Está en la página 1de 51

Informe sobre las amenazas para la seguridad de los sitios web

(edicin de 2014)
Tendencias de 2013, volumen 19. Fecha de publicacin: junio de 2014.
2 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
ndice
Introduccin 3
Resumen ejecutivo 4
La seguridad en 2013, mes a mes 5 - 7
2013, en cifras 8
Fugas de datos 9
Ataques a sitios web 10
Ataques dirigidos 11
Spear-phishing 12
Ataques realizados a travs de Internet 13 - 14
Spear-phishing (cont.) 15 - 17
Ataques watering hole 18 - 20
Infiltracin en las redes y captacin de datos personales 21
Fugas de datos 23
Ciberdelincuencia y tcnicas de distribucin de malware 24 - 26
Mtodos de ataque 27
Ataques web bloqueados 30
Tipos de sitios web ms atacados en 2013 29
Mtodos de ataque (cont.) 30 - 31
Porcentaje de mensajes de correo electrnico con malware 32
Redes sociales 33 - 36
Spam y phishing 37 - 39
Sitios web infectados 40
Qu nos depara el futuro? 41 - 43
Consejos y prcticas recomendadas 44 - 46
Heartbleed 47 - 48
Garantice la seguridad de su empresa con Symantec 49
Acerca de Symantec 50
3 I Symantec Corporation
Introduccin
Symantec cuenta con la fuente de datos ms completa que existe sobre
las amenazas en Internet: Symantec Global Intelligence Network, un
sistema compuesto por ms de 41,5 millones de sensores de ataque que
registra miles de incidencias por segundo. Esta red supervisa las amenazas
existentes en ms de 157 pases y regiones mediante una combinacin de
productos y servicios de Symantec, como Symantec DeepSight Threat
Management System, Symantec Managed Security Services, los productos
de Norton y Symantec Website Security Solutions, adems de otras fuentes
de datos externas.
Symantec tambin mantiene una de las bases de datos sobre
vulnerabilidades ms completas del mundo. En este momento,
hay registradas ms de 60 000 vulnerabilidades que afectan
a ms de 54 000 productos de ms de 19 000 proveedores.
Los datos sobre spam (envo de correo no deseado), phishing
(suplantacin de la identidad) y malware (cdigo daino)
se registran a travs de distintos recursos, como Symantec
Probe Network un sistema que abarca ms de cinco millones
de cuentas seuelo, Symantec.cloud, Symantec Website
Security Solutions o los productos de proteccin frente al
malware y las vulnerabilidades, entre otras tecnologas de
seguridad de Symantec. La tecnologa heurstica patentada
de Symantec.cloud, denominada Skeptic, detecta los ataques
dirigidos ms nuevos y avanzados antes de que lleguen a la
red del cliente. 14 centros de datos procesan ms de
8400 millones de mensajes de correo electrnico al mes y
filtran ms de 1700 millones de solicitudes por Internet al
da. Symantec tambin recopila informacin sobre phishing
a travs de una amplia comunidad antifraude de empresas,
proveedores de seguridad y ms de 50 millones de consumidores.


Symantec Website Security Solutions funciona sin interrup-
cin, permite comprobar si un certificado digital X.509
se ha revocado o no mediante el protocolo de estado de
certificados en lnea (OCSP) y procesa a diario ms de
6000 millones de consultas de este tipo en todo el mundo.
Gracias a estos recursos, los analistas de Symantec cuentan
con fuentes de informacin insuperables para detectar,
analizar e interpretar las nuevas tendencias en materia de
ataques, malware, phishing y spam. Todos estos datos nos
han servido para elaborar el tercer informe sobre amenazas
para la seguridad de los sitios web (basado en el informe de
Symantec sobre las amenazas para la seguridad en Internet,
volumen 19), que ofrece a empresas y consumidores
informacin esencial para proteger sus sistemas de forma
eficaz tanto ahora como en el futuro.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
4 I Symantec Corporation
Resumen ejecutivo
En un principio, pareca que los grandes temas de 2013 iban a
ser el ciberespionaje, la dificultad para proteger los datos confi-
denciales y la amenaza que representa el personal interno de
las empresas. Sin embargo, los datos de finales de ao dejaron
clarsimo que la ciberdelincuencia sigue azotando a empresas y
consumidores. En total, hubo ocho fugas que dejaron al descu-
bierto ms de diez millones de identidades y se produjeron ms
ataques dirigidos.
El presente informe, basado en datos recopilados e interpretados
por los expertos de seguridad de Symantec, describe el abanico de
amenazas que hicieron peligrar la seguridad de los sitios web en
2013, que pasamos a resumir a continuacin.
Veamos cules fueron las tendencias ms
destacables en 2013.
2013: el ao de las megafugas
Si, como sealbamos en una edicin anterior de este informe,
2011 fue el ao de las fugas de datos, 2013 fue el de las
megafugas. El nmero de fugas de datos (253) fue un 62 %
ms alto que en 2012, y tambin se super el total de 2011 (208).
Sin embargo, estos datos no bastan para entender la gravedad
del problema. Lo verdaderamente preocupante es que ocho de
las fugas que se produjeron en 2013 dejaron al descubierto ms
de diez millones de identidades cada una. En 2012, solo hubo un
incidente de esa magnitud, y en 2011, la cifra lleg solo a cinco.
En todo el ao, quedaron 552 millones de identidades expuestas y
se pusieron en peligro los datos personales relacionados con ellas
(direcciones, contraseas, datos de tarjetas de crdito, etc.).
Aparicin de nuevos tipos de ataques dirigidos
En el informe anterior, ya sealbamos que los atacantes haban
incorporado a su arsenal una nueva arma: los ataques watering
hole o de abrevadero. Quienes proclamaron la muerte del spear-
phishing se equivocaban. En 2013, el nmero de campaas
aument en un 91 %, si bien es cierto que se enviaron menos
mensajes de correo electrnico por campaa y disminuy el
nmero de vctimas.
Aumento de los ataques watering hole a
consecuencia de las vulnerabilidades de da cero y
de la aplicacin poco sistemtica de revisiones
Segn los datos registrados por Symantec, en 2013 se descu-
brieron ms vulnerabilidades de da cero que nunca
concretamente, 23: ms que la suma de los dos aos anteriores y
un 61 % ms que en 2012. Estas vulnerabilidades son un filn
para los atacantes, pues les permiten lanzar ataques watering hole
que sortean la tecnologa anti-phishing e infectan a las vctimas
sin necesidad de recurrir a la ingeniera social. Muchos sitios web
legtimos no aplicaron de forma sistemtica las revisiones de
seguridad ms recientes. Un 78 % presentaba vulnerabilidades
que alguien podra aprovechar y uno de cada ocho tena una
vulnerabilidad de carcter crtico, lo que explica el aumento de los
ataques watering hole y la facilidad de los atacantes para encontrar
sitios web con los que tender una trampa a los visitantes.
Por lo general, los ciberdelincuentes ms astutos dejan de apro-
vechar una vulnerabilidad en cuanto sale a la luz, mientras que
los corrientes se apresuran a usarla justo despus. En el caso de
las cinco principales vulnerabilidades de da cero, se tard por
trmino medio cuatro das en hacerse pblica una solucin. Sin
embargo, Symantec contabiliz un total de 174651 ataques en
los 30 das siguientes a su deteccin.
Escasa variacin en la forma de usar las redes
sociales pese a la frecuencia de las estafas
En las redes sociales, la gente sigue siendo muy fcil de engaar.
En 2013, las ofertas falsas p. ej., minutos gratis para llamar
a mviles fueron el engao ms frecuente en Facebook. Las
recibieron un 81 % de los usuarios de la plataforma, frente al
56% de 2012. Y aunque el 12 % de los usuarios de las redes
sociales fueron vctimas de hackers que suplantaron su identidad,
un cuarto sigue compartiendo sus contraseas con otras personas
y un tercio se conecta con personas que no conoce.
Aumento del inters de los atacantes por la
Internet de las cosas
En 2013, el hacking lleg a los vigilabebs, las cmaras de seguri-
dad y los routers, y los investigadores hallaron pruebas de ataques
dirigidos a televisores inteligentes, automviles y equipos mdicos.
Todo esto hace pensar que la rpida adopcin de la Internet de las
cosas plantear an ms problemas de seguridad en el futuro.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
La seguridad en 2013,
mes a mes
6 I Symantec Corporation

