se apoya en los desarrollos locales de las versiones de los paquetes de crimen (crimewares) desarrollados localmente en la región. Básicamente lo que están haciendo los criminales de América Latina es copiar los pasos de sus “colegas” extranjeros, especialmente los que residen en los países de la Europa Oriental.

Igualmente a pesar de los esfuerzos de las policías locales a contrarrestar el crimen, aun existen mucha sensación de la impunidad. Este es otro factor catalizador para que el crimen cibernético en Sudamérica siga creciendo de año a año.

Pronósticos para América Latina en el 2012

Como ya hemos mencionado, estos pronósticos no son para los países de todo el mundo sino exclusivamente para América Latina tomando en cuenta todas sus particularidades.

Ataques contra el aparato financiero

Latinoamérica ha dejado de ser un país “de paso” para las actividades ciber-delictivas que se desarrollan y gestionan desde el otro lado del mundo. Desde hace varios años, ciber-criminales latinoamericanos se dedican a replicar el modelo de negocio clandestino y fraudulento en una zona aún no madura en términos de legislación contra el ciber-crimen.

Evidencias concretas de esta situación son los crimeware S.A.P.Z., de origen peruano, y vOlk de origen mexicano. Ambos con casi dos años en la escena del ciber-crimen de LatAm. Aunque en el caso de S.A.P.Z. su utilización decreció considerablemente durante el último semestre de 2011, no es la misma situación en el caso de vOlk, responsable de casi el 90% de las estrategias de ataques de phishing en países como México, Perú, Colombia, Venezuela, Bolivia, Chile y Argentina; estimándose una fuerte demanda sobre la venta del crimeware durante el 2012.

Actualmente la versión 4 de vOlk (última versión) posee un fuerte impacto contra el aparato financiero de América Latina, intentando “reclutar” computadoras infectadas sólo en Latinoamérica y robar datos financieros de importantes entidades bancarias, siempre bajo la influencia de estrategias de Ingeniería Social que los ciber-delincuentes intentan intensificar y efectivizar constantemente.

Si bien el empleo de vOlk se limita a afectar usuarios de América Latina, algunas estrategias se encuentran dirigidas a países particulares con maniobras de engaños personalizadas y adaptadas a los recursos falsificados del país objetivo. Es así que en Argentina, durante estos intentos de engaño fusionan la complejidad e impacto que representa todo proceso de infección con Ingeniería Social directamente aplicada al malware y generación de página web maliciosas para el ciclo de propagación, empleando nombres relacionados con importantes corporaciones posicionadas en países de América Latina.

Por otro lado, mientras el crimeware desarrollado desde la zona este de Europa aplica técnicas de inyección complejas para el robo de información bancaria, en América Latina esta posibilidad es reemplaza por maniobras menos complejas como el pharming local, que consiste simplemente en la modificación forzada de la información que aloja el archivo host.

Otro pronóstico es que en el 2012 es muy probable que ya presenciemos el primer malware móvil hecho en América Latina. En el 2011 hemos visto muchos ataques basados en la ingeniería social que lucraban a través del saldo de los usuarios de América Latina pero sin infectar el dispositivo móvil. Todo el ataque se basa en que la víctima por su propio consentimiento tenía que “suscribirse” a un servicio de interés, a saber un scanner infrarrojo para ver a través de la ropa y cosas por el estilo. Sin embargo con el crecimiento de los celulares y la migración de la banca en línea a la banca móvil es muy probable que ya este año tengamos malware hecho para Android y que venga desde América del Sur. No se puede decir qué país tomará la iniciativa pero lo cierto es que es muy probable que esto suceda.

Predicciones para Brasil en el 2012

Las predicciones para Brasil incluyen las predicciones generales para América Latina y adicionalmente incluyen estas:

Os trojans bancários vão continuar a ser o tipo de malware mais comum no Brasil. Para 2012 esperamos o uso de novas técnicas de infecção, tanto criadas localmente quanto copiadas de malware de origem internacional. Isso tornará esse trojans nacionais mais agressivos.

Como exemplo dessas novas técnicas podemos citar o uso de bootkits, onde a infecção se instala na MBR do computador infectado. Esperamos ainda o uso de arquivos polimórficos, visando escapar da detecção por assinatura dos antivírus e também mais trojans e rootkits compatíveis com a plataforma 64 bits.

Como esperado, em 2011 o Facebook se tornou a rede social mais popular no Brasil, ultrapassando o Orkut. Tal mudança incentiva os criminosos a produzirem ataques, como já visto em 2011. Para 2012 acreditamos que tais ataques contra usuários brasileiros do Facebook irão aumentar massivamente, tornando a rede tão atacada quanto foi o Orkut no passado.

Para 2012 esperamos que os constantes ataques de phishing continuem. Os phishers brasileiros estão entre os mais ativos do mundo e isso não mudará em 2012.

Esperamos ainda mais ataques à estrutura do governo, com defacements e DDos, especialmente com a proximidade de eventos como a Copa do Mundo e as Olímpiadas. Para 2012 acreditamos também que os ataques de DNS cachê poisoning feito contra provedores de internet devem continuar, assim como os ataques a dispositivos de rede.

Panorama viral de América Latina en el 2011 y los pronósticos para el 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada