Informe Final de Symantec Abril de 2017

ISTR
Informe sobre Amenazas para la Seguridad en Internet
22
Abril 2017 Volumen
ndice
Introduccin
Sumario ejecutivo
Grandes nmeros
Ataques dirigidos:
Espionaje, subversin y
sabotaje
Correo Electrnico:
Malware, spam y phishing
Ataques web,
toolkits y explotacin de
vulnerabilidades online
Cibercrimen y la economa
clandestina
Ransomware:
Extorsionando a
consumidores y empresas
Nuevas fronteras: IoT,

dispositivos mviles y
amenazas en la nube
ndice
4 Introduccin 35 Kits de Exploit 60 Aumentan los pedidos de rescate
36 Ataques web 60 Vectores de infeccin
6 Sumario ejecutivo
36 Vulnerabilidades del navegador 62 Llega el ransomware como servicio
10 Grandes nmeros 37 Estudio de caso 62 Nuevas tcnicas: ataques dirigidos y
uso de herramientas del da a da
14 Ataques dirigidos: 37 Angler: La ascensin y cada de
un kit de exploit 63 Otras plataformas ahora vulnerables
37 Lectura adicional 63 Operaciones de autoridades legales
sabotaje
37 Mejores prcticas 63 Lectura adicional
15 Introduccin
63 Mejores prcticas
15 Principales conclusiones 38 Cibercrimen y
17 El panorama de los ataques la economa clandestina 64 Nuevas fronteras: El Internet
dirigidos en 2016 39 Introduccin de las Cosas, dispositivos
18 Tendencias y anlisis 39 Principales conclusiones mviles y amenazas en la nube
18 Subversin surge como un nuevo motivo 65 El Internet de las Cosas
para ataques dirigidos
39 Malware
40 Uso de herramientas del da a da: 65 Principales conclusiones
19 Retornan los ataques de sabotaje
PowerShell, macros y ingeniera social 65 Tendencias y anlisis
19 Uso de herramientas del da a da
43 Estudio de caso de Botnet: Necurs 67 Datos por pas
20 Como los atacantes de Shamoon
emplearon tcticas con herramientas del 43 Todo est relacionado al dinero: 67 Contrseas
da a da Malware financiero
44 Incluso Mac 67 La botnet Mirai
21 Espionaje econmico
68 Una historia en evolucin
22 Surgen nuevas amenazas 45 Odinaff y Banswift: El ao del asalto
financiero dirigido 68 Visin futura
22 Lectura adicional
45 Banswift 69 Mejores prcticas
23 Mejores prcticas
46 Odinaff 69 Dispositivos Mviles
24 Correo Electrnico: Malware, 46 Violaciones de datos y 69 Principales conclusiones
spam y phishing la economa clandestina
69 Tendencias de malware de
25 Introduccin 46 Violaciones de datos dispositivos mviles
25 Principales conclusiones 47 Retrospectiva del ao 70 Motivos y tcnicas
48 Causas de violaciones de datos 71 Tasas de malware y grayware
25 Tendencias y anlisis
49 Sectores expuestos
25 Amenaza de Malware 71 Aumento de empaquetadores en
51 Datos por pas tiempo real
26 Phishing
52 Economa Clandestina 72 Vulnerabilidades en dispositivos
27 Fraudes BEC
54 Interferencias y interrupciones mviles
28 Spam permanece estable
54 Avalanche 72 Mejoras en la arquitectura Android
29 Investigaciones/Estudios de casos
54 Bayrob 73 Un sabor amargo para Apple
29 Cambio de tctica
54 Lurk/Angler 73 Mejores prcticas
29 Ice-cold: Tcnicas snowshoe y hailstorm
55 Dyre 74 Nube
30 Ingeniera social experimentada y
comprobada 55 Lectura adicional 74 Principales conclusiones
31 Ingeniera social y nuevas 55 Mejores prcticas 74 Tendencias y anlisis
plataformas de mensajera
56 Ransomware: Extorsionando a 75 Negocios de riesgo
consumidores y empresas 75 El pelirgro del ransomware
32 Mejores prcticas
57 Introduccin 75 IoT y nube: potenciales aliados en
el cibercrimen
33 Ataques web, toolkits y 57 Principales conclusiones
explotacin de vulnerabilidades 76 Uso de herramientas del da a da
57 Tendencias y anlisis
online 59 Investigaciones/Estudios de casos
34 Introduccin 59 Cmo ransomware puede afectar 76 Mejores prcticas
34 Principales conclusiones a los consumidores 77 Crditos
34 Tendencias y anlisis 59 Cmo ransomware puede afectar a las 78 Acerca de Symantec
empresas
34 Evaluacin de vulnerabilidades 78 Ms informacin
ndice
GRFICOS & TABLAS
10 Grandes nmeros 34 Porcentaje de vulnerabilidades que eran 51 Los 10 principales pases por cifra de
crticas identidades robadas
14 Ataques direcionados: 35 Los 10 principales kits de exploit 52 Lista de precios de mercados clandestinos
Espionaje, subversin e sabotaje 36 Ataques web bloqueados por mes 53 El mercado clandestino
15 Lnea del tiempo de incidentes de 36 Clasificacin de los sitios web explotados
ataque dirigidos notables en 2016 con ms frecuencia 56 Ransomware: Extorsionando a
16 Grupos de ataques dirigidos notables 37 Vulnerabilidades del navegador consumidores y empresas
17 Total anual de vulnerabilidades de da cero 57 Promedio de detecciones globales de
38 Cibercrimen y la economa ransomware por da
17 Eleccin presidencial de EE.UU.: Lnea clandestina
del tiempo de los ataques en 2016 58 Detecciones globales de ransomware
39 Variantes nicas de malware detectadas por por mes
18 Vulnerabilidades divulgadas en sistemas de
control industrial
primera vez 58 Detecciones de ransomware por pas
39 Clculo mensual de variantes nicas de 58 Nuevas familias de ransomware
20 Las herramientas ms frecuentes que los malware vistas por primera vez en 2016
atacantes pueden usar de forma indebida 58 Nuevas variantes de ransomware
40 Variantes nicas de malware detectadas
21 Correo electrnico de spear phishing usado 59 Variantes de ransomware por mes
en los ataques al DNC 40 Clculo mensual de variantes nicas de
malware en 2016
59 Infecciones de consumidores x corporativas
59 Infecciones de consumidores x corporativas
24 Correo Electrnico: Malware, 41 Incidencia y tendencias de malware
por mes
spam y phishing 41 Panorama de ataque tpico en 2016 60 Promedio de Pedido de rescate
25 Tasa General de Malware de Correo tuvo las siguientes etapas
Electrnico 61 Principales amenazas de ransomware
42 Detecciones de archivos ejecutables de
26 Tasa Mensual de Malware de Correo JavaScript por mes
Electrnico
64 Nuevas fronteras: El Internet
42 Detecciones de archivos ejecutables de de las Cosas, dispositivos
26 Tasa de Malware de Correo Electrnico macros de Office por mes
por Sector
mviles y amenazas en la nube
42 Cifra de actividad de Bots
26 Tasa de Malware de Correo Electrnico 66 Ataques a cada hora al honeypot de
43 Archivos ejecutables entregados por la IoT por mes
por Tamao de Empresa botnet de spam Necurs
26 Tasa General de Phishing 66 Los 10 principales pases donde se
43 Los 10 principales troyanos financieros
iniciaron los ataques al honeypot IoT
27 Tasa Mensual de Phishing 44 Actividades de troyanos financieros por mes de Symantec
27 Tasa de Phishing por Sector 44 Distribucin de malware para Mac por mes, 67 Las 10 contraseas ms utilizadas para
27 Tasa de Phishing por Tamao de Empresa 2014-2016 intentar ingresar en el honeypot IoT de
28 Fraudes BEC: Lneas frecuentes de asunto 45 Las 10 principales instancias de malware Symantec
bloqueadas en los endpoints del OS X en 68 El rastro de interrupciones de Mirai en 2016
28 Tasa General de Spam
porcentaje de las infecciones totales
28 Tasa Mensual de Spam 70 Cifra total de detecciones por ao de
46 Violaciones de datos, 2014-2016 malware
29 Tasa de Spam por Tamao de Empresa
47 Violaciones de datos por mes, 2014-2016 70 Nmero acumulativo de familias de
29 Tasa de Spam por Sector
47 Identidades robadas por mes, 2014-2016 malware por ao
29 Detecciones de archivos ejecutables por mes
47 Tipos de datos perdidos en violaciones en 70 Variantes de dispositivos mviles por
30 Correos electrnicos bloqueados con 2016 familia
adjuntos WSF 70 Variantes de malware para dispositivos
48 Las 10 principales causas de violaciones de
30 Proceso tpico de infeccin por datos en 2016 mviles por ao
malware enviado por correo 48 Las 10 principales causas de violaciones de 71 Principales amenazas para dispositivos
electrnico datos por identidades robadas en 2016 mviles en 2016
31 Palabras clave usadas en campaas de 49 Los 10 principales sectores que sufrieron 71 Tasas de malware y grayware, 2014-2016
spam de malware violaciones por cifra de incidentes 72 Vulnerabilidades relatadas en
31 Idiomas preferidos usados en campaas 49 Los 10 principales subsectores que sufrieron dispositivos mviles por sistema
de spam violaciones por cifra de incidentes operativo
50 Los 10 principales sectores que sufrieron 72 Porcentaje de malware para dispositivos
33 Ataques web, toolkits y violaciones por cifra de identidades robadas mviles en el campo que es empaquetado
explotacin de vulnerabilidades
50 Los 10 principales subsectores que sufrieron 73 Participacin de mercado de diferentes
online violaciones por cifra de identidades robadas versiones de Android, enero de 2017
34 Sitios web escaneados con vulnerabilidades 51 Los 10 principales pases por cifra de 74 Aplicaciones en la nube ms utilizadas en
violaciones de datos las compaas
Introduccin
00
Seccin
OO Introduccin Pgina 5 ISTR Abril 2017
Symantec cre la red global de recopilacin de Asimismo, Symantec mantiene una de las bases de datos
amenazas civiles ms grande del mundo y una de de vulnerabilidades ms amplia del mundo, actualmente
compuesta por ms de 88.900 vulnerabilidades registradas
las ms completas colecciones de inteligencia sobre
(que abarcan ms de dos dcadas) de 24.560 proveedores que
amenazas a la ciberseguridad a travs de Symantec representan ms de 78.900 productos.
Global Intelligence Network. La Red de Inteligencia
El anlisis de tendencias de malware de spam, phishing y
Global de Symantec rastrea ms de 700.000 correo electrnico es recopilado de una gama de tecnologas de
adversarios globales y registra eventos de 98 millones seguridad de Symantec que procesan ms de 2.000 millones
de sensores de ataque en todo el mundo. de correos electrnicos todos los das, incluyendo: Skeptic,
Symantec Messaging Gateway para Proveedores de Servicios,
Esta red monitorea actividades de amenazas en ms Symantec CloudSOC y Symantec Probe Network.
de 157 pases y territorios a travs de una combinacin Skeptic es la tecnologa heurstica propietaria de Symantec,
de productos, tecnologas y servicios de Symantec, incluida en el producto Symantec Email and Web Security.
incluyendo Symantec Endpoint Protection, Symantec cloud, que filtra ms de 336 millones de correos electrnicos
DeepSight Intelligence, Symantec Managed Security y ms de 2.400 millones de solicitudes en la web todos los das.
Symantec tambin rene informacin sobre phishing a travs
Services, los productos Norton para consumidores y
de una amplia comunidad antifraude, compuesta por empresas,
otras fuentes de datos de terceros, con la generacin de proveedores de seguridad y aliados.
ms de nueve trillones de lneas de datos de seguridad. Symantec Cloud Threat Labs proporciona el anlisis detallado
de amenazas y riesgos con base en la nube, desarrollado usando
datos de la tecnologa de seguridad de Symantec CloudSOC, que
en 2016 protegi ms de 20.000 aplicaciones en la nube, 176
millones de documentos en la nube y 1.300 millones de correos
electrnicos. Symantec CloudSOC es la solucin de CASB (Cloud
Access Security Broker) de la empresa y fue desarrollada para
brindar visibilidad, control y proteccin a aplicaciones y datos
basados en la nube.
Symantec Web Application Firewall & Reverse Proxy realiza el
escaneo diario de 1.000 millones de solicitudes Web que no
haban sido vistas anteriormente.
Symantec Website Security protege desde 2004, 1,4 millones de
servidores web en todo el mundo con 100% de disponibilidad.
La infraestructura de validacin procesa ms de 15.7000
millones de consultas OCSP (Protocolo Online de Status
de Certificados) por da, usadas para obtener el status de
revocacin de certificados digitales X.509 en todo el mundo.
Esos recursos brindan a los analistas de Symantec fuentes
inigualables de datos para identificar, analizar y proporcionar
comentarios actualizados sobre las amenazas emergentes de
ataques, actividades de cdigos maliciosos, phishing y spam. El
resultado es el Informe Anual sobre Amenazas para la Seguridad
en Internet Symantec, que ofrece a las organizaciones,
pequeas empresas y consumidores, informacin fundamental
para proteger sus sistemas de forma eficaz tanto ahora como en
el futuro.
Volver al ndice
Sumario
ejecutivo
01
Seccin
O1 Sumario ejecutivo Pgina 7 ISTR Abril 2017
Los grupos de ataque revelaron nuevos niveles de Ataques dirigidos: Subversin y sabotaje toman cuenta
ambicin en 2016, un ao marcado por ataques de las principales noticias
increbles, incluyendo asaltos virtuales de varios El mundo del ciberespionaje pas por un cambio importante
millones de dlares a bancos, intentos explcitos de hacia actividades ms explcitas, destinadas a desestabilizar y
desorganizar las organizaciones y los pases blanco de ataque.
interrumpir el proceso electoral de EE.UU a travs de
Los ciberataques contra el Partido Demcrata de E.EUU. y la
grupos patrocinados por naciones y algunos de los subsiguiente filtracin de informacin robada fueron uno de los
mayores ataques distribuidos de denegacin de servicio principales puntos de discusin de las elecciones presidenciales
(DDoS ) ya registrados, conducidos por una botnet de en EE.UU. Con la Comunidad de Inteligencia de EE.UU.
dispositivos del Internet de las Cosas (IoT). atribuyendo los ataques a Rusia y concluyendo que la campaa
habra sido juzgada un xito, es posible que esas tcticas se
Si bien los ciberataques lograron causar niveles utilicen nuevamente en esfuerzos para influir la poltica y
sin precedentes de interrupcin de servicios, los sembrar el caos en otros pases.
atacantes frecuentemente usaron herramientas y Los ciberataques que involucran sabotaje han sido
tcticas muy simples para ocasionar un gran impacto. tradicionalmente raros, sin embargo 2016 vio dos olas
separadas de ataques que contenan malware destructivo.
Vulnerabilidades de da cero y malware sofisticado
En enero y nuevamente en diciembre se us en Ucrania el
ahora tienden a ser usados con moderacin y los malware contra objetivos determinados, un malware que borra
delincuentes cada vez ms buscan esconderse en el contenido de discos, tales ataques ocasionaron tambin
reas abiertas. Usan abordajes simples, como correo cortes de energa. Mientras tanto, el troyano Shamoon, que
electrnico de spear phishing y herramientas del da tambin borra el contenido de discos, resurgi tras cuatro aos
a da, empleando cualquier herramienta que consigan de ausencia y fue usado contra varias organizaciones en Arabia
Saudita.
acceder, como software legtimo de administracin de
red y recursos del sistema operativo. El aumento de los ataques disruptivos coincidi con el
descenso de algunas actividades secretas, especficamente
Mirai, la botnet responsable de una ola de ataques el espionaje econmico, robo de propiedad intelectual y
secretos comerciales. Tras un acuerdo en 2015 entre EE.UU.
DDoS, fue compuesta principalmente por ruteadores y
y China, en el que los dos pases prometierom no realizar
cmaras de seguridad infectadas, dispositivos de baja espionaje econmico en el ciberespacio, las detecciones de
potencia y mal protegidos. En manos equivocadas, malware vinculadas a grupos chinos sospechosos de espionaje
incluso los dispositivos y software relativamente disminuyeron considerablemente. Sin embargo, eso no significa
benignos pueden emplearse para causar un efecto que el espionaje econmico haya desaparecido completamente
devastador. y llega en un momento en el que otras formas de ataques
dirigidos, como subversin o ataques financieros de alto nivel
han aumentado.
Asaltos financieros: Los delincuentes centran la