1
Enero
2
Febrero
3
Marzo
4
Abril
5
Mayo
6
Junio
Se detecta un ataque vinculado al proyecto Elderwood que aprovecha una vulnerabilidad de da
cero de Internet Explorer (CVE-2012-4792).
Se descubre que el Cool Exploit Kit permite aprovechar la vulnerabilidad de da cero de Java
CVE-2013-0422.
Se hace pblico que Android.Exprespam ha podido infectar miles de dispositivos.
Los sectores de defensa y aeroespacial sufren un ataque realizado con el troyano de puerta trasera
Backdoor.Barkiofork.
Cae la botnet Bamital.
Utilizan una vulnerabilidad de da cero de Adobe para el ataque LadyBoyle (CVE-2013-0634).
Se descubre un kit de herramientas multiplataforma que ayuda a crear la herramienta de
acceso remoto (RAT) Frutas.
Se detecta una actualizacin falsa de Adobe Flash que instala ransomware (malware de
extorsin) y genera clics falsos en nombre de las vctimas.
Bit9 sufre un fallo de seguridad.
Un tipo de malware para Android enva spam a los contactos de las vctimas.
La estafa Facebook Black se propaga por Facebook.
El kit de intrusin Blackhole aprovecha la crisis financiera en Chipre.
Varios bancos y entidades de radiodifusin de Corea del Sur sufren un ataque ciberntico.
La campaa de hacktivismo #OpIsrael afecta a distintos sitios web de Israel.
El grupo de hackers denominado Ejrcito electrnico sirio (SEA) ataca las cuentas de
Twitter de NPR y Associated Press, entre otras.
Reddit y varios bancos europeos sufren ataques distribuidos de denegacin de servicio.
Se descubre una vulnerabilidad de un complemento de WordPress que permite hacer
ataques de inyeccin PHP.
LivingSocial restablece las contraseas de 50 millones de cuentas tras sufrir un robo de datos.
Un sitio web del ministerio de trabajo estadounidense sufre un ataque watering hole.
Un hospital del estado de Washington sufre un robo de ms de un milln de dlares a manos
de ciberdelincuentes.
SEA hackea las cuentas de Twitter de The Onion, E! Online, The Financial Times y Sky.
La nueva vulnerabilidad de da cero de Internet Explorer 8 CVE-2012-4792 se utiliza para
un ataque watering hole.
La campaa de hacktivismo #OpUSA afecta a diversos sitios web estadounidenses.
Arrestan en Nueva York a siete hombres vinculados a varios ataques cibernticos internacio-
nales que supusieron el robo de 45 millones de dlares en 26 pases.
Microsoft y el FBI desmantelan la red de botnets Citadel.
Un antiguo empleado de una agencia de seguridad estadounidense divulga documentos
clasificados y un escndalo de ciberespionaje sacude el pas.
Se descubre una vulnerabilidad de da cero que afecta a la mayora de los navegadores de
PC y Mac, dispositivos mviles y consolas de videojuegos.
Anonymous apunta a la industria petrolera y del gas con los ataques #OpPetrol.
Se descubren 65 sitios web que alojan anuncios infectados con el troyano ZeroAccess.
Sale a la luz un falso antivirus (FakeAV) que afecta a telfonos Android.
La seguridad en 2013, mes a mes
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
7 I Symantec Corporation
La seguridad en 2013, mes a mes
7
Julio
8
Agosto
9
Septiembre
10
Octubre
Ubisoft, vctima de un ataque de hacking, sufre un robo de datos de cuentas de usuario.
Se acusa a Francia de utilizar un programa de espionaje similar a PRISM.
Un nuevo kit de intrusin aprovecha distintos fallos de Internet Explorer, Java y Adobe Reader.
Se descubre un tipo de ransomware dirigido a equipos Mac con OS X que simula proceder
del FBI.
Se explota una vulnerabilidad que afecta a la clave maestra de Android.
Viber y Thomson Reuters pasan a engrosar la lista de vctimas de SEA.
SEA ataca el blog de Channel 4 y los sitios web de SocialFlow, New York Post, Washington
Post y New York Times.
Un secuestro de DNS redirige miles de sitios web a un kit de intrusin.
Se detectan dos nuevos casos de ransomware. Uno cambia los datos de inicio de sesin de Windows
en sistemas chinos y otro aprovecha la controversia generada por el programa PRISM de la NSA.
La aplicacin falsa Instagram para PC solicita a las vctimas que rellenen una encuesta para
obtener sus datos.
Varios bancos pierden millones debido a un ataque que se hace con el control del sistema de
giros bancarios.
La tcnica de ingeniera social denominada Francophoned inaugura una nueva era en la
historia de los ataques dirigidos.
SEA ataca el sitio web de la Marina estadounidense y las cuentas de Twitter de Fox,
posiblemente con un troyano para Mac.
Se descubren cajeros automticos que dispensan dinero en metlico a delincuentes.
Aparece el ransomware Cryptolocker, que cifra los archivos de las vctimas y les pide dinero
a cambio de descifrarlos.
Symantec hace pblica la actividad de Hidden Lynx, un grupo de hackers que trabajan a sueldo.
Una empresa de telecomunicaciones belga es vctima de una presunta campaa de
ciberespionaje.
Symantec Security Response acaba con la botnet ZeroAccess.
El mercado negro online Silk Road, desmantelado con anterioridad, resurge a finales de mes.
SEA intercepta mensajes de correo electrnico del personal presidencial estadounidense y
ataca sitios web de Qatar y el sitio web de noticias GlobalPost.
Adobe confirma un fallo de seguridad que dej expuestas 150 millones de identidades.
Arrestan al creador de Blackhole y Cool Exploit Kit.
El grupo de hackers KDMS ataca WhatsApp, AVG y Avira.
Un nuevo tipo de ransomware pide un rescate en bitcoins a cambio de una clave de descifrado.
11
Noviembre
Se detecta la segunda vulnerabilidad que afecta a la clave maestra de Android.
La vulnerabilidad de da cero de Microsoft CVE-2013-3906 se utiliza para ataques
dirigidos y estafas por Internet.
SEA ataca VICE.com como venganza por un artculo en el que se identifica a varios presuntos
miembros del grupo.
Anonymous asegura haber hackeado la red Wi-Fi del parlamento britnico durante una
protesta en Londres.
Se descubre un gusano de Linux que pone en peligro la Internet de las cosas.
Target confirma haber sufrido una fuga de datos que dej al descubierto 110 millones
de identidades.
12
Diciembre
Se filtran los datos de 20 millones de huspedes de hoteles chinos.
Se encuentra una vulnerabilidad en una aplicacin de control de aerogeneradores que
permite lanzar ataques de secuencias de comandos entre sitios (XSS).
Se descubren varias imitaciones de Cryptolocker que tratan de aprovechar el xito del
troyano original.
Se produce un robo de datos de tarjetas de crdito que pone en peligro 105 millones de
cuentas surcoreanas.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
2013, en cifras
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Se conoce como megafugas (Mega Breaches) a aquellos incidentes que dejan al descubierto diez millones de identidades
o ms. En 2012, solo hubo una, mientras que en 2013 se produjeron ocho.
Fugas de datos
Fugas de datos que
afectaron a ms de diez
millones de identidades
Principales tipos de informacin filtrada
+700
%
1 Nombres de personas
2 Fechas de nacimiento
3
Nmeros de identificacin de carcter adminis-
trativo (p. ej., n.os de la seguridad social)
4 Domicilios
5 Historiales mdicos
6 Nmeros de telfono
7 Informacin financiera
8 Direcciones de correo electrnico
9 Nombres de usuario y contraseas
10 Informacin relacionada con plizas de seguros
En 2013, el 35 % de las fugas de
datos se debieron al hacking, que
sigue siendo la principal causa de
fuga. Una empresa que sea vctima
del hacking puede ver minada su
reputacin, ya que si la prdida de
datos sale a la luz, se cuestionarn
sus medidas de seguridad.
En todo el ao, hubo ocho fugas de
datos que dejaron diez millones de
identidades expuestas como
mnimo. La peor dej al descubierto
150 millones de identidades. En
2012, solo una fuga de datos afect
a ms de diez millones de identi-
dades.
Total de
incidentes
Total de identidades
afectadas
156
2012
253
2013
552millones
2013
93millones
2012
+62
%
+493
%
9 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
En torno al 67 % de los sitios web utilizados para la distribucin de malware eran sitios legtimos infectados.
Ataques a sitios web
Nuevos dominios web con malware
2011
2012
2013
74 001

55 000

56 158
-24
%
Ataques web bloqueados al da
2011
2012
2013
464 100

190 000

568 700

+23
%
10 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Ataques dirigidos
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Ataques dirigidos: spear-phishing
Incidencia segn el tamao
de la empresa
N. de
empresas
atacadas
31
%
19
%
50
%
2012
Pequeas
empresas
1- 250
empleados
Empresas
medianas
251-2500
empleados
Grandes
empresas
Ms de 2501
empleados
ATAQUES DIRIGIDOS:
SPEAR-PHISHING
1 de cada 2,3
1 de cada 5,2
30
%
31
%
39
%
2013
Las empresas con un
mximo de 250
empleados sufrieron el
30 % de los ataques de
spear-phishing
dirigidos. Una de cada
cinco pequeas
empresas recibi al
menos un mensaje de
correo electrnico de
spear-phishing en 2013.
Las empresas de ms de
2500 empleados
padecieron el 39 % de
los ataques de
spear-phishing
dirigidos. Dentro de este
grupo, una de cada dos
sufri un ataque o ms
de este tipo.
El frente de ataque
tiende a avanzar por la
cadena de suministro.
En el caso de las
grandes empresas, la
probabilidad de sufrir
un ataque watering hole
aumenta si los
atacantes ya recurrieron
sin xito a los ataques
de spear-phishing por
correo electrnico.
12 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Ataques web dirigidos
Por lo general, alguien que quiera infectar con malware un sitio web legtimo tendr que encontrar primero una
vulnerabilidad que explotar. Por complicado que parezca, segn el servicio de evaluacin de vulnerabilidades de
Symantec el 78 % de los sitios web pblicos analizados en 2013 tenan deficiencias de seguridad de este tipo.
De todas las vulnerabilidades detectadas, un 16 % se consider de carcter crtico porque, en caso de ser descubier-
tas, habran permitido a un atacante acceder a datos confidenciales, alterar el contenido del sitio web o infectar los
equipos de quienes visitaran sus pginas. Segn estos datos, encontrar un sitio web en el que infiltrarse fue relativa-
mente fcil en una de cada ocho ocasiones.

Resumen
Los autores de los ataques dirigidos utilizan mtodos cada vez ms avanzados que les permiten elegir mejor a sus presas.
En 2013, hubo una media de 83 ataques de spear-phishing al da en todo el mundo.
Segn los registros de Symantec, nunca se haban encontrado tantas vulnerabilidades de da cero, usadas con frecuencia
en los ataques watering hole.
Aunque los hackers volvieron a ser los causantes del mayor nmero de fugas de datos, hubo un aumento notable de los
casos de prdida y divulgacin accidental.
Las fugas de datos ocurridas en 2013 dejaron al descubierto 552 millones de identidades.
Sitios web analizados que presentaban
vulnerabilidades
Porcentaje de vulnerabilidades crticas
VULNERABILIDADES
DE LOS SITIOS WEB
+25
%
pts
53
%
2012
-8
%
pts
24
%
2012
78
%
2013
16
%
2013
1 de cada 8 sitios
web presentaba
vulnerabilidades
crticas sin
resolver.
13 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Ataques web dirigidos
El servicio de anlisis contra
software malicioso de Symantec
detect malware en uno de cada
566 sitios web analizados.
Las vulnerabilidades de da cero
se aprovechan con frecuencia en
los ataques watering hole.
El 97 % de los ataques realizados
para aprovechar vulnerabilidades
clasificadas inicialmente como de
da cero usaron Java como vector
de ataque. En el caso de las cinco
vulnerabilidades de da cero ms
explotadas, el periodo entre la
fecha de notificacin de la
vulnerabilidad y la publicacin de
una revisin fue de 19 das en
total. En general, las revisiones
tardaron una media de cuatro das
en aplicarse desde la fecha de
publicacin.
Sitios web en los que se detect malware
Vulnerabilidades de da cero
1 de cada 532
2012
1 de cada 566
2013
+64
%
14
2012
23
2013
N. DE DAS TRANSCURRIDOS TRAS HACERSE PBLICA LA VULNERABILIDAD
M
I
L
E
S

