Informe de Seguridad

Informe anual de seguridad
de 2014 de Cisco
Informe anual de seguridad de 2014 de Cisco
Resumen ejecutivo
El problema de la confianza
La explotacin de la confianza es un modo frecuente de operacin para los atacantes en lnea
y otros actores malintencionados. Ellos se aprovechan de la confianza que tienen los usuarios
en sistemas, aplicaciones, y las personas y los negocios con los que interactan regularmente.
Y este enfoque funciona: existe amplia evidencia de que los adversarios estn ideando nuevos
mtodos para integrar su malware en las redes y permanecer sin que se los detecte durante
largos perodos, mientras roban datos o desbaratan sistemas crticos.
Mediante el uso de mtodos que varan desde el robo con ingeniera social de contraseas
y credenciales hasta infiltraciones sigilosas y ocultas a simple vista que se ejecutan en
minutos, los actores malintencionados continan vulnerando la confianza pblica con el fin de
lograr consecuencias perjudiciales. Sin embargo, el problema de la confianza va ms all de
los delincuentes que explotan las vulnerabilidades o se aprovechan de los usuarios a travs de
ingeniera social: debilita la confianza en organizaciones tanto pblicas como privadas.
Las redes actuales enfrentan dos maneras de deterioro de la confianza. La primera es una
disminucin de la confianza de los clientes en la integridad de los productos. La segunda
es abundante evidencia acerca de que los actores malintencionados estn
venciendo los mecanismos de confianza, lo que cuestiona la eficacia
de la red y la seguridad de las aplicaciones, la autenticacin y las
Los actores
arquitecturas de autorizacin.
maliciosos continan
En este informe, Cisco ofrece datos y perspectivas de

innovando en maneras
las principales preocupaciones de seguridad, como los
de explotar la confianza
cambios de malware, las tendencias en vulnerabilidades
pblica con el fin
y el resurgimiento de ataques de denegacin de servicio
distribuido (DDoS). En el informe tambin se analizan
de provocar
las campaas orientadas a organizaciones, grupos y
consecuencias
sectores especficos, y la creciente sofisticacin de quienes
dainas.
intentan robar informacin confidencial. El informe finaliza con
recomendaciones para examinar los modelos de seguridad de
manera integral y obtener visibilidad de la secuencia completa de los
ataques: antes, durante y despus de un ataque.
Descubrimientos clave
A continuacin se presentan tres hallazgos clave del Informe anual de seguridad de 2014 de Cisco:
Los ataques contra infraestructura estn dirigidos a recursos significativos a travs de Internet.
L as explotaciones malintencionadas estn ganando acceso a servidores de alojamiento web, servidores de
nombres y centros de datos. Esto sugiere la formacin de berbots que buscan alta reputacin y activos ricos
en recursos.
L os errores de bfer son una amenaza principal, en el 21% de las categoras de amenazas de Common Weakness
Enumeration (CWE).
L os hallazgos de malware se estn moviendo hacia la fabricacin de productos electrnicos y los sectores de
agricultura y minera en aproximadamente seis veces la tasa promedio de hallazgos en los mercados verticales
del sector.
Los actores malintencionados estn usando aplicaciones de confianza para explotar las brechas en la seguridad
perimetral.
El correo electrnico no deseado sigue su tendencia descendente, aunque la proporcin de correo electrnico no
deseado malintencionado permanece constante.
J ava comprende el 91% de las explotaciones web; el 76% de las compaas que usan servicios de Cisco Web
Security ejecutan Java6, una versin descontinuada y sin soporte.
Los ataques watering hole estn dirigidos a sitios web especficos, relacionados con el sector, a fin de distribuir
malware.
Las investigaciones de empresas multinacionales muestran evidencia de compromiso interno. El trfico sospechoso
emana de sus redes e intenta conectarse a sitios cuestionables (el 100% de las empresas estn llamando a hosts de
malware malintencionados).
L os indicadores de compromiso sugieren que las penetraciones en la red pueden no detectarse durante perodos
prolongados.
Las alertas de amenazas aumentan un 14% de un ao a otro; estn surgiendo alertas nuevas (no alertas actualizadas).
E l 99% de todo el malware mvil en 2013 estuvo dirigido a dispositivos Android. Los usuarios de Android tambin
tienen la tasa ms alta de hallazgos (71%) con todas las maneras de malware basado en la web.
Contenido del informe

El Informe anual de seguridad de 2014 de Cisco presenta
perspectivas de seguridad en cuatro reas clave:
Confianza
Todas las organizaciones deben estar preocupadas por
encontrar el equilibrio adecuado de confianza, transparencia
y privacidad, porque es mucho lo que est en juego. En esta
rea, abordamos tres presiones que hacen que sean an
ms desafiantes los intentos por parte de los profesionales de
seguridad de ayudar a sus organizaciones a lograr este equilibrio:
Mayor rea de superficie de ataques

Proliferacin y sofisticacin del modelo del ataque
Complejidad de amenazas y soluciones
Inteligencia contra amenazas
Mediante el conjunto ms grande de telemetra de deteccin
disponible, Cisco y Sourcefire analizaron y recopilaron
conjuntamente las perspectivas de seguridad del ao pasado:
Los ataques contra infraestructura estn dirigidos a

recursos significativos a travs de Internet.
Los actores malintencionados estn usando aplicaciones

de confianza para explotar las brechas en la seguridad
perimetral.
Los indicadores de compromiso sugieren que las
penetraciones enla red pueden no detectarse durante

perodos prolongados.
Sector
En esta seccin, los investigadores de Cisco Security
Intelligence Operations (SIO) elevan el debate en torno a
las tendencias del sector que se extienden ms all de la
telemetra de Cisco, pero que an as afectan las prcticas
de seguridad: desde intentos de inicio de sesin por fuerza
bruta, actividad de DDoS a gran escala y esfuerzos de
ransomware hasta la creciente dependencia de la nube, falta
de personal calificado en seguridad y otras preocupaciones.
Recomendaciones
Las organizaciones estn enfrentando una superficie de
ataque ms amplia, la creciente proliferacin y sofisticacin
de los modelos de ataque, y mayor complejidad dentro de
la red. Muchos se estn esforzando por solidificar una visin
de seguridad respaldada por una estrategia efectiva que
use nuevas tecnologas, simplifique su arquitectura y sus
operaciones, y fortalezca sus equipos de seguridad.
En esta seccin se describe cmo un modelo de seguridad
centrado en amenazas permite a los defensores abordar la
secuencia completa de los ataques, a travs de todos los
vectores de ataque, y responder en cualquier momento,
todo el tiempo, de manera continua: antes, durante y
despus de un ataque.
Cmo Cisco evala el panorama de amenazas

Cisco desempea un rol crtico en la evaluacin de amenazas, dada la prevalencia de sus
soluciones y la amplitud de su inteligencia de seguridad:
16000 millones de solicitudes web inspeccionadas cada da a travs de Cisco Cloud

Web Security
93000 millones de correos electrnicos inspeccionados cada da por la solucin alojada

de correo electrnico de Cisco
200000 direcciones IP evaluadas por da

400000 muestras de malware evaluadas por da
33 millones de archivos de terminales evaluados cada da por FireAMP
28 millones de conexiones de red evaluadas cada da por FireAMP
Esta actividad deriva en la deteccin de las siguientes amenazas por parte de Cisco:
4500 millones de correos electrnicos bloqueados cada da

80 millones de solicitudes web bloqueadas cada da
6450 detecciones de archivos terminales realizadas cada da en FireAMP
3186 detecciones de redes de terminales realizadas cada da en FireAMP
50000 intrusiones de red detectadas cada da
Contenido
Confianza.. . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Nuevas maneras de hacer negocios, nuevas brechas de seguridad................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Erosin de la confianza.. . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Principales desafos de seguridad para 2014.. ........................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sistemas transparentes y confiables.................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Inteligencia contra amenazas....................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Aumento de alertas de amenazas. . ..................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Descendi el volumen de correo electrnico no deseado, pero el correo electrnico no deseado
malintencionado sigue siendo una amenaza.......................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Explotaciones web: Java lidera el grupo............................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
BYOD y movilidad: la maduracin de dispositivos beneficia el ciberdelito........... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Ataques dirigidos: el desafo de desalojar visitantes ubicuos y persistentes.. ..... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Instantnea de malware: tendencias observadas en 2013........................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Objetivos principales: mercados verticales del sector................................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Fracturas en un ecosistema frgil.. ...................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Trfico malintencionado, con frecuencia un signo de ataques dirigidos, detectado en todas las redes
empresariales.. . . . . . . . . . . . . . . . . . . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Sector.. . . . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Intentos de inicio de sesin por fuerza bruta, una tctica preferida para vulnerar sitios web. . . . . . . . . . . . . . . . . . . . . . . . 54
Ataques de DDoS: lo antiguo vuelve a ser nuevo..................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
DarkSeoul.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
La escasez de personal calificado en seguridad y la brecha de soluciones.. ....... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
La nube como un nuevo permetro.. ................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Recomendaciones.. . ......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Objetivos para 2014: verificar la confiabilidad y mejorar la visibilidad. . ............... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Apndice.. . . . . . . . . . . . . . . . . . . .......................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Las organizaciones de seguridad necesitan cientficos de datos. . .................. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Acerca de Cisco SIO...................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Cisco SIO.. . . . . . . . . . . . . . . . . . . . . . . . ........................................................ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Acerca de este documento
Software recomendado
Este documento incluye contenido que permite bsquedas y se puede compartir.
Adobe Acrobat versin 7.0 y posteriores
Busque este icono para abrir la funcin de bsqueda en Adobe Acrobat.
[ ] Busque estos iconos para compartir contenido.
Confianza
Todas las organizaciones deben estar preocupadas por encontrar
el equilibrio adecuado de confianza, transparencia y privacidad,
porque es mucho lo que est en juego.
Confianza
Nuevas maneras de hacer

negocios, nuevas brechas
de seguridad
Los dbiles enlaces en la cadena de suministro de tecnologa son

una faceta del complejo panorama actual de riesgo y ciberamenazas.
Tambin lo es el surgimiento de una infraestructura cualquiera con cualquiera (any-to-any),
en la que cualquier dispositivo de cualquier ubicacin puede afectar cualquier creacin de
instancias de la red.1 Adems, existe una creciente abundancia de dispositivos habilitados para
Internet smartphones, tablets y ms que intentan conectarse a aplicaciones que podran estar
ejecutndose en cualquier lugar, incluidas una nube pblica de software como servicio (SaaS),
una nube privada o una nube hbrida.2 Incluso los servicios bsicos de infraestructura de Internet
se han convertido en un objetivo para los piratas informticos, que quieren aprovecharse
de la reputacin, el ancho de banda y el tiempo de actividad, y la disponibilidad continuos
de servidores de alojamiento web, servidores de nombres y centros de datos para lanzar
campaas cada vez ms grandes. (Consulte Fracturas en un ecosistema frgil, pgina44).
[ Si bien las tendencias como computacin en la nube y movilidad estn reduciendo la
visibilidad y aumentando la complejidad de la seguridad, an as, las

organizaciones deben adoptarlas, porque ellas son fundamentales
para desarrollar ventaja competitiva y xito comercial. No
obstante, estn surgiendo brechas de seguridad, que se
amplan da a da, dado que los equipos de seguridad intentan
La infraestructura
ajustar las soluciones tradicionales con maneras novedosas y
bsica de Internet
en constante evolucin para hacer negocios. Mientras tanto,
se ha convertido en un
los actores malintencionados estn trabajando ms rpido
objetivo para los
para explotar las brechas que las soluciones puntuales no
integradas simplemente no pueden reducir. Y estn teniendo
piratas informticos.
xito, porque cuentan con los recursos para ser ms giles. ]
La red de ciberdelito se est expandiendo, fortaleciendo, y est
funcionando cada vez ms como cualquier red empresarial legtima
y sofisticada. La jerarqua de ciberdelincuentes actual es como una pirmide
(consulte la Figura1). En la parte inferior se encuentran los oportunistas
no tcnicos y los usuarios de crimeware como un servicio que desean hacer dinero,
10
Confianza
una declaracin, o ambos con sus campaas. En el medio estn los resellers y mantenedores
de infraestructuras: los intermediarios. En la parte superior se hallan los innovadores
tcnicos, los jugadores principales ms buscados por las autoridades encargadas del orden
pblico, y que ms difcil resulta encontrar.
Por lo general, los ciberdelincuentes modernos tienen objetivos comerciales claros cuando lanzan
sus ataques. Saben qu informacin estn buscando y qu resultados desean obtener, y conocen
la ruta que deben tomar para alcanzar estos objetivos. Los adversarios dedicarn una importante
cantidad de tiempo en investigar a sus vctimas, con frecuencia a travs de informacin disponible
pblicamente en redes sociales, y en planificar estratgicamente sus objetivos.
[ Muchos actores en la denominada economa sumergida ahora tambin envan malware de
vigilancia para recopilar informacin acerca de un entorno, incluida la tecnologa de seguridad

implementada, con el fin de idear sus ataques. Este reconocimiento previo a la explotacin es
la manera que tienen algunos escritores de malware para estar seguros de que su malware
funcionar. Una vez integrado en una red, el malware avanzado que disean se puede comunicar
con servidores de comando y control en el exterior y extenderse lateralmente en la infraestructura
para ejecutar su misin: ya sea el robo de datos esenciales o la interrupcin de sistemas crticos. ]
FIGURA 1
La jerarqua de ciberdelincuentes
Innovadores
de servicios
Resellers/mantenedores de infraestructura
Oportunistas no tcnicos/usuarios de Crimeware como servicio
11
Confianza
Erosin de la confianza
Las amenazas diseadas para aprovechar la confianza que
tienen los usuarios en sistemas, aplicaciones, y las personas y
los negocios que conocen constituyen, hoy en da, elementos
permanentes del mundo ciberntico.
Examine casi cualquier esquema y, en el centro, encontrar cierto abuso de confianza:
malware enviado a usuarios que navegan legtimamente sitios web convencionales. Correos
electrnicos no deseados que parecen enviados por empresas muy conocidas, pero que
contienen vnculos a sitios malintencionados. Aplicaciones mviles de terceros vinculadas
con malware y descargadas de populares catlogos de soluciones en lnea. Personas de una
organizacin que tienen privilegios de acceso a informacin confidencial y los usan para robar
propiedad intelectual de los empleados.
Todos los usuarios deben suponer que es probable que nada del mundo ciberntico sea de
confianza. Y los profesionales de seguridad pueden hacerle un favor a sus organizaciones al
no confiar en ningn trfico de red3, o no teniendo plena fe en las prcticas de seguridad de
los proveedores o las cadenas de suministro que proporcionan tecnologa a
la empresa. Sin embargo, las organizaciones en los sectores pblico
y privado, los usuarios individuales, e incluso los estados nacin
querrn asegurarse de que pueden confiar en las tecnologas
Los usuarios
fundamentales en las que confan todos los das.
deberan suponer
Esta necesidad de confianza en la seguridad ha permitido
que no se puede ni debe
promover el avance de los Criterios comunes (Common
Criteria for Information Technology Security Evaluation), el
confiar en nada en el
lenguaje y el marco que permite que los organismos estatales
mundo ciberntico.
y otros grupos definan los requisitos que deben cumplir los
productos tecnolgicos para garantizar que sean confiables.
Hoy, 26pases, incluido Estados Unidos, estn participando en
el Acuerdo de Reconocimiento de Criterios Comunes (Common
Criteria Recognition Arrangement), un acuerdo multilateral que proporciona el
reconocimiento mutuo de los productos evaluados por parte de los gobiernos que participan.
Sin embargo, en 2013, la confianza en general sufri un revs. El catalizador: Edward
Snowden. El excontratista del Gobierno de EE.UU. filtr informacin secreta al peridico
britnico The Guardian; esta informacin la obtuvo mientras trabajaba en una misin para la
Agencia Nacional de Seguridad (NSA) de EE.UU.4
12
Confianza
Las revelaciones de Snowden a los medios hasta la fecha incluyen detalles acerca de la
vigilancia electrnica de la NSA y del programa de recoleccin de datos, PRISM5, as como
tambin de un programa separado de la NSA-GCHQ6 conocido como MUSCULAR, a travs
del cual supuestamente se interceptaban las redes de fibra ptica que transportan trfico de
los centros de datos en el extranjero de las principales empresas de Internet.7
Estas y otras revelaciones realizadas por Snowden acerca de las prcticas de vigilancia del
gobierno han minado la confianza en muchos niveles: entre estados nacin, entre gobiernos
y el sector privado, entre ciudadanos particulares y sus gobiernos, y entre ciudadanos
particulares y las organizaciones en los sectores pblico y privado. Naturalmente, tambin
han generado preocupaciones acerca de la presencia y los riesgos potenciales tanto de las
vulnerabilidades no intencionales como de las puertas traseras o backdoors intencionales en
los productos tecnolgicos, y acerca de si los proveedores estn haciendo lo suficiente para
evitar estas debilidades y proteger a los usuarios finales.
Principales desafos de
seguridad para 2014
[ Mientras se socava la confianza, y a medida que se vuelve ms
difcil definir qu sistemas y relaciones son confiables y cules
no, las organizaciones se enfrentan a varios problemas clave que
debilitan su capacidad para abordar la seguridad:
1 | Mayor rea de superficie de ataque
2 | Proliferacin y sofisticacin del modelo del ataque
3 | Complejidad de amenazas y soluciones ]
Estos problemas combinados crean y exacerban las brechas de seguridad, que permiten
que los actores malintencionados lancen explotaciones con ms rapidez de lo que las
organizaciones pueden abordar sus debilidades de seguridad.
Estos riesgos y amenazas se examinan con ms detalles en las pginas siguientes.
13
Confianza
1 | Mayor rea de superficie de ataque

La superficie de ataque actual presenta infinidad de posibilidades para que los actores
malintencionados debiliten un ecosistema de seguridad grande y frgil. La superficie
ha crecido de manera exponencial y contina expandindose: demasiados terminales,
demasiados avances, demasiados datos fuera del control de la empresa.
Los datos representan el premio que la mayora de los adversarios desea alcanzar a travs de
sus campaas, porque equivalen bsicamente a dinero. Si los datos tienen algn valor en la
calle ya sea si se trata de propiedad intelectual de una corporacin importante o de los datos
de servicios de salud de una persona, son deseables y, en consecuencia, estn en riesgo.
Si el valor del objetivo es mayor que el riesgo de comprometerlo, ser pirateado. Incluso las
organizaciones pequeas estn en riesgo de ser pirateadas. Y a la mayora de las organizaciones
grandes y pequeas ya las han vulnerado sin siquiera tener conocimiento de ello: el 100% de
las redes comerciales que analiz Cisco envan trfico a sitios web que alojan malware.
FIGURA 2
La anatoma de una amenaza moderna
Internet y
aplicaciones en la nube
Campus
Empresas
Red pblica
Permetro
Centro de datos
El punto de entrada de infeccin

ocurre fuera de la empresa
La ciberamenaza avanzada
traspasa la defensa perimetral
La amenaza se extiende e
intenta exfiltrar datos de valor
14
Confianza
La anatoma de una amenaza moderna, esbozada en la Figura2, subraya cmo el objetivo

final de muchas campaas de ciberdelito es alcanzar el centro de datos
y exfiltrar datos de valor. En este ejemplo, ocurre una accin
malintencionada en un dispositivo fuera de la red de la empresa.
Provoca una infeccin, que se mueve a una red del campus.
El objetivo final
Dicha red funciona como plataforma de lanzamiento hacia la
de muchas campaas
red de la empresa y, luego, la amenaza se abre camino hacia
de delitos informticos
el tesoro escondido: el centro de datos.
es tener acceso al centro
En vista del rea en expansin de la superficie de ataque

de datos y filtrar
y de la seleccin de datos de gran valor como objetivo por
datos valiosos.
parte de los piratas informticos, los expertos en seguridad de
Cisco recomiendan que las empresas busquen dar respuesta
a dos preguntas importantes en 2014: Dnde residen nuestros
datos crticos? y Cmo podemos crear un entorno seguro para
proteger dichos datos, especialmente cuando los nuevos modelos empresariales, como la
computacin en la nube y la movilidad, nos dejan con poco control sobre ellos?
2 | Proliferacin y sofisticacin del modelo de ataque

El panorama de amenazas actual no se parece en nada al de solo 10aos atrs. Los
ataques simples que provocaban dao controlable han dado lugar a operaciones modernas
de ciberdelito, que son sofisticadas, estn bien financiadas y son capaces de generar
interrupciones importantes en las organizaciones.
Las empresas se han convertido en el foco de los ataques dirigidos. Estos ataques son muy
difciles de detectar, permanecen en las redes durante perodos prolongados y acumulan
recursos de la red para lanzar ataques en otros lugares.
Para cubrir la secuencia completa de los ataques, las organizaciones deben abordar una amplia
gama de vectores de ataque, con soluciones que operen en cualquier lugar en el que pueda
manifestarse la amenaza: en la red, en terminales, en dispositivos mviles y en entornos virtuales.
Dnde residen nuestros datos crticos? y cmo podemos crear

un entorno seguro para proteger esos datos, en especial cuando
los nuevos modelos empresariales, como la computacin en nube
y la movilidad, solo nos permiten tener poco control sobre ellos?.
Expertos en seguridad de Cisco
15
Confianza
3 | Complejidad de amenazas y soluciones

Lejos han quedado los das en que los bloqueadores de correo electrnico no deseado y
el software antivirus podan ayudar a proteger un permetro de red fcilmente definido de
la mayora de las amenazas. Las redes actuales van ms all de los lmites tradicionales, y
evolucionan constantemente para generar nuevos vectores de ataque: dispositivos mviles,
aplicaciones mviles y habilitadas para la web, hipervisores, medios sociales, navegadores web,
computadoras domsticas e incluso vehculos. Las soluciones de un momento dado (point-intime) no pueden responder a los miles de tipos de tecnologas y estrategias que usan los actores
malintencionados. Esto dificulta an ms la supervisin y la administracin de la seguridad de la
informacin para los equipos de seguridad.
Las vulnerabilidades organizativas estn en aumento porque las
empresas estn trabajando a travs de soluciones puntuales
desagregadas y diversas plataformas de administracin. El
resultado: un conjunto de tecnologas dispares en puntos
de control que nunca se disearon para trabajar juntas.
Esto aumenta el potencial de comprometer la informacin
del cliente, la propiedad intelectual y otra informacin
confidencial, y pone en riesgo la reputacin de la empresa.
Las soluciones
de un momento dado
no pueden responder al
sinnmero de tecnologas
y estrategias que
utilizan los actores
maliciosos.
Se requiere una capacidad continua que proporcione la mejor

oportunidad para satisfacer los desafos de los complejos entornos de
amenazas. Los ataques incesantes no ocurren en un momento especfico;
son continuos. De manera que tambin deben ser continuas las defensas de la empresa.
Con la complejidad de las amenazas y las soluciones correspondientes que alcanzaron un

mximo histrico, las organizaciones deben repensar sus estrategias de seguridad. En lugar
de confiar en soluciones puntuales, pueden minimizar la complejidad mediante la integracin
continua de la seguridad en la estructura de la red misma, de manera que la red pueda:
Supervisar y analizar archivos continuamente e identificar el subsiguiente

comportamiento malintencionado ni bien se produzca.
Ayudar a las organizaciones a escalar el cumplimiento de la ley mediante la
expansin de la superficie en la que se pueden colocar los dispositivos de red.
Acelerar el tiempo de deteccin, porque puede ver ms trfico.

Otorgar a las organizaciones la capacidad de agregar reconocimiento nico del
contexto que no es posible obtener mediante la sola confianza en dispositivos
especficos de seguridad.
16
Confianza
El cambio hacia la movilidad y los servicios en la nube est imponiendo una carga mayor
de seguridad en los terminales y dispositivos mviles que, en algunos
casos, pueden no tocar nunca la red de la empresa. El hecho es
que los dispositivos mviles introducen riesgo de seguridad
cuando se usan para acceder a los recursos de la empresa;
Los dispositivos
se conectan fcilmente con servicios de terceros en la
mviles aportan riesgos
nube y computadoras con posturas de seguridad que son
potencialmente desconocidas y estn fuera del control
de seguridad cuando
de la empresa. Adems, el malware mvil est creciendo
se los utiliza para tener
rpidamente, lo que aumenta an ms el riesgo. Dada la falta
acceso a los recursos
de visibilidad siquiera bsica, la mayora de los equipos de
de la empresa.
seguridad de TI no cuentan con la capacidad para identificar
amenazas potenciales de estos dispositivos.
Los enfoques avanzados, como la capacidad continua,
desempearn un papel ms importante gracias a que abordan el malware
avanzado a travs del anlisis de los datos masivos que agregan datos y eventos en la red
ampliada para proporcionar una mayor visibilidad incluso despus de que se ha movido
un archivo a la red o entre terminales. Esto difiere de la seguridad en los terminales en un
momento dado que analiza archivos en un momento especfico inicial para determinar una
disposicin de malware. El malware avanzado puede evadir este anlisis para establecerse
rpidamente en los terminales y extenderse a travs de las redes.
Sistemas transparentes
y confiables
En vista de la mayor rea de superficie de ataque, la creciente
proliferacin y sofisticacin del modelo de ataque, y la complejidad
de las amenazas y soluciones, debemos confiar en la informacin
que consumimos, junto con los sistemas que la distribuyen, sin
importar cmo accedemos a los servicios en red.
La creacin de un entorno de red verdaderamente seguro se vuelve incluso ms compleja a
medida que los gobiernos y las empresas invierten en movilidad, colaboracin, computacin
en la nube y otras maneras de virtualizacin. Estas funcionalidades permiten mejorar la
17
Confianza
recuperabilidad, aumentar la eficiencia y reducir los costos, pero tambin pueden introducir
riesgos adicionales. La seguridad de los procesos de fabricacin que crean productos
de TI tambin est en riesgo, y los productos falsificados y alterados constituyen un
problema en aumento. Como resultado, la mayora de los lderes actuales de gobiernos y
empresas identifican los problemas de la ciberseguridad y la confianza asociada como las
preocupaciones principales. La pregunta que deberan hacer los profesionales de seguridad
es: Qu haramos diferente si supiramos que un compromiso fuera inminente?
Los actores maliciosos buscarn y explotarn cualquier debilidad de seguridad en la cadena
de abastecimiento tecnolgico. Las vulnerabilidades y puertas traseras intencionales en
productos de tecnologa pueden proporcionarles, en ltima instancia, el acceso a toda la
casa. Las puertas traseras han sido un problema de seguridad por mucho tiempo y deberan
ser una preocupacin para las organizaciones, porque existen solamente para ayudar a
facilitar la actividad furtiva o delictiva.
El desarrollo de sistemas confiables significa crear seguridad desde cero, desde el principio
hasta el final del ciclo de vida de un producto. Cisco Secure Development Lifecycle (CSDL)8
recomienda una metodologa repetible y medible diseada para
desarrollar la seguridad del producto en la etapa de concepto del
producto, minimizar las vulnerabilidades durante el desarrollo y
Los actores
aumentar la recuperabilidad de los productos ante un ataque.
maliciosos buscarn
y explotarn cualquier
debilidad de seguridad
en la cadena de
abastecimiento
tecnolgico.
Los sistemas confiables proporcionan la base para un

enfoque de mejora continua de la seguridad, que anticipe
y prevenga nuevas amenazas. Dichas infraestructuras no
solo protegen informacin fundamental, sino que tambin, y
ms importante, ayudan a evitar interrupciones de servicios
crticos. Los productos confiables respaldados por proveedores
confiables permiten a sus usuarios minimizar los costos y los
daos a la reputacin como consecuencia de la apropiacin indebida
de informacin, los cortes de servicio y las violaciones de informacin.
Los sistemas confiables, sin embargo, no deben confundirse con la inmunidad a un ataque
externo. Los clientes de TI y los usuarios tienen un papel importante que desempear a fin de
mantener la eficacia de los sistemas confiables para rechazar los intentos de corromper sus
operaciones. Esto incluye la instalacin oportuna de actualizaciones y parches de seguridad, la
constante vigilancia para reconocer comportamientos anormales del sistema y la adopcin de
contramedidas eficaces contra los ataques.
18
Preocupaciones principales
para 2014 de los CISO
actuales
A medida que los jefes de seguridad
de la informacin (CISO) miden el
panorama de amenazas actual, se
enfrentan a una creciente presin de
proteger terabytes de datos, respetar
las estrictas normas de cumplimiento
y evaluar los riesgos de trabajar con
proveedores externos; todo esto con
presupuestos cada vez ms reducidos
y equipos de TI austeros. Los CISO
tienen que realizar ms tareas que
nunca antes y administrar amenazas
complejas y sofisticadas. Los
principales estrategas de seguridad
de los servicios de seguridad de
Cisco, quienes asesoran a los CISO
sobre los enfoques de seguridad para
sus organizaciones, proporcionan
esta lista de las preocupaciones y
desafos ms exigentes para 2014:
Administracin del cumplimiento
La preocupacin ms generalizada
entre los CISO probablemente sea
la necesidad de proteger los datos
que residen en una red cada vez
ms porosa, mientras que gastan
recursos valiosos en cumplimiento.
El cumplimiento por s mismo no
significa que es seguro, simplemente
es una lnea de base mnima que
se centra en las necesidades de
un entorno regulado especial.
Por otro lado, la seguridad es un
enfoque global que abarca todas las
actividades comerciales.
Confianza en la nube
Los CISO deben tomar decisiones
sobre cmo administrar la informacin
Contina en la pgina siguiente.
Confianza
Las tecnologas no se quedan quietas; tampoco los

atacantes. La garanta de confiabilidad de un sistema debe
cubrir el ciclo de vida completo de una red, desde el diseo
inicial hasta la fabricacin, la integracin del sistema, la
operacin diaria, el mantenimiento y las actualizaciones, y, en
ltima instancia, la retirada de la solucin.
La necesidad de sistemas confiables se extiende ms all
de la red propia de una organizacin para incluir aquellas
redes con las que una organizacin puede conectarse. Los
equipos de Cisco Security Research and Operations han
observado, en el ltimo ao, un aumento del uso de pivoting.
La tcnica de pivoting en el ciberdelito involucra el uso de
una puerta trasera, vulnerabilidad o explotacin simple de la
confianza en algn punto de la secuencia de ataque como
un trampoln para lanzar una campaa ms sofisticada contra
objetivos mucho ms grandes, como la red de una firma de
energa importante o el centro de datos de una institucin
financiera. Algunos piratas informticos usan la confianza
que existe entre las organizaciones como la base para una
operacin de pivoting, explotando a un socio comercial de
confianza para atacar y explotar a otro partner empresarial o
gubernamental de confianza desprevenido.
La vigilancia es apropiada en el panorama de amenaza
moderno. La seguridad debe adaptarse a todos los
estados transitorios que forman parte del entorno de TI
de la empresa, y debe validar perceptible y objetivamente
la confianza del sistema, en funcin de datos y procesos
confirmados e independientes. El enfoque ms sostenible
es una defensa dinmica adaptada al entorno nico de
una organizacin, que incluya controles de seguridad en
constante evolucin para que sigan siendo relevantes.9
Los sistemas confiables pueden existir en este entorno, y
la transparencia es esencial para poder desarrollarlos. Un
sistema confiable debe disearse sobre una base slida:
prcticas de desarrollo de productos, una cadena de
suministro confiable y un enfoque arquitectnico que conste
de diseo de red, implementacin y polticas, dice John N.
19
Confianza
Contina desde la pgina anterior.
de manera segura con presupuestos

limitados y el tiempo que tienen
asignado. Por ejemplo, la nube se ha
convertido en una manera rentable
y gil de administrar almacenes de
datos cada vez ms crecientes pero
trae ms preocupaciones para los
CISO. Los directores generales y las
juntas directivas tienen el concepto
de que la nube es una panacea para
eliminar el hardware costoso. Desean
obtener los beneficios de descargar
datos en la nube y esperan que los
CISO lo hagan de manera rpida y
segura.
Confianza en los proveedores
Al igual que con la nube, las
organizaciones recurren a
los proveedores para que
les proporcionen soluciones
especializadas. El modelo de costos
para recurrir a terceros tiene sentido.
Sin embargo, estos proveedores
son objetivos de gran valor para los
delincuentes, quienes conocen que
las defensas de terceros no siempre
son slidas.
Recuperacin de infracciones
de seguridad
Todas las organizaciones deben
asumir que su seguridad se ha
vulnerado o, por lo menos, reconocer
que no se trata de determinar si
sern el objetivo de un ataque, sino
cundo. Los CISO tienen presentes
los actos de piratera recientes,
como Operation Night Dragon, la
infraccin a RSA y el ataque Shamoon
contra una importante empresa de
gas y petrleo en 2012. (Consulte el
informe de Cisco sobre la prevalencia
de actividad maliciosa en las redes
corporativas en la pgina 49).
Stewart, vicepresidente snior y jefe de seguridad de Cisco.

Pero el atributo ms importante es la transparencia del
proveedor.
El precio de mayor transparencia es menos privacidad,
pero el equilibrio adecuado se puede alcanzar mediante
cooperacin, que deriva en mayores oportunidades para
ajustar la inteligencia contra amenazas y las mejores
prcticas de seguridad. Todas las organizaciones deben
estar preocupadas por encontrar el equilibrio adecuado de
confianza, transparencia y privacidad, porque es mucho lo
que est en juego.
[ A largo plazo, se puede alcanzar mayor ciberseguridad
para todos los usuarios, y se puede aprovechar el potencial

completo de la economa emergente de Internet de Todo10.
Pero el logro de estos objetivos depender de polticas
de privacidad eficaces y defensas de red slidas que
distribuyan con inteligencia la carga de seguridad en los
terminales y la red. A corto plazo, y tal vez ms cerca del
hogar, se encuentra la necesidad que tienen las empresas
modernas de usar los mejores mtodos y datos disponibles
para ayudar a proteger sus recursos ms valiosos, y
asegurarse de no contribuir directamente a desafos ms
amplios de ciberseguridad. ]
Las organizaciones actuales deben considerar el impacto
que pueden tener sus prcticas de seguridad en el
ecosistema de ciberseguridad ms amplio y cada vez ms
complejo e interconectado. No tener en cuenta esta vista
de panorama general puede hacer que una organizacin
reciba una puntuacin de mala reputacin, lo que significa
que ningn proveedor de seguridad lder permitir a los
usuarios acceder a su sitio. Para las empresas no es
fcil salir de la lista negra, y algunas nunca se recuperan
completamente.
Para conocer ms sobre las prcticas de los sistemas
confiables de Cisco, visite www.cisco.com/go/trustworthy.
20
Inteligencia contra
amenazas
Mediante el conjunto ms grande de telemetra de deteccin con el
que es posible trabajar, Cisco y Sourcefire analizaron y recopilaron
conjuntamente las perspectivas de seguridad del ao pasado.
21
Aumento de alertas de amenaza

Las vulnerabilidades y amenazas informadas por Cisco
IntelliShield mostraron un crecimiento sostenido en 2013: a partir
de octubre de 2013; los totales de alertas anuales acumulados
aumentaron un 14% interanual desde 2012 (Figura3).
Las alertas de octubre de 2013 estuvieron en su nivel ms alto desde que IntelliShield
comenz a registrarlas en mayo de 2000.
Tambin es notable el aumento significativo en las alertas nuevas en oposicin a las alertas
actualizadas, segn los controles de IntelliShield (Figura4). Los proveedores de tecnologa e
investigadores estn buscando un mayor nmero de nuevas vulnerabilidades (Figura5); los
descubrimientos son el resultado del mayor nfasis en el uso de un ciclo de vida de desarrollo
altamente seguro, as como tambin de las mejoras en seguridad de sus propios productos. El
mayor nmero de vulnerabilidades nuevas tambin puede ser un signo de que los proveedores
estn examinando su cdigo de producto y estn corrigiendo las vulnerabilidades antes de
lanzar los productos, y de que dichas vulnerabilidades se aprovechen.
FIGURA 3
Totales de alertas anuales acumulados: 2010-2013

7000
2013
2012
6000
2011
5000
2010
4000
3000
2000
1000
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Jul.
Mes
Ago.
Sep.
Oct.
Nov.
Dic.
22
Ms atencin en el desarrollo de software seguro puede permitir generar confianza en las

soluciones del proveedor. Un ciclo de vida de desarrollo seguro no solo mitiga el riesgo de
vulnerabilidades y permite a los proveedores detectar defectos potenciales en las primeras
etapas del desarrollo, sino que tambin le dice a los compradores que pueden confiar en
estas soluciones.
FIGURA 4
320
Alertas
nuevas y actualizadas: 2013
1000
291
517
347
391
286
324
366
303
333
386
400
387
437
215
224
221
211
212
600
256
281
293
278
800
Nuevo
Alerta
de amenaza
200
Actualizado
Alerta
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
23
FIGURA 5
Categoras de amenazas comunes controladas por Cisco IntelliShield

NOTA: Estas categoras de amenazas de CWE (Common Weakness Enumeration), segn lo definido por la
National Vulnerability Database (https://nvd.nist.gov/cwe.cfm), concuerdan con los mtodos que usan los actores
malintencionados para atacar las redes.
1
CWE-119: Errores de bfer
CWE-264: Permisos, privilegios

y control de acceso
CWE-310: Problemas criptogrficos
Otras alertas de Intellishield

(actividad, problemas, CRR, AMB)
CWE-200: Divulgacin/prdida de informacin
CWE-399: Errores de administracin de recursos

4
CWE-79: Scripting entre sitios (XSS)

8
CWE-20: Validacin de entrada
CWE: Error de diseo
CWE-287: Problemas de autenticacin

CWE-352: Falsificacin de
solicitud entre sitios (CSRF)
CWE-22: Cruce seguro de ruta
CWE-94: Insercin de cdigos

CWE-78: Inserciones de comandos de
sistema operativo
CWE-89: Insercin de SQL
CWE-362: Condiciones de carrera
CWE-255: Administracin de credenciales
CWE-59: Seguimiento de enlaces

CWE-16: Configuracin
CWE: Informacin insuficiente

CWE: Otros
CWE-189: Errores numricos
7
2
5
4
24
Descendi el volumen de
correo electrnico no deseado,
pero el correo electrnico no
deseado malintencionado sigue
siendo una amenaza
El volumen de correo electrnico no deseado se encontraba en
una tendencia mundial descendente en 2013. Sin embargo, si bien
el volumen total puede haber disminuido, la proporcin de correo
electrnico no deseado malintencionado permanece constante.
Los individuos que envan correo electrnico no deseado usan la velocidad como una
herramienta, para aprovecharse de la confianza de los usuarios de correo electrnico,
enviando grandes cantidades de correo electrnico no deseado cuando los eventos de
noticias o las tendencias disminuyen la resistencia de los destinatarios a las estafas de correo
electrnico no deseado.
Despus del atentado de la maratn de Boston del 15 de abril de 2013, comenzaron dos
campaas de correo electrnico no deseado a gran escala: una el 16 de abril y la otra el
17 de abril, diseadas para atraer a usuarios de correo electrnico vidos de noticias sobre el
impacto del evento. Los investigadores de Cisco primero detectaron
el registro de cientos de nombres de dominios relacionados con
Los spammers
el bombardeo a solo horas de que ocurrieran los ataques de la
maratn de Boston.11
(principales fuentes
Ambas campaas de correo electrnico no deseado
llevaban lneas de asunto acerca de supuestos boletines de
noticias relacionados con los bombardeos, mientras que
los mensajes contenan supuestos enlaces a videos de las
explosiones o noticias de fuentes de medios acreditados. Los
enlaces dirigan a los destinatarios a pginas web que incluan
enlaces a noticias o videos verdaderos, pero tambin iframes
de correo no deseado) se
aprovechan del deseo de
obtener ms informacin
despus de un suceso
importante.
25
malintencionados diseados para infectar las computadoras de los visitantes. En su punto

mximo, el correo electrnico no deseado relacionado con el atentado de la maratn de
Boston constituy el 40% de todos los mensajes de correo electrnico no deseado enviados
en todo el mundo el 17 de abril de 2013.
Figura6: se muestra una de las campaas de correo electrnico no deseado de botnet
disfrazada como un mensaje de CNN.12 Figure7: se muestra el HTML de origen de un
mensaje de correo electrnico no deseado del atentado de la maratn de Boston.
El iframe final (parcialmente ilegible) es de un sitio web malintencionado.13
Debido a que el correo electrnico no deseado sobre noticias de ltima hora es tan inmediato,
los usuarios de correo electrnico estn ms propensos a creer que los mensajes de correo
electrnico no deseado son legtimos. Los spammers (principales fuentes de correo no
deseado) se aprovechan del deseo de las personas de obtener ms informacin despus
de un suceso importante. Cuando en el correo electrnico no deseado se proporciona a los
usuarios en lnea lo que ellos desean, es mucho ms fcil engaarlos para que realicen una
accin determinada, como hacer clic en un enlace infectado. Tambin es mucho ms fcil
evitar que sospechen que algo anda mal con el mensaje.
26
FIGURA 6
Correo electrnico no deseado de las explosiones en la maratn de Boston
FIGURA 7
HTML de origen de un mensaje de correo electrnico no deseado del

atentado de la maratn de Boston
<iframe width="640" height="360"

src="https://www.youtube.com/embed/H4Mx5qbgeNo">
<iframe>
src="https://www.youtube.com/embed/JVU7rQ6wUcE">
<iframe>
src="https://bostonmarathonbombing.html">
<iframe>
27
Correo electrnico no deseado: nmeros

El volumen de correo electrnico no deseado global est descendiendo de acuerdo con
los datos recopilados por Cisco Threat Research Analysis and Communications (TRAC)/SIO
(Figura8), aunque las tendencias varan de un pas a otro (Figura9).
FIGURA 8
Volumen de correo electrnico no deseado global: 2013

Fuente: Cisco TRAC/SIO
160
Mil millones por da
140
120
100
80
60
40
20
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Jul.
Ago.
Sep.
Oct.
Mes
FIGURA 9
Tendencias de volumen: 2013

Volumen en porcentaje
25
20
Estados Unidos
Italia
Corea,
Repblica de
Espaa
China
15
10
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
28
FIGURA 10
Temas principales para mensajes de correo electrnico

no deseado en todo el mundo
1.
Notificaciones de
pagos/depsitos bancarios
2.
Compra de productos en lnea
3.
Fotografa adjunta
Fotografa maliciosa adjunta.
Notificaciones de depsitos, transferencias,

pagos, cheque devuelto, alerta de fraude.
Confirmacin de pedidos de productos,

solicitud de orden de compra, cotizacin,
prueba.
4.
Notificaciones de envo
5.
Citas en lnea
6.
Impuestos
Facturas, entrega o recoleccin,

seguimiento.
Sitios de citas en lnea.
Documentos fiscales, reembolsos, informes,

informacin de deuda, declaraciones de
impuestos en lnea.
7.
Facebook
8.
Tarjeta de regalo o vale
9.
PayPal
Estado de cuenta, actualizaciones,

notificaciones, software de seguridad.
Alertas de diversas tiendas

(Apple fue la ms popular).
Actualizacin de cuenta, confirmacin,

notificacin de pago, reclamacin de pago.
29
Explotaciones web:
Java lidera el grupo
De todas las amenazas basadas en la web que debilitan la
seguridad, las vulnerabilidades en el lenguaje de programacin
Java siguen siendo los objetivos explotados con ms frecuencia
por los delincuentes en lnea, de acuerdo con los datos de Cisco.
Las explotaciones de Java sobrepasan en gran medida las detectadas en documentos de
Flash o Adobe PDF, que tambin son vectores populares de actividad delictiva (Figura11).
Los datos de Sourcefire, ahora parte de Cisco, tambin muestran que las explotaciones de
Java constituyen la amplia mayora (91%) de los indicadores de compromiso (IoC) que son
supervisados por la solucin FireAMP de Sourcefire para anlisis y proteccin avanzados de
malware (Figura12). FireAMP detecta los compromisos activos en los terminales y, luego,
registra el tipo de software que provoc cada compromiso.
FIGURA 11
Ataques malintencionados generados a travs de PDF,

Flash y Java 2013
Fuente: Informes de Cisco Cloud Web Security
16%
14%
12%
PDF
10%
Memoria flash
Java
8%
6%
4%
2%
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
30
Para amenazas como las explotaciones de Java, los problemas ms significativos que
enfrentan los profesionales de seguridad son cmo se introduce el malware en su entorno
de red y dnde debern centrar sus esfuerzos para minimizar la infeccin. Las acciones
individuales pueden no parecer malintencionadas, pero seguir una secuencia de eventos
puede arrojar luz sobre la historia del malware. Determinar la secuencia de eventos es la
capacidad para dirigir un anlisis retrospectivo de la informacin que conecta la ruta que
toman los actores malintencionados para traspasar la seguridad perimetral e infiltrar la red.
Por s solos, los IoC pueden demostrar que ir a un sitio web especfico es seguro. A su vez, el
lanzamiento de Java puede ser una accin segura, al igual que el lanzamiento de un archivo
ejecutable. Sin embargo, una organizacin est en riesgo si un usuario visita un sitio web
con una inyeccin de iframe, que luego lanza Java; a continuacin, Java descarga un archivo
ejecutable y el archivo ejecuta acciones malintencionadas.
FIGURA 12
Indicadores de compromiso, por tipo

Fuente: Sourcefire (solucin FireAMP)
2%
Microsoft Word
3%
Microsoft Excel
3%
Adobe Reader
91%
Vulnerabilidad de Java
1%
Microsoft PowerPoint
31
La ubicuidad de Java lo mantiene en los primeros puestos en la lista de herramientas favoritas

para los delincuentes, lo que hace que los compromisos de Java sean, con mucho, la actividad
de secuencia de eventos ms malintencionada en 2013. Como lo explica la pgina web
About Java (Acerca de Java), el 97% de los equipos de escritorio empresariales ejecutan
Java, al igual que el 89% de las computadoras de escritorio generales en Estados Unidos.14
Java proporciona una superficie de ataque que es demasiado grande como para que los
delincuentes la ignoren. Tienden a crear soluciones que ejecutan explotaciones en orden; por
ejemplo, primero intentan violar una red o robar datos a travs de la vulnerabilidad ms fcil o
ms conocida antes de pasar a otros mtodos. En algunos casos, Java es la explotacin que
los delincuentes eligen en primer lugar, ya que proporciona el mejor rendimiento de la inversin.
Mitigacin del problema de Java

A pesar de que las explotaciones basadas en Java son comunes, y las vulnerabilidades son
difciles de eliminar, existen mtodos para reducir su impacto:
Si resulta prctico, deshabilitar Java en los navegadores de toda la red puede evitar que se
lancen estas explotaciones.
Las herramientas de telemetra, como Cisco NetFlow, integradas en muchas soluciones de

seguridad, pueden supervisar el trfico asociado a Java y otorgar a los profesionales de
seguridad una mayor comprensin de las fuentes de amenazas.
La administracin integral de parches puede cerrar muchas brechas de seguridad.

Las herramientas de supervisin y anlisis de terminales, que continan controlando y
analizando archivos despus de que ingresan en la red, pueden detectar en retrospectiva y

detener las amenazas que pasaron como seguras pero luego exhibieron comportamiento
malintencionado.
Se puede generar una lista prioritaria de dispositivos potencialmente comprometidos mediante

el uso de IoC para correlacionar inteligencia de malware (incluso eventos aparentemente
benignos) y para identificar una infeccin de da cero sin firmas antivirus existentes.
Actualizar a la ltima versin de Java tambin ayudar a evitar las vulnerabilidades. De

acuerdo con la investigacin de Cisco TRAC/SIO, el 90% de los clientes de Cisco usan una
versin del entorno Java7 Runtime Environment, la versin ms reciente del programa. Esto
es bueno desde el punto de vista de la seguridad, ya que esta versin puede ofrecer ms
proteccin contra vulnerabilidades.
32
Sin embargo, la investigacin de Cisco TRAC/SIO tambin muestra que el 76% de las
empresas que usan soluciones de Cisco tambin usan Java6 Runtime Environment, adems
de Java7. Java6 es la versin anterior que se discontinu y ya no cuenta con soporte. Por lo
general, las empresas usan ambas versiones del entorno Java Runtime Environment porque
las diferentes aplicaciones dependen de diferentes versiones para ejecutar el cdigo Java. Sin
embargo, dado que ms de tres cuartos de las empresas encuestadas por Cisco usan una
solucin descontinuada y con vulnerabilidades que puede que nunca se revisen pblicamente,
los delincuentes tienen amplias oportunidades para explotar las debilidades.
En 2013, los hallazgos de malware web de Java llegaron a su punto mximo en abril, en el
14% de todos los hallazgos de malware web. Estos hallazgos descendieron a su punto ms
bajo en mayo y junio de 2013, en aproximadamente el 6% y el 5% de todos los hallazgos de
malware web, respectivamente (Figura13).
(A principios de este ao, Oracle anunci que ya no publicara actualizaciones de Java SE 6
en su sitio de descargas pblico, aunque las actualizaciones de Java SE 6 existentes estarn
disponibles en el archivo de Java en la red de tecnologa de Oracle).
Si los profesionales de seguridad que tienen tiempo limitado para combatir las explotaciones
web deciden centrar ms su atencin en Java, estarn colocando sus recursos en el lugar
adecuado.
FIGURA 13
Hallazgos de malware web Java: 2013

6,50%
6,00%
4%
5,00%
7,50%
9,00%
6,75%
6%
7,50%
8%
9,50%
10%
6,25%
12%
12,25%
14,00%
14%
2%
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
33
BYOD y movilidad:
la maduracin de dispositivos
beneficia el ciberdelito
Los ciberdelincuentes y sus vctimas comparten un desafo comn:
ambos intentan entender cmo usar mejor las tendencias BYOD (Traiga
su propio dispositivo) y movilidad para obtener ventaja comercial.
Existen dos factores que parecen estar ayudando a los delincuentes a lograr una ventaja. En
primer lugar est la maduracin de las plataformas mviles. Los expertos de seguridad de
Cisco observan que cuanto ms se asemeja el funcionamiento de smartphones, tablets y
otros dispositivos al de los equipos de escritorio y las computadoras porttiles tradicionales,
ms fcil resulta disear malware para ellos.
En segundo lugar, el creciente uso de aplicaciones mviles. Cuando los usuarios descargan
aplicaciones mviles, bsicamente estn colocando un cliente ligero en el terminal y
descargando cdigo. Otro desafo: muchos usuarios descargan aplicaciones mviles con
regularidad sin pensar en la seguridad.
Mientras tanto, los equipos de seguridad actual estn lidiando
con el problema de cualquiera con cualquiera (any-to-any):
cmo asegurar a cualquier usuario, en cualquier dispositivo,
ubicado en cualquier, con acceso a cualquier aplicacin o
recurso.15 La tendencia BYOD no hace ms que complicar
estos esfuerzos. Resulta difcil administrar todos estos
tipos de equipos, especialmente con un presupuesto de TI
limitado. En un entorno BYOD, el gerente de seguridad de la
informacin (CISO), debe estar especialmente seguro de que la
sala de datos est controlada rigurosamente.
Muchos usuarios
descargan aplicaciones
mviles con frecuencia
sin pensar en la
seguridad.
La movilidad ofrece nuevas maneras de comprometer a los usuarios y

a los datos. Los investigadores de Cisco han observado a determinados actores usar canales
inalmbricos para obtener acceso a datos que se intercambian a travs de esos canales. La
movilidad tambin presenta una gama de problemas de seguridad para las organizaciones,
incluida la prdida de propiedad intelectual y otra informacin confidencial si el dispositivo de
un empleado se pierde o lo roban y no est asegurado.
34
Establecer un programa formal para administrar dispositivos mviles a fin de garantizar que
todos los dispositivos sean seguros antes de que accedan a la red es una solucin para
mejorar la seguridad de la empresa, de acuerdo con los expertos de Cisco. Como mnimo,
se debe requerir un bloqueo del nmero de identificacin personal (PIN) para la autenticacin
del usuario, y el equipo de seguridad debe ser capaz de desactivar o limpiar el dispositivo de
manera remota si se pierde o lo roban.
Tendencias de malware mvil: 2013

La siguiente investigacin sobre tendencias de malware mvil durante 2013 fue realizada por
Cisco TRAC/SIO y por Sourcefire, ahora parte de Cisco.
El malware mvil que se dirige a dispositivos especficos solo
constituye el 1,2% del total de malware web detectado en 2013. Si
bien no es un porcentaje significativo, an merece mencionarse
porque el malware mvil es claramente un rea emergente y
lgica de exploracin para los desarrolladores de malware.
De acuerdo con los investigadores de Cisco TRAC/SIO,
cuando el malware mvil tiene la intencin de comprometer
un dispositivo, el 99% de todos los hallazgos se dirigen a
dispositivos Android. Los troyanos dirigidos a dispositivos
compatibles con Java Micro Edition (J2ME) sostuvieron el
segundo lugar en 2013, con el 0,84% de todos los hallazgos
de malware mvil.
El malware
mvil que se dirige
a dispositivos especficos
solo constituye el 1,2%
del total de malware
web detectado
en 2013.
Sin embargo, no todo el malware mvil est diseado para dirigirse a dispositivos especficos.
Muchos hallazgos involucran phishing, likejacking u otros usos de ingeniera social, o
redireccionamientos forzosos a sitios web distintos de los esperados. Un anlisis de agentes de
usuario realizado por Cisco TRAC/SIO revela que los usuarios de Android, en el 71%, tienen las
tasas ms altas de hallazgos con todas las maneras de malware basado en la web, seguidos
por los usuarios de Apple iPhone, en el 14% de todos los hallazgos de malware web (Figura14).
Los investigadores de Cisco TRAC/SIO tambin informaron evidencia de esfuerzos por
rentabilizar los compromisos de Android durante 2013, incluidos los lanzamientos de adware y
spyware relacionado con pequeas y medianas empresas (SME).
En el 43,8%, Andr/Qdplugin-A fue el malware mvil hallado con ms frecuencia, de acuerdo
con la investigacin de Cisco TRAC/SIO. Los hallazgos tpicos se realizaron a travs de copias
reempaquetadas de aplicaciones legtimas distribuidas a travs de catlogos de soluciones no
oficiales (Figura15).
35
FIGURA 14
Hallazgos de malware web por dispositivo mvil

100%
80%
60%
40%
20%
Windows CE
Kindle
Zune WP
Nook
Playstation
Motorola
Windows
Telfono
Huawei
iPod
Symbian
Nokia
BlackBerry
iPad
iPhone
Android
FIGURA 15
Principales 10 hallazgos de malware mvil: 2013

50%
40%
30%
20%
10%
Andr/DroidRt-C
Trojan-SMS.AndroidOS.
Agent.ao
AndroidOS.
Wooboo.a
Andr/Gmaster-E
Andr/DroidRt-A
Trojan.AndroidOS.
Plangton.a
Andr/Spy-AAH
Andr/SMSSend-B
Andr/SmsSpy-J
Andr/NewyearL-B
Andr/Qdplugin-A
An
Tro
dr.
ja
98%
11%
14%
16%
Andr.SMSSend
10%
7%
6%
4%
4%
4%
4%
3%
r.Tr
oj a
xplo
els
l o i t.E
n.S t
r.E xp
r.Tro
ja
And
ndr
id
it.Ratc
p l o i t. A
A ndr.E x plo
B C. E x
And
Andr.Exploit.Gingerbreak
nserve
n.G
ein
nr.
imi
T
roj
An
a n.
dr.
Dro
Tro
An
id D
jan
d
rea
r
.A
An
.Tr
mL
dr d
o
d
j
igh
r
a
(2
.Tr
n.G
t
%
o
(2 ) A
j
o
a
%)
n d n. A l d d r
ea
An r.T
nd
m
r
r
dr
.Tr ojan orat
oj
.
a n Pj a
p
.Y
ZH p s
C
Ad
rojan.A
Andr.T
ak
O pf
.
n
ja
ix t y
(>1%
) An
dr.Tr
tCo
ts
m pa
tibl e
Push
ader
u eSP
.TG Lo
.Ro g
n.N o
ojan
r.Troj
an
dr.T
roja
(>1%
) An
ad
ck p o s
ojan.O B
(>1%)
A ndr.T
rojan. A
(>1%)
And
(>1%) A n
dr.Tr
(>1%) A ndr.Tr
ojan.Chuli
(>1%) Andr.Trojan.G ingerMast

er
(>1%) Andr.Trojan.Badnews
keTimer
jan.G ones
min
.Fa
(>1%) Andr.Trojan
Tro
(1%) A ndr.
jan.K
ndr.Tro
(1%) A
on
.Zson
ank t
r ojan
ndr.T
dr.Tr
A
(1%)
An
(1%)
.Pl
ojan
And
oid
gF
.Tro
ndr
r
nD
n
Ku
36
FIGURA 16
Principales familias de malware Android observadas en 2013
NOTA: SMSSend representa el 98% de todo el malware Android; el 2% restante se muestra proporcionalmente.
Fuente: Sourcefire
3%
3%
7%
37
Ataques dirigidos:
el desafo de desalojar
visitantes ubicuos y
persistentes
Son altas las probabilidades de que los ataques dirigidos ya se
hayan infiltrado en sus redes.
Y cuando realmente se alojan en el interior de una red, tienden a quedarse cerca, robar datos
furtivamente o usar los recursos de la red como trampoln para luego atacar a otras entidades
(para ms informacin sobre pivoting, consulte la pgina18). El dao va ms all del robo
de datos o la interrupcin de la actividad comercial: la confianza entre partners y clientes se
puede evaporar si estos ataques no se desalojan de las redes de manera oportuna.
Los ataques dirigidos amenazan la propiedad intelectual, los datos del cliente y la informacin
sensible del gobierno. Sus creadores usan herramientas sofisticadas que burlan la
infraestructura de seguridad de una organizacin. Los delincuentes hacen
todo lo posible para asegurarse de que estas violaciones pasen
desapercibidas y usan mtodos que derivan en indicadores de
compromiso o IoC casi imperceptibles. Su enfoque metdico
Los delincuentes
para obtener acceso a las redes y llevar a cabo su misin
hacen un gran esfuerzo
involucra una secuencia de ataque: la secuencia de eventos
previos a un ataque y que determinan sus fases.
para asegurarse de que
Una vez que estos ataques dirigidos encuentran un lugar
para ocultarse en la red, llevan a cabo sus tareas con eficacia,
y generalmente las realizan sin que se los detecte.
no se detecten sus
infracciones.
38
FIGURA 17
La secuencia de ataque
Para comprender la seleccin de amenazas actuales y defender con eficiencia la red, los profesionales de seguridad
de TI deben pensar como atacantes. Con una comprensin ms profunda del enfoque metdico que usan los
actores malintencionados para ejecutar su misin, las organizaciones pueden identificar maneras de fortalecer
sus defensas. La secuencia de ataque, una versin simplificada de la secuencia de ciberguerra (cyber kill chain),
describe los eventos previos a un ataque y que determinan sus fases.
1. Encuesta
Obtenga un panorama completo de un entorno: redes,

terminal, dispositivos mviles y virtuales, entre otras, las
tecnologas implementadas para asegurar el entorno.
2. Escribir
Cree malware dirigido y sensible al contexto.
3. Prueba
Asegrese de que el malware funcione como est

previsto, en especial, de manera que pueda evadir
las herramientas de seguridad implementadas.
4. Ejecutar
Navegue por la red extendida, tenga en cuenta el

entorno, evada las detecciones y muvase
lateralmente hasta alcanzar el objetivo.
5. Cumplir la misin
Rena datos, cree interrupciones o cause destruccin.
39
Instantnea de malware:
tendencias observadas en 2013
Los expertos de seguridad de Cisco realizan investigaciones
y anlisis continuos del trfico de malware y otras amenazas
descubiertas, que pueden proporcionar perspectivas sobre el
posible comportamiento delictivo futuro y ayudar en la deteccin
de amenazas.
FIGURA 18
Categoras principales de malware

En esta figura se muestran las categoras principales de malware. Los troyanos son el malware ms frecuente,
seguidos por el adware. Fuente: Sourcefire (soluciones ClamAV y FireAMP)
Gusano
4% 4%
Descargador
Instalador de malware (0%)
8%
Adware
Troyano
20%
Virus
64%
FIGURA 19
Familias principales de malware de Windows

En esta figura se muestran las familias principales de malware para Windows. La ms grande, Trojan.Onlinegames,
comprende principalmente a ladrones de contraseas. La detecta la solucin de antivirus ClamAV de Sourcefire.
Fuente: Sourcefire (solucin ClamAV)
Spyeye (>1%)
3%
Hupigon
4%
Blackhole
7%
Gamevance
10%
Zeusbot
10%
Megasearch
11%
Syfro
14%
Multiplug
(Adware)
Onlinegames
41%
40
FIGURA 20
10 categoras principales de hosts de malware web: 2013

En esta figura se muestran los hosts de malware ms frecuentes, de acuerdo con la investigacin de Cisco TRAC/SIO.
45%
40%
35%
Sin clasificar
Otro
30%
25%
20%
15%
Negocios e industria
Infraestructura
Alojamiento web
Publicidad
Computadoras e Internet
Compras
Noticias
Motores de bsqueda y portales
Comunidades en Internet
10%
5%
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Jul.
Ago.
Sep.
Oct.
Nov.
Mes
FIGURA 21
Categoras de malware, por porcentaje de hallazgos totales: 2013

3%
(1%)
SMS, suplantacin de identidad
(phishing) y likejacking
(1%)
Constructores
y herramientas de piratera
5%
Gusanos y virus
Ransomware
y scareware
17%
Descargador
e instalador de malware
22%
Troyanos para robo de datos
23%
iFrames
y exploits
Troyanos para varios usos
27%
41
La investigacin de Cisco TRAC/SIO durante 2013 muestra que los troyanos multipropsito
fueron el malware basado en la web hallado con ms frecuencia, en el 27% del total de
hallazgos. Los scripts malintencionados, como explotaciones e iframes, fueron la segunda
categora que se hall con ms frecuencia, en el 23%. Los troyanos de robo de datos,
como los ladrones de contraseas y las puertas traseras, constituyen hasta el 22% del total
de hallazgos de malware web, y los troyanos descargadores e instaladores de malware se
encuentran en el cuarto lugar con el 17% del total de hallazgos (consultar la Figura21).
El descenso sostenido en los hosts de malware y las direcciones IP nicos un descenso del
30% entre enero de 2013 y septiembre de 2013 sugiere que el malware est concentrado en
menos hosts y menos direcciones IP (Figura22). (Nota: Una direccin IP puede servir a sitios
web de mltiples dominios). A medida que disminuye la cantidad de hosts incluso cuando el
malware permanece sin cambios, se vuelve ms importante el valor y la reputacin de estos
hosts, ya que los hosts buenos ayudan a los delincuentes a lograr sus objetivos.
FIGURA 22
Hosts de malware y direcciones IP nicos: 2013

60 000
nico
Host
50 000
nico
IP
40 000
30 000
20 000
10 000
0
Jan.
Feb.
Mar.
Abr.
Mayo
Jun.
Mes
Jul.
Ago.
Sep.
Oct.
Nov.
42
Watering holes: no son un

oasis para las empresas
dirigidas
Una manera en que los actores
malintencionados intentan distribuir
malware a las organizaciones en
mercados verticales especficos del
sector es a travs del uso de ataques
watering hole. Como cuando se
observa a una presa en caza mayor,
los ciberdelincuentes que buscan
dirigir sus ataques a un grupo en
particular (por ejemplo, personas
que trabajan en el sector de aviacin)
supervisarn los sitios web que
frecuenta dicho grupo, infectarn uno
o ms de estos sitios con malware y,
luego, se sentarn a esperar que al
menos un usuario del grupo objetivo
visite el sitio y se vea comprometido.
Un ataque watering hole es
bsicamente una explotacin de la
confianza, porque emplea sitios web
legtimos. Tambin es una manera
de spear phishing. Sin embargo, si
bien el spear phishing se dirige hacia
individuos especficos, los watering
holes se disearon para comprometer
a grupos de personas con intereses
comunes. Los ataques watering
hole no discriminan con respecto a
sus objetivos: cualquiera que visite un
sitio infectado est en riesgo.
A finales de abril, se lanz un
ataque watering hole desde
pginas especficas que alojaban
contenido nuclear en el sitio web
del Departamento de Trabajo de
EE.UU.16 A continuacin, desde
principios de mayo de 2013, los
investigadores de Cisco TRAC/SIO
Objetivos principales:
mercados verticales
del sector
Las empresas en mercados verticales
de grandes ganancias, como el sector
de productos farmacuticos y qumicos y
la fabricacin de productos electrnicos,
tienen altas tasas de hallazgos de malware
web, de acuerdo con la investigacin de
Cisco TRAC/SIO.
La tasa sube o baja a medida que aumenta o disminuye el valor
de los productos y servicios de un mercado vertical en particular.
Los investigadores de Cisco TRAC/SIO observaron un notable
crecimiento en los hallazgos de malware para el sector de
agricultura y minera, que anteriormente era un sector de riesgo
relativamente bajo. Atribuyen el aumento en los hallazgos
de malware para este sector a que los ciberdelincuentes
aprovechan las tendencias, como el descenso de los recursos
de metales preciosos y las interrupciones relacionadas con el
clima en el suministro de alimentos.
Adems, continan aumentando los hallazgos de malware
en el sector de los productos electrnicos. Los expertos de
seguridad de Cisco informan que el malware dirigido a este
mercado vertical generalmente est diseado para ayudar a los
actores a obtener acceso a propiedad intelectual, que a su vez
usan para obtener ventaja competitiva o venden al mejor postor.
Para determinar las tasas de hallazgo de malware
especficas de un sector, los investigadores de Cisco TRAC/
SIO comparan la tasa mediana de hallazgos para todas las
organizaciones que transmiten a travs de Cisco Cloud
Web Security con la tasa mediana de hallazgos para todas
43
observaron otro ataque watering

hole que provena de varios otros
sitios centrados en el sector de
energa y petrleo. Las similitudes,
incluido el diseo especfico de una
explotacin usada en ambos ataques,
da crdito a la posibilidad de que los
dos ataques estaban relacionados.
La investigacin de Cisco TRAC/
SIO tambin indic que muchos de
los sitios usaron el mismo diseador
web y proveedor de alojamiento. Esto
podra implicar que el compromiso
inicial se debi a phishing o robo de
credenciales de dicho proveedor.17
Proteger a los usuarios de estos
ataques involucra actualizar las
mquinas y los navegadores web con
los ltimos parches para minimizar la
cantidad de vulnerabilidades que un
atacante puede aprovechar. Tambin
resulta fundamental garantizar que
el trfico web se filtre y verifique en
busca de malware antes de su envo
al navegador del usuario.
las empresas de un sector especfico que transmiten a

travs del servicio. Una tasa de hallazgos del sector que sea
superior al 100% refleja un riesgo mayor de lo normal de
hallazgos de malware web, mientras que una tasa inferior
al 100% refleja un riesgo menor. Por ejemplo, una empresa
con una tasa de hallazgos del 170% tiene un riesgo de un
70% por arriba de la mediana. A la inversa, una empresa
con una tasa de hallazgos del 70% se encuentra un 30% por
debajo de la mediana (Figure23).
FIGURA 23
Riesgo del sector y hallazgos de

malware web: 2013
0
Contabilidad
Agricultura y minera
Automotriz
Aviacin
Banca y finanzas
Instituciones benficas y ONG
Clubes y organizaciones
Educacin
Productos electrnicos
Energa, petrleo y gas
Ingeniera y construccin
Entretenimiento
Alimentos y bebidas
Gobierno
Servicios de salud
Calefaccin, plomera y A/A
TI y telecomunicaciones
Industrial
Seguros
Legales
Manufactura
Medios de comunicacin y publicacin
Productos farmacuticos y qumicos
Servicios profesionales
Bienes races y gestin de tierras
Comercio minorista y mayorista
Transporte y envo
Viajes y ocio
Servicios pblicos
100%
200%
300%
400%
500%
600%
700%
44
Fracturas en un
ecosistema frgil
Los ciberdelincuentes estn aprendiendo que aprovechar el poder
de la infraestructura de Internet genera muchos ms beneficios
que simplemente obtener acceso a computadoras individuales.
El nuevo giro en las explotaciones malintencionadas es la obtencin de acceso a servidores
de alojamiento web, servidores de nombres y centros de datos, con el objetivo de aprovechar
el tremendo poder de procesamiento y ancho de banda que estos proporcionan. A travs de
este enfoque, las explotaciones pueden alcanzar a muchos ms usuarios de computadoras
desprevenidos y tener un impacto mucho mayor en las organizaciones objetivo, ya sea que el
objetivo sea realizar una declaracin poltica, debilitar a un adversario o generar ingresos.
FIGURA 24
Estrategia de infeccin de alta eficacia
comprometido
Sitio web
comprometido
Sitio web
comprometido
Sitio web
comprometido
Sitio web
comprometido
Sitio web
Servidor host comprometido
45
En esencia, esta tendencia de convertir a la infraestructura de Internet en objetivo de los

ataques significa que la base misma de la web no es confiable. Los mtodos usados para
obtener, en ltima instancia, acceso a raz en los servidores de alojamiento son variados e
incluyen tcticas como troyanos en las estaciones de trabajo de administracin que roban
credenciales de inicio de sesin del servidor, vulnerabilidades en las herramientas de
administracin de terceros usadas en los servidores e intentos de inicio de sesin por fuerza
bruta (consulte la pgina54). Las vulnerabilidades desconocidas en el mismo software de
servidor tambin pueden proporcionar avances.
Un servidor de alojamiento comprometido puede infectar miles de sitios web y propietarios de
sitios en todo el mundo (Figura24).
Los sitios web alojados en servidores comprometidos actan como un redirector (el
intermediario en la secuencia de infeccin) y un repositorio de malware. En lugar de
tener muchos sitios comprometidos que cargan malware solamente de algunos dominios
malintencionados (una relacin de muchos a algunos [many-to-few]), la relacin se volvi de
muchos a muchos (many-to-many), lo que dificulta los esfuerzos de bloqueo.
Los servidores de nombres de dominio son objetivos principales en esta nueva variedad de
ataque, cuyos mtodos exactos an se encuentran en investigacin. Todo indica que, adems
de los sitios web y los servidores de alojamiento individuales, tambin estn comprometidos
los servidores de nombres en ciertos proveedores de alojamiento. Los investigadores de
seguridad de Cisco dicen que esta tendencia hacia la seleccin de la infraestructura de
Internet como objetivo cambia el panorama de las amenazas, dado que est proporcionando
a los ciberdelincuentes el control sobre una parte para nada insignificante de la base misma
de la Web.
[ El ciberdelito se ha vuelto tan lucrativo y generalizado que necesita una infraestructura
poderosa que lo mantenga a flote, dice Gavin Reid, director de inteligencia contra amenazas
de Cisco. Mediante el compromiso de servidores de alojamiento y centros de datos, los
atacantes obtienen no solo acceso a grandes cantidades de ancho de banda, sino tambin el
beneficio de un tiempo de actividad continuo para estos recursos. ]
El delito informtico se ha convertido en algo tan

lucrativo y generalizado que requiere una slida
infraestructura para mantenerlo a flote.
Gavin Reid, director de inteligencia de amenazas de Cisco
46
Atando cabos: DarkLeech y Linux/CDorked