atencin en objetivos ms grandes
Hasta hace poco tiempo, los cibercriminales centraban sus
esfuerzos principalmente en clientes bancarios, invadiendo
cuentas o robando tarjetas de crdito. No obstante, un nuevo
tipo de delincuentes tiene mayores ambiciones y puso como
objetivo los propios bancos, algunas veces intentando robar
millones de dlares en un nico ataque. Grupos como Carbanak
han liderado el camino, demostrando el potencial de este
abordaje al realizar una serie de ataques contra bancos en
EE.UU.
Volver al ndice
O1 Sumario ejecutivo Pgina 8 ISTR Abril 2017
En 2016, otros dos grupos apostaron ms alto lanzando ataques Cuando se ejecutan correctamente los abordajes que utilizan
mucho ms ambiciosos. El grupo Banswift logr robar US$ herramientas del da a da pueden ocasionar infecciones casi
81 millones del Banco Central de Bangladesh, explotando las asintomticas, lo que permite que los atacantes se escondan
debilidades en la seguridad del banco para infiltrarse en su fcilmente.
red y robar sus credenciales SWIFT, permitindole efectuar
transacciones fraudulentas. El correo electrnico resurge como canal de ataque
Otro grupo, conocido como Odinaff, tambin fue descubierto preferido
al ejecutar ataques sofisticados contra bancos y otras En 2016, los correos electrnicos maliciosos fueron el arma
instituciones financieras. El grupo tambin pareca usar principal de varios ciberataques usados por todos, desde grupos
malware para ocultar los registros de mensajes SWIFT de de ciberespionaje patrocinados por naciones hasta pandillas de
clientes, relacionados a transacciones fraudulentas realizadas ransomware que envan masivos correos electrnicos. De cada
por el grupo. 131 correos electrnicos enviados uno era malicioso, la tasa
Mientras que Banswift y Odinaff demostraron poseer ms alta en cinco aos.
competencia tcnica y emplearon tcticas asociadas con grupos La popularidad renovada del correo electrnico se debe a varios
avanzados, grupos mucho menos sofisticados tambin robaron factores. Es un comprobado canal de ataque. No se basa en
grandes sumas de dinero. Los fraudes BEC (Business Email vulnerabilidades, sino que usa un artificio sencillo para atraer a
Compromise), que usan bsicamente correos electrnicos spear- las vctimas a abrir archivos adjuntos, seguir enlaces o revelar
phishing cuidadosamente compuestos, continan causando sus credenciales. Los correos electrnicos de spear phishing,
grandes prdidas; ms de US$ 3.000 millones robados en los tales como correos electrnicos falsificados que instruyen a la
ltimos tres aos. vctima a redefinir su contrasea del Gmail, se usaron en los
ataques electorales de EE.UU.
Uso de herramientas del da a da Los correos electrnicos camuflados como correspondencia de
Atacantes que van desde cibercriminales a grupos patrocinados rutina, de facturas o notificaciones de entrega, fueron el medio
por naciones han comenzado a cambiar sus tcticas, al aplicar preferido para propagar el ransomware. La disponibilidad de
un mayor uso de recursos del sistema operativo, herramientas botnets de spam de fcil contratacin, como Necurs, permiti
listas para uso y servicios en la nube para invadir a sus vctimas. que los grupos de ransomware elaborasen campaas de correo
El caso ms marcante que utiliza herramientas del da a da electrnico masivo en 2016, distribuyendo a diario cientos de
se produjo durante las elecciones de EE.UU. Un simple correo miles de correos electrnicos maliciosos.
electrnico de spear phishing proporcion el acceso a la cuenta
de Gmail del presidente de la campaa de Hillary Clinton, John Ransomware presiona a las vctimas con crecientes
Podesta, sin usar cualquier malware o vulnerabilidades. exigencias
La tctica de uso de herramientas del da a da utiliza los El ransomware contina preocupando a las empresas y a los
recursos disponibles en vez de malware y exploits, y ofrece consumidores, con campaas indiscriminadas que distribuyen
muchas ventajas a los atacantes. Identificar y explotar grandes volmenes de correos electrnicos maliciosos. En
vulnerabilidades de da cero se ha vuelto ms difcil, debido algunos casos, las empresas pueden quedar sobrecargadas
a las mejoras en desarrollo seguro y a los programas de por el gran volumen de correos electrnicos que reciben con
recompensas. Los toolkits de ataques Web han perdido ransomware. Los delincuentes exigen cada vez ms de las
popularidad, posiblemente gracias al esfuerzo necesario para vctimas con el aumento del pedido promedio de rescate en
mantener los exploits actualizados y una infraestructura de 2016 para US$ 1.077, en comparacin con US$ 294 del ao
backend. anterior.
Las poderosas herramientas de script, como PowerShell y Los atacantes perfeccionaron un modelo de negocios que
macros, son recursos estndar del Windows y del Microsoft generalmente utiliza malware escondido en correos electrnicos
Office que pueden facilitar el acceso remoto y descargas de inofensivos, cifrado irrompible y pago de rescate annimo
malware sin usar vulnerabilidades o herramientas maliciosas. empleando criptomonedas. El xito de este modelo de negocio
Aunque existen desde hace casi 20 aos, los macros de Office ha visto un creciente nmero de delincuentes que aprovechan
resurgieron en el panorama de amenazas, ya que los atacantes esta oportunidad. El nmero de nuevas familias descubiertas
emplean tcnicas de ingeniera social y logran fcilmente violar de ransomware en 2016 ms que triplic para 101 y Symantec
las medidas de seguridad que fueron implementadas para registr un aumento del 36% en infecciones por ransomware.
resolver el antiguo problema de los virus de macros.
Volver al ndice
OO Introduccin Pgina 9 ISTR Abril 2017
Nuevas fronteras: IoT y servicios en la nube en

destaque
Si bien los grupos de fraudes financieros y de ransomware
continan representando la principal amenaza para los usuarios
finales, comienzan a surgir otras amenazas. Era apenas una
cuestin de tiempo hasta que los ataques a los dispositivos
deI internet de las cosas comenzaran a ganar popularidad,
y 2016 tuvo el primer gran incidente con el surgimiento de
Mirai, una botnet compuesta por dispositivos deI internet de
las cosas, como ruteadores y cmaras de seguridad. La dbil
seguridad torn a esos dispositivos vctimas fciles para los
delincuentes, que construyeron una botnet grande lo suficiente
para realizar el mayor ataque DDoS ya visto. Symantec verific
un gran incremento, con el doble de intentos de ataques contra
dispositivos del internet de las cosas en el transcurso de 2016 y,
en momentos de pico de actividad, los dispositivos del internet
de las cosas fueron atacados una vez a cada dos minutos.
Varios blancos de ataque de Mirai eran los servicios relacionados
a la nube, como el proveedor DNS Dyn. Esto, juntamente con la
invasin de millones de bases de datos de MongoDB alojadas
en la nube, muestra como los ataques en la nube se han vuelto
realidad y tienden a aumentar
en 2017. La creciente dependencia de los servicios en la
nube debe ser un tema preocupante para las empresas, pues
representan un punto ciego de seguridad. Symantec descubri
que una organizacin comn usaba 928 aplicaciones en la
nube, un aumento en relacin a las 841 en el inicio del ao. Sin
embargo, la mayora de los CIOs cree que sus organizaciones
usan apenas alrededor de 30 o 40 aplicaciones en la nube,
lo que demuestra que puede subestimarse el nivel de riesgo,
dejndolos vulnerables al ataque de amenazas emergentes.
Volver al ndice
Grandes
nmeros
02
Seccin
Violaciones 2014 2015 2016
1.523 1.211 1.209
Total de violaciones
11 13 15
Violaciones con ms
de 10 millones de
identidades expuestas
Total de identidades 1,2B 564M 1,1B

expuestas
Promedio de identidades 805K 466K 927K

expuestas por violacin
En los ltimos 8 aos, ms de 7,1 bilhes milones de

identidades fueron expuestas en violaciones de datos
Amenazas de correo electrnico, malware y bots