D
E

A
T
A
Q
U
E
S

D
E
T
E
C
T
A
D
O
S



2
4
6
8
10
12
14
16
0 90
Oracle Java SE CVE-2013-1493 54 %
Oracle Java Runtime Environment CVE-2013-2423 27 %
Oracle Java Runtime Environment CVE-2013-0422 16 %
Microsoft Internet Explorer CVE-2013-1347 1 %
Microsoft Internet Explorer CVE-2013-3893 <1 %
5 principales vulnerabilidades de da cero
4 das
Tiempo medio
necesario para
hacer pblica
una solucin
19 das
Tiempo de exposicin
total para las cinco
vulnerabilidades
indicadas
23 de las vulnerabilidades de software eran de da cero...
... y 5 de ellas afectaban a Java.
El 97
%
de los ataques realizados para aprovechar vulnerabilidades
clasificadas como de da cero usaron Java como vector de ataque.
Sin embargo, la media de ataques por campaa es un 76 % ms baja que en 2012 y un 62 % ms baja que en 2011, lo
que significa que en 2013 las campaas fueron ms frecuentes pero de menor magnitud.
Cambios en 2013
Merece la pena echar la vista atrs y comparar las tendencias de ataque de los ltimos aos con las observadas en 2013.
El nmero de ataques dirigidos fue un 42 % ms alto que en 2012.
El total de ataques en 2013 disminuy en un 28 %, hasta situarse en niveles similares a los de 2011.
Todo apunta a que los autores de los ataques son ms hbiles y utilizan mtodos cada vez ms avanzados que les
permiten elegir mejor a sus presas.
Segn datos de Symantec, el nmero de campaas de ataque realizadas a travs del correo electrnico
1
fue un 91 %
ms alto que en 2012 y casi seis veces ms alto que en 2011.
1
Se entiende por campaa de ataque el envo de una serie de mensajes de correo electrnico que: a) demuestran claramente que las vctimas se han elegido de forma deliberada;
b) presentan un mnimo de 3 o 4 coincidencias con otros mensajes de correo electrnico (p. ej., el asunto, la direccin del remitente, el dominio del destinatario, la direccin IP de origen,
etc.); y c) se envan el mismo da o en el transcurso de varios das.
DA
14 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
15 I Symantec Corporation
Dado que el xito de los ataques de spear-phishing depende
en gran medida de la ingeniera social, los atacantes adaptan
los mensajes de correo electrnico a los destinatarios para
lograr que los abran.
Por ejemplo, alguien que trabaje en un departamento de
servicios financieros podra recibir un mensaje de spear-
phishing en el que, supuestamente, se le informe de ciertos
cambios en la normativa del sector.
En un caso concreto, el atacante incluso lleg a llamar por
telfono a la vctima despus de enviarle un mensaje y,
hacindose pasar por uno de sus superiores, le pidi que
abriera un archivo adjunto en ese mismo momento.
En 2013, uno de cada 54 clientes de Symantec.cloud estuvo
a punto de recibir uno o ms correos electrnicos de spear-
phishing. La gravedad de estos intentos de ataque resulta
evidente si consideramos que el riesgo anual de que una
oficina se incendie es mucho menor. En el peor de los casos,
solo uno de cada 161 edificios corre el riesgo de arder.
Spear-phishing (cont.)
En 2013, uno de cada 54 clientes de Symantec.cloud estuvo a punto de recibir
uno o ms correos electrnicos de spear-phishing. La gravedad de estos intentos
de ataque resulta evidente si consideramos que el riesgo anual de que una
oficina se incendie es mucho menor. En el peor de los casos, solo uno de cada
161 edificios corre el riesgo de arder.
Robo en plena noche
En ciertos casos, la ciberdelincuencia se sale de
sus cauces habituales. En 2013, a una empresa
de servicios financieros le pareci extraa una
transferencia realizada a primera hora de la
maana desde un ordenador en particular. Al
revisar las imgenes del circuito cerrado de
televisin, descubri que a esa hora nadie estaba
usando ese ordenador. Al analizar el equipo, se
detect y se elimin un troyano de puerta trasera,
pero para entonces los ciberdelincuentes ya haban
robado ms de 60 000 .
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Spear-phishing (cont.)
ATAQUE DIRIGIDO
FASES
Fuente: Symantec
1 INFILTRACIN El atacante se infiltra en la empresa que ha elegido como vctima. Normalmente,
antes ha investigado qu tctica de ingeniera social es ms adecuada para lograr su cometido.
2 BSQUEDA Tras infiltrarse en la empresa, el atacante tratar de impedir que se le deniegue
el acceso y se pondr a buscar los datos y recursos que puedan interesarle.
3 RECOPILACIN Cuando el atacante tenga localizados los datos que le interesan,
buscar un modo de recopilarlos antes de proceder al robo.
4 ROBO El ltimo paso es robar los datos, para lo cual existen diversos
mtodos. En unos casos, el atacante subir los datos a un servidor remoto
o a un sitio web al que tenga acceso; en otros, recurrir a mtodos ms
discretos, como el cifrado y la esteganografa, que camuflan mejor el robo
con tcnicas como la ocultacin de datos en paquetes de solicitud de DNS.
16 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
17 I Symantec Corporation
Spear-phishing (cont.)
Tipo de archivo ejecutable 2013 2012
.exe 31,3 % 39 %
.scr 18,4 % 2 %
.doc 7,9 % 34 %
.pdf 5,3 % 11 %
.class 4,7 % <1 %
.jpg 3,8 % <1 %
.dmp 2,7 % 1 %
.dll 1,8 % 1 %
.au3 1,7 % <1 %
.xls 1,2 % 5 %
Cuanto mayor es una empresa, mayor es tambin el
riesgo de que reciba mensajes de correo electrnico de
spear-phishing.
En 2013, ms de la mitad de los archivos adjuntos utilizados
en ataques de spear-phishing eran ejecutables. Tambin se
adjuntaron archivos de Microsoft Word y en formato PDF (en
el 7,9 % y el 5,3 % de los casos, respectivamente), pero con
menor frecuencia que en 2012.
Una de cada 2,3 empresas con una plantilla de ms de 2500
empleados fue vctima de uno o ms ataques de spear-
phishing. En el caso de las pequeas y medianas empresas,
las afectadas fueron una de cada cinco.
El 4,7 % de los archivos adjuntos empleados en ataques de
spear-phishing fueron archivos .class de Java.
Anlisis de los mensajes de spear-phishing utilizados en ataques dirigidos
Fuente: Symantec
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Ataques watering hole
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
19 I Symantec Corporation
Por lo general, alguien que quiera infectar con malware
un sitio web legtimo para tender una trampa a quien lo
visite tendr que encontrar primero una vulnerabilidad
que explotar. Por complicado que parezca, el 78 % de los
sitios web pblicos analizados en 2013 con el servicio de
evaluacin de vulnerabilidades de Symantec Website Security
Solutions
3
tenan deficiencias de seguridad de este tipo.
De todas las vulnerabilidades detectadas, un 16 % se
consider de carcter crtico porque, en caso de ser
descubiertas, habran permitido a un atacante acceder a
datos confidenciales, alterar el contenido del sitio web o
infectar los equipos de quienes visitaran sus pginas.
Segn estos datos, encontrar un sitio web en el que infiltrarse
fue relativamente fcil en una de cada ocho ocasiones.
Una vez llevada a cabo la infeccin, los atacantes pueden
consultar los registros de trfico para ver quin lo visita.
Por ejemplo, si les interesan los organismos de defensa, es
posible que busquen las direcciones IP de empresas que
trabajen para ellos. Si las encuentran, tal vez decidan usar el
sitio web como abrevadero para un ataque.
Ataques watering hole
En 2013, los ataques watering hole o de abrevadero fueron la forma de
ataque dirigido ms compleja. Con este mtodo, el atacante se infiltra
en un sitio web legtimo que suelen frecuentar sus vctimas, lo infecta y
espera a que los internautas lo visiten. Por ejemplo, los ataques de Hidden
Lynx
2
infectaron a unos 4000 usuarios en solo un mes. Si al atacante no le
interesan todas las personas que visitan el sitio web infectado, reservar el
ataque principal para las vctimas que tiene en mente, mientras que el resto
de los internautas saldrn indemnes o se les infectar con otros tipos de
malware. Aunque los ataques watering hole son eficaces a largo plazo, su uso
requiere cierta paciencia, ya que hay que esperar a que la vctima visite el
sitio web infectado.
2
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/hidden_lynx.pdf
3
http://www.symantec.com/en/aa/theme.jsp?themeid=ssl-resources
Los ataques de Hidden Lynx
2
infectaron a unos 4000 usuarios en solo un mes.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Para evitar ser descubiertos, los ataques watering hole suelen aprovechar vulnerabilidades de da cero. En 2013, los
ciberdelincuentes se sirvieron de 23 vulnerabilidades de este tipo para atacar: ms que las 14 de 2012, y la cifra ms alta
desde 2006, ao al que se remontan los primeros registros de Symantec. Sin embargo, las vulnerabilidades de da cero ni
siquiera son necesarias para lanzar ataques watering hole, ya que en 2013 aument el nmero de vulnerabilidades en
general.
Una de las razones por las que los ataques watering hole se han vuelto ms frecuentes es que los usuarios no suelen
sospechar de los sitios web que conocen y consideran de confianza, lo que permite atacar a personas o grupos especficos
infectando pginas con contenidos de su inters. Por eso las vulnerabilidades de da cero que afectan a sitios web
legtimos son tan atractivas para quienes dominan la tcnica del ataque de abrevadero.
En 2013, los ciberdelincuentes se sirvieron de 23 vulnerabilidades de da cero
para atacar, una cifra ms alta que la del ao anterior.
Ataques watering hole
Vulnerabilidades de da cero en 2013
Fuente: Symantec
0
1
2
3
4
5
6
7
8
D N O S A J J M A M F E
2
7
0
1
2 2
1 1 1 1
4
1
DA
20 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19