La campaa de ataque de DarkLeech que inform Cisco en 201318 subraya cmo el
compromiso de servidores de alojamiento puede servir como un trampoln para una campaa
ms grande. Se estima que los ataques de DarkLeech comprometieron, en un breve perodo,
al menos 2000019 sitios web legtimos de todo el mundo que usan el software de servidor
HTTP Apache. Los sitios se infectaron con una puerta trasera de servicio de shell seguro
(SSHD) que permiti que atacantes remotos cargaran y configuraran mdulos Apache
malintencionados. El compromiso permiti que los atacantes inyectaran dinmicamente
iframes (elementos HTML) en tiempo real en los sitios web alojados, lo que envi cdigo de
explotacin y otro contenido malintencionado por medio del juego de explotacin Blackhole.
Debido a que las inyecciones de iframes de DarkLeech ocurrieron solamente en el momento
de la visita a un sitio, los signos de la infeccin pueden no advertirse fcilmente. Adems,
para evitar la deteccin del compromiso, los delincuentes usan una seleccin sofisticada de
criterios condicionales, por ejemplo, inyectar el iframe solamente si el visitante llega de la
FIGURA 25
Compromisos del servidor DarkLeech por pas: 2013

,5%
,5% Dinamarca
10%
1% Holanda
Irlanda
Reino Unido
3% Canad
58% Estados Unidos
1%
2%
Blgica
Francia
2% Espaa
9% Alemania
1%
,5% Chipre
Japn
,5% Turqua
,5%
Malasia
2% Italia
1% Suiza
,5% Otro
1% Lituania
2%
Tailandia
1%
Australia
2% Singapur
47
pgina de resultados de un motor de bsqueda, no inyectar el iframe si la direccin IP del

visitante coincide con la del propietario del sitio o la del proveedor de alojamiento, e inyectar el
iframe solamente una vez cada 24horas para los visitantes individuales.
La investigacin de Cisco TRAC/SIO revel que los compromisos de DarkLeech se
extendieron por todo el mundo; lgicamente, los pases con la mayor cantidad de
proveedores de alojamiento experimentaron la tasa ms alta de infeccin.
Los investigadores de Cisco SIO/TRAC consultaron a miles de servidores comprometidos
para determinar la distribucin de las versiones de software de servidor afectadas.
En abril de 2013, se detect otra puerta trasera que infect cientos de servidores que
ejecutaban el software de servidor HTTP Apache. Linux/CDorked20 reemplaz el binario
HTTPD en las versiones de Apache con cPanel instalado. Tambin se descubrieron puertas
traseras similares dirigidas a Nginx y Lighttpd. Tan selectivo como DarkLeech en sus mtodos
de ataque, CDorked tambin usa criterios condicionales para inyectar en forma dinmica
FIGURA 26
Respuestas del servidor comprometido: DarkLeech

0,5% Apache/CentOS
2% Apache/2.2.8
7% Apache/2.2.22
8% Apache/2.2.3 RedHat
39% Apache-unspecified
43% Apache/2.2.3 CentOS
48
iframes en sitios web alojados en el servidor afectado. Cualquier visitante que navegue
un sitio web afectado luego tendr contenido malintencionado enviado por otro sitio web
malintencionado, donde un juego de herramientas de crimeware intentar comprometer an
ms la PC del usuario.21
Una caracterstica exclusiva de Linux/CDorked es que rota a travs de los dominios de sitios
web en 24horas, en promedio. Menos sitios comprometidos se usan durante ms tiempo.
Por lo tanto, aunque se informe un dominio de malware, los atacantes ya
estarn en otro lugar. Adems, con Linux/CDorked, se cambian con
frecuencia los proveedores de alojamiento (aproximadamente cada
dos semanas), rotando a travs de los hosts comprometidos
para evitar detecciones. Los servidores de nombres
CDorked y DarkLeech
comprometidos en estos mismos proveedores de alojamiento
parecen ser parte de una
permiten que los actores malintencionados se muevan de
estrategia mucho ms
un host a otro sin perder el control de los dominios durante
la transicin. Una vez que se encuentran en un host nuevo,
amplia y mucho ms
los atacantes comienzan un ciclo de nuevos dominios,
compleja.
generalmente mediante el uso de nombres de dominio estilo
typosquatting22 en un intento por parecer legtimos para los
observadores ocasionales.
El anlisis de Cisco TRAC/SIO de los patrones de trfico con CDorked
sugiere enfticamente una conexin con DarkLeech. La direccin URL de referencia
codificada especialmente y empleada por CDorked denota especficamente trfico de
DarkLeech. No obstante, ese no es el giro ms interesante acerca del malware: tanto CDorked
como DarkLeech parecen ser parte de una estrategia mucho ms grande y compleja.
La sofisticacin de estos compromisos sugiere que los ciberdelincuentes han ganado
un control significativo sobre miles de sitios web y mltiples servidores de alojamiento,
incluidos los servidores de nombres empleados por estos hosts, dice Gavin Reid, director
de inteligencia contra amenazas de Cisco. Combinado con el reciente aluvin de ataques
de inicio de sesin por fuerza bruta a sitios web independientes, pareciera que estamos
evidenciando una nueva tendencia, en la que la infraestructura de la Web se utiliza para formar
lo que solo puede describirse como un gran (y muy poderoso) botnet. Este berbot se puede
utilizar para enviar correo electrnico no deseado, malware y lanzar ataques por DDoS en una
magnitud nunca antes vista.
49
El trfico malicioso, a menudo

un signo de ataques dirigidos,
se detecta en todas las redes
corporativas
Segn un anlisis de tendencias de inteligencia contra amenazas
realizado por Cisco, el trfico malicioso se observa en la totalidad
de las redes corporativas. Esto significa que hay evidencia de que
delincuentes sofisticados u otros individuos han penetrado en
esas redes y es posible que operen sin que se los detecte durante
un largo tiempo.
Todas las organizaciones deben suponer que han sido vulneradas o por lo menos deben aceptar
que no se trata de determinar si sern objeto de un ataque, sino de cundo y por cunto tiempo.
[ En un proyecto reciente de revisin de bsquedas del servicio de nombres de dominio
(DNS) que se originaron dentro de las redes corporativas, los expertos en inteligencia contra
amenazas de Cisco observaron que, en todos los casos, las organizaciones evidenciaron
que sus redes se haban utilizado mal o perdieron su carcter confidencial (Figura 27). Por
ejemplo, la totalidad de las redes empresariales analizadas por Cisco presentaban trfico
hacia sitios web que alojan malware, mientras que el 92% muestra trfico hacia pginas web
sin contenido, que por lo general aloja actividad maliciosa. El 96% de las redes revisadas
evidenci trfico hacia servidores vulnerados. ]
Asimismo, Cisco detect trfico hacia sitios web militares o del gobierno en empresas que
habitualmente no hacen negocios con esas entidades, as como tambin el trfico a sitios
web de reas geogrficas de alto riesgo, como pases con prohibicin de hacer negocios con
Estados Unidos. Cisco ha observado que, por lo general, estos sitios pueden utilizarse debido
a la muy buena reputacin de la que gozan las organizaciones pblicas o gubernamentales.
Es posible que el trfico hacia estos sitios no sea un signo definitivo de riesgo, pero en el
caso de organizaciones que habitualmente no hacen negocios con el gobierno o las fuerzas
armadas, ese trfico podra indicar que delincuentes han vulnerado las redes y las estn
utilizando para infringir sitios web y redes del gobierno o militares.
50
A pesar de haber hecho su mejor esfuerzo para mantener sus redes libres de amenazas
maliciosas, todas las organizaciones examinadas por Cisco durante 2013 mostraron signos
de trfico sospechoso. El trfico identificado a travs de las bsquedas de DNS puede
proporcionar IoC slidos y merece una investigacin ms exhaustiva por parte de las
organizaciones que desean poner un freno a estas amenazas difciles de detectar en sus
redes. Es un mtodo de aumentar la visibilidad del movimiento delictivo que habitualmente es
muy difcil de localizar.
FIGURA 27
La propagacin del trfico malicioso

Malware de gran amenaza
Conexiones a dominios que son sitios conocidos de

amenaza de malware o vectores de amenaza.
100%
Gobierno y militar
Trfico sospechoso y excesivo dirigido a lugares

habitualmente no contactados por el pblico.
100%
Infraestructura asaltada
Conexiones a infraestructura asaltada o sitios

comprometidos conocidos.
96%
Sitios sin contenido
Conexiones a sitios en blanco que pueden tener

cdigo para inyectar malware en los sistemas.
92%
FTP sospechosa
Conexiones inesperadas a sitios FTP irregulares.
88%
VPN sospechosa
Conexiones desde el interior de una

organizacin a sitios VPN sospechosos.
79%
Educacin a travs
de amenazas
Conexiones a universidades en lugares sospechosos,

que potencialmente sirven como puntos pivote para
otros tipos de malware.
71%
Pornografa
Volumen muy alto de intentos de conexin a

sitios conocidos de pornografa.
50%
51
INVESTIGACIN ESPECIAL DE SEGURIDAD DE CISCO:
Nuevos giros en bitsquatting y nuevas maneras de detener ataques

Cybersquatting, la prctica de registrar nombres de dominio que son idnticos o similares de manera confusa a
una marca distintiva, es desde hace tiempo una herramienta para los delincuentes informticos. Recientemente,
bitsquatting, el registro de nombres de dominio que difieren en un dgito binario del dominio original, se ha
convertido en otra manera de redirigir el trfico de Internet a sitios que alojan malware o estafas.
Bitsquatting es una manera de cybersquatting que tiene como objetivo generar errores de bits en la memoria del
equipo. Un error de memoria se produce cada vez que uno o ms bits que se leen desde la memoria han cambiado
su estado en comparacin con lo que se escribi previamente. Estos errores en la memoria pueden deberse a
muchos factores, incluidos rayos csmicos (partculas de alta energa que impactan en la Tierra con una frecuencia
de 10000 por metro cuadrado por segundo), un dispositivo que se utiliza fuera de sus parmetros ambientales
recomendados, defectos de fabricacin e incluso explosiones nucleares de baja magnitud.
Con la modificacin de un solo bit, un dominio como twitter.com puede convertirse en el dominio confusamente
similar twitte2.com. Un atacante puede simplemente registrar un dominio confusamente similar, esperar a que se
produzca un error en la memoria y luego interceptar el trfico de Internet.
Los investigadores abocados a la seguridad creen que los ataques de bitsquatting se producen mayormente contra
nombres de dominio resueltos con frecuencia, ya que estos dominios son los que aparecen con ms probabilidad
en la memoria cuando se producen errores de bits. Sin embargo, la investigacin reciente de Cisco predice que los
dominios que anteriormente no se consideraban lo suficientemente populares para atacar, producirn verdaderas
cantidades de trfico de dominios confusamente similares. Esto se debe a que tanto la cantidad de memoria por
dispositivo como la cantidad de dispositivos conectados a Internet se encuentran en aumento; segn los clculos de
Cisco, habr 37000 millones de elementos inteligentes conectados a Internet para el ao 2020.23
Vectores de ataques de bitsquatting
Cisco TRAC/SIO ha identificado nuevos vectores de ataques de bitsquatting, entre los que se incluyen los siguientes:
Bitsquatting de delimitador de subdominio: de conformidad con la sintaxis aceptada para las etiquetas de
nombres de dominio, los nicos caracteres vlidos en un nombre de dominio son A-Z, a-z, 0-9 y el guin. No
obstante, cuando se comprueba la existencia de dominios confusamente similares y se limita la bsqueda a estos
caracteres, se omite un carcter importante que tambin es vlido en los nombres de dominio: el punto. Una nueva
tcnica de bitsquatting se basa en errores de bits que provocan que una letra n (binario 01101110) se convierta
en un punto . (binario 00101110) y viceversa.
Delimitadores de subdominio en los que n cambia a .: en una variacin de la tcnica anterior, si un nombre de
dominio de segundo nivel contiene la letra n y hay dos o ms caracteres luego de la letra n, es posiblemente
un dominio confusamente similar. Por ejemplo, windowsupdate.com podra convertirse en dowsupdate.com.
Dominios confusamente similares de delimitadores de URL: un contexto popular para los nombres de dominios es
dentro de una URL. Dentro de una URL tpica, las barras diagonales como / actan como delimitadores, ya que
separan el esquema del nombre del host de la ruta de la URL. La barra diagonal (binario 00101111) puede, con la
alteracin de un carcter, convertirse en la letra o (binario 01101111) y viceversa.
52
Prevencin de ataques de bitsquatting: creacin de una zona RPZ (zona de polticas de respuesta) de dominios
confusamente similares
Las dos tcnicas de mitigacin que se han utilizado comnmente para prevenir los ataques de bitsquatting tienen su
lugar en el arsenal de seguridad, pero ninguno de esos mtodos es ptimo:
Uso de memoria de correccin de errores (ECC): toda la base de dispositivos instalados debera cambiar de
versin simultneamente en todo el mundo para que esta solucin fuera eficaz.
Registro del dominio confusamente similar para que un tercero no pueda registrarlo: esto no siempre es posible,
debido a que muchos de los dominios populares confusamente similares ya se han registrado. Segn la longitud
del nombre de dominio, esto puede, adems, ser costoso.
La buena noticia es que estas tcnicas de mitigacin no son las nicas que puede implementar un profesional de
seguridad para proteger a los usuarios del mal redireccionamiento accidental del trfico de Internet. Si se adoptan de
manera suficiente, las nuevas tcnicas de mitigacin podran eliminar el problema de bitsquatting casi por completo.
Por ejemplo, las zonas de polticas de respuesta (RPZ) han sido una opcin de configuracin desde la versin
9.8.1 de BIND, y existen parches para las versiones anteriores de BIND. (BIND es un software de DNS ampliamente
utilizado en Internet). Las zonas RPZ son archivos de zonas locales que permiten al solucionador de DNS responder
a solicitudes especficas de DNS mediante el mensaje de que el nombre de dominio no existe (NXDOMAIN), el
redireccionamiento del usuario a un jardn vallado (una plataforma cerrada) u otras posibilidades.
Para mitigar los efectos de errores de un solo bit en el caso de usuarios de un solucionador de DNS, el administrador
del solucionador puede crear una zona RPZ que proteja contra dominios confusamente similares de nombres de
dominio frecuentemente resueltos o solo internos. Por ejemplo, se puede configurar la zona RPZ para que cada
solicitud que se hace al solucionador de DNS para variantes confusamente similares de estos dominios obtengan una
respuesta NXDOMAIN, que corrija los errores de bits automticamente sin intervencin del cliente que experimenta
el error.24
53
Sector
Los investigadores de Cisco SIO elevan la conversacin acerca
de las tendencias del sector que se extienden ms all de la
telemetra de Cisco.
54
Sector
Intentos de inicio de sesin

por fuerza bruta, una tctica
preferida para vulnerar sitios web
A pesar de que los intentos de inicio de sesin por fuerza bruta no
son una nueva tctica para los delincuentes informticos, su uso
aument el triple en el primer semestre de 2013.
Durante la investigacin, los investigadores y Cisco TRAC/SIO detectaron un concentrador de
datos utilizado para alimentar esas acciones. Inclua 8,9 millones de combinaciones posibles
de nombres de usuario y contraseas, incluidas contraseas seguras y no solo la variedad de
contrasea123 fciles de vulnerar. Las credenciales de usuario robadas permiten mantener
la lista bien provista, as como a otras como esta.
FIGURA 28
Cmo funcionan los intentos de inicio de sesin por fuerza bruta
El equipo se conecta con el

servidor de comando y control y
descarga un troyano.
El equipo obtiene los nombres

de los sitios objetivo desde el
servidor de comando y control.
El equipo ataca al sitio con

varias vulnerabilidades de
seguridad CMS/intentos de
inicio de sesin de fuerza bruta.
Al completarse satisfactoriamente,
el equipo carga el bot PHP y otros
scripts al sitio web recientemente
comprometido.
Los sitios web afectados

se convierten en rels de
correo no deseado.
Las futuras vctimas reciben

los descargadores y el
ciclo se repite.
55
Sector
[ Los objetivos clave de recientes intentos de inicio de sesin por fuerza bruta son las
plataformas de sistemas de administracin de contenidos (CMS) como WordPress y Joomla.