2014 2015 2016
60% 53% 53%

Tasa de spam %
1 de cada 1 de cada 1 de cada
965 1.846 2.596
Tasa de phishing
1 de cada 1 de cada 1 de cada
Tasa de Malware de 244 220 131
correo electrnico
275M 355M 357M

Nuevas variantes
de malware
91,9M 98,6M
Nmero de bots
Dispositivos Mviles Nuevas Familias de Malware
para Dispositivos Mviles Android
2014 2015 2016
Nuevas vulnerabilidades TOTAL
2016 290 316 606 46

18
2015 463 89 552 4
2014 178 200

iOS
S Android Nuevas Variantes de Malware
para Dispositivos Mviles Android
12 10 BlackBerry
3.900 3.600
2.200
Web 2014 2015 2016 Promedio de ataques

web bloqueados por da
Porcentaje
de sitios web 76% 78% 76% 2015 2016
escaneados con
vulnerabilidades
Porcentaje 20% 15% 9% 340K
que eram 229K
crticos
Ransomware 2015 2016
340.665 463.841
Nmero de detecciones
101
30 30
Familias de ransomware
US$ 373 US$ 294 US$ 1.077

Valor promedio de rescate
Nube JUL-DIC ENE-JUN JUL-DIC
2015 2016 2016
Nmero promedio
841 928
de aplicaciones en 774
la nube usadas por
organizacin
25% 23% 25%

Porcentaje de datos
ampliamente
compartidos
El Internet de las Cosas

2 minutos:
tiempo necesario
para atacar a un
dispositivo IoT
Velocidad de ataque
Nmero de ataques 9
contra el honeypot 5
de Symantec
por hora
ENE | 2016 DIC | 2016
Ataques dirigidos:
sabotaje
03
Seccin
O3 Ataques direcionados: Espionaje,
subversin e sabotaje Pgina 15 ISTR Abril 2017
Introduccin Principales conclusiones

|| Ataques con fines subversivos, en particular los que se
El panorama de ataques dirigidos cambi
produjeron durante las elecciones en EE.UU., salieron a la
considerablemente en 2016, con varios grupos luz y representaron una nueva forma de ataque de gran
emergiendo de las sombras, participando en ms importancia.
actividades pblicas y polticamente subversivas. El
|| Los ataques dirigidos que involucran malware destructivo
conflicto continuo en Ucrania, las elecciones en EE.UU aumentaron en algunas regiones, como el resurgimiento
y las Olimpiadas se vieron afectados por campaas del malware Shamoon en Medio Oriente y los ataques
destinadas al robo y filtracin de datos para influir la contra objetivos en Ucrania que implicaban al troyano
opinin pblica, creando un ambiente de desconfianza KillDisk.
y posiblemente influenciando los resultados polticos. || En algunos casos, ha disminuido el espionaje econmico,
Debido a estos recientes sucesos y con elecciones como el robo de secretos de negocios o comerciales, una
importantes en 2017 en varios pases es probable que de las formas tradicionales de ataques dirigidos. Las
detecciones de malware de espionaje chino han cado
este tipo de actividades contine. Durante este perodo,
considerablemente, tras un acuerdo mtuo con EE.UU.
los delincuentes perfeccionarn constantemente sus para no poner la propiedad intelectual en la mira. Sin
tcticas, con varios grupos distancindose del malware embargo, el espionaje econmico no ha desaparecido
personalizado y centrando cada vez ms su atencin en definitivamente y la cada de volumen ocurre en un
legtimas herramientas de software para afectar a sus momento en el que han crecido otros tipos de ataques
objetivos, las redes. dirigidos, como sabotaje y subversin.
|| Las vulnerabilidades de da cero se han vuelto menos
importantes y algunos adversarios no dependen ms de
malware, con el uso cada vez mayor de herramientas del
da a da al emplear recursos disponibles, que incluyen
legtimas herramientas administrativas y de prueba de
penetracin para llevar a cabo los ataques.
Lnea del tiempo

de incidentes de ataque dirigidos notables en
Malware destructivo
utilizado en ciberataques
contra centrales
Microsoft corrige
vulnerabilidad de
da cero en el IE que
2016
elctricas en Ucrania se estaba usando en Violacin del po Malware Shamoon, que
Buckeye inicia ataques direcionados Equationexploits y borra el contenido de
campaa contra na Coreia do Sul malware descargados discos, reaparece tras
blancos en Hong Kong online cuatro aos
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
Siete iranes acusados Datos robados del Symantec Divulgacin de datos Interrupciones de
de ciberataques contra Comit del Partido descubre un grupo robados de la Agencia energia en Ucrania,
blancos norteamericanos Demcrata (DNC) de ciberespionaje Mundial de Antidoping sospechosas de
son divulgados (WADA) estar vinculado a
online ciberataques
Volver al ndice
Ataques dirigidos notables

Posible regin de origen: Posible regin de origen:
Sandworm est. 2014 Rusia EEUU est. 2001 Housefly
Pseudnimos / Quedagh, BE2 APT Pseudnimos / Equation
Herramientas, tcticas y Motivos Herramientas, tcticas y Motivos

procedimientos (TTP) Espionaje, sabotaje procedimientos (TTP) Espionaje
Spear phishing, vulnerabilidades, Watering holes, CD-ROMs infectados, claves
ataques de da cero, programas backdoor USB infectadas, vulnerabilidades, ataques de
personalizados, cargas tiles destrutcivas Actividades recIentes da cero, programas de robo de informacin y Actividades recIentes
Vinculadas a ataques backdoor personalizados, programas gusano Sufri violacin en 2016,
destructivos contra con herramientas y exploits
Categoras y regiones objetivo medios de comunicacin Categoras y regiones objetivo que vazaram
Gobiernos, organismos internacionales, y objetivos en el sector de Blancos de inters para atacantes
sector de energa, Europa, EEUU energa en Ucrania patrocinados por naciones

Fritillary est. 2010 Rusia Occidental est. 2011 Strider
Pseudnimos / Cozy Bear, Office Monkeys, EuroAPT, Cozyduke, APT29 Pseudnimos / Remsec
Herramientas, tcticas y Motives Herramientas, tcticas y Motivos

procedimientos (TTP) Espionaje, subversin procedimientos (TTP) Espionaje
Spear phishing, programas Herramienta de vigilancia avanzada
backdoor personalizados
Actividades recIentes
Categoras y regiones objetivo Vinculado a los ataques al Categoras y regiones objetivo Actividades recIentes
Gobiernos, grupos de investigacin, Comit Nacional del Partido Embajadas, compaas areas, Descubierto por Symantec
medios de comunicacin, Europa, EEUU Demcrata (DNC) Rusia, China, Suecia, Blgica en 2016
Possible region of origin: Possible region of origin:

Swallowtail est. 2007 Rusia China est. 2014 Suckfly
Pseudnimos / Fancy Bear, APT28, Tsar Team, Sednit Pseudnimos / Ninguno
Ferramentas, tticas e Motivos Herramientas, tcticas y Motivos

procedimentos (TTP) Espionaje, subversin procedimientos (TTP) Espionaje
Spear phishing, watering holes, dispositivos de Programas backdoor personalizados que
almacenamiento infectados, vulnerabilidades, usan firma con certificados robados
ataques de da cero, programas de robo de
informacin y backdoor personalizados Actividades recIentes Actividades recIentes
Vinculado a los Categoras y regiones objetivo Ataques dirigidos con
Categoras y regiones objetivo ataques a WADA y DNC E-commerce, gobiernos, sectores de mltiples certificados de
Governos, Europa, EEUU tecnologa, salud, financiero, transporte firma robados

Cadelle est. 2012 Irn China est. 2009 Buckeye
Pseudnimos / Ninguno Pseudnimos / APT3, UPS, Gothic Panda, TG-0110

procedimientos (TTP) Espionaje procedimientos (TTP) Espionaje
Programas backdoor personalizados Spear phishing, ataques de da cero,
programas backdoor personalizados
Categoras y regiones objetivo Actividades recIentes Actividades recIentes
Compaas areas, empresas de Vigilancia en blancos de
Categoras y regiones objetivo Cambi la atencinde blancos
Sectores de defensa, militar, medios de de ataque occidentales hacia
telecomunicaciones, ciudadanos ataque nacionales en Irn y comunicacin y educacin, EE UU, Reino
iranes, gobiernos, ONGs organizaciones en Medio Oriente Hong Kong
Unido, Hong Kong

Appleworm est. 2012 Corea del Norte China est. 2006 Tick
Pseudnimos / Lazarus Pseudnimos / Ninguno

procedimientos (TTP) Espionaje, sabotaje, procedimientos (TTP) Espionaje
Spear phishing, ataques DDoS, subversin Spear phishing, watering holes,
borrar contenido de discos, ataques programas backdoor personalizados
de da cero, programas de robo de Actividades recIentes
informacin y backdoor personalizados, Responsable de operaciones
Actividades recIentes
cargas tiles destructivas de interrupcin de servicios
Categoras y regiones objetivo Campaas de larga duracin
en el inicio de 2016.
Tecnologa, transmisin, ingeniera contra blancos de ataque
Categoras y regiones objetivo Relacionado con el grupo
acutica, Japn en Japn
Sector financiero, militar, gobiernos, de ataque del Banco de
entretenimiento, electrnicos Bangladesh
Volver al ndice
El panorama de los ataques dirigidos en 2016 Total anual de vulnerabilidades de da cero

2016 fue un ao excepcionalmente activo para los ataques Las vulnerabilidades de da cero (vulnerabilidades no descubiertas por el
proveedor del software) disminuyeron marginalmente de 4.066 en 2015 para
dirigidos, con increbles incidentes ocurriendo en Europa, 3.986 en 2016.
EE.UU., Asia y Medio Oriente. A medida que el ao avanzaba,
aumentaba el nivel de actividades de gran importancia, con 6.000
incidentes polticamente subversivos dirigidos a Estados 5.000

Unidos y malware destructivo centrado en Arabia Saudita y 4.958
4.000
Ucrania. 4.066 3.986
3.000
Hoy en da, una amplia gama de grupos de ataque dirigidos
est en operacin. Si bien las potencias globales tienen una 2.000
capacidad de larga data para llevar a cabo una variedad de 1.000
ciberoperaciones, las potencias regionales tambin migraron

al ciberespacio con sus propias operaciones de ciberespionaje 2014 2015 2016
dirigidas a los pases rivales y a los grupos internos de oposicin.