21 I Symantec Corporation
Tras infiltrarse en la red, los atacantes suelen tratar de acceder
a distintos sistemas empresariales. Para ello, se sirven de
distintos mtodos, como el robo de informacin mediante
troyanos, que se instalan en los ordenadores infectados y
permanecen ocultos mientras recopilan datos de acceso a
cuentas.
Tambin suelen utilizar herramientas de volcado de
contraseas, tiles cuando se encuentran cachs de
contraseas cifradas. La tcnica pass the hash permite al
atacante copiar las contraseas cifradas (llamadas hashes) y
as obtener los permisos necesarios para acceder a los sistemas
de la red que le interesan: el servidor FTP de la empresa, los
servidores de correo electrnico, los controladores de dominio,
etc. Con estos datos de acceso, es posible iniciar sesin en todos
estos sistemas, atravesar la red y robar datos.
Infiltracin en las redes y captacin de datos
personales
Un ciberdelincuente que logre evadir los mecanismos de seguridad de una
empresa podr infiltrarse en su red, tratar de acceder al controlador de
dominio, buscar documentos que le interesen y robar los datos. En 2013, los
descargadores (tambin llamados downloaders o puertas traseras de fase
uno) fueron una forma habitual de penetrar en las redes empresariales e
infectarlas con distintos tipos de malware. Su versatilidad permite utilizarlos
con distintos fines y, adems, son ligeros y fciles de propagar. Una vez que
un descargador entra en la red, se pone a descargar troyanos para analizarla,
registradores de pulsaciones de teclas para obtener la informacin tecleada
en los ordenadores infectados y puertas traseras para enviar al atacante los
datos robados.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
22 I Symantec Corporation
Consecuencias del robo de datos
Los robos de datos no son delitos inocuos, sino que suponen
un grave peligro para las empresas y los consumidores que los
sufren.
Riesgos para las empresas
Una fuga de datos puede ser un golpe dursimo para una
empresa. En primer lugar, su reputacin se ver afectada. Los
consumidores podran dejar de confiar en ella y pasarse a la
competencia, mxime si el incidente es de cierta envergadura y
recibe una amplia cobertura en los medios de comunicacin.
Por ejemplo, en Estados Unidos una aseguradora mdica
se enfrenta a una demanda colectiva por el robo de dos
ordenadores porttiles sin cifrar que contenan datos de
840000 asegurados.
Tambin en EE. UU., una empresa que gestionaba historiales
mdicos se declar en suspensin de pagos tras sufrir un
incidente que dej al descubierto las direcciones, los nmeros
de la seguridad social y los diagnsticos de 14000 personas,
alegando que la fuga de datos tena un coste prohibitivo que
no poda asumir.
Finalmente, el director general de Target se vio obligado a
dimitir por la gravedad del robo de datos de clientes que sufri
esta empresa estadounidense en 2013.
Riesgos para los consumidores
Los consumidores son los ms perjudicados por las fugas de
datos.
En su caso, las consecuencias no tienen por qu limitarse al sitio
web afectado, sino que el atacante podra intentar acceder a
otras cuentas con sus datos personales para obtener un mayor
beneficio (p. ej., mediante las funciones de restablecimiento
de contraseas). Los riesgos varan en funcin de los datos
robados, y abarcan desde transferencias bancarias a otras
cuentas hasta la creacin de tarjetas de crdito o dbito falsas
con el objeto de cargar los gastos al afectado. Adems, es
frecuente que los consumidores cometan el error de usar la
misma contrasea para varias cuentas, con lo que el atacante
podra usar la direccin de correo electrnico y la contrasea
asociadas a un servicio web para acceder a otros.
La confidencialidad en Internet, en entredicho
Si alguien dudaba que los gobiernos controlan el trfico de
Internet, 2013 lo dej muy claro. Las filtraciones producidas
a lo largo del ao demostraron que hay organismos que usan
tcnicas de recopilacin masivas.
Desde junio de 2013, los programas de vigilancia de datos de
la NSA (agencia de seguridad nacional de EE. UU.) no dejaron
de ser noticia. Dada la cantidad de documentos filtrados por
Edward Snowden, antiguo empleado de la NSA, se prev que
an salga a la luz ms informacin. Estos documentos revelan
la envergadura de las actividades de la NSA, que abarcaran la
recopilacin de metadatos de llamadas telefnicas y conocidos
servicios web, el acceso a redes de fibra ptica de centros de
datos de todo el mundo, el intento de burlar las tecnologas
de cifrado ms frecuentes en Internet y el afn por almacenar
cantidades ingentes de metadatos.
Symantec hizo pblica la existencia de Hidden Lynx, un grupo
de hackers que trabajan a sueldo y que podran haber ayudado
a naciones-estado a obtener tecnologas y conocimientos de
inters para otros pases. Tambin se acus a los servicios de
inteligencia rusos de infiltrarse en redes empresariales de EE.
UU., Asia y Europa.
A la lista de peligros se suma tambin el personal interno de
las empresas. Un empleado que tenga acceso a informacin
confidencial de los clientes y quiera apropirsela podra hacerlo
sin necesidad de robar los datos de inicio de sesin de otra
persona, lo que le dara ventaja frente a un atacante externo.
Adems, dado que conoce la empresa, podra llegar a pensar
que nadie se percatar del robo, sobre todo si sabe que las
medidas de seguridad no son demasiado estrictas. Segn un
estudio de Symantec realizado en colaboracin con el
Ponemon Institute, el 51 % de los empleados que trabajan
para empresas sin una poltica de seguridad de datos bien
definida consideran aceptable copiar datos empresariales
en sus ordenadores personales. Los datos de los clientes
tienen un gran valor, por lo que podra haber personas dispuestas
a venderlos aun a riesgo de perder su empleo.
Fugas de datos
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Las causas de las fugas de datos cambiaron en 2013.
La nmero uno fue el hacking, que ocasion el 35 % de los
incidentes causa, a su vez, del 76 % de las identidades
expuestas.
Por trmino medio, cada fuga de datos resultado del
hacking dej expuestos unos 4,7 millones de identidades.
La prdida o robo de un dispositivo, tercera causa ms
frecuente, provoc el 27 % de las fugas de datos.
Segn un estudio de 2013 sobre el coste de las fugas de
datos publicado por Symantec y el Ponemon Institute, el
gasto medio generado por cada incidente pas de 130 a
136 dlares estadounidenses, aunque hay variaciones
geogrficas. Alemania y Estados Unidos son los pases que
salen peor parados, con un gasto de 199 USD y 188 USD
por fuga respectivamente.
Fugas de datos
Principales causas de las fugas de datos
en 2013
Fuente: Symantec
Fraudes
Desconocida
Apropiacin por
parte del personal
interno
Robo o prdida de un
ordenador o unidad
Divulgacin
accidental
Hacking
35
%
27
%
29
%
6
%
2
%
2
%
Nmero de
incidentes
87
72
69
15
6
4
253 TOTAL
Por trmino medio, cada fuga de datos resultado del hacking dej unos
4,7 millones de identidades expuestas.
23 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Ciberdelincuencia y tcnicas
de distribucin de malware
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
25 I Symantec Corporation
La ciberdelincuencia y la seguridad en Internet
La ciberdelincuencia, trmino que designa la utilizacin de
ordenadores y equipos de comunicaciones electrnicas para
cometer delitos (por lo general, con un mvil econmico),
sigue siendo una de las mayores amenazas en la actualidad.
Los ciberdelincuentes cuentan con redes de distribucin
de malware sumamente avanzadas.
De principios a finales de 2013, el volumen de
ransomware mensual se multiplic por ms de seis.
En 2013, se arrest al presunto autor del kit de intrusin
Blackhole, pero los kits de herramientas de ataque
web siguen siendo uno de los principales mtodos de
infeccin de ordenadores.
En 2013, se detectaron ms vulnerabilidades que
nunca.
Las botnets y el mercado de alquiler
Lo primero que suelen hacer los ciberdelincuentes es infectar
equipos con malware para incorporarlos a una botnet (red de
zombis o equipos robot).
La utilidad de las botnets radica en su versatilidad: sirven
para enviar spam, robar informacin bancaria o lanzar
ataques distribuidos de denegacin de servicio que dejen
inutilizable un sitio web, por poner solamente unos ejemplos.
Adems, facilitan el control de equipos infectados alquilados
a terceros un fenmeno que permite a otras personas
utilizarlos para actividades delictivas.
Troyanos y ataques dirigidos al sector bancario
Los troyanos dirigidos al sector bancario pueden reportar
grandes beneficios a quien los usa. En la actualidad, las
prcticas ms habituales siguen siendo dos: modificar se-
siones de banca online e inyectar campos adicionales para
secuestrarlas o robar los datos del usuario conectado.
Segn el libro blanco de Symantec
State of Financial Trojans 2013
4
, en
los tres primeros trimestres de 2013,
el nmero de troyanos dirigidos a
entidades bancarias se triplic.
Ms de la mitad de estos ataques afectaron a las
15principales instituciones financieras, aunque entre las
vctimas se cuentan ms de 1400 instituciones de 88 pases.
Se sigue recurriendo principalmente a los ataques Man-
in-the-Browser (MITB), en los que un troyano ataca el
ordenador de un cliente que ha iniciado una sesin de banca
por Internet.
Sin embargo, segn datos de Symantec, en 2013 aumentaron
los incidentes relacionados con el uso de sistemas fsicos.
Sigue habiendo bastantes casos de clonacin de tarjetas y se
ha descubierto un nuevo tipo de malware, Backdoor.Ploutus,
que permite sacar dinero en efectivo de cajeros automticos.
Para infectar el cajero, se inserta un CD-ROM que arranca
el sistema e instala el malware. A continuacin, el atacante
interacta con l mediante determinadas combinaciones de
teclas para conseguir lo que de verdad le interesa: vaciar el
cajero. Las variantes ms recientes permiten retirar dinero
enviando un mensaje de texto a un mdem GSM instalado en
el cajero.
Estos ejemplos demuestran que los sistemas fsicos se usan
cada vez ms para atacar a las instituciones financieras.
Ciberdelincuencia y tcnicas de distribucin
de malware
4
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_state_of_financial_trojans_2013.pdf
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
26 I Symantec Corporation
El malware como forma de lucro
En 2013, el lucro es el principal incentivo de los
ciberdelincuentes, para quienes los equipos infectados que
controlan son mquinas de generar dinero que merece la
pena exprimir por todos los medios.
El atacante suele controlar los equipos infectados,
normalmente mediante una conexin de puerta trasera. El
primer paso podra ser infectar los equipos con un troyano
creado para robar datos bancarios y esperar a que surta
efecto. Si el troyano no obtiene ningn dato, es posible que
el responsable del ataque cambie de tctica. Por ejemplo, tal
vez recurra al ransomware de temtica pornogrfica y pida
un rescate.
Ciberdelincuencia y tcticas de distribucin
de malware
Puesto Nombre Porcentaje total
1 W32.Ramnit 15,4 %
2 W32.Sality 7,4 %
3 W32.Downadup 4,5 %
4 W32.Virut 3,4 %
5 W32.Almanahe 3,3 %
6 W32.SillyFDC 2,9 %
7 W32.Chir 1,4 %
8 W32.Mabezat 1,2 %
9 W32.Changeup 0,4 %
10 W32.Xpaj 0,2 %
Fuente: Symantec
Los diez principales tipos de malware en 2013
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Kits de herramientas
En octubre de 2013, el arresto del creador de Blackhole y
el Cool Exploit Kit, apodado Paunch, cambi el panora-
ma de los kits de herramientas. Hasta finales de octubre,
Blackhole segua siendo el principal kit de herramientas
de ataque web, un puesto que llevaba ocupando varios
aos y que nada pareca amenazar.
Modelo de negocio
Hace aos, los kits de herramientas de ataque web se
vendan en foros clandestinos mediante un sistema en
cadena. Alguien se lo venda a un socio, este a otro, y as
sucesivamente. En este mercado negro, el creador del kit
de herramientas de ataque perda gran parte del benefi-
cio, mientras que otras personas se lucraban sin mayor
esfuerzo simplemente por tener el cdigo.
En los ltimos aos, el kit de herramientas Blackhole puso
fin a este sistema e introdujo el modelo de servicio
predominante en la actualidad. Ahora, los creadores de los
kits de ataque web se ocupan de administrarlos y contro-
lan el cdigo.
Ataques web bloqueados al da
Con la adopcin del modelo que acabamos de describir, los
propietarios de los kits de herramientas han probado a
ofrecer distintos servicios. Unas veces, el administrador lo
prepara todo y ofrece cobertura integral; otras, el compra-
dor asume una mayor responsabilidad y el creador se limita
a prestar un servicio de asistencia si surgen dificultades en
la configuracin del kit.
Mtodos de ataque
Porcentaje de ataques correspondientes
a los distintos kits de ataque web en 2013
Fuente: Symantec
5
10
15
20
25
30 %
COOL
KIT
STYX SAKURA BLACK
HOLE
G01
PACK
OTROS
23 %
27 %
19 %
14 %
10 %
8 %
El arresto del presunto autor de Blackhole en octubre de
2013 puso fin al apogeo de este kit de herramientas, cuya
actividad se redujo prcticamente a cero. En 2012, un
44,3 % del total de ataques bloqueados tenan su origen
en Blackhole, el kit de herramientas ms usado ese ao.
En 2013, el kit G01Pack pas a ocupar el primer puesto
atendiendo al nmero de ataques bloqueados (un 23 %
del total).
Gran parte de los kits de herramientas de ataque ms
comunes se actualizaron en 2013 para aprovechar
distintas vulnerabilidades de Java Runtime Environment
CVE-2013-0422, CVE-2013- 2465 y CVE-2013-1493,
entre otras y la vulnerabilidad de Microsoft Internet
Explorer CVE-2013-2551.
27 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Ataques web bloqueados
Octubre mes del arresto en Rusia de Paunch,
presunto creador de los kits de herramientas de ataque
web Blackhole y Cool Exploit Kit fue el mes de 2013
con menor nmero de ataques, con 135 450 bloqueos
diarios. El funcionamiento del kit Blackhole se basaba
en la nube y en un modelo de software como servicio. En
cuanto desaparecieron los responsables de actualizarlo,
su efectividad disminuy enseguida y dej un vaco que
otros se apresuraron a llenar.
La media diaria de sitios web con malware bloqueados,
de 464 100 en 2012, pas a ser de 568 700 en 2013:
un aumento del 22,5 % aproximadamente.
El nivel mximo se registr en julio, mes en el que se
alcanzaron unos 799 500 bloqueos al da.
Ataques web bloqueados al da en 2013
Fuente: Symantec
M
I
L
E
S