Los intentos con xito de obtener acceso no autorizado a travs de un CMS proporcionan a
los atacantes la capacidad de cargar puertas traseras de PHP (preprocesador de hypertexto)
y otros scripts maliciosos a los sitios web comprometidos. En algunos casos, la vulnerabilidad
puede permitir a los atacantes encontrar una ruta al servidor de alojamiento, que luego se
puede controlar ] (Figure 28).
Si se tiene en cuenta que hay ms de 67000000 de sitios de WordPress en todo el mundo
(y que los editores utilizan la plataforma para crear blogs, sitios nuevos, sitios de empresas,
revistas, redes sociales, sitios deportivos, entre otros), no es sorprendente
que muchos delincuentes informticos apunten a obtener acceso a
travs de este CMS.25 Drupal, una plataforma de CMS de rpido
crecimiento, tambin ha sido el objetivo de estos delincuentes;
por ejemplo, en mayo, se recomend a los usuarios que
Muchos delincuentes
cambien sus contraseas debido a un acceso no autorizado
informticos centran
[a Drupal] a travs de software de terceros instalado en la
su atencin en obtener
infraestructura del servidor de Drupal.org.26
acceso a travs
Sin embargo no es solo la popularidad de estos sistemas

de CMS.
la que los convierte en objetivos deseables. Muchos de
estos sitios (aunque siguen activos) han sido desatendidos en
gran manera por sus propietarios. Probablemente haya millones
de blogs desatendidos y dominios comprados que permanecen
inactivos; es posible que muchos de ellos sean hoy propiedad de delincuentes
informticos. Los expertos en seguridad de Cisco predicen que el problema solo empeorar a
medida que cada vez ms personas en mercados emergentes de Internet en todo el mundo
creen un blog o un sitio web, solo para luego dejarlos perecer.
Se ha comprobado adems que el uso generalizado de complementos, diseados para
ampliar la funcionalidad de un CMS y potenciar videos, animaciones y juegos, es un
beneficio para las personas malintencionadas que buscan obtener acceso no autorizado a
plataformas como WordPress y Joomla. Muchas vulnerabilidades de CMS que observaron los
investigadores de Cisco en 2013 se pueden retrotraer a complementos escritos en lenguaje
de scripting web PHP mal diseados y sin tener en cuenta la seguridad.
56
AMPLIFICACIN DE DNS:
Tcnicas de mitigacin
[Los ataques iniciados a travs de la
amplificacin de DNS seguirn siendo

una preocupacin en 2014, segn
los expertos en seguridad de Cisco.
El proyecto Open Resolver Project
(openresolverproject.org) informa que,
hasta octubre de 2013, 28000000
de solucionadores abiertos en
Internet representan una amenaza
significativa. (Tenga en cuenta que
el ataque Spamhaus por DDoS de
300Gbps utiliz solamente 30000
solucionadores abiertos).
Si un solucionador es abierto,
significa que no filtra dnde se
envan las respuestas. El DNS usa
el protocolo UDP, que no tiene
estado, es decir que se puede hacer
una solicitud en nombre de otra
persona. Esa persona recibe luego
una cantidad amplificada de trfico.
Es por este motivo que identificar a
los solucionadores abiertos (y tomar
medidas para cerrarlos) es algo con lo
que el sector deber lidiar durante el
prximo tiempo.
Las empresas pueden reducir la
posibilidad de ataques iniciados
mediante amplificacin de DNS
de varias maneras; entre ellas, la
implementacin de la Mejor prctica
actual (BCP) 38 del Grupo de Trabajo
de Ingeniera de Internet (Internet
Engineering Task Force) para evitar
ser el origen de los ataques. En
esta prctica BCP se recomienda
que los proveedores de corriente
arriba de conectividad IP filtren los
Sector
Ataques por DDoS:

lo antiguo vuelve a
ser moderno
Los ataques por denegacin de servicio
distribuido (DDoS), que interrumpen
el trfico hacia y desde sitios web
determinados y que pueden paralizar los
ISP (proveedores de servicios de Internet),
se han incrementado tanto en volumen
como en gravedad.
Debido a que los ataques por DDoS durante mucho tiempo
se han considerado viejas noticias en trminos de tcnicas
de delitos informticos, muchas empresas confiaron en que
las medidas de seguridad que haban implementado podan
brindarles la proteccin adecuada. No obstante, esa confianza
se vio sacudida por ataques por DDoS a gran escala en
2012 y 2013, incluido el ataque conocido como Operation
Ababil, que fue dirigido a varias instituciones financieras y fue
probablemente motivado por cuestiones polticas.27
Los ataques por DDoS deben ser una cuestin de mxima
seguridad para las organizaciones de los sectores pblico y
privado en 2014, comenta John N. Stewart, vicepresidente
snior y jefe de seguridad de Cisco. Se espera que las
campaas futuras sean incluso ms exhaustivas y que duren
perodos prolongados. Las organizaciones, en particular
aquellas que trabajan con sectores o tiene intereses en
sectores que ya son objetivos principales, como el de
servicios financieros y el energtico, deben preguntarse,
podemos ser flexibles frente a un ataque por DDoS?
Un nuevo giro: algunos ataques por DDoS se utilizan
probablemente para esconder otra actividad maliciosa, como
57
Sector
paquetes que ingresan a sus redes

desde clientes de corriente abajo
y que descarten cualquier paquete
que tenga una direccin de origen
que no est asignada a ese cliente.30
La prctica BCP se estableci en
colaboracin con Cisco, que ofrece
pautas para implementar el URPF, es
decir, su implementacin.31
Otra tcnica de mitigacin es la
configuracin de todos los servidores
de DNS autoritativos para que limiten
las tasas. El servidor de nombres
autoritativo, que sirve al dominio
de una empresa, est abierto
generalmente a todas las solicitudes.
El lmite de tasa de respuesta de
DNS (DNS RRL) es una caracterstica
que puede activarse para evitar
que un servidor DNS responda a la
misma consulta de la misma entidad
demasiadas veces; de esta manera,
se protege a la empresa de se la
utilice como un intermediario de
ataques por DDoS. La caracterstica
del DNS RRL se habilita en servidores
DNS y es una manera, para que un
administrador de servidores limite
la eficacia con la que los atacantes
pueden usar un servidor en ataques
de amplificacin. El lmite de tasa de
respuesta DNS es una caracterstica
ms nueva y no es compatible
con todos los servidores DNS; sin
embargo, es compatible con ISC
BIND, un servidor DNS popular.
Asimismo, todos los servidores DNS
recursivos deben configurarse con
una lista de control de acceso (ACL)
de manera que solo respondan a
el fraude por medios electrnicos antes, durante

o despus de una campaa. (Consulte DarkSeoul
en la pgina 58). Estos ataques pueden abrumar al personal
de una entidad bancaria, evitar que se enven notificaciones
de transferencias a los clientes y evitar que los clientes
puedan informar fraudes. Para el momento en que la
institucin se recupera de tal evento, no se puede recuperar
de su prdida financiera. Uno de estos ataques que se
produjo el 24 de diciembre de 2012, estuvo dirigido al sitio
web de una institucin financiera regional de California y
ayud a distraer a los empleados del banco de la toma de
una cuenta en lnea de uno de sus clientes, de la que se
embolsaron ms de USD900000.28
Los conocimientos sobre servidores de alojamiento
malintencionados que se acrecientan rpidamente solo
harn que sea ms fcil para los delincuentes informticos
los ataques por DDoS y los robos a organizaciones
determinadas (consulte Quiebres en un ecosistema frgil
en la pgina 44). Mediante el control de una parte de la
infraestructura de Internet, los actores maliciosos pueden
aprovechar grandes volmenes de ancho de banda, lo que
los coloca en posicin para lanzar cualquier cantidad de
poderosas campaas. Ya est ocurriendo: en agosto de 2013,
el gobierno chino inform que el mayor ataque por DDoS que
tuvo que enfrentar bloque Internet china durante horas.29
Incluso los spammers (fuentes de correo no deseado)
utilizan los ataques por DDoS para derribar organizaciones
a las que consideran un obstculo para su generacin de
ganancias. En marzo de 2013, la organizacin sin fines de
lucro Spamhaus, que rastrea spammers y cre la Lista
de bloqueo Spamhaus, un directorio de direcciones IP
sospechosas, fue el objetivo de un ataque por DDoS que
desactiv temporalmente su sitio web y redujo la velocidad
del trfico de Internet en todo el mundo. Los atacantes
estaban supuestamente afiliados a CyberBunker con base
en Holanda, un proveedor de hosting con condiciones
de uso permisivas, y a STOPhaus, que ha expresado
abiertamente su disconformidad con las actividades de
58
Sector
consultas de los hosts de su propia

red. Una lista ACL mal administrada
puede ser un factor principal en
ataques a DNS, en especial en
grandes servidores con grandes
volmenes de ancho de banda
disponible. Esta tcnica ayuda
adems a reducir las posibilidades de
convertirse en un intermediario en un
ataque por DDoS.
Debido a que existen conversaciones
en el sector de la seguridad acerca
de permitir que los servidores de
nombres autoritativos desactiven el
servicio a entidades que terminan
convirtindose en intermediarios de
ataques por DDoS, las empresas
deben implementar las tcnicas
de mitigacin simples descritas
anteriormente, comenta Gavin
Reid, director de inteligencia contra
amenazas de Cisco.
Para ms informacin sobre las
mejores prcticas de DNS, consulte
Mejores prcticas de DNS,
protecciones de red e identificacin
de ataques: http://www.cisco.com/
web/about/security/intelligence/dnsbcp.html.
Spamhaus. El ataque por DDoS ocurri luego de que el

ampliamente utilizado servicio de Spamhaus incluyera a
CyberBunker en su lista negra. En aparente represalia, los
supuestos spammers intentaron dejar a Spamhaus sin
conexin a travs de un ataque por DDoS.
Este incidente de DDoS utiliz un ataque por amplificacin
de DNS, que explota solucionadores abiertos de DNS que
responden incluso a las consultas fuera de su intervalo IP.
Mediante el envo a un solucionador abierto de una muy
pequea consulta, deliberadamente formada por una
direccin de origen falsificada del destino, los atacantes
pueden provocar una respuesta significativamente mayor que
el objetivo esperado. Luego de que los intentos iniciales de
dejar a Spamhaus sin conexin no tuvieran xito, los atacantes
utilizaron un ataque por amplificacin de DNS dirigido al nivel 1
y a otros proveedores de corriente arriba de Spamhaus.
DarkSeoul
Como se anunci en Ataques por DDoS:
lo antiguo vuelve a ser moderno, el nuevo
enfoque y los conocimientos cada vez
mayores de los delincuentes informticos
acerca de la vulnerabilidad de servidores
de alojamiento solo hace que sea ms
sencillo el lanzamiento de ataques por
DDoS y el robo a organizaciones.
Los investigadores abocados a la seguridad de Cisco
advierten que es probable que campaas futuras de DDoS
sean capaces de crear tanto interrupciones como daos,
incluidas prdidas financieras por robo.
Los ataques dirigidos a DarkSeoul en marzo de 2013
implicaron malware limpiador diseado para destruir los
datos en los discos duros de decenas de miles de equipos
y servidores. Los ataques estaban dirigidos a instituciones
59
Sector
financieras y medios de comunicacin en Corea del Sur, con la carga til configurada para
activarse al mismo tiempo. Sin embargo, el malware limpiador aparentemente es solo una
faceta del ataque. Al mismo tiempo que se lanzaba el malware, se alter el sitio web del
proveedor de red coreano LG U+ y las redes de otras organizaciones objetivo comenzaron a
dejar de funcionar (funcionalidades que no se pueden reproducir en el malware limpiador).32
Algunos creen que los ataques fueron el resultado de una guerra ciberntica llevada a cabo
por Corea del Norte para provocar interrupciones econmicas en Corea del Sur o un acto
de sabotaje provocado por otro pas. Sin embargo, existe la posibilidad de que los ataques
DarkSeoul tuvieran la intencin de ocultar una ganancia financiera.33
Los investigadores abocados a la seguridad todava siguen tratando de entender estos
ataques (y de descubrir quin es el responsable), pero las pruebas indican que los planes de
DarkSeoul podran haberse puesto en marcha en 2011. Durante ese ao, la Oficina Federal
de Investigacin (FBI) de EE.UU. advirti por primera vez sobre la existencia de troyanos
bancarios diseados para ocultar la transferencia fraudulenta de fondos de las cuentas de las
vctimas.34 Ms tarde, en 2012, la empresa de seguridad RSA inform sobre una nueva raza
de delincuentes informticos que construa una campaa sofisticada de troyanos que iniciara
un ataque en un da programado y que intentara retirar dinero de tantas cuentas vulneradas
como fuera posible antes de que los sistemas de seguridad detuvieran sus operaciones.35
Y en la Nochebuena de 2012, ladrones informticos utilizaron un ataque por DDoS como
cubierta mientras robaban a una institucin financiera regional de California.36
Un malware binario identificado en los ataques de DarkSeoul dirigidos a organizaciones de
medios e instituciones financieras es un troyano bancario que apunt especficamente a clientes
de esos mismos bancos coreanos, segn los investigadores de Cisco TRAC/SIO. Ese hecho,
junto con la lnea de tiempo de tendencias de delitos informticos que apunta a DarkSeoul,
indica que ladrones podran haber lanzado la campaa para que simulara ser algo ms.
Ransomware
[ Durante 2013, los atacantes se han alejado cada vez ms

de las infecciones tradicionales de equipos impulsadas
por botnet. Parte de este cambio incluy un mayor uso
de ransomware como la carga til de malware final de
sitios web comprometidos, correo electrnico malicioso y
descargadores troyanos. El ransomware es una categora de
malware que evita el funcionamiento normal de los sistemas
infectados hasta que se paga una suma determinada. ]
Durante 2013, los

atacantes se han
alejado cada vez ms
de las infecciones
tradicionales de
equipos impulsadas
por botnet.
60
Sector
El ransomware ofrece a los atacantes una fuente de ingresos directa y difcil de rastrear sin
la necesidad de usar servicios rentados de intermediarios, como los que proveen los botnets
tradicionales. Los atacantes reflejan las economas legtimas locales que han observado un
aumento significativo de empresas unipersonales como resultado de la prdida de empleo y
la recesin econmica, pero la motivacin de los delincuentes informticos es la prdida de la
disponibilidad de botnet y de kits de explotacin a los que se tiene acceso debido a bloqueos.
En el otoo de 2013, un nuevo tipo de ransomware, denominado CryptoLocker, comenz a
cifrar archivos de las vctimas con una combinacin de pares de claves de 2048bits RSA y
AES-256, que se considera imposible de quebrar. Cuando se activa, CryptoLocker mueve
archivos de la mquina local para incluir tipos de archivos coincidentes en cualquier unidad
asignada grabable. Una vez completada la rutina de cifrado, las vctimas observan una serie de
cuadros de dilogo que proporcionan instrucciones detalladas para el pago del rescate (Figura
29). Aparece adems un temporizador que le indica a la vctima que el pago debe efectuarse en
un perodo especfico (vara de 30 a 100 horas). El cuadro de dilogo tambin advierte que si no
se paga el rescate en el tiempo asignado, se eliminar la clave privada del servidor de comando
y control, en cuyo caso se perdera la posibilidad de descifrar los archivos.
CryptoLocker surgi a mediados de octubre, posiblemente como respuesta a los kits de
explotacin Blackhole y Cool despus del arresto del supuesto autor de esos marcos.
FIGURA 29
Instrucciones de rescate de CryptoLocker
61
Sector
La escasez de personal
calificado en seguridad y la falta
de soluciones
[ La sofisticacin de la tecnologa y las tcticas que utilizan los
delincuentes informticos (y sus intentos continuos de vulnerar la
seguridad de la red y de robar datos) han superado la capacidad
de hacer frente a estas amenazas de los profesionales de TI y
seguridad. La mayora de las organizaciones no tienen el personal
o los sistemas para supervisar sus redes sistemticamente y para
determinar cmo los estn infiltrando. ]
La escasez de personal calificado en seguridad empeora el problema:
aun cuando los presupuestos son generosos, los CISO deben
luchar para contratar personas que tengan habilidades
actualizadas en seguridad. Se prev que para 2014, el
Los CISO deben
sector tendr una escasez de un milln de profesionales
luchar para contratar
en seguridad en todo el mundo. Tambin est en baja la
personas que tengan
cantidad de profesionales en seguridad con habilidades en
datos cientficos (la comprensin y el anlisis de los datos
habilidades actualizadas
de seguridad pueden ayudar a mejorar la alineacin con los
en seguridad.
objetivos comerciales). (Consulte el apndice de la pgina 69,
Las organizaciones de seguridad necesitan cientficos de datos:
herramientas preliminares de anlisis de datos para profesionales
en seguridad).
62
Sector
La nube como nuevo permetro