El grfico de grupos de ataques dirigidos importantes lista los Ediciones anteriores del Informe sobre Amenazas para
10 grupos ms significativos y activos en 2016 y que estn la Seguridad en Internet se centraron en el nmero de
pblicamente vinculados a naciones. explotaciones de vulnerabilidades de da cero. Este ao, optamos
por analizar la cifra total de vulnerabilidades de da cero, es
decir, las vulnerabilidades no descubiertas por el proveedor
del software. Bajo esta mtrica, las vulnerabilidades de da
cero encontradas en 2016 cayeron ms una vez, disminuyendo
marginalmente de 4.066 para 3.986. Esta estancamiento sugiere
que la creciente popularidad de los programas bug bounty y
una mayor atencin en la seguridad como parte del proceso de
desarrollo de productos pueden reflejar que las vulnerabilidades
de da cero se estn volviendo ms difciles de encontrar para los
delincuentes, forzndolos a alejarse de su uso y ampliar su gama
de tcticas (vea uso de uso de herramientas del da a da abajo).
Eleccin presidencial de EE.UU.: Lnea del tiempo de los ataques en

Publicaciones del Twitter usadas para
reivindicar invasiones fueron divulgadas por
Correos un miembro llamado Guccifer 2.0 y desviar la Dos campaas de
adicionales de spear phishing Un da despus de la eleccin
atencin del pblico de los grupos rusos
El correo electrnico de spear phishing conducidas en EE.UU., se enviaron correos
spear phishing enviado se enviaron Comit de la Campaa de contra grupos de electrnicos de spear phishing
a John Podesta, a cuentas Diputados Demcratas investigacin poltica con asuntos electorales para
presidente de la personales del (DCCC) fue atacado por los y ONGs de estrategia blancos de ataque de alto
campaa presidencial equipo del DNC mismos adversarios por los mismos nivel en el gobiernofederal
Clinton 2016 adversarios norteamericano
MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
DNC identific archivos y WikiLeaks publica aproximadamente Agencias de inteligencia de
malware que lo llevaron 20.000 correos electrnicos de DNC EE.UU. divulgaron un comunicado
a identificar dos grupos para informar que estaban
rusos que supuestamente seguros de que Rusia haba
haban accedido a su red DNC identific el acceso de los liderado los ataques contra los
invasores y afirm haber cerrado y grupos polticos norteamericanos
asegurado su red
El Comit Nacional Demcrata (DNC)
fue comunicado por el FBI que su
infraestructura haba sido violada Primera liberacin de datos robados de DNC
publicados online con uso del BitTorrent
Volver al ndice
El declive en el descubrimiento de ataques de da cero se produce En agosto de 2016, se divulgaron de forma online datos
despus que el mercado clandestino de vulnerabilidades tuvo valiosos vinculados al grupo de ciberespionaje Equation, por
destaque en 2015, seguido de la violacin de Hacking Team. un grupo llamado Shadow Brokers. La fuga de datos contena
Hubo filtracin de mltiples explotaciones de da cero como herramientas y exploits usados por Equation, y el grupo
parte de la violacin, adems de informacin sobre cuanto Shadow Brokers aleg que era una fraccin de lo que se haba
dinero esos exploits estaban generando. obtenido, ofreciendo subastar el resto al mejor postor.
Sin embargo, se produjeron varios casos de vulnerabilidades de La mayora de los archivos difundidos parece tener varios aos,
da cero explotadas en ataques dirigidos en 2016. Por ejemplo, con fechas entre 2010 y 2013. Cmo llegaron a manos del grupo
tras descubrir que una vulnerabilidad de da cero estaba siendo que divulg la informacin, nadie lo sabe. El grupo Shadow
explotada de forma activa, Adobe lanz en octubre un parche Brokers era desconocido antes de este incidente, sin embargo,
para Flash Player. Tres vulnerabilidades en el iOS de Apple, es posible tambin que sea un pseudnimo de otro grupo.
conocidas colectivamente como Trident, fueron divulgadas Debido a que los intentos de Shadow Brokers de vender los
y corregidas en agosto, luego de descubrirse que haban sido datos robados parecan sin conviccin, es probable que difamar
usadas en un ciberataque contra un activista de los derechos al grupo Equation en vez de ganancia monetaria fue el principal
humanos en los Emiratos rabes Unidos. En mayo, Microsoft motivo de la filtracin de datos.
corrigi una vulnerabilidad de da cero del Internet Explorer,
El incidente subversivo ms marcante del ao fue una serie
que fue explotado en ataques dirigidos en Corea del Sur.
de invasiones contra el Partido Demcrata, que se produjo en
el perodo que antecedi a la eleccin presidencial de 2016
Vulnerabilidades divulgadas en sistemas de control
en EE.UU. Una investigacin conjunta de la Comunidad de
industrial
Inteligencia de EE.UU. concluy que dos grupos vinculados a
El nmero de vulnerabilidades descubiertas en sistemas de control industrial
(ICS) cay en relacin a 2015.
los servicios de inteligencia rusos fueron responsables de la
campaa.
250 Los dos grupos eran previamente conocidos por Symantec y
estn activos desde hace varios aos, participando en espionaje
200
200 contra una serie de blancos en EE.UU. y en Europa. Fritillary
150 176 165 (aka APT29 y Cozy Bear) est activo al menos desde 2010 y
era conocido por usar la familia de troyanos Duke contra sus
100
vctimas, como por ejemplo Cozyduke (Trojan.Cozer) y Seaduke
50 (Trojan.Seaduke). Swallowtail (tambin conocido como APT28
y Fancy Bear) est activo desde hace por lo menos 10 aos y
2014 2015 2016 generalmente usa el troyano Sofacy (Infostealer. Sofacy) como
una de sus principales herramientas de malware. Fritillary
es conocido por tener como blanco de ataque a individuos
Del mismo modo, el nmero de vulnerabilidades en sistemas
y compaias de alto nivel en el gobierno, en la poltica
de control industrial (ICS) descubiertas durante 2016 cay en
internacional y en las entidades de investigacin en la Unin
relacin a 2015, y eso brinda ms evidencias que sugieren que
Europea y Estados Unidos, mientras que Swallowtail se dirige
las vulnerabilidades se han vuelto ms difciles de encontrar
principalmente a militares, gobiernos, embajadas y a los
para los atacantes.
equipos de empresas contratadas para la defensa en pases de
Europa Oriental.
Tendencias y anlisis En septiembre, Swallowtail tambin estuvo involucrado en la
filtracin de registros mdicos robados de la Agencia Mundial
La subversin surge como un nuevo motivo para los ataques
de Antidoping (WADA). Tras una invasin, se divulgaron los
dirigidos.
datos relacionados a los atletas olmpicos estadounidenses,
Una de las tendencias que ms llamaron la atencin en 2016
ciclistas britnicos y de otros pases.
fue el destaque de operaciones que intentan influir en eventos
polticos en pases blanco de ataque. Tradicionalmente, los De acuerdo con WADA, Swallowtail fue responsable de la
grupos de ataques dirigidos se concentraban en el espionaje invasin. El grupo adopt la estrategia inusual de crear su
y mantuvieron un perfil discreto para evitar que fuesen propio sitio web (usando el apodo Fancy Bear) para publicar
detectados, sin embargo varios grupos aadieron operaciones los datos robados junto con reivindicaciones que contenan
ms explcitas a su lista en 2016. pruebas de atletas que haban infringido reglas de antidoping.
Volver al ndice
Las invasiones a DNC y a WADA constituyeron un gran cambio una ausencia de cinco aos. Usado por primera vez en ataques
en la tctica de estos grupos, que no se haban involucrado contra el sector de energa en Arabia Saudita en 2012, una nueva
anteriormente en ese tipo de actividad subversiva. El informe variante (W32.Disttrack.B) fue usada contra blancos de ataque
de la comunidad de inteligencia de EE.UU. sobre el robo de en Arabia Saudita en noviembre de 2016 y en enero de 2017.
datos de DNC y subsiguientes divulgaciones pblicas, revel que
En la primera ola de nuevos ataques, el malware fue configurado
formaban parte de una campaa de influencia conducida por el
para lanzar su carga til y borrar el contenido de los discos el
gobierno ruso teniendo como objetivo la eleccin presidencial de
jueves, 17 de noviembre a las 20:45, horario local. La semana
EE.UU en 2016. Tambin concluy que la campaa habra sido
laboral en Arabia Saudita es de domingo a jueves. De ese modo,
vista como un xito en Rusia y que esas actividades posiblemente
el ataque fue coordinado para que se produjese despus de
se usarn para informar futuras operaciones de influencia.
que la mayora del equipo hubiese regresado a sus casas para
Dado el comprobado potencial para sembrar el caos y el fin de semana, en la esperanza de reducir la posibilidad de
confusin, existe una fuerte probabilidad de que esas tcticas descubrirse antes que el dao mximo pudiese ser causado.
puedan emplearse nuevamente en un intento de desestabilizar
El malware Shamoon fue configurado con contraseas que
a otros pases. Francia y Alemania tienen elecciones este ao
parecan haber sido robadas de las empresas vctimas. Esas
y Bruno Kahl, jefe del servicio de inteligencia extranjera en
contraseas probablemente se utilizaron para permitir que el
Alemania, dijo que el mismo tipo de ataques ya ha empezado
malware se propagase por la red de una empresa.
contra Alemania. Existen evidencias de ciberataques que
no tienen otra finalidad sino desencadenar la incertidumbre Es posible que los ataques tuvieran intereses polticos. En los
poltica, dijo Bruno Kahl. Los delincuentes estn interesados ataques de 2012, las computadoras infectadas tuvieron su
en deslegitimar el proceso democrtico, no importa a quien registro maestro de inicializacin borrado y sustituido por
ayude eso posteriormente. una imagen de una bandera en llamas de EE.UU. Los ltimos
ataques usaron una foto del cuerpo de Alan Kurdi, el refugiado
Retornan los ataques de sabotaje sirio de tres aos que se ahog en el Mediterrneo en 2015.
Los ataques de sabotaje resurgieron en 2016, empezando con Los ataques de noviembre eran vinculados a un grupo conocido
una serie de ataques contra Ucrania que involucraba el uso como Greenbug, que fue descubierto por Symantec durante su
de malware que borra el contenido de discos. Los ataques se investigacin sobre los ataques Shamoon. Greenbug tiene como
vincularon a otro grupo, posiblemente ruso, de ciberespionaje vctimas una serie de empresas en Medio Oriente, que incluyen
conocido como Sandworm y contena un troyano altamente empresas en los sectores de aviacin, energa, gobierno, finanzas
destructivo (Trojan. Disakil). Ataques en el fin de 2015 e inicios y educacin. Symantec descubri que Greenbug infect al
de 2016 afectaron a organizaciones de medios de comunicacin menos una computadora administradora perteneciente a una
y al sector de energa en Ucrania, siendo que este ltimo fue empresa que fue posteriormente afectada por Shamoon.
asociado a cortes de energa en el pas.
Los ataques de enero se perpetraron por un grupo conocido
Disakil retorn a fines de 2016, cuando una nueva versin como Timberworm (vea el panel Cmo los grupos de ataque
circul camuflada de ransomware. Se supone que el malware de Shamoon usaron tcticas con herramientas del da a
fue utilizado en una serie de intentos de ataques contra el da). Aunque Greenbug y Timberworm parecan ser grupos
sector financiero en Ucrania. distintos, si ambos estn distribuyendo Shamoon, es probable
La variante fue proyectada para ejecutarse en computadoras que sea hacia una nica entidad.
Linux y, al ejecutarse, las tornaba inutilizables al cifrar
archivos esenciales del sistema operativo. Una vez que el Uso de herramientas del da a da
cifrado termina, se exhibe un mensaje solicitando un rescate de Los grupos de ataque comenzaron a alterar sus tcticas,
222 Bitcoin (aproximadamente US$ 210.000 en el momento de ampliando su gama de herramientas y muchos grupos ya no
los ataques). El pago del rescate no descodificaba los archivos dependen ms del tradicional toolkit de malware para ataque
afectados, siendo que las claves de cifrado generadas en la y vulnerabilidades de da cero. A pesar de que no sea una
computadora infectada no eran guardadas localmente ni en un nueva tcnica, los delincuentes estn usando cada vez ms
servidor de comando y control (C&C). El malware posiblemente herramientas del da a da, recursos del sistema operativo,
fue disfrazado como ransomware, para engaar a las vctimas legtimas herramientas y servicios en la nube para afectar las
y que no investigasen completamente los ataques. redes. Esa tctica puede dificultar la deteccin de ataques, una
vez que es ms difcil detectar el uso malicioso de herramientas
Tambin se produjeron ataques de sabotaje en otras regiones,
legtimas que la presencia de malware.
uno de los ms notables fue el retorno del malware de Shamoon
(W32.Disttrack), que borra el contenido de discos, luego de
Volver al ndice
Las herramientas ms frecuentes que los atacantes pueden

Como los atacantes de Shamoon emplearon tcticas con usar de forma indebida
herramientas del da a da De acuerdo con la telemetra de reputacin de archivos de Symantec,
Un exponente notable del uso de herramientas del da a da en las herramientas legtimas ms vistas que podran haber sido usadas
2016 fue Timberworm, un grupo de ciberespionaje vinculado a la indebidamente por delincuentes en 2016 fueron Mimikatz, PsExec y WCE.
retomada de ataques involucrando el malware destructivo Shamoon
(W32. Disttrack.B). Tras una ausencia de cuatro aos, Shamoon 5
resurgi en noviembre de 2016 con una serie de ataques contra 4,6M

4
vctimas en Arabia Saudita. Dos olas ms de ataques se llevaron a
MILLONES
cabo en noviembre de 2016 y nuevamente en enero de 2017. 3
3,2M
Mientras que los ataques de noviembre estaban vinculados a un 2
grupo conocido como Greenbug, los ataques de enero se lanzaron 2,0M
por Timberworm, un grupo de ciberespionaje responsable de una 1
serie de ataques en todo Medio Oriente.