2012 2013
0
100
200
300
400
500
600
700
800
D N O S A J J M A M F E
28 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
29 I Symantec Corporation
En la tabla siguiente se indican los tipos de sitios web atacados
con ms frecuencia, segn datos obtenidos con Norton Safe
Web sobre direcciones URL con malware y clasificados por
categoras con la tecnologa Rulespace23 de Symantec.
En 2013, aproximadamente el 67 % de los sitios web
utilizados para la distribucin de malware fueron sitios web
legtimos infectados pertenecientes a las categoras indicadas
(en 2012, el porcentaje era del 61 %). Esta cifra no incluye
las direcciones URL que contienen solo una direccin IP ni los
sitios web generales de parking de dominios y pago por clic.
Sitios web atacados con ms frecuencia en 2013
Fuente: Symantec
El 9,9 % de los sitios web en los que se detect actividad
maliciosa pertenecan a la categora Tecnologa.
La categora Sitios web ilegales engloba las siguientes
subcategoras: grupos activistas, acoso por Internet,
participacin en la distribucin de malware, descodificacin
de contraseas, software potencialmente daino y programas
no solicitados, programas de acceso remoto y otros
contenidos relacionados con el phishing y el spam.
Segn datos de Symantec, un 50 % de los casos de descarga
no autorizada de antivirus falsos al visitar un sitio web se
produjeron en pginas de museos o relacionadas con el mundo
del arte. En estos sitios web, este problema represent el 4 %
del total de amenazas detectadas, mientras que el porcentaje
ascendi al 42 % en el caso de los sitios web dedicados al
comercio electrnico.
Por ltimo, el 17 % de los ataques en las redes sociales
estuvieron relacionados con la publicacin de enlaces a blogs
con malware.
Por supuesto, el taln de Aquiles de este sistema son las
limitaciones del modelo de software como servicio. Por eso
la actividad del kit Blackhole se vino abajo cuando se arrest
a Paunch (su autor) y al pequeo grupo de desarrolladores
que lo administraban.
El 9,9 % de los sitios web en los que se
detect actividad maliciosa pertenecan
a la categora Tecnologa.
Tipos de sitios web ms atacados en 2013
Puesto
Categoras atacadas
con ms frecuencia
Porcentaje del
total de sitios web
infectados
1 Tecnologa 9,9 %
2 Empresas 6,7 %
3 Alojamiento 5,3 %
4 Blogs 5,0 %
5 Sitios web ilegales 3,8 %
6 Comercio electrnico 3,3 %
7 Ocio 2,9 %
8 Automocin 1,8 %
9 Educacin 1,7 %
10 Comunidades virtuales 1,7 %
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
30 I Symantec Corporation
Kits de herramientas de ingeniera social: las
herramientas de administracin remota (RAT)
y el creepware
Dentro de los kits de herramientas, los de ataque web son los
ms conocidos, pero tambin existen otros diseados para
hacer pruebas de intrusin y detectar vulnerabilidades.
Los segundos ms conocidos son probablemente las
herramientas de acceso remoto (RAT), que existen desde
hace aos. Suelen utilizarse para crear troyanos con carga
viral y, adems, camuflan los archivos binarios para evadir
los antivirus.
Los kits de herramientas de ingeniera social se utilizan para
crear sitios web de phishing (p. ej., pginas falsas para iniciar
sesin en Facebook). En esencia, son herramientas de diseo
web, pero con funciones que facilitan el hacking.
El creepware se sirve de los kits de herramientas y la
ingeniera social para instalar malware con el que espiar a las
vctimas.
Las vulnerabilidades, una invitacin al ataque
Aprovechar vulnerabilidades sigue siendo una de las formas
ms habituales de distribuir distintos tipos de malware
(ransomware, troyanos, puertas traseras, etc.), incorporar
equipos a una botnet y propagar toda suerte de amenazas.
En 2013, se detectaron ms vulnerabilidades que nunca
(6787) y aumentaron los ataques de da cero diseados para
aprovecharlas. Muchos de estos incidentes fueron ataques
watering hole o de abrevadero.
En cuanto se hace pblico un ataque de da cero, este se
incorpora en cuestin de das a los kits de herramientas y
enseguida surgen otros ataques relacionados. Las empresas
y particulares afectados estarn desprotegidos hasta que
se les facilite una solucin y decidan aplicarla, as que
los ciberdelincuentes harn lo posible por aprovechar la
vulnerabilidad mientras puedan. De las cinco principales
vulnerabilidades de da cero descubiertas en 2013, las tres
primeras causaron el 97 % de los ataques realizados para
aprovecharlas.
Mtodos de ataque (cont.)
En 2013, se detectaron ms vulnerabilidades que nunca (6787).
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Nmero total de vulnerabilidades de 2006 a 2013
Fuente: Symantec
0
1 000
2 000
3 000
4 000
5 000
6 000
7 000
8 000
2013 2012 2011 2010 2009 2008 2007 2006
TENDENCIA
6 787
5 291
4 989
6 253
5 562
4 842
4 644
4 814
Vulnerabilidades de da cero en 2013
Fuente: Symantec
0
1
2
3
4
5
6
7
8
D N O S A J J M A M F E
2
7
0
1
2 2
1 1 1 1
4
1
En 2013, se hicieron
pblicas 6787 vulnera-
bilidades, frente a las
5291 de 2012.
Las vulnerabilidades de
da cero son aquellas que
los atacantes logran
aprovechar antes de que
se detecten y se haga
pblica una solucin.
En 2013, se hicieron
pblicas 23, frente a las
14 de 2012.
DA
31 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Propagacin de malware por correo electrnico
Los ejecutables de Windows siguen siendo el formato de archivo adjunto ms usado para distribuir malware. Sin embargo,
el uso de archivos Java cada vez es ms habitual y ha dado tan buenos resultados que los atacantes ya ni siquiera tratan de
camuflarlos incorporndolos a kits de herramientas de ataque web.
En 2013, se envi ms malware por correo electrnico. Uno de cada 196 mensajes contena un archivo adjunto con cdigo
daino (en 2012, era uno de cada 290,7). En diciembre, un mes en el que suele disminuir el nmero de virus, la proporcin
se elev a uno de cada 112,7, la mayor de todo el ao.
Porcentaje de mensajes de correo electrnico
con enlaces web dainos en 2013 y 2012
Fuente: Symantec
5
10
15
20
25
30
35
40
45 %
D N O S A J J M A M F E
2012 2013
Porcentaje de mensajes de correo
electrnico con malware
En 2013, el 25 % de los mensajes de correo electrnico enviados contenan enlaces web dainos, frente al 23 %
registrado en 2012.
En dos momentos del ao, este porcentaje lleg a superar el 40 %, lo que aument la media anual.
32 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Redes sociales
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
34 I Symantec Corporation
Redes sociales
En 2013, las redes sociales se hicieron un hueco an mayor en nuestras vidas.
A las plataformas ms consolidadas se unieron tambin otras nuevas de
mbito ms restringido, ya que parece existir una demanda de aplicaciones
sociales para mviles sencillas, fciles de usar y, generalmente, dirigidas a un
pblico joven (p. ej., aplicaciones para compartir imgenes durante un tiempo
limitado o publicar vdeos cortos, servicios de microblogging o alternativas
gratuitas al envo de mensajes SMS). Con frecuencia, son precisamente ciertos
grupos de jvenes los que adoptan estos nuevos servicios antes que nadie,
crean nuevas tendencias y atraen a nuevos usuarios.
Los estafadores, por su parte, no buscan otra cosa que el beneficio. Alguien
que se dedique a estafar a usuarios de redes sociales ganar mucho menos
que un hacker que recurra a amenazas como el ransomware, pero aun as
podr embolsarse miles de dlares al mes.
Resumen
En 2013, las ofertas falsas volvieron a ser el engao ms frecuente en las redes sociales. El 81 % de las estafas
detectadas fueron de este tipo.
Los estafadores suelen utilizar campaas que incitan a hacer clic y dirigen a las vctimas a encuestas falsas.
Tcnicas
El phishing y el spam ya no afectan tanto al correo electrnico y estn trasladndose a las redes sociales, donde los
atacantes utilizan las mismas artimaas.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Redes sociales
Las redes sociales en 2013
Fuente: Symantec
10
20
30
40
50
60
70
80
90 %
Incitacin
a compartir
contenidos dainos
de forma manual
Aplicaciones
falsas
Complementos
falsos
Secuestro
del botn
Me gusta
Ofertas
falsas
56 %
81 %
10 %
7 %
5 %
6 %
3 %
2 % 2 %
18 %
2012 2013
Ofertas falsas Se habla de ofertas falsas cuando alguien invita a los usuarios de una
red social a unirse a un evento o grupo que en realidad no existe a cambio de algn tipo de
aliciente (p. ej., un vale-regalo gratuito). Suele pedirse a las vctimas que faciliten sus
datos de acceso al atacante o que enven un mensaje de texto a un nmero de pago.
Incitacin a compartir contenidos dainos de forma manual En este
caso, son las propias vctimas las que difunden la estafa al compartir con sus amigos
vdeos creados para despertar inters, ofertas falsas o mensajes.
Secuestro del botn Me gusta Utilizacin de falsos botones Me gusta. Al
hacer clic en ellos, se instala malware o se hace una publicacin en la seccin de
noticias del usuario afectado, lo que contribuye a la propagacin del ataque.
Complementos falsos Otras veces, se convence al usuario de que descargue
extensiones de navegador falsas para robarle informacin confidencial sin su
conocimiento.
Aplicaciones falsas Otra forma de engao es invitar a los usuarios a suscribirse a
una aplicacin que, en apariencia, se integra en la red social, pero en realidad se utiliza
para robarles sus datos de acceso u otra informacin de carcter personal.
35 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
En las redes sociales, el phishing no solo sirve para robar
datos de acceso, sino tambin para que las vctimas
enven spam a sus amigos sobre aplicaciones creadas por
los phishers: una tcnica de propagacin que da buenos
resultados a los ciberdelincuentes. La informacin suele
incluir incentivos, como crditos o puntos de regalo para la
falsa aplicacin.
Las publicaciones de la seccin de noticias son la va de
difusin ms frecuente para estos engaos, aunque tambin
pueden utilizarse mensajes privados si la red social cuenta
con esta funcin. Los estafadores no se limitan a responder
a las publicaciones ms recientes, sino que a veces hacen un
barrido del historial del usuario y contestan a publicaciones
realizadas meses o aos atrs. Por lo general, la informacin
publicada hace referencia a recursos alojados fuera de la red
social, como sitios web diseados para estafar a quien los
visita.
Los estafadores que actan en las redes sociales son
delincuentes de poca monta en comparacin con otros. Sus
mrgenes (y los riesgos que corren) son mucho menores, as
que tienen que estar muy activos para ganar dinero. Suelen
recurrir al envo masivo de spam a travs de cuentas ajenas,
a la publicacin de direcciones URL en los comentarios o a la
creacin de perfiles falsos con datos de usuarios reales, entre
otros mtodos.
36 I Symantec Corporation
Redes sociales
Estafa de un sitio web de contactos. El atacante pide al
usuario que instale ciertas aplicaciones para recibir fotos
erticas.
En las redes sociales, las estafas suelen difundirse mediante publicaciones
de la seccin de noticias.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Spam y phishing
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Spam y phishing
Entre 2005 y 2010, el phishing era una tcnica prcticamente limitada al correo electrnico con la que el atacante buscaba
un beneficio econmico. Ahora, ya no solo afecta a bancos, cooperativas de crdito y otras instituciones financieras, sino a
una gama mucho ms amplia de empresas. En los ltimos aos, tambin han empezado a utilizarse tcnicas de ingeniera
social ms avanzadas, como la infiltracin en cuentas online de servicios de suministro energtico para consumidores y el
phishing dirigido a miembros de programas de fidelizacin con tarjeta. Ahora que cada vez ms gente recibe facturas de
servicios en formato electrnico, estas se han convertido en un preciado botn para los ciberdelincuentes. Por ejemplo, una
factura puede servir de prueba de identidad para crear cuentas bancarias a nombre de la vctima y blanquear dinero.
N. de mensajes de correo electrnico
que son intentos de phishing
(comparacin entre 2012 y 2013)
Fuente: Symantec
1 de cada 100
1 de cada 200
1 de cada 300
1 de cada 400
1 de cada 500
1 de cada 600
1 de cada 700
1 de cada 800
1 de cada 900
2012 2013 TENDENCIA
D N O S A J J M A M F E
En 2012, uno de cada 414 mensajes eran intentos de phishing.
En 2013, lo fueron uno de cada 392.
38 I Symantec Corporation Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Spam y phishing
Los phishers tambin han empezado a actuar en las nuevas redes sociales. En los ltimos cinco aos, el nmero de
redes en las que han robado informacin confidencial prcticamente se ha triplicado.
De todas maneras, en 2013 el phishing tambin sigui afectando a las cuentas de correo electrnico. Un ataque frecuente
consisti en informar a la vctima de que su buzn haba superado la cuota mxima de almacenamiento. Seguidamente, se
la rediriga a un sitio web en el que deba confirmar su direccin de correo electrnico, su nombre de usuario y su
contrasea. La capacidad del buzn no volva a mencionarse y la cuenta quedaba bajo el control de los atacantes, que
podan utilizarla para enviar spam. En otros casos, se pide a la vctima que aporte una factura que permita verificar su
domicilio. Mucha gente ya no recibe facturas en papel, as que es probable que el phisher obtenga acceso a una cuenta
online, en cuyo caso podr cambiar la direccin postal asociada y comprar bienes y servicios en nombre del titular.
Spam diario enviado en todo el mundo
en 2013
Fuente: Symantec
M
I
L
E
S