Como los CISO suelen decir a los expertos en seguridad de Cisco
(consulte la pgina 18), transferir cantidades cada vez mayores
de datos empresariales importantes a la nube es una cuestin de
seguridad en crecimiento.
La revolucin de la nube, comenta Michael Fuhrman, vicepresidente de ingeniera de Cisco,
se compara con el aumento de soluciones basadas en la Web de finales de la dcada de
los noventa.
Este fue un cambio radical en el uso empresarial de la nueva
tecnologa; al mismo tiempo, observamos un aumento en ataques
informticos perpetrados por delincuentes, dice Fuhrman. En
la actualidad, el cambio radical proviene de la nube. Las
empresas no solo alojan muchas de sus aplicaciones crticas
El aumento de la
en la nube, sino que adems utilizan la nube para consumir y
computacin en nube no
analizar informacin empresarial importante.
se puede negar ni parar.
El aumento de la computacin en nube no se puede negar

ni detener. Cisco ha previsto que el trfico de red en la nube
crecer ms del triple para el ao 2017.37
[ Desde 2014 en adelante, los profesionales abocados a la seguridad
pueden esperar que permetros corporativos completos se transfieran a

la nube. Estos permetros de la red han experimentado el proceso de convertirse en mucho
menos definidos en los aos recientes. Sin embargo, con tantas aplicaciones y tantos datos en
la nube, las organizaciones pierden rpidamente la capacidad de observar quin est moviendo
qu cosa dentro y fuera de los lmites de la empresa, y qu acciones realizan los usuarios. ]
Esta transicin a la nube cambia las reglas del juego ya que redefine dnde se almacenan,
se transfieren y se tiene acceso a los datos, adems de crear mayores oportunidades para
los atacantes.
Al temor de ceder el control de los datos a la nube se le suma la falta de informacin sobre
cmo los proveedores de servicios en la nube defienden sus productos de las infracciones
de seguridad. A menudo las organizaciones no hacen demasiadas preguntas acerca de
los contenidos de los acuerdos de nivel de servicio de sus proveedores o sobre con qu
frecuencia los proveedores cambian su software de seguridad de versin o revisan sus
vulnerabilidades.
63
Sector
Las organizaciones deben asegurarse de que los proveedores de servicios en la nube utilizan
las herramientas ms sofisticadas y las estrategias disponibles para frustrar ataques o para
detectar y detenerlos mientras estn en curso. En el caso de los equipos de seguridad de la
informacin, la decisin de avanzar con frecuencia se reduce a una pregunta: Qu controles
debo buscar en un proveedor para confiar en que puede administrar y proteger mis datos?
Por otro lado, los proveedores de servicios en la nube deben luchar para identificar e
implementar un conjunto razonable de controles asignados a una creciente cantidad de
normas internacionales, que se necesitan para abordar un entorno de amenazas cada vez
ms hostil.
Cuando elegimos proveedores para la seguridad y la infraestructura crtica, por lo general,
lo hacemos en funcin de su certificacin tcnica y su reputacin, comenta John N. Stewart,
vicepresidente snior y jefe de seguridad de Cisco. ltimamente, el proceso del proveedor
y el enfoque evolutivo en la seguridad se han convertido tambin en factores cada vez ms
importantes.
Casualmente, las muchas cosas que hacen que la nube sea una amenaza (como la
ubicacin fuera del permetro de la red y el creciente uso de la nube para datos importantes
empresariales) permiten a las organizaciones tomar decisiones de seguridad ms precisas y
prcticamente en tiempo real. Con un trfico mayor movindose en la nube, las soluciones de
seguridad que tambin se basan en la nube pueden analizar rpida y fcilmente este trfico y
aprovechar esta informacin adicional. Asimismo, en el caso de organizaciones ms pequeas
o de aquellas que tienen presupuestos limitados, un servicio en la nube bien protegido y bien
administrado puede ofrecer una mayor proteccin de seguridad que los servidores y firewalls
propios de la empresa.
Cuando elegimos proveedores para la seguridad y la

infraestructura crtica, por lo general, lo hacemos en
funcin de su certificacin tcnica y su reputacin.
ltimamente, el proceso del proveedor y el enfoque
evolutivo en la seguridad se han convertido tambin
en factores cada vez ms importantes.
John N. Stewart, vicepresidente ejecutivo y jefe de seguridad de Cisco.
64
Recomendaciones
Ms organizaciones luchan para consolidar una visin de seguridad
que se sustenta en una estrategia eficaz que utiliza nuevas tecnologas,
simplifica su arquitectura y sus operaciones, y refuerza sus equipos de
seguridad.
65
Recomendaciones
Objetivos para 2014: verificar la

confianza y mejorar la visibilidad
Actualmente, en un entorno en el que el nivel de confianza
asociado a una red o un dispositivo se debe evaluar
dinmicamente, las organizaciones se enfrentan a modelos
fragmentados de seguridad que ofrecen cumplimiento
heterogneo, inteligencia contra amenazas aislada y una
proliferacin de proveedores y productos para administrar.
Las conexiones entre las organizaciones, los datos y los ataques avanzados iniciados por
actores maliciosos son demasiado complejas para que las aborde un solo dispositivo.
Adems, muchas organizaciones carecen de personal de seguridad con conocimientos y
experiencia para ayudar a adaptar sus modelos de seguridad a los desafos (y oportunidades)
que presenta la computacin en la nube, la movilidad y otras nuevas maneras de hacer
negocios que estn impulsadas por los avances tecnolgicos.
En el ltimo ao se han visto organizaciones de todo tipo tratando de comprender cmo
aprovechar la innovacin sin crear nuevas brechas de seguridad o acrecentar las que ya se
conocen. En el 2013, surgi adems el problema de confiar en la vanguardia. Usuarios de
todo tipo tienden actualmente a cuestionar la confianza de la tecnologa en la que se basan
a diario, ya sea en el trabajo como en sus vidas personales. Es por lo tanto ms importante
que nunca antes, que los proveedores de tecnologa ayuden a los clientes a garantizar que
la seguridad sea una prioridad en sus procesos de fabricacin y a estar preparados para
respaldar esas garantas.
[Nos encontramos en una transicin del mercado en la que la confianza importa y los procesos
y la tecnologa deben ser caractersticas integrales del diseo de productos para que un
proveedor pueda satisfacer las necesidades de las amenazas actuales, comenta
John N. Stewart, gerente de seguridad de Cisco. La promesa de una empresa no es
suficiente. Las empresas necesitan verificaciones a travs de productos certificados, procesos
de desarrollo integrados, tecnologa innovadora y prestigio en el sector. Las organizaciones
deben adems lograr que la verificacin de la confianza de los productos tecnolgicos que
utilizan y de los proveedores que los proporcionan sea una prioridad constante. ]
66
Recomendaciones
Mejorar el ajuste entre las operaciones de seguridad y los objetivos comerciales es tambin
una medida importante para fortalecer la seguridad empresarial. En un clima de recursos
limitados y presupuestos ajustados, esta alineacin puede ayudar a que los CISO y otros
ejecutivos de seguridad de la organizacin identifiquen riesgos clave y enfoques de mitigacin
adecuados. Parte de este proceso es la aceptacin del hecho de que no todos los recursos
de la empresa se pueden proteger en todo momento. Es necesario llegar a un acuerdo
sobre lo que es ms importante desde una perspectiva de seguridad informtica, expresa
Gavin Reid, director de inteligencia de amenazas de Cisco. Se trata de un enfoque ms
productivo que esperar encontrar una remedio mgico que pueda solucionarlo todo.
Para hacer frente a los desafos de seguridad actuales, las organizaciones deben examinar
integralmente sus modelos de seguridad y obtener visibilidad en toda la secuencia de los
ataques:
Antes de un ataque: para defender sus redes, las organizaciones deben estar alertas de
lo que incluyen; es decir, dispositivos, sistemas operativos, servicios, aplicaciones y usuarios,

entre otras cosas. Adems, deben implementar controles de acceso, hacer cumplir
las polticas de seguridad y bloquear las aplicaciones y el acceso general a los activos
fundamentales. No obstante, las polticas y los controles son solo una pequea parte de
un panorama ms amplio. Estas medidas pueden ayudar a reducir el rea expuesta al
ataque, pero siempre habr brechas que los atacantes encontrarn y utilizarn para lograr
sus objetivos.
Durante un ataque: las organizaciones deben abordar una amplia gama de vectores de
ataque con soluciones que funcionan cada vez que un ataque se manifiesta, ya sea en
la red, en los terminales, desde dispositivos mviles y en los entornos virtuales. Gracias a
la implementacin de soluciones eficaces, los profesionales de seguridad estarn mejor
posicionados para bloquear amenazas y ayudar a proteger el entorno.
Despus de un ataque: constantemente, muchos ataques se realizan con xito. Esto
significa que las organizaciones deben poner en prctica un plan formal que les permita
determinar el alcance del dao, contener el evento, corregirlo y reanudar el funcionamiento
normal tan pronto como sea posible.
[ Los atacantes y sus herramientas han evolucionado para evadir las defensas tradicionales.
La realidad es que ya no se trata de si los atacantes logran ingresar, sino de cundo,

comenta Marty Roesch, arquitecto de seguridad ejecutivo del Grupo de Seguridad de Cisco.
Para proteger a los usuarios en toda la secuencia del ataque (antes, durante y despus de
un ataque), se necesita un enfoque de seguridad impulsado por la visibilidad y centrado en
las amenazas. ]
67
Recomendaciones
Cmo ayudan los servicios a superar los desafos de seguridad

Con un rea mayor expuesta a los ataques, la creciente proliferacin y sofisticacin de los modelos de ataques,
adems de la cada vez mayor complejidad dentro de la red, muchas organizaciones luchan por consolidar una visin
de seguridad que utilice nuevas tecnologas, simplifique su arquitectura y sus operaciones, y refuerce sus equipos.
La falta de personal calificado en seguridad, como se explic en la pgina 61, complica estas cuestiones. Asimismo,
el sector de la seguridad est innovando de una manera ms rpida de la que las organizaciones pueden adoptar y
poner en funcionamiento estas nuevas herramientas.
Encontrar al personal calificado adecuado para abordar el panorama de seguridad cambiante de manera eficaz
puede ser todo un desafo. Incorporar recursos externos complementarios no solo puede ayudar a reducir costos,
sino tambin a permitir que la empresa libere recursos para que se concentren en sus mayores prioridades.
Refuerzo de puntos dbiles

La prevencin de amenazas es por supuesto primordial para mantener la ciberseguridad. Por este motivo, con ms
delincuentes informticos que cambian su enfoque para vulnerar la infraestructura de Internet en vez de equipos
individuales, los expertos de seguridad de Cisco recomiendan que los ISP y las empresas de hosting tengan un rol
ms activo en trminos de ayudar a proteger la integridad de Internet.
Identificar amenazas difciles de detectar, como DarkLeech y Linux/CDorked (consulte la pgina 46) requiere mucha
ms capacidad de respuesta humana por parte de los proveedores de hosting. Esta capacidad de respuesta
incluye investigar exhaustivamente los informes de los usuarios y tomarlos en serio. Los proveedores deben adems
establecer mejores controles para asegurarse de que puedan verificar la integridad de las instalaciones de sistemas
operativos en sus servidores. Los investigadores de Cisco sostienen que con el malware furtivo, como CDorked, los
equipos de seguridad no hubieran tenido manera de detectar que se haba reemplazado el cdigo binario si no se
hubiera implementado un control para verificar la integridad de la instalacin.
Los sistemas de usuarios individuales son susceptibles de ser vulnerados, obviamente, pero la debilidad de la
cadena comienza por lo general mucho antes de que una amenaza los alcance. Actualmente es mucho ms
frecuente que el ataque suceda en el medio de la cadena; por este motivo, los proveedores deben tener una mayor
consciencia de las posibles amenazas destinadas a la infraestructura de Internet.
68
Apndice
69
Apndice
Las organizaciones de
seguridad necesitan cientficos
de datos
Herramientas preliminares de anlisis de datos para profesionales
en seguridad
Los equipos de jefes de seguridad de Cisco (CSO) estn recopilando una cantidad de datos
sin precedentes y la inteligencia que se obtiene de estos datos es demasiado valiosa como
para no utilizarla. El anlisis de datos relevantes para la seguridad aporta pistas sobre las
actividades de los atacantes y proporciona una informacin que se puede procesar a fin de
frustrar los ataques.
El anlisis de datos no es algo nuevo para los profesionales de seguridad. Existe adems
una expectativa entre los profesionales de seguridad de que los registros se generarn y
etiquetarn. Los pentesters crean un registro de investigacin despus de una evaluacin.
Los diseadores de sistemas operativos implementan subsistemas de
auditoras. Los desarrolladores de aplicaciones disean aplicaciones
que generan registros.
Independientemente de cmo se denominen los registros,
una cosa es cierta: los profesionales de seguridad tienen
gran cantidad de datos y analizar esos datos puede llevar a
importantes descubrimientos.
Si bien el anlisis de datos en s mismo no es una novedad, la
evolucin del panorama de seguridad ha tenido un impacto en
el proceso de anlisis de datos:
Los profesionales
de seguridad tienen
gran cantidad de datos y
analizar esos datos puede
llevar a importantes
descubrimientos.
El simple volumen de datos generados es asombroso.

La frecuencia con la que se necesita el anlisis de datos ad hoc est en aumento.
Los informes estandarizados, si bien son tiles, resultan insuficientes.
70
Apndice
Afortunadamente, la barrera para que los profesionales de seguridad puedan analizar datos,
an en este entorno ms complejo, es baja, y el ecosistema de herramientas de anlisis de
datos es valioso. A continuacin, se incluye una descripcin general de tan solo algunas de
las herramientas gratuitas disponibles que los profesionales pueden usar para empezar a
analizar los datos.
Anlisis de trfico con Wireshark y Scapy

Dos herramientas que se destacan en el anlisis de trfico son Wireshark y Scapy. Para
Wireshark no se necesita presentacin. Scapy es una herramienta basada en Python que se
puede utilizar como un mdulo de Python o de manera interactiva para disear o inspeccionar
trfico.
Los valiosos conjuntos de herramientas de lnea de comando y disectores de protocolo de
Wireshark la hacen indispensable. Por ejemplo, gracias al campo de filtrado de visualizacin
tcp.stream de Wireshark, un archivo pcap que contiene varias secuencias TCP se puede
dividir en archivos ms pequeos, cada uno de los cuales contiene todos los paquetes que
corresponden a una sola secuencia TCP.
En la Figura A1 se muestra este comando que imprime el ndice de la secuencia TCP de los
primeros cinco paquetes TCP en traffic_sample.pcap.
FIGURA A1
Comando tshark para extraer el ndice tcp.stream
tshark -r traffic_sample.pcap -T fields -e tcp.stream tcp | head -n 5
tshark es una de las

herramientas de lnea de
comandos de Wireshark.
tcp.stream se refiere al campo de

ndice de transmisin de filtros de
presentacin TCP.
71
Apndice
Con esta informacin, se puede escribir una secuencia que divida traffic_sample.pcap en
archivos pcap independientes:
$ cat ~/bin/uniq_stream.sh
#!/bin/bash
function getfile_name() {
orig_name=$1
stream=$2

file_name=$(echo $orig_name | cut -d. -f1)
file_name+=-${stream}.pcap

echo ${file_name}
return 0
}
streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr \n )
for x in ${streams}
do

file_name=$(getfile_name ${1} ${x})
echo Creating ${file_name}...
tshark -r ${1} -w $file_name tcp.stream eq ${x}
done
$
La secuencia crea un solo archivo pcap para cada una de las 147 secuencias TCP en
traffic_sample.pcap. Ahora es ms fcil hacer una anlisis ms detallado de cada secuencia
TCP. Tenga en cuenta que los paquetes que no son TCP de traffic_sample.pcap no
aparecern en ninguno de los nuevos archivos pcap:
$ /bin/uniq_stream.sh traffic_sample.pcap
Creating traffic_sample-1.pcap...
72
Apndice
Scapy tiene sus propias fortalezas. Como est desarrollada en Python, se pueden utilizar
todas las caractersticas del lenguaje Python y otras herramientas Python. En el siguiente
fragmento se muestra cmo Scapy hace uso de la sobrecarga de operador de manera que
se puede crear trfico rpida e intuitivamente:
# scapy
>>> dns_query = IP()/UDP()/DNS()
>>> from socket import gethostbyname,gethostname
>>> dns_query[IP].src = gethostbyname(gethostname())
>>> dns_query[IP].dst = 8.8.8.8
>>> import random
>>> random.seed()
>>> dns_query[UDP].sport = random.randint(0, 2**16)
>>> dns_query[DNS].id = random.randint(0, 2**16)
>>> dns_query[DNS].qdcount = 1
>>> dns_query[DNS].qd = DNSQR(qname=www.cisco.com)
>>> scapy.sendrecv.sr1(dns_query)
>>> response = scapy.sendrecv.sr1(dns_query)
Begin emission:
............Finished to send 1 packets.
.*
Received 14 packets, got 1 answers, remaining 0 packets
>>> response[DNS].ar[DNSRR].rdata
64.102.255.44
>>>
En este ejemplo se muestra cmo se pueden armar los paquetes y cmo se puede analizar el
trfico en vivo. Sin embargo, Scapy se puede utilizar para analizar archivos pcap as de simple.
73
Apndice
Anlisis de datos CSV