Mimikatz PsExec WCE
Para distribuir Shamoon, Timberworm primero envi correos
electrnicos de spear phishing a individuos en empresas blanco
de ataque. En algunos casos, los correos electrnicos contenan Segn la telemetra de reputacin de archivos de Symantec,
archivos del Microsoft Word o Excel como adjuntos. En otros, los la herramienta legtima ms ampliamente vista que podra
correos electrnicos contenan enlaces maliciosos, que al hacer clic, haber sido usada indebidamente por delincuentes durante
bajaban los archivos similares del Word o del Excel. 2016 fue Mimikatz (Hacktool.Mimikatz) - una herramienta
Si el archivo fuese abierto, una macro ejecutaba un script del capaz de alterar privilegios, exportar certificados de seguridad
PowerShell que provea el acceso remoto y realizaba reconocimiento y recuperar contraseas del Windows en texto simple -
bsico de la computadora afectada. Si una computadora era de seguido de la Herramienta PsExec de Microsoft Sysinternals
inters, entonces instalaban el malware (Backdoor.Retriever). y Editor de Credenciales del Windows. Dado el gran nmero
de casos y el hecho de que todas las tres herramientas tienen
A partir de ah, los grupos de ataque usaron muchas herramientas
legtimas administrativas y de prueba de penetracin para recorrer usos legtimos (incluso Mimikatz puede usarse para pruebas
la red de la vctima e identificar las computadoras que seran de penetracin), es fcil ver el apelo de esas herramientas
infectadas. Estas incluan: para los cibercriminales, debido a que su uso puede pasar
desapercibido.
|| PsExec, una herramienta para ejecutar los procesos en otros
sistemas a partir del Microsoft Sysinternals. Los scripts maliciosos del PowerShell tambin han sido
ampliamente utilizados en ataques dirigidos, con delincuentes
|| PAExec, una reimplantacin gratuita de PsExec de PowerAdmin
explotando la flexibilidad de la estructura para bajar cargas
|| Netscan, un escner de red IPv4/IPv6 multifuncional tiles, atravesar redes afectadas y realizar reconocimiento.
|| Samdump, una herramienta de hacking que descarga hash de Investigaciones recientes de Symantec han demostrado la
la contrasea del Windows popularidad de PowerShell como una herramienta de ataque.
|| Mimikatz (Hacktool.Mimikatz), una herramienta de hackeo De todos los scripts del PowerShell analizados por sandbox
usada para recopilar credenciales Blue Coat Malware Analysis de Symantec, el 95,4% eran
|| TightVNC, una aplicacin de acceso remoto al escritorio de maliciosos.
trabajo de cdigo abierto Esta prctica recientemente ha sido usada de forma extensiva
|| Plink, una herramienta de conexin de red de lneas de por una serie de grupos. Un caso marcante fue la invasin
comando que soporta comunicaciones cifradas antes mencionada al DNC en la preparacin para las elecciones
|| Rar, utilitario de archivado para compactar archivos antes de presidenciales de EE.UU. Uno de los principales puntos de
la exfiltracin infeccin, de acuerdo con el FBI fue un correo electrnico de
spear phishing enviado a la cuenta de correo electrnico del
Una vez concluida la operacin de reconocimiento, Shamoon (W32. presidente de la campaa, John Podesta, el 19 de marzo de
Disttrack.B) se instalaba en las computadoras preseleccionadas. El 2016. El correo electrnico fue creado para simular que haba
malware fue configurado para disparar su carga til que borraba sido enviado de una cuenta administrativa oficial de Gmail,
el contenido de los discos en un horario programado, en todas las sugiriendo que su correo electrnico haba sido invadido
computadoras invadidas, maximizando el impacto de los ataques.
y orientndolo a redefinir su contrasea. Inclua una URL
acortada que ocultaba una URL maliciosa.
Volver al ndice
Al hacer clic, la vctima era direccionada hacia una pgina falsa de De ah, fueron capaces de usar herramientas nativas del sistema
redefinicin de contrasea, encubierta para parecer una pgina operativo como Qwinsta y Whoami para extraer informacin
legtima de redefinicin de cuentas del Gmail. No se necesitaron sobre el servidor invadido. Tras 20 minutos de invasin inicial,
ningn malware o exploits para ejecutar el ataque. En lugar de el grupo us la herramienta PsExec de Microsoft Sysinternals
ello, se utiliz simple ingeniera social para obtener la contrasea. para propagarse hacia otras dos computadoras en la red de la
vctima.
Correo electrnico de spear phishing usado en los ataques Recientemente otra organizacin hizo uso de esta tctica,
al DNC el grupo con base en China llamado Tick, que ha enfocado
El texto del correo electrnico de spear phishing enviado a John Podesta, el principalmente en empresas japonesas desde hace por lo
presidente de la campaa presidencial Clinton 2016.
menos 10 aos. Campaas recientes del grupo usan correos
electrnicos de spear phishing e invaden sitios web japoneses
para infectar a sus vctimas.
Una de las principales herramientas del Tick es su propio malware
personalizado (Backdoor.Daserf), pero el grupo tambin usa una
variedad de herramientas como Mimikatz, Windows Credential
Editor y GSecdump (Gsecdump), una herramienta de hackeo que
puede usarse para robar hash del Gerenciador de cuentas de
seguridad (SAM), Active Directory y sesiones activas.
Existen tambin instancias de grupos de ataque que utilizan
servicios bsicos en la nube, en vez de servidores de comando
y control para exfiltracin de datos. Por ejemplo, se descubri
que Fritillary, uno de los grupos que atac el DNC, us alrededor
de 200 cuentas Microsoft OneDrive para exfiltrar los datos
robados. El objetivo pareca esconderse en lugares visibles y los
grupos de ataque pueden haber decidido que los datos movidos
hacia OneDrive podran confundirse con una actividad legtima.
Espionaje econmico
En septiembre de 2015, EE.UU. y China llegaron a un acuerdo
en el que ninguno de ellos conducira espionaje econmico en
el ciberespacio. Segn los trminos del acuerdo, los dos pases
concordaron que ningn gobierno conducira o apoyara
conscientemente el robo con ciberherramientas de propiedad
intelectual, incluyendo secretos comerciales u otra informacin
comercial confidencial, con la intencin de ofrecer ventajas
competitivas a empresas o sectores comerciales.
Otro ejemplo de uso de herramientas del da a da es Dada la naturaleza de tales operaciones de espionaje, puede ser
proporcionado por el grupo de ciberespionaje Chafer, que difcil establecer si este acuerdo est funcionando. Sin embargo,
parece tener base en Irn. Uno de sus vectores de ataque es el anlisis de Symantec encontr fuertes evidencias de que hubo
invadir los servidores web, explotando vulnerabilidades una reduccin acentuada en la actividad de grupos probablemente
identificadas a travs de herramientas de verificacin web. En asociados a China desde que el acuerdo fue firmado.
una reciente invasin contra un blanco en Turqua, Symantec
El anlisis de las detecciones de familias de malware usadas
descubri que Chafer utiliz una herramienta de software
por grupos de ciberespionaje, que Symantec cree que tiene
llamada JexBoss para identificar una versin comunitaria
bases en China, brind una visin sobre los niveles de actividad
ms antigua, sin parches de correccin, de JBoss Application
en el transcurso del tiempo. Casi inmediatamente despus
Server perteneciente a la vctima. De ese modo, el grupo
de la firma del acuerdo, el nmero de invasiones disminuy
implant un web shell en el servidor, un script que permite la
considerablemente. Los ndices de invasin continuaron
administracin remota, as como una copia de la herramienta
disminuyendo en los siguientes meses y permanecieron bajos
de software Mimikatz.
en el fin del ao.
Volver al ndice
Asociada a esa tendencia, algunos especficos grupos chinos Lectura adicional