D
E

M
I
L
L
O
N
E
S
10
20
30
40
50
D N O S A J J M A M F E
TENDENCIA
El porcentaje de spam enviado a
cuentas de correo electrnico de
empresas disminuy en un
escaso 3 %. En 2012 se
enviaron 30 000 millones de
mensajes de correo electrnico
clasificados como spam al da,
frente a los 29 000 millones
enviados en 2013.
39 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
40 I Symantec Corporation
Sitios web infectados
En la actualidad, un gran nmero de usuarios y pequeas
empresas han optado por administrar sus propios servidores
web (alojados por ellos o por terceros), una tarea que ahora es
ms fcil y tiene un coste menor. Sin embargo, quienes llevan
poco tiempo hacindolo no siempre saben cmo proteger los
servidores frente a los kits de herramientas de ataque web
ms recientes ni se preocupan lo suficiente por la seguridad
de sus sitios web. Por ejemplo, muchos descuidan tareas tan
importantes como la aplicacin de revisiones y la actualizacin
de los sistemas de gestin de contenidos o los programas que
utilizan para sus blogs. Estos servicios se han convertido en
blanco de los hackers, y una sola vulnerabilidad basta para
atacar miles de sitios web.
Las plataformas de alojamiento como servicio tambin
estn sufriendo ataques, ya que infiltrarse en la empresa
proveedora es una forma de acceder a todos los sitios web
que aloja, que pueden ser miles. Los hackers tambin usan
los motores de bsqueda ms conocidos para detectar con
rapidez sitios web susceptibles de ataque. Si el software que
utiliza un sitio web presenta vulnerabilidades, los atacantes
podrn secuestrarlo fcilmente.