Los valores delimitados por coma (CSV) son un formato popular para intercambiar datos.
Muchas herramientas (entre ellas, tshark) permiten al usuario exportar datos en formato
CSV. Por lo general, los profesionales de seguridad utilizan programas de hojas de clculo,
como Excel, para analizar los datos CSV. Tambin es posible utilizar herramientas de lnea de
comando, como grep, cut, sed, awk, uniq y sort.
Considere usar csvkit como alternativa. Csvkit ofrece varias utilidades que facilitan el
procesamiento de datos CSV de la lnea de comandos. Examine el siguiente archivo CSV
y observe qu fcil es encontrar todas las lneas que tienen el host tty.example.org en la
columna src:
$ head -n 3 tcp_data.csv
src,srcport,dst,dstport
tty.example.org,51816,vex.example.org,443
vex.example.org,443,tty.example.org,51816
$ csvgrep -n tcp_data.csv

1: src
2: srcport
3: dst
4: dstport
$ csvgrep -c 1 -r tty\.example\.org tcp_data.csv | head -n 5

src,srcport,dst,dstport
tty.example.org,51427,paz.example.org,5222
tty.example.org,51767,bid.example.org,80
74
Apndice
Csvkit incluye un montn de utilidades. Csvstat es particularmente til ya que calcula

automticamente varias estadsticas. Por ejemplo, es fcil calcular la frecuencia de los cinco
hosts src principales:
$ csvstat -c 1 tcp_data.csv
1. src
<type unicode>
Nulls: False
Unique values: 55
5 most frequent values:

tty.example.org: 2866
lad.example.org: 1242
bin.example.org: 531
trw.example.org: 443
met.example.org: 363
Max length: 15
Row count: 6896
Matplotlib, Pandas, IPython y otros

Est disponible un valioso conjunto de herramientas de visualizacin y anlisis de datos
basada en Python. Un lugar fabuloso para conocer estas herramientas es el sitio SciPy
(http://www.scipy.org). Los paquetes Matplotlib, pandas y IPython revisten un inters particular:
Matplotlib permite una visualizacin fcil y flexible.

Pandas ofrece herramientas para manipular y examinar datos sin procesar.
IPython aporta caractersticas al intrprete de Python que facilitan el anlisis interactivo
de datos.
75
Apndice
A continuacin, se muestra cmo los profesionales de seguridad pueden utilizar estas tres
herramientas para disear los principales hosts src en tcp_data.csv:
In [3]: df = read_csv(/Users/shiva/tmp/data_analysis/tcp_data.csv)
In [4]: df
Out[4]:
<class pandas.core.frame.DataFrame>
Int64Index: 6896 entries, 0 to 6895
Data columns (total 4 columns):
src 6896 non-null values
srcport 6896 non-null values
dst 6896 non-null values
dstport 6896 non-null values
dtypes: int64(2), object(2)
In [5]: df[src].value_counts()[0:10]
Out[5]:
tty.example.org 2866
lad.example.org 1242
bin.example.org 531
trw.example.org 443
met.example.org 363
gee.example.org 240
gag.example.org 126
and.example.org 107
cup.example.org 95
chi.example.org 93
dtype: int64
In [6]: df[src].value_counts()[0:10].plot(kind=bar)
Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>
76
Apndice
FIGURA A2
Grfico generado con trazado ()

3000
2500
2000
1500
1000
500
chi.example.org
cup.example.org
and.example.org
gag.example.org
gee.example.org
met.example.org
trw.example.org
bin.example.org
lad.example.org
tty.example.org
El atractivo de pandas reside en la manera en que permite a los usuarios explorar los datos. Por
ejemplo, se requiere muy poco esfuerzo para encontrar la cantidad de srcports nicos que tty.
example.org conecta desde cada dst nico y la combinacin dstport con la que se comunica:

In [229]: tty_df = df[df.src == tty.example.org]
In [230]: num_ports = lambda x: len(set(x))
In [231]: pivot_table(tty_df, rows=[dst,dstport], values=srcport, aggfunc=num_ports)
Out[231]:

dst dstport
add.example.org 80 2
ala.example.org 80 3
and.example.org 80 1
auk.example.org 80 2
bid.example.org 80 1
77
Apndice
Inicio de anlisis de datos

Los ejemplos que aparecen en las pginas anteriores son simplemente una pequea muestra
y no estn a la altura de las herramientas a las que se hace referencia. No obstante, son
suficientes para que los profesionales de seguridad puedan comenzar a hacer un anlisis
significativo de datos.
Los CSO deben lograr que sus profesionales de seguridad cumplan la funcin de cientficos
de datos. Ahondar en los datos disponibles proporcionar informacin que no sera posible
obtener de otra manera. Con el tiempo, se desarrollar la intuicin para reconocer qu
porcin de los datos se debe explorar. Algunas organizaciones pueden incluso descubrir que
pueden beneficiarse de tener cientficos de datos exclusivos en sus equipos.
78
Acerca de
CiscoSIO
79
Acerca de Cisco SIO
Cisco SIO
Administrar y asegurar las redes giles y distribuidas en la
actualidad se ha convertido en un desafo cada vez ms difcil.
Los delincuentes informticos continan explotando la confianza que tienen los usuarios en
las aplicaciones y los dispositivos para consumidores, lo cual incrementa el riesgo para las
empresas y los empleados. La seguridad tradicional, que depende de la disposicin en capas
de los productos y del uso de varios filtros, no es suficiente para defenderse de la ltima
generacin de software malicioso, que se disemina rpidamente, tiene objetivos mundiales y
utiliza mltiples vectores para propagarse.
Cisco se adelanta a las ltimas amenazas por medio de la inteligencia de amenazas en tiempo
real de Cisco Security Intelligence Operations (SIO). Cisco SIO es el ecosistema de seguridad
basado en la nube ms grande del mundo, el que utiliza ms de 75 terabits de fuentes de
datos en vivo provenientes de soluciones de sistema de prevencin de intrusiones (IPS),
firewall, Internet y correo electrnico de Cisco.
Cisco SIO compara y procesa los datos, categoriza las amenazas
automticamente y crea reglas con ms de 200 parmetros.
La seguridad
Los investigadores de seguridad tambin recopilan y
tradicional no es
proporcionan informacin sobre eventos de seguridad que
tienen el potencial de afectar en gran medida las redes, las
suficiente para
aplicaciones y los dispositivos. Las reglas se distribuyen en
defenderse de la ltima
forma dinmica en los dispositivos de seguridad de Cisco
generacin de
implementados cada tres a cinco minutos.
software malicioso.
El equipo de Cisco SIO tambin publica recomendaciones

sobre las mejores prcticas de seguridad y pautas tcticas para
frustrar las amenazas. Cisco se compromete a ofrecer soluciones
de seguridad completas que se integren, que sean oportunas, integrales
y eficaces, para habilitar la seguridad holstica para las empresas en todo el mundo. Gracias a
Cisco, las empresas pueden ahorrar tiempo de investigacin de amenazas y vulnerabilidades
y centrarse ms en adoptar un enfoque proactivo hacia la seguridad.
Si desea ms informacin sobre la inteligencia de aviso temprano, anlisis de amenazas y
vulnerabilidades y soluciones de mitigacin de Cisco comprobadas, visite:
www.cisco.com/go/sio.
80
Notas
1 Para ms informacin sobre la evolucin de cualquiera con cualquiera, consulte The Nexus of Devices, Clouds, and
Applications en el Informe anual de seguridad de 2013 de Cisco: https://www.cisco.com/web/offer/gist_ty2_asset/
Cisco_2013_ASR.pdf.
2 Ibdem.
3
No More Chewy Centers: Introducing The Zero Trust Model Of Information Security de John Kindervag, Forrester,
12 de noviembre de 2012
4 Timeline of Edward Snowdens Revelations, Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timelineedward-snowden-revelations.html.
5 NSA collecting phone records of millions of Verizon customers daily de Glenn Greenwald, The Guardian, 5 de junio de
2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.
6
GCHQ: Government Communications Headquarters, a British intelligence agency.
7 NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say de Barton Gellman y Ashkan
Soltani, 30. de octubre de 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsainfiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e38b74-d89d714ca4dd_story.html.
8 Para ms informacin, consulte Ciclo de vida del desarrollo seguro de Cisco (CSDL): http://www.cisco.com/web/about/
security/cspo/csdl/index.html.
9 Ibdem.

10
11
12
13
14
15
16
17
18
19
20
21
22
23
Cisco define a Internet de Todo como la prxima tendencia del crecimiento espectacular de Internet que vendr de la mano
de la confluencia de personas, procesos, datos y cosas.
Massive Spam and Malware Campaign Following the Boston Tragedy, Cisco Security Blog, 17 de abril de 2013:
http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.
Ibdem.
Ibdem.
Pgina Acerca de del sitio web de Java: http://www.java.com/en/about/.

Conozca ms sobre la evolucin de todo tipo, consulte el Informe anual de seguridad 2013 de Cisco: http://www.cisco.com/
web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.
Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities
de Craig Williams, Cisco Security Blog, 4 de mayo de 2013: http://blogs.cisco.com/security/department-of-labor-wateringhole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.
Watering-Hole Attacks Target Energy Sector de Emmanuel Tacheau, Cisco Security Blog, 18 de septiembre de 2013:
http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.
Apache DarkLeech Compromises de Mary Landesman, Cisco Security Blog, 2 de abril de 2013: http://blogs.cisco.com/
security/apache-DarkLeech-compromises/.
Ongoing malware attack targeting Apache hijacks 20,000 sites de Dan Goodin, Ars Technica, 2 de abril de 2013:
http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.
Linux/CDorked FAQS de Mary Landesman, Cisco Security Blog, 1 de mayo de 2013: http://blogs.cisco.com/security/
linuxcdorked-faqs/.
DarkLeech Apache Attacks Intensify de Matthew J. Schwartz, InformationWeek, 30 de abril de 2013:

http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.
Typosquatting es la prctica de registrar nombres de dominios que difieren en un carcter del nombre de un dominio popular.
Thanks to IoE, the next decade looks positively nutty de Dave Evans, Cisco Platform Blog, 12 de febrero de 2013:
http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.
81
24
Para ms informacin sobre las estrategias de mitigacin de bitsquatting, lea el informe tcnico Cisco, Examining the
Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_
Surface-whitepaper.pdf.
25
26
27
28
29
30
31
32
33
34
35
36
37
WordPress Sites in the World y A Look at Activity Across WordPress.com, WordPress.com:

http://en.wordpress.com/stats/.
Important Security Update: Reset Your Drupal.org Password, Drupal.org, 29 mayo de 2013:
https://drupal.org/news/130529SecurityUpdate.
Puede encontrar un informe detallado de los patrones y cargas tiles de la campaa Operation Ababil en Cisco Event
Response: Distributed Denial of Service Attacks on Financial Institutions: http://www.cisco.com/web/about/security/
intelligence/
ERP-financial-DDoS.html.
DDoS Attack on Bank Hid $900,000 Cyberheist de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
Chinese Internet Hit by Attack Over Weekend de Paul Mozer, China Real Time Report, WSJ.com, 26 de agosto de 2013:
http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.
Fuente: Wikipedia: Ingress Filtering: http://en.wikipedia.org/wiki/Ingress_filtering.
Understanding Unicast Reverse Path Forwarding, sitio web de Cisco: http://www.cisco.com/web/about/security/intelligence/

unicast-rpf.html.
Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack de Sean Gallagher, Ars Technica, 20 de
marzo de 2013: http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-koreancyber-attack/.
Thoughts on DarkSeoul: Data Sharing and Targeted Attackers de Seth Hanford, Cisco Security Blog, 27 de marzo de 2013:
http://blogs.cisco.com/tag/darkseoul/.
Ibdem.
Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks de Mor Ahuvia, RSA, 4 de
octubre de 2012: https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-us-banks/.
DDoS Attack on Bank Hid $900,000 Cyberheist de Brian Krebs, KrebsonSecurity blog, 19 de febrero de 2013:
http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.
Cisco projects data center-cloud traffic to triple by 2017, ZDNet, 15 de octubre de 2013: http://www.zdnet.com/ciscoprojects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.
Sede Central en Amrica

Cisco Systems, Inc.
San Jos, CA
Sede Central en Asia Pacfico

Cisco Systems (EE.UU.) Pte. Ltd.
Singapur
Sede Central en Europa

CiscoSystemsInternational
BVmsterdam,
Pases Bajos
Cisco tiene ms de 200 oficinas en todo el mundo. Las direcciones y los nmeros de telfono y de fax estn disponibles en el sitio
web de Cisco en www.cisco.com/go/offices.
La totalidad del contenido pertenece a Copyright 20112014 Cisco Systems, Inc. Todos los derechos reservados. Este
documento es informacin pblica de Cisco. Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus
filiales en los Estados Unidos y en otros pases. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/
go/trademarks. Las marcas registradas de terceros mencionadas en este documento pertenecen a sus respectivos propietarios. El
uso de la palabra partner no implica la existencia de una asociacin entre Cisco y cualquier otra compaa. (012114 v1)

Informe de Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe de Seguridad

Cargado por

Copyright:

Formatos disponibles

Informe anual de seguridad

Informe anual de seguridad de 2014 de Cisco

En este informe, Cisco ofrece datos y perspectivas de

Informe anual de seguridad de 2014 de Cisco

Informe anual de seguridad de 2014 de Cisco

Contenido del informe

Mayor rea de superficie de ataques

Los ataques contra infraestructura estn dirigidos a

Los actores malintencionados estn usando aplicaciones

Los indicadores de compromiso sugieren que las

penetraciones enla red pueden no detectarse durante

Informe anual de seguridad de 2014 de Cisco

Informe anual de seguridad de 2014 de Cisco

Cmo Cisco evala el panorama de amenazas

16000 millones de solicitudes web inspeccionadas cada da a travs de Cisco Cloud

93000 millones de correos electrnicos inspeccionados cada da por la solucin alojada

200000 direcciones IP evaluadas por da

4500 millones de correos electrnicos bloqueados cada da

Informe anual de seguridad de 2014 de Cisco

Inteligencia contra amenazas....................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Acerca de Cisco SIO...................................................... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Acerca de este documento

Este documento incluye contenido que permite bsquedas y se puede compartir.

Adobe Acrobat versin 7.0 y posteriores

Busque este icono para abrir la funcin de bsqueda en Adobe Acrobat.

[ ] Busque estos iconos para compartir contenido.

Informe anual de seguridad de 2014 de Cisco

Informe anual de seguridad de 2014 de Cisco

Nuevas maneras de hacer

Los dbiles enlaces en la cadena de suministro de tecnologa son

[ Si bien las tendencias como computacin en la nube y movilidad estn reduciendo la

visibilidad y aumentando la complejidad de la seguridad, an as, las

Informe anual de seguridad de 2014 de Cisco

[ Muchos actores en la denominada economa sumergida ahora tambin envan malware de

vigilancia para recopilar informacin acerca de un entorno, incluida la tecnologa de seguridad

Oportunistas no tcnicos/usuarios de Crimeware como servicio

Informe anual de seguridad de 2014 de Cisco

Informe anual de seguridad de 2014 de Cisco

Informe anual de seguridad de 2014 de Cisco

1 | Mayor rea de superficie de ataque

La anatoma de una amenaza moderna

El punto de entrada de infeccin

Informe anual de seguridad de 2014 de Cisco

La anatoma de una amenaza moderna, esbozada en la Figura2, subraya cmo el objetivo

es tener acceso al centro

En vista del rea en expansin de la superficie de ataque

2 | Proliferacin y sofisticacin del modelo de ataque

Dnde residen nuestros datos crticos? y cmo podemos crear

Informe anual de seguridad de 2014 de Cisco

3 | Complejidad de amenazas y soluciones

Se requiere una capacidad continua que proporcione la mejor

Con la complejidad de las amenazas y las soluciones correspondientes que alcanzaron un

Supervisar y analizar archivos continuamente e identificar el subsiguiente

Ayudar a las organizaciones a escalar el cumplimiento de la ley mediante la

expansin de la superficie en la que se pueden colocar los dispositivos de red.

Acelerar el tiempo de deteccin, porque puede ver ms trfico.

Informe anual de seguridad de 2014 de Cisco

Informe anual de seguridad de 2014 de Cisco

Los sistemas confiables proporcionan la base para un

Informe anual de seguridad de 2014 de Cisco

Las tecnologas no se quedan quietas; tampoco los

Informe anual de seguridad de 2014 de Cisco

Contina desde la pgina anterior.

de manera segura con presupuestos