tambin exhibieron cambios en los modelos de sus actividades. || Grupo de ciberespionaje Buckeye cambia su atencin de
Por ejemplo, el grupo Buckeye (aka APT 3 o Gothic Panda) EE.UU. hacia Hong Kong
condujo operaciones de ciberespionaje contra compaas en
EE.UU., Reino Unido y otros pases durante por lo menos cinco || Equation: El grupo secreto de ciberespionaje fue violado?
aos. Sin embargo, el inters del grupo empez a cambiar || Strider: El grupo de ciberespionaje usa Sauron contra las
durante la preparacin del acuerdo entre EE.UU. y China. vctimas
A partir de junio de 2015, el grupo comenz a invadir entidades || Grupo de ciberespionaje Patchwork expande sus blancos
polticas en Hong Kong. En marzo de 2016, Buckeye migr de ataque de gobiernos hacia una amplia gama de
prcticamente todo su inters hacia organizaciones en Hong segmentos
Kong. Si bien no existe ninguna prueba definitiva de que el
|| Grupo de ciberespionaje Tick enfoca esfuerzos en Japn
cambio de inters fue motivado por el acuerdo, fue consistente
con la tendencia general de una reduccin en la actividad de || Taiwn es vctima del nuevo troyano backdoor de
ciberespionaje contra vctimas en otros pases. A pesar de ciberespionaje
que el acuerdo entre EE.UU. y China haya causado un cambio
|| Suckfly: Revelando la vida secreta de sus certificados de
de enfoque para algunos grupos de ciberataques, eso no
firma de cdigo
significa necesariamente que las operaciones hayan parado
completamente. || La Operacin Colaborativa Blockbuster pretende
nuevamente eliminar Lazarus
Surgen nuevas amenazas
|| Malware destructivo Disakil vinculado a la interrupcin
Adems de la actividad constante de los grupos de ataque de energa en Ucrania tambin fue usado contra
conocidos, otras amenazas emergieron de las sombras durante organizaciones de medios de comunicacin
2016. En agosto, Symantec destac un grupo previamente
desconocido llamado Strider, que ha arquitectado ataques || Shamoon: Reaparece y est ms destructivo que antes
contra blancos de ataque seleccionados en Rusia, China, Suecia || Grupo de ciberespionaje Greenbug enfocado en Medio
y Blgica. Oriente, posiblemente relacionado a Shamoon
La principal herramienta del Strider es un troyano furtivo || Shamoon: Ataques destructivos de mltiples etapas
conocido como Remsec (Backdoor.Remsec), que parece ser tan limitados a blancos de ataque especficos
sofisticada, que evaluamos que puede haber sido desarrollada
principalmente para fines de espionaje. Activa desde por lo
menos de 2011, Strider mantuvo un perfil discreto, en parte
porque era altamente selectiva en la eleccin de vctimas,
siendo que Symantec encontr evidencias de infecciones en 36
computadoras, en siete diferentes organizaciones.
Remsec present un alto nivel de competencia tcnica, que
contena una serie de recursos avanzados proyectados para
ayudar a evitar la deteccin. Varios componentes eran en
forma de blobs ejecutables (Binary Large Objects), que son ms
difciles de detectarse por un software antivirus tradicional
basado en firma. Asimismo, gran parte de la funcionalidad
del malware es implantada en la red, lo que significa que
reside apenas en la memoria de una computadora y nunca se
almacena en el disco, tornndola ms difcil de detectarse.
Remsec ilustra los niveles de competencia y recursos que los
grupos patrocinados por naciones pueden aplicar actualmente
para afectar a sus vctimas. A medida que los proveedores
se vuelven ms eficaces en descubrir los grupos de ataques
dirigidos, lo que llev a algunos delincuentes a alejarse de las
herramientas sofisticadas, todava existen algunas operaciones
que estn en un nivel extremadamente avanzado.
Volver al ndice
Mejores prcticas
|| Cntrese en mltiples sistemas de defensa, sobrepuestos
y que tengan sinergia para proteger contra fallas en
puntos nicos en cualquier tecnologa o mtodo de
proteccin. Esto debe incluir la implantacin de firewalls
actualizados regularmente, as como antivirus para
gateway, sistemas de deteccin o proteccin de invasiones
(IPS), identificacin de vulnerabilidades de sitios web con
proteccin contra malware y soluciones de seguridad web
para gateway en toda la red.
|| La explotacin de vulnerabilidades es una tctica
frecuentemente usada por grupos de ataques dirigidos.
Reciba alertas para nuevas vulnerabilidades y amenazas
en plataformas de proveedores y aplique las correcciones
para vulnerabilidades conocidas lo ms rpido posible.
|| Implemente y aplique una poltica de seguridad a travs
de la cual los datos confidenciales son cifrados cuando se
almacenan o se transmiten. Garantice que los datos del
cliente tambin sean cifrados. Eso puede ayudar a mitigar
los daos de potenciales prdidas internas de datos de
una organizacin.
|| Los grupos de ataque frecuentemente usan credenciales
robadas o estndar para invadir una red. Garantice que las
contraseas sean fuertes.
Las contraseas importantes, como las que poseen altos
privilegios, deben contener por lo menos 8-10 caracteres e
incluir una combinacin de letras y nmeros.
Incentive a los usuarios a evitar la reutilizacin de
las mismas contraseas en varios sitios y debe estar
prohibido compartirlas con otras personas. Excluya
credenciales y perfiles no utilizados y limite el nmero de
perfiles creados de nivel administrativo.
|| Instruya a los funcionarios acerca de los peligros de
correos electrnicos de spear phishing, que incluyen
la cautela necesaria para los correos electrnicos de
fuentes desconocidas y abrir archivos adjuntos que no
fueron solicitados. Una solucin completa de proteccin
ayuda en la defensa contra las amenazas enviadas por
correo electrnico, incluyendo Symantec Email Security.
cloud que puede bloquear las amenazas transmitidas por
correo electrnico y Symantec Endpoint Protection, que
puede bloquear malware en los endpoints. La tecnologa
Symantec Messaging Gateway Disarm tambin puede
proteger a las computadoras de amenazas, removiendo
el contenido malicioso de documentos adjuntos incluso
antes de llegar al usuario.
Volver al ndice
Correo Electrnico:
Malware, spam y
phishing
04
Seccin
O4 Correo Electrnico: Malware, spam
y phishing
Pgina 25 ISTR Abril 2017
Introduccin Tendencias y anlisis

Si bien el correo electrnico es una herramienta esencial Los datos recopilados de correo electrnico durante 2016
de comunicacin, tambin es una de las principales fuentes demuestran que el correo electrnico se volvi el principal
de interrupcin de las actividades, para los usuarios finales vector para la propagacin de malware.
y las organizaciones. Esa interrupcin puede ser causada Amenaza de Malware
por correos electrnicos indeseados en la forma de spam
La tendencia ms notable observada hasta 2016 fue el aumento
hasta amenazas ms peligrosas, como la propagacin de
de la tasa de malware por correo electrnico. La tasa aument
ransomware o campaas de spear phishing segmentadas. drsticamente, de 1 de cada 220 correos electrnicos en 2015
Debido a que poco ms de la mitad de todos los correos para 1 de cada 131 correos electrnicos en 2016.
electrnicos (53%) son spam, un porcentaje creciente de
ese spam contiene malware. Ese aumento en malware Tasa General de Malware de Correo Electrnico
transmitido por correo electrnico es motivado en gran 2014 2015 2016
parte por una profesionalizacin de las operaciones de
1 de cada 244 1 de cada 220 1 de cada 131
spam con malware. Los desarrolladores de malware
pueden tercerizar sus campaas de spam para grupos
Ese aumento en el malware va correo electrnico posiblemente
especializados que realizan campaas de spam en gran
puede estar relacionado a la actividad continua durante 2016
volumen. La gran escala de las operaciones de malware de
de grupos enfocados en el envo de malware a travs de correos
correo electrnico indica que los grupos de ataque estn electrnicos masivos, distribuyendo principalmente Locky,
teniendo considerables lucros con esos tipos de ataques y Dridex y TeslaCrypt. Uno de los principales distribuidores de
el correo electrnico posiblemente continuar siendo uno malware es una botnet conocida como Necurs (Backdoor.Necurs).
de los principales medios de ataque en 2017. Necurs es responsable de campaas masivas que propagan
malware a travs de archivos adjuntos de macros JavaScript
Principales conclusiones y Office. Esos archivos ejecutables posteriormente instalan
la carga til final, que en 2016 eran tpicamente amenazas de
|| La tasa de malware en correo electrnico aument
ransomware, como Locky.
considerablemente en 2016. 1 de cada 220 correos
electrnicos enviados contena malware en 2015, para 1 Necurs estuvo inactiva entre el 24 de diciembre de 2016 y el 20
de cada 131 correos electrnicos en 2016. Este aumento de marzo de 2017, reflejando que hubo un descenso significativo
fue causado principalmente por botnets, que se emplean en la tasa de malware de correo electrnico en enero y febrero
para entregar enormes campaas de spam relacionadas de 2017. Si bien no es inusual para los grupos de malware
a amenazas como Locky (Ransom.Locky), Dridex (W32. hacer una pausa durante la Navidad, esas pausas generalmente
Cridex) y TeslaCrypt (Ransom.TeslaCrypt). solamente duran aproximadamente una semana. El motivo
para la suspensin de las operaciones de Necurs permanece un
|| Campaas de spear phishing dirigidas, especialmente misterio, pero el grupo fue capaz de retomar inmediatamente
campaas BEC (Business Email Compromise), en lugar las campaas de envo masivo a su regreso. El 20 de marzo, el da
de campaas de phishing de envo masivo de correos de su retorno, Symantec bloque casi dos millones de correos
electrnicos, son actualmente las favoritas de los electrnicos maliciosos.
delincuentes. Eso se refleja en la disminucin en la tasa de
Dridex es un troyano financiero usado para robar las
phishing, que cay de 1 de cada 1.846 correos electrnicos
credenciales bancarias de usuarios finales. Los grupos de ataque
para 1 de cada 2.596 correos electrnicos.
responsables de Dridex son profesionales que dedican un gran
|| Grandes grupos de amenazas va correo electrnico esfuerzo para refinar continuamente el malware y hacer que
dependen principalmente del uso de archivos ejecutables los correos electrnicos empleados para distribuirlo parezcan
en la primera fase del ataque para instalar su carga legtimos. TeslaCrypt y Locky son instancias de ransomware,
til, normalmente ransomware. A inicios de 2016, los siendo que Locky surgi en febrero de 2016. El ransomware fue
documentos del Office que contenan macros maliciosos uno de los principales temas de ciberseguridad en 2016.
era la forma ms comn de usar el archivo ejecutable en La telemetra mensual recopilada por Symantec mostr
las campaas de spam. Sin embargo, en marzo se produjo un fuerte inicio de ao para el malware enviado va correo
un cambio y, desde entonces, JavaScript downloaders ha electrnico, con cadas acentuadas en abril y junio, momentos
dominado este panorama. en los que se relataron un descenso en las actividades de los
grupos responsables de Locky, Dridex y otros.
Volver al ndice
y phishing
Tasa Mensual de Malware por Correo Electrnico Con excepcin de las ventas al por menor, que vio una
La tasa mensual de malware por correo electrnico muestra cadas acentuadas disminucin en su tasa de malware de correo electrnico (1
en abril y junio, que pueden relacionarse a la actividad de autoridades legales de cada 74 correos electrnicos en 2015 para 1 de cada 135
contra varios grupos de cibercriminales.
correos electrnicos en 2016), cada sector vio un aumento
en el volumen de malware va correo electrnico en 2016.
50
Los aumentos ms considerables fueron en los sectores de
100 Transportes (1 de cada 338 correos electrnicos para 1 de cada
176), Finanzas (1 de cada 310 para 1 de cada 182), y Minera
150
(de 1 de cada 304 para 1 de cada 139). El segmento de salud
1 EN
200 vio un aumento de 1 de cada 396 correos electrnicos para 1

de cada 204.
250
En 2016, el malware de correo electrnico afect a las
300
compaas de todos los tamaos. Sin embargo, las pequeas
y medianas empresas (con 251 a 500 funcionarios) fueron las
ms afectadas, de acuerdo con nuestros nmeros.
Symantec cree que esa cada en las actividades puede estar
asociada a la actividad de autoridades legales, siendo que la
disminucin de las actividades en junio se produjo a seguir del Tasa de Malware de Correo Electrnico por Tamao de
arresto de 50 personas en Rusia, supuestamente vinculadas al Empresa
grupo de fraude bancario Lurk. La tasa ms grande de malware en el trfico de correo electrnico fue en
el grupo de empresas de tamao de 251 a 500, con 1 de cada 95 correos
Sin embargo, esa cada de las actividades fue apenas temporal
electrnicos recibidos que contena malware.
y las campaas de spam de malware retornaron rpidamente
en gran volumen. Campaas que involucraban Dridex y Locky Tamao de la Empresa
Tasa de Malware de Correo
recomenzaron, al tiempo que los incidentes de la familia de Electrnico (1 de cada)
amenazas Kovter (Trojan.Kovter) empezaron a aumentar en 1-250 127

agosto y mantuvieron ese crecimento por el resto del ao. 250-500 95
Para obtener ms informacin acerca de las campaas de
501-1000 139
ransomware enviadas masivamente va correo electrnico,
consulte nuestro captulo sobre Ransomware. 1001-1500 224
1501-2500 104
Tasa de Malware de Correo Electrnico por Sector
Las Ventas al por Mayor y la Agricultura fueron los sectores de la industria +2501 170
clasificados como los ms afectad.
Phishing
Tasa de Malware de Correo
Sector
Electrnico (1 de cada)
En los ltimos aos las tasas de phishing estn en descenso
y cayeron nuevamente en 2016, pasando de 1 de cada 1.846
Establecimientos No Clasificables 103
correos electrnicos para 1 de cada 2.596 correos electrnicos.
Agricultura, Forestal y Pesca 111
Tasa General de Phishing
Comercio Mayorista 111
Servicios 121 2014 2015 2016
Manufactura 130 1 de cada 965 1 de cada 840 1 de cada 2596
Comercio Minorista 135