Quienes llevan poco tiempo administrando servidores web no siempre
saben cmo protegerlos frente a los kits de herramientas de ataque web
ms recientes.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Qu nos depara el futuro?
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
42 I Symantec Corporation
La confidencialidad y la confianza en la era de
Internet
Las amenazas observadas en 2013 se debieron a muchos
factores, algunos de los cuales cambiarn para siempre
nuestra forma de comportarnos en Internet. Hay quien piensa
que el concepto de confidencialidad depende de nuestra edad
y, en cierta medida, del tiempo que llevemos inmersos en
Internet. Sin embargo, la forma de concebir la confianza y la
confidencialidad en la Red cambi ms que nunca en 2013.
Todo lo que publicamos en Internet aquello de lo que nos
sentimos ms orgullosos y nuestras grandes meteduras de
pata queda registrado para siempre, pero lo que ms nos
preocupa es que estos datos personales acaben en las manos
equivocadas. Gran parte de nuestra vida se desarrolla en
Internet, un espacio con entornos, aplicaciones para redes
sociales y dispositivos interconectados donde lo que hacemos
en un sitio enseguida se publica en otros.
Adems, la generalizacin de la nube ha acelerado tanto el
ritmo de evolucin que, en vista de lo sucedido en 2013, hay
quien se pregunta si seguimos confiando en la nube y en
manos de quin deberamos poner nuestros datos personales.
De 2014 en adelante, es de esperar que las redes sociales y
otros proveedores de servicios web den ms importancia a la
seguridad de los datos y a la proteccin de la confidencialidad
para ganarse de nuevo el favor de los usuarios.
Posiblemente se use ms el cifrado, tanto para proteger los
datos guardados en dispositivos personales como en las
transacciones web y el correo electrnico. Tambin es probable
que los usuarios utilicen con ms frecuencia las redes privadas
virtuales, bien para evitar el riesgo que supone la conexin
mediante un punto de acceso Wi-Fi gratuito, bien para impedir
que los proveedores de servicios de Internet controlen lo que
hacen. Harn falta protocolos de cifrado ms nuevos y rpidos
que protejan mejor los dispositivos e impidan su uso indebido
si alguien los roba o si se produce una fuga de datos.
Ataques dirigidos y fugas de datos
En 2013, los medios de comunicacin se hicieron eco de la
magnitud de las fugas de datos. No solo hubo muchsimas,
sino que tambin qued al descubierto un nmero alarmante
de identidades, casi siempre a causa del hacking. Ante esta
situacin, las empresas y los consumidores han empezado
a replantearse los mtodos que utilizan para proteger la
informacin y garantizar su confidencialidad. Para no ser
las prximas vctimas, las empresas estn pensando en
recurrir a proveedores de seguridad de confianza que se
ocupen de todos los aspectos relacionados con la proteccin
de los datos. No solo es importante reforzar el permetro
de seguridad para combatir posibles ataques, sino tambin
reducir al mnimo las repercusiones de una fuga, en caso
de que no logre evitarse. En el futuro, el cifrado ser una
pieza clave para proteger los datos personales, la propiedad
intelectual y los secretos empresariales. Implantar un
sistema de cifrado empresarial slido y completo no siempre
es tarea fcil. Por eso es cada vez ms importante que la
tecnologa adoptada sea parte de la infraestructura y no un
mero aadido que usen solo algunas personas.
Hoy en da, no solo se guarda ms informacin en Internet
y en la nube, sino que la gente la comparte ms a menudo
con otras personas. Las empresas y las instituciones
gubernamentales, que manejan cantidades ingentes de datos
personales, deben garantizar la seguridad de estos, ya que a
sus propietarios les preocupa la suerte que pueda correr la
informacin alojada en los ordenadores, en la nube o en otros
dispositivos.
Qu nos depara el futuro?
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
43 I Symantec Corporation
Ciberdelincuencia y tcnicas de distribucin
de malware
Dado que, a corto plazo, la ciberdelincuencia ir en aumento,
las autoridades y las empresas estrecharn sus lazos para
combatirla. Esto pondr trabas a los ciberdelincuentes, que
posiblemente adopten un nuevo modelo empresarial ms
profesionalizado.
A finales de 2013, mucha gente segua usando Windows XP y
versiones de navegadores y complementos sin actualizar: una
combinacin que, por diversos motivos, puede considerarse
el taln de Aquiles de la seguridad.
En mayo de 2014, cuando se redact este documento,
Microsoft haba dejado de ofrecer asistencia para Windows
XP, as que ser interesante ver si esto repercute en los
hbitos de seguridad en Internet. Microsoft ya no facilitar
revisiones a quienes sigan usando XP, lo que podra impulsar
la adopcin de sistemas operativos ms recientes y seguros.
En los prximos dos o tres aos, podran coexistir dos
tendencias opuestas. Por un lado, es posible que la adopcin
de sistemas operativos ms seguros y navegadores web
ms modernos disminuya la probabilidad de sucumbir a un
ataque de malware. Por otro, este cambio podra modificar
la naturaleza de los ataques e intensificar el uso de la
ingeniera social, ya que los atacantes tendrn que redoblar
sus esfuerzos para que den fruto.
Por ltimo, pronto podra surgir un nuevo campo de batalla
en materia de seguridad: la llamada Internet de las cosas.
A medida que este concepto vaya hacindose realidad,
nuestros objetos cotidianos (televisores, telfonos, cmaras
de seguridad, vigilabebs, accesorios tecnolgicos y hasta
automviles) pasarn a formar parte de Internet, lo que
ofrecer a los ciberdelincuentes nuevas vas de actuacin y
ampliar su radio de ataque.
Redes sociales y dispositivos mviles
Gran parte de nuestras actividades cotidianas quedan
registradas en Internet. Con el boom de las aplicaciones
diseadas para mejorar distintos aspectos de nuestras
vidas y ayudarnos a lograr nuestros objetivos en un tiempo
rcord, nos exponemos cada vez ms a los ataques de
los ciberdelincuentes. Internet an tiene vedadas ciertas
parcelas de nuestra vida, pero es probable que muy pronto
compartamos otros tipos de informacin. Con el avance
de los relojes inteligentes y otros accesorios tecnolgicos,
interactuaremos con las aplicaciones mientras hacemos
nuestra vida normal y ni siquiera nos daremos cuenta de
que estamos conectados a Internet, lo que podra poner en
peligro a quienes no sean conscientes de los riesgos que
existen. Por tanto, es ms importante que nunca concienciar
a este tipo de usuarios y ensearles a protegerse en Internet.
Qu nos depara el futuro?
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Consejos y prcticas
recomendadas
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
45 I Symantec Corporation
1
Aplique estrategias de defensa en profundidad.
Opte por la coexistencia de varios sistemas de defensa superpuestos y que colaboren entre
s para protegerse de los fallos aislados que pudieran producirse en cualquier tecnologa
especfica o mtodo de proteccin.
Consejos y prcticas recomendadas
2
Est siempre al tanto de los intentos de infiltracin en la red, las vulnerabilidades y el
uso indebido de su marca.
Reciba alertas cuando se detecten nuevas vulnerabilidades y amenazas en las plataformas
de sus proveedores para tomar medidas cuanto antes. Si alguien trata de usar su marca con
fines ilegtimos, entrese mediante alertas sobre dominios e informes de sitios web ficticios.
3
No basta con instalar programas antivirus en los terminales.
Es importante que los terminales tengan siempre instaladas las versiones ms recientes de
los antivirus. Instale un producto de seguridad para terminales completo que incluya capas de
proteccin adicionales.
4
Proteja sus sitios web frente a los ataques MitM y las infecciones con malware.
Siga estas indicaciones para no perder la confianza de sus clientes.
Adopte el sistema Always-On SSL, con el que se utiliza la tecnologa de seguridad SSL
desde que el usuario inicia sesin hasta que la cierra.
Realice anlisis peridicos del sitio web para detectar malware y vulnerabilidades.
Utilice la marca de seguridad en todas las cookies de sesin.
Someta su sitio web a evaluaciones de vulnerabilidad peridicas (en 2013, uno de
cada ocho sitios web analizados por Symantec presentaba vulnerabilidades crticas).
Use certificados SSL con Extended Validation para que los usuarios vean la barra de
direcciones de color verde.
Muestre distintivos de confianza conocidos (como el sello Norton Secured) en zonas
bien visibles de su sitio web para demostrar a los clientes que se toma en serio su
seguridad.
5
Proteja sus claves privadas.
Compre sus certificados digitales a autoridades de certificacin slidas y de confianza que
demuestren seguir procedimientos de seguridad excelentes. Adems, Symantec recomienda a
las empresas:
utilizar infraestructuras distintas para las firmas de pruebas y de versiones;
almacenar sus claves en dispositivos de hardware de cifrado seguro y a prueba de
manipulaciones;
incorporar sistemas de seguridad fsicos para evitar robos.
6
Cifre la informacin confidencial.
Adopte una poltica de seguridad que obligue a cifrar toda la informacin confidencial.
Adems, el acceso a estos datos debera estar restringido. Incorpore una solucin de
prevencin de prdida de datos (DLP), cifre los datos de los clientes y asegrese de que las
transmisiones se cifren con tecnologa SSL. De este modo, no solo se evitan los robos de
datos, sino que, en caso de que se produzca una fuga de datos desde la propia empresa, las
consecuencias sern menores.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
46 I Symantec Corporation
Consejos y prcticas recomendadas
7
8
9
10
Asegrese de que todos los dispositivos con acceso a la red de la empresa cuenten
con mecanismos de proteccin adecuados. Si la empresa permite que los empleados usen
sus dispositivos personales y accedan a la red con ellos, habr que adoptar unas medidas de
seguridad mnimas para evitar riesgos.
Adopte una poltica de medios extrables. Siempre que resulte prctico, limite el uso de
dispositivos no autorizados, como discos duros externos porttiles y otros medios extrables,
ya que pueden propagar malware y propiciar los robos de propiedad intelectual, ya sean
intencionados o accidentales.
Aplique actualizaciones y revisiones sin descanso. Cuando los navegadores, las
aplicaciones y los complementos para navegador se vuelvan anticuados e inseguros, aplique
las actualizaciones y revisiones pertinentes. Use las herramientas de actualizacin automtica
de los proveedores para contar siempre con las ltimas definiciones de virus y prevencin de
intrusiones.
Adopte una poltica de contraseas eficaz. Compruebe que las contraseas sean seguras:
tienen que contener al menos 8 o 10 caracteres y combinar letras y nmeros. Las contraseas
deben cambiarse con frecuencia, al menos cada 90 das.
11
Haga copias de seguridad peridicas y gurdelas en un lugar accesible. Haga copias de
seguridad peridicas de los sistemas esenciales y de los terminales, y preocpese tambin de su
mantenimiento.
12
Limite el tipo de archivos que se adjuntan al correo electrnico. Configure los servidores
de correo para que bloqueen o eliminen aquellos mensajes que contengan los tipos de archivos
adjuntos ms utilizados para propagar virus, como .VBS, .BAT, .EXE, .PIF y .SCR.
13
Tenga listo un plan con procedimientos de respuesta en caso de infecciones e incidentes.
Asegrese de que dispone de la informacin de contacto de sus proveedores de seguridad y de
que conoce los pasos que debe seguir si sus sistemas sufren una infeccin.
Compruebe que existe una solucin de copia de seguridad capaz de restaurar aquellos
datos que se pierdan o queden expuestos.
Tras la infeccin, aproveche al mximo la funciones de deteccin para descubrir qu
equipos han resultado afectados.
Asle los equipos infectados para reducir el riesgo de propagacin dentro de la empresa.
Si los servicios de red son saboteados mediante cdigo malicioso o algn otro mtodo,
desactive o bloquee el acceso hasta que pueda aplicar una revisin.
14
Conciencie a los usuarios de la importancia de tomar precauciones bsicas. Avise a los
usuarios de que no abran ningn archivo adjunto a menos que esperen recibirlo y provenga de
un remitente conocido y de confianza, y recomindeles que no ejecuten software que hayan
descargado de Internet sin haberlo examinado previamente con un programa antivirus.
No haga clic en enlaces de mensajes de correo electrnico o publicados en las redes
sociales sin pensrselo bien. Aunque provengan de fuentes fiables o amigos, podran ser
peligrosos.
Incorpore en el navegador complementos de reputacin en Internet que indiquen si los
sitios web que aparecen en las bsquedas son de confianza.
No descargue software de lugares dudosos. Fese solamente de las descargas que
provengan de recursos compartidos de la empresa o del sitio web del proveedor.
Si los usuarios de Windows reciben una notificacin de que sus equipos estn
infectados tras hacer clic en una direccin URL o al utilizar un motor de bsqueda,
recomindeles que cierren el navegador con las combinaciones de teclas ALT+F4 o CTRL+W,
o bien mediante el administrador de tareas.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
47 I Symantec Corporation
En abril de 2014, se descubri que la vulnerabilidad
Heartbleed haba afectado a la conocida biblioteca de
software criptogrfico OpenSSL, que se utiliza con aplicaciones
y servidores web como Apache y Nginx adems de para otros
muchos usos. En determinadas versiones de OpenSSL (de
la 1.0.1 a la 1.0.1f, ambas incluidas), existe el riesgo de que
los ciberdelincuentes accedan a la memoria de los sistemas,
obtengan las claves secretas necesarias para descifrar y espiar
las comunicaciones protegidas mediante la tecnologa SSL, y
suplanten a los proveedores de servicios.
Adems, es posible que los datos de la memoria contengan
informacin confidencial, como nombres de usuario y
contraseas.
Heartbleed no es una vulnerabilidad de la tecnologa SSL/
TLS, sino un error de programacin en la implementacin de
la extensin heartbeat de OpenSSL. Esto no quiere decir que
SSL/TLS haya dejado de funcionar; al contrario, sigue siendo
la tecnologa lder para cifrar los datos que se transmiten por
Internet. Sin embargo, debido a la popularidad de OpenSSL, es
posible que actualmente use el software afectado en torno al
66 % de Internet, el equivalente a dos tercios de los servidores
web (segn una encuesta sobre servidores web realizada por
Netcraft: http://news.netcraft.com/archives/2014/04/02/
april-2014-web-server-survey.html). Las empresas que usan
OpenSSL deberan pasarse a la versin 1.0.1g, en la que el
problema ya est solucionado, o recompilar OpenSSL sin la
extensin heartbeat lo antes posible.
Symantec ya ha tomado medidas para reforzar la seguridad
de sus sistemas. Nuestras races estn a salvo, pero aun as
estamos siguiendo los protocolos recomendados y hemos
modificado las claves de todos los certificados de los servidores
web que utilizaban las versiones de OpenSSL afectadas.
Symantec recomienda a las empresas que, tras actualizar o
recompilar sus sistemas, sustituyan todos los certificados de los
servidores web (independientemente de quin los haya emitido)
para evitar posibles incidentes de seguridad. Todos nuestros
clientes tienen derecho a solicitar nuevos certificados gratuitos.
Heartbleed
Nota importante: Aunque el informe se centra en 2013, consideramos
conveniente mencionar la vulnerabilidad Heartbleed (OpenSSL Heartbleed
CVE-2014-0160 3).
A continuacin resumimos los pasos
bsicos para protegerse.
En el caso de las empresas,
recomendamos:
actualizar las versiones de OpenSSL
afectadas (de la 1.01 a la 1.0.1f, ambas
incluidas) a la versin 1.0.1g, o bien recompilar
OpenSSL sin la extensin heartbeat;
sustituir el certificado del servidor web tras
adoptar una versin segura de OpenSSL;
restablecer por precaucin todas las
contraseas de los usuarios, ya que alguien
podra haberlas obtenido al infiltrarse en la
memoria del servidor.
Por su parte, los consumidores deberan:
saber que, si los proveedores de los servicios que
utilizan se han visto afectados por Heartbleed,
es posible que la confidencialidad de sus
datos no est garantizada;
estar pendientes de los avisos que reciban y
cambiar las contraseas si el proveedor de un
servicio afectado se lo solicita;
fijarse bien en quin enva los mensajes de
correo electrnico en los que se solicita un
cambio de contrasea y asegurarse de que los
enlaces conducen al sitio web oficial, ya que
podra tratarse de intentos de phishing.
Visite https://ssltools.websecurity.symantec.
com/checker/ para comprobar si un servidor
web ha podido resultar afectado.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Funcionamiento de la vulnerabilidad
de OpenSSL Heartbleed
SOLICITUD DE HEARTBEAT
Carga til declarada: 64 KB
Carga til real: 1 KB
2. La carga til de la solicitud
se registra en la memoria.
RESPUESTA DE HEARTBEAT
Carga til declarada: 64 KB
Carga til real: 64 KB
1.
El atacante enva una solicitud de heartbeat
maliciosa a un equipo vulnerable que utiliza
OpenSSL.
3.
A modo de respuesta, OpenSSL copia 64 KB de
datos (los ms prximos a la zona de la memoria
en la que se registr la solicitud original).
4.
La respuesta, de 64 KB, incluye la carga til de la solicitud original y los datos
adyacentes de la memoria, en los que puede haber claves de cifrado u otros
datos sin cifrar.
OpenSSL
Memoria
Memoria
Memoria
OpenSSL
OpenSSL
48 I Symantec Corporation
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
49 I Symantec Corporation
Garantice la seguridad de su empresa con
Symantec
La eficacia real de la tecnologa SSL depende de la
fiabilidad de la autoridad de certificacin, y Symantec
es el proveedor de las mayores implantaciones de
certificados del mundo.
De las 100 instituciones financieras ms importantes del
mundo, 97 utilizan certificados SSL de Symantec, al igual
que el 75 % de los 500 sitios web de comercio electrnico
ms destacados de Estados Unidos.
Nuestra eficaz infraestructura de PKI ofrece sitios de
recuperacin en caso de desastre y centros de datos que
garantizan una seguridad comparable a la que se exige
para usos militares. De este modo, los clientes disfrutan
de una solucin insuperable en cuanto a la disponibilidad
y la proteccin de los datos, con lo que no tienen que
preocuparse por nada.
Mucho ms que SSL
Identified by Symantec
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Nuestras soluciones de seguridad web incluyen ventajas y
tecnologas como las siguientes:
Algoritmos SSL
Los certificados SSL de Symantec le permiten elegir entre
tres algoritmos de cifrado: RSA, DSA y ECC.
Algoritmo de criptografa de curva elptica (ECC)
Symantec ofrece la tecnologa ECC sin ningn coste adicional
con todos sus certificados SSL Premium. Este algoritmo
ofrece una mayor proteccin y un mejor rendimiento gracias
a que utiliza claves ms cortas (por ejemplo, una clave ECC
de 256 bits ofrece el mismo nivel de seguridad que una clave
RSA de 3072 bits).
Evaluacin de vulnerabilidad
Nuestro servicio de evaluacin de vulnerabilidad, que le
ayudar a detectar y solucionar con rapidez las deficiencias
de seguridad que pueda presentar su sitio web.