Hubo una notable cada en octubre, cuando la tasa de phishing
Minera 139 fue de apenas 1 de cada 5.313 correos electrnicos, antes de
Administracin Pblica 141 que la tasa retornase a una figura ms prxima del promedio
de 1 de cada 2.621 correos electrnicos en noviembre.
Transporte & Servicios Pblicos 176
En octubre se produjeron muchos hechos en el mundo de la
Construccin 179 seguridad de la informacin, incluyendo la botnet Mirai que
Finanzas, Seguros y Mercado Inmobiliario 182 gan destaque tras un ataque distribuido de denegacin de
servicio (DDoS) en el proveedor de DNS Dyn, que afect a varios
Volver al ndice
y phishing
sitios web de gran importancia, incluyendo Spotify, Netflix y Tasa de phishing por tamao de empresa
PayPal. Tambin se relat un aumento de la actividad en torno La tasa ms grande de phishing se produjo en el grupo de empresas de tamao
de la familia de amenazas Kovter (Trojan.Kotver). Sin embargo, de 251 a 500 funcionarios, con 1 de cada 2.554 correos electrnicos recibidos
clasificados como intentos de phishing.
no existe ninguna evidencia para que la tasa de phishing haya
cado tan acentuadamente en ese mes. Tamao de la Empresa Tasa de Phishing (1 de cada)
1-250 2897
Tasa mensual de phishing
Las cifras mensuales de la tasa de phishing muestran una cada notable 250-500 2554
en octubre, pero no hubo ninguna evidencia motivo para una cada tan
significativa en ese mes. 501-1000 4023
1001-1500 6640
1.000
1501-2500 2610
2.000
+2501 3323
3.000
1 EN
Sin embargo, spear phishing contina creciendo. Algunos

4.000
casos de gran importancia fueron vistos a lo largo de 2016,
5.000 como el hackeo de los correos electrnicos del presidente de la
campaa de Hillary Clinton, John Podesta, y del exsecretario
6.000
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC de Estado norteamericano Colin Powell, donde se utilizaron
correos electrnicos de phishing.
Es posible que existan innmeras razones responsables de la Fraudes BEC

disminucin de las actividades de phishing. Cada vez ms los Los fraudes BEC, que emplean correos electrnicos de spear
consumidores conocen los peligros de hacer clic en enlaces phishing, tuvieron un creciente destaque en 2016. Tambin
desconocidos o bajar archivos adjuntos sospechosos, lo que conocidos como fraude de CEO o caza a las ballenas, los fraudes
demuestra que es posible que las campaas de phishing BEC son una forma de estafa financiera de baja tecnologa donde
estndar, indiscriminadas y de envo masivo de correo se envan correos electrnicos falsos hacia el equipo financiero
electrnico, se vuelvan menos eficaces para los delincuentes. por estafadores fingiendo ser el CEO o Directores. A seguir, los
estafadores solicitan una gran transferencia de dinero. Esos
Tasa de phishing por sector fraudes pueden ser perjudiciales, pues exigen poco conocimiento
La agricultura fue el sector ms afectado por el phishing en 2016, con 1 de cada tcnico, pero pueden generar grandes recompensas financieras
1.815 correos electrnicos clasificados como intentos de phishing. para los delincuentes y prdidas significativas para las empresas
implicadas. Por ejemplo, a inicios de 2016, una compaa
Sector Tasa de Phishing (1 de cada) aeroespacial austraca despidi a su CEO despus de haber
Agricultura, Forestal y Pesca 1815 perdido casi US $ 50 millones para los fraudes BEC
Finanzas, Seguros y Mercado Inmobiliario 1918

La investigacin de Symantec en el primer semestre de 2016
descubri que ms de 400 empresas son vctimas de fraudes
Minera 2254 BEC todos los das, y que las pequeas y medianas empresas
Administracin Pblica 2329 son las ms afectadas. Estimativas del FBI indican que en los
ltimos tres aos ms de US$ 3.000 millones fueron perdidos
Comercio Minorista 2419
para fraudes BEC, con ms de 22.000 vctimas en todo el mundo.
Establecimientos No Clasificables 2498
La investigacin de Symantec descubri que esos fraudes son
Servicios 3091 una evolucin de los famosos fraudes de correos electrnicos
Manufactura 3171
nigerianos; casi la mitad de las direcciones de correo electrnico
analizados por Symantec tenan direcciones de IP nigerianos.
Comercio Mayorista 4742 Los correos electrnicos enviados de lunes a viernes, siguiendo
Construccin 4917 una semana normal de trabajo y generalmente contenan lneas
de asunto inofensivas, con palabras como Solicitud, Pago,
Transporte & Servicios Pblicos 6176
Urgente, etc.
Volver al ndice
y phishing
Fraudes BEC: Lneas frecuentes de asunto En 2015, el nivel de spam fue el ms bajo visto desde 2003, y
Solicitud fue la palabra clave ms popular usada en las lneas de asunto para mantuvo este porcentaje en 2016. Es posible que esto se deba
los correos electrnicos de fraudes BEC. Este es seguido de Pago (15%) y al crecimiento anteriormente mencionado en ransomware
Urgente (10%).
y campaas ms especficas de spear phishing, tales como
fraudes BEC. La lucratividad de esas campaas puede estar
Solicitud de Transferencia 6%
distanciando a los grupos de ataque de las antiguas campaas
Transferencia de Pago 6%
antispam hacia esos nuevos mtodos.
Solicitud Urgente 6%
Solicitud
25%
SOLICITUD 6% Tasa mensual de spam
La tasa de spam aument ligeramente en el fin de 2016. En noviembre, la tasa
Pedido de Transferencia 8% de spam alcanz el 54,3%, la tasa ms alta vista desde marzo de 2015.
15% Pago
URGENTE 8% 55,0%
Solicitud de Transferencia 9% 10% Urgente 54,5%

5
0
54,0%
5
53,5%
Las tcnicas de los fraudes BEC continan evolucionando para 0
53,0%
asegurar el xito de las estafas. La investigacin de Symantec 5
52,5%
en noviembre revel que, en lugar de pedir una transferencia 0
52,0%
directa de dinero, los estafadores usaban un lenguaje informal 5
51,5%
para verificar si una vctima estaba en su mesa o para encontrar 0
51,0%
ms informacin antes de solicitar el dinero.
Recientemente una nueva tcnica observada por nuestros
investigadores es el secuestro de facturas legtimas enviadas Si bien la tasa general de spam permaneci inmovilizada
por las empresas, para que el nmero de la cuenta sea alterado durante el ao, hubo un aumento en el spam enviado en el
para el del estafador. Algunos casos ya vistos involucraban el ltimo trimestre de 2016. En noviembre, la tasa de spam
ataque de los estafadores al servidor de correo electrnico para alcanz el 54,3%, la tasa ms alta vista desde marzo de 2015.
alterar los detalles de la factura. Otros eran apenas correos Algunos factores influyeron en ese gran aumento. La
electrnicos falsos de factura enviados sin la necesidad de eleccin presidencial de EE.UU., que se llev a cabo a inicios
hackear el servidor de correo electrnico, pero que eran eficaces de noviembre, caus un aumento en el spam relacionado a
desde que fuesen enviados antes de las facturas legtimas. las elecciones. Symantec bloque casi 8 millones de correos
Con la confirmacin de la gran lucratividad de fraudes BEC, es electrnicos relacionados a la eleccin presidencial en el
posible que continen siendo una fuerte tendencia en 2017. perodo de la segunda quincena de septiembre a la primera
quincena de octubre.
Spam permanece estable
Tambin en octubre, dos campaas significativas impactaron
Las tasas de spam permanecieron constantes en un 53% en a los clientes de Symantec. Un ataque de spam con temas
2016, tras una disminucin en los ltimos aos. para adultos que comenz en Espaa impact a los usuarios
Sin embargo, este nmero an demuestra que la mayora de los en Europa, Medio Oriente y frica, una vez que se propag
correos electrnicos corporativos enviados en 2016 eran spam. rpidamente hacia varios diferentes idiomas europeos. La
Generalmente el spam es considerado como cualquier correo segunda campaa, un ataque de snowshoe significativo
electrnico no solicitado que es enviado en masa y, en algunos (vea Panel Ice-cold) envi correos electrnicos relacionados
casos, puede no contener amenazas maliciosas. Los correos a productos y servicios de spam. Los grupos de ataque
electrnicos de spam pueden ser irritantes e indeseados, o enviaban un bajo volumen de correo electrnico para sondear
pueden llevar a sitios web que realizan fraudes de clics. detecciones y abortaban la ejecucin de spam en pocos minutos
si los mensajes fuesen bloqueados.
Tasa general de spam El spam relacionado a Black Friday y a Cyber Monday
La tasa de spam entre 2015 y 2016 permaneci relativamente estable. tambin fue responsable de los elevados volmenes de
spam en noviembre, con una campaa usada para distribuir
2014 2015 2016 ransomware Locky. En diciembre, se report que la tcnica de
60% 53% 53% spam hailstorm estaba siendo usada para distribuir Dridex y
Locky, pero la tasa de spam se mantuvo estable.
Volver al ndice
O4 Correo Electrnico: Malware,
spam y phishing
Los spammers parecen no discriminar cuando se trata del Detecciones de archivos ejecutables por mes
tamao de las empresas que ponen como blanco de ataque. La Los arhivos ejecutables de macros del Office (W97M.Downloader y variantes)
diferencia entre las pequeas empresas, que son los blancos y downloaders JavaScript (JS.Downloader y variantes) son los archivos usados
ms grandes, y las grandes empresas, fue de poco ms del 1%. con ms frecuencia para distribuir malware va correo electrnico. La actividad
de downloaders JavaScript aument en 2016, mientras que los macros del
Tasa de spam por tamao de empresa Office resurgieron en diciembre de 2016.
Se identific una pequea diferencia en relacin al tamao de las empresas que
JS.Downloader W97M.Downloader
fueron vctimas de spam, con la tasa variando entre el 52,6% y 54,2%.
800.000
Tamao de la Empresa Tasa de Spam (%) 700.000
600.000
1-250 54,2
500.000
250-500 53,1 400.000
300.000
501-1000 53,4
200.000
1001-1500 53,2 100.000
1501-2500 52,6 ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
+2501 52,8
Symantec cree que las operaciones de spam con el uso de
Tasa de spam por sector downloaders JavaScript y macros del Office son operadas por
Algunos sectores reciben ms spam que otros, pero el intervalo es de apenas diferentes grupos de cibercriminales. Los grupos de malware
el 8 %. pueden contratar uno (o los dos) canales para entregar sus
amenazas. Si este es el caso, hubo una tendencia de cada de
Sector Tasa de Spam (%)
los grupos de malware que favorecen las operaciones de spam
Construccin 59.5 con downloaders JavaScript en el final de 2016.
Minera 57,1 Si bien la propagacin de archivos ejecutables de macros del
Office ha sido menor a lo largo del ao, Symantec no cree que
Comercio Minorista 54,9
ese vector desaparecer. En realidad, podemos ver que las
Manufactura 54,4 detecciones de W97M.Downloader aumentaron en diciembre, a
Agricultura, Forestal y Pesca 54,0 pesar de que JS.Downloader contine dominando. Esa variacin
podra atribuirse a la campaa de hailstorm mencionada
Establecimientos No Clasificables 53,0
anteriormente (vea el panel abajo) que estaba siendo usada para
Servicios 53,0 distribuir Locky y Dridex, que pueden ser transmitidos a travs
Finanzas, Seguros y Mercado Inmobiliario 52,9 de macros maliciosos en documentos del Word.
Transporte & Servicios Pblicos 52,9
Ice-cold: Tcnicas snowshoe y hailstorm
Comercio Mayorista 52,6 Snowshoe spamming distribuye una amplia carga de spam a travs
Administracin Pblica 51,6 de un conjunto de direcciones IP, para aumentar las oportunidades
de xito. Los spammers que usan la tcnica snowshoe anticipan que
algunos correos electrnicos sern bloqueados por filtros de spam. Sin
Investigaciones/Estudios de casos
embargo, esta tcnica de envo de correos electrnicos a partir de un
Los grupos involucrados en campaas de envo masivo de correo
gran nmero de direcciones IP aumenta las chances de evitar filtros
electrnico continuamente perfeccionan sus tcticas, en un intento
de spam y llegar a la bandeja de entrada de un usuario. Los spammers
de situarse un paso adelante de los sistemas de seguridad de correo snowshoe envan una pequea cantidad de spam de cada direccin IP
electrnico. para que permanezcan desapercibidos.
Cambio de tctica La tcnica de spam hailstorm es una evolucin de la tcnica de
Una tendencia relevante en 2016 fue un cambio en el tipo de spam snowshoe, y ambas existen desde hace muchos aos. El spam
archivo ejecutable usado para entregar algunas de las amenazas Hailstorm tambin se enva usando un gran nmero de direccioness IP
ms prolficas. En el inicio del ao, los documentos del Office con de transmisin, pero las campaas hailstorm se envan en un volumen
macros maliciosos (W97M.Downloader y variantes) eran la forma muy alto en un corto perodo de tiempo. Los spammers Hailstorm
pueden enviar miles de correos electrnicos muy rpidamente y, a
ms popular de archivos ejecutables y eran usados en campaas que
seguir, parar inmediatamente. Algunos ataques de spam hailstorm
distribuan amenazas como Dridex (W32.Cridex). En marzo de 2016,
se producen en un perodo tan corto de tiempo que muchas
ocurri un cambio y el uso de archivos JavaScript (JS.Downloader y
veces terminan antes de que las defensas antispam ms rpidas
variantes) aument significativamente. tradicionalmente consigan actualizar su respuesta a los mismos.
Volver al ndice
spam y phishing
Con la migracin para los downloaders de JavaScript, desde

julio Symantec vio un aumento significativo en el uso de
adjuntos maliciosos de Windows Script File (WSF) (detectados
como JS.Downloader). Los archivos WSF se proyectan para Proceso tpico de infeccin
permitir una mezcla de lenguajes de script dentro de un nico
archivo. Son abiertos y ejecutados por Windows Script Host por malware enviado por
(WSH). Su uso como adjuntos malintencionados puede ser
debido al hecho de que los archivos con la extensin .wsf no son
correo electrnico
bloqueados automticamente por algunos clientes de correo
electrnico y pueden lanzarse como un archivo ejecutable.
En especial, Ransomware fue distribuido empleando esta nueva 01 Correo electrnico
tctica. En el segundo semestre de 2016, Symantec bloque una recibido camuflado FACTURA
serie de grandes campaas de distribucin ds Locky (Ransom. como notificacin
Locky), que involucraba archivos WSF maliciosos. de rutina, ms
comnmente una
Correos electrnicos bloqueados con adjuntos WSF FACTURA o RECIBO
La cifra de correos electrnicos bloqueados que contenan adjuntos WSF
maliciosos aument considerablemente entre junio y septiembre de 2016.
2.500.000
02 Incluye adjunto,
2.000.000 normalmente un
1.500.000
archivo JavaScript
(JS) u Office que
1.000.000 contiene el macro
500.000
malicioso
JUN JUL AGO SEP
03 El adjunto abierto
Ingeniera social experimentada y comprobada ejecuta el script del
Si bien las campaas de spam que distribuyen malware dependen PowerShell para bajar
de una variedad de tcticas, las principales operaciones de spam el malware
de malware normalmente dependen de trucos de ingeniera social.
Las amenazas como ransomware Locky o el troyano financiero
Dridex pueden transmitirse por correos electrnicos camuflados
como confirmaciones de transacciones financieras.
04 Malware bajado normalmente
El anlisis de 623 grandes campaas de spam de malware es un ransomware
registradas por Symantec en 2016 descubri que factura era la
palabra clave usada con ms frecuencia en las lneas de asunto.
Otros trminos financieros, tales como Pedido, Pago, y
Cuenta tambin aparecen en el top 10.
El uso de palabras clave financieras ha sido una caracterstica
constante de las campaas de spam de malware a lo largo del
ao, indicando que los grupos de ataque poseen un alto grado
de xito con esa tctica. Como la mayora de las empresas recibe
diariamente un gran volumen de correos electrnicos legtimos de
clientes y proveedores, los correos electrnicos maliciosos pueden
ser inadvertidamente abiertos si no se bloquean por un software de
seguridad de correo electrnico. A su vez, los consumidores pueden
tambin ser engaados al abrir estos correos electrnicos, por
desconfianza de haber sido cobrados por bienes que no solicitaron.
Volver al ndice
spam y phishing
Palabras clave usadas en campaas de spam de malware Ingeniera social y nuevas plataformas de
Las 10 principales palabras clave observadas en lneas de asunto en las mensajera
principales campaas de spam de malware en 2016.
A medida que las empresas y los consumidores migran
Envo de correo hacia nuevas plataformas de mensajera adems del correo
electrnico 6% electrnico, los invasores probablemente intentarn
Doc 5% aprovechar esas plataformas para fines maliciosos.
Cuenta 6% Factura Cada vez ms las empresas usan herramientas colaborativas,
Fax 6% 26%
tales como Slack, tanto para la comunicacin interna como para
Pago 6%
la interaccin con su cliente. En China, WeChat ha dominado
Pedido 9% 13% Documento el mercado de mensajera, donde ofrece recursos extensivos,
incluso un sistema de pago. Donde las transacciones financieras
Falla en la
Entrega de Correo 12% Scan van, los cibercriminales van atrs. WeChat probablemente
Electrnico 10% servir como un modelo para otras aplicaciones de mensajera.
Facebook Messenger ya aument su atencin en el uso de
Otra tctica frecuente es disfrazar los correos electrnicos bots automatizados para permitir que las marcas consigan
como provenientes de un escner, impresora o dispositivo interactuar en las conversaciones de usuarios.
multifuncional (MFD). Los correos electrnicos que contenan A pesar de que algunas de las tcnicas usadas en correos
las palabras clave Scan, Documento y Fax generalmente electrnicos maliciosos tpicos no sean transferibles hacia
estaban disfrazados como enviados desde estos dispositivos. otras plataformas de mensajeras, el fundamento de las
Una tercera tctica observada en 2016 fue disfrazar campaas campaas de correo electrnico es el uso de la ingeniera
maliciosas de spam como algn tipo de mensaje de falla social. Las lecciones aprendidas con el xito de fraudes y las
de entrega de correo electrnico. El 10% de las principales campaas de correo electrnico posiblemente se aplicarn
campaas de spam analizadas tenan alguna forma de mensaje a las plataformas de mensajera, a medida que se adopten de
de falla de entrega en la lnea de asunto. forma ms amplia por las empresas y los consumidores.
Idiomas preferidos usados en campaas de spam Lectura adicional

El idioma usado en las lneas de asunto en las principales campaas de spam de
|| Dridex: Troyano financiero distribuido de forma agresiva
malware, 2016.
a diario en millones de correos electrnicos de spam
|| Ransomware Locky en la caza agresiva por vctimas
Lnea de asunto vaca 6% || Locky, Dridex y Angler entre los grupos de cibercrimen
Alemn 3% que enfrentan reduccin en sus actividades
Francs 1% || Gran aumento de ataques de correo electrnico usando
Ingls Noruego 1% adjuntos WSF maliciosos
89%
Espaol 0,3% || Necurs: La botnet de envo de correo electrnico masivo
Portugus 0,2% retorna con nueva ola de campaas de spam
La gran mayora (89%) de las principales campaas analizadas

de spam de malware tena lneas de asunto en ingls. El alemn
fue de lejos el segundo lugar, con un 3%, y pequeos porcentajes
de correos electrnicos en francs, noruego, portugus y
espaol. Curiosamente, los grupos de ataque adoptaron
tcticas similares, ms all del idioma, con muchas campaas
en idiomas diferentes del ingls que tambin emplearon un
tema financiero. Por ejemplo, la palabra clave ms utilizada en
las campaas alemanas fue Rechnung, la palabra alemana
para Factura.
Volver al ndice
spam y phishing
Mejores prcticas
|| Una completa solucin de proteccin ayuda a defenderse
contra las amenazas enviadas por correo electrnico.
La solucin Symantec Email Security.cloud puede
bloquear las amenazas generadas por correo electrnico y
Symantec Endpoint Protection puede bloquear el malware
en los endpoints.
|| Excluya cualquier correo electrnico de apariencia
sospechosa que reciba, especialmente si incluyen enlaces
o adjuntos.
|| Desconfe de cualquier adjunto de correo electrnico del
Microsoft Office que aconseje a habilitar macros para
exhibir su contenido. A menos de que est absolutamente
seguro de que este es un correo electrnico genuino de
una fuente confiable, no active macros y, en vez de eso,
excluya inmediatamente el correo electrnico.
|| Mantenga siempre actualizado su software de seguridad
a fin de protegerse contra cualquier nueva variante de
malware.
|| Mantenga su sistema operativo y otros softwares
actualizados. Las actualizaciones de software incluirn
frecuentemente parches para vulnerabilidades de
seguridad recientemente descubiertas que podran ser
explotadas por grupos de ataque.
|| Desconfe de los correos electrnicos que exigen alguna
accin diferente de los procedimientos comunes.
|| Elabore su respuesta con el correo electrnico del
supuesto remitente obtenido directamente de la lista
corporativa de contactos, en lugar de simplemente
hacer clic en el botn Responder, para garantizar que se
eliminen los estafadores de las respuestas.
|| No responda los correos electrnicos sospechosos y no
suministre informacin confidencial.
|| Reporte los correos electrnicos sospechosos u
obviamente falsos a las autoridades competentes.
|| Imponga una poltica eficaz de contraseas a todos sus
funcionarios para garantizar que las contraseas sean
fuertes y alteradas regularmente.
|| Nunca use enlaces en un correo electrnico para
conectarse a un sitio web, a menos de que est seguro
de su genuidad. Digite direcciones URL directamente en
la barra de direcciones para garantizar que se conecte a
un sitio web legtimo y no a uno con una direccin que
simplemente parezca similar.
Volver al ndice
Ataques web, toolkits

y explotacin de
vulnerabilidades online
05
Seccin
O5 Ataques web, toolkits y
explotacin de vulnerabilidades online Pgina 34 ISTR Abril 2017
Introduccin Tendencias y anlisis

A pesar de que ha cado el nmero de ataques web y kits de
En 2016 se produjo un cambio marcante en el
exploits, el porcentaje de sitios verificados que contenan
panorama de ciberseguridad, debido a que hubo una vulnerabilidades permaneci en el mismo nivel alto de los
reduccin de casi un 33% en los ataques web en ltimos aos.
relacin al ao pasado. El cambio involucr la transicin
del uso de kits de exploits como vector primario de Evaluacin de vulnerabilidades
invasiones para correos electrnicos, que ahora es el Nuestros datos revelaron que el 76% de los sitios verificados
contenan vulnerabilidades - el mismo porcentaje de 2014 y
mtodo ms usado por los delincuentes para entregar
apenas un 2% menos que en 2015.
amenazas. Esto es un gran contraste en relacin a
2015, cuando el nmero de ataques web duplic en Sitios web escaneados con vulnerabilidades
relacin al ao anterior. El 76% de los sitios verificados fueron encontrados con vulnerabilidades en
2016, una cada de un 2% en relacin a 2015.
Sin embargio, esa migracin de kits de exploits al
correo electrnico puede que no sea permanente. Los 100%
-1% pts +2% pts -2% pts
delincuentes alternan regularmente entre el correo 80
electrnico y los kits de exploits y es posible que 60 76% 78% 76%

40
continen hacindolo. 20
2014 2015 2016

Principales conclusiones
|| Los ataques Web cayeron un tercio (