Escaneado de malware
Un anlisis diario contra software malicioso que analiza su
sitio web y le avisa si hay pginas infectadas, adems de
identificar el cdigo causante del problema.
Sello Norton Secured
Este sello, que se visualiza ms de 750 millones de veces
al da, es el distintivo de confianza que goza de ms
reconocimiento en Internet.
50 I Symantec Corporation
Ms informacin
Sitio web global de Symantec: http://www.symantec.com/
Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos tiles de Symantec:
http://www.symantec.com/es/es/threatreport/
Symantec Security Response: http://www.symantec.com/es/es/security_response/
Buscador de amenazas de Norton: http://es.norton.com/security_response/threatexplorer/
ndice de cibercrimen de Norton: http://es.norton.com/cybercrimeindex/
Acerca de Symantec
Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en
proteccin de la informacin cuyo objetivo es ayudar a particulares, empre-
sas e instituciones gubernamentales a aprovechar libremente las oportuni-
dades que les brinda la tecnologa, en cualquier momento y lugar. Syman-
tec, fundada en abril de 1982, figura en la lista Fortune 500, controla una
de las mayores redes de inteligencia de datos del mundo y comer-
cializa soluciones lderes en materia de seguridad, copia de seguridad y
disponibilidad que facilitan el almacenamiento de informacin, su consulta
y su uso compartido. Cuenta con ms de 20 000 empleados en ms de
50 pases, y el 99 % de las empresas de la lista Fortune 500 son clientes
suyos. En el ejercicio fiscal de 2013, registr una facturacin de 6900 mi-
llones de dlares estadounidenses. Visite www.symantec.es para obtener
ms informacin o go.symantec.com/socialmedia para conectarse con no-
sotros en las redes sociales.
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
Si desea los nmeros de
telfono de algn pas en
particular, consulte nuestro
sitio web. Para obtener
informacin sobre productos,
llame al 900 931 298
o al (+41) 26 429 77 27.
Symantec Espaa
Symantec Spain S.L.
Parque Empresarial La Finca Somosaguas
Paseo del Club Deportivo
Edificio 13, oficina D1, 28223
Pozuelo de Alarcn, Madrid, Espaa
www.symantec.es/ssl
Informe de Symantec sobre las amenazas para la seguridad de los sitios web (2014) I Volumen 19
2014 Symantec Corporation. Todos los derechos
reservados. Symantec, el logotipo de Symantec, el
logotipo de la marca de comprobacin y el logotipo
Norton Secured son marcas comerciales o marcas
comerciales registradas en los Estados Unidos y en
otros pases por Symantec Corporation o sus filiales.
Los dems nombres pueden ser marcas comerciales
de sus respectivos propietarios.
8/2012 21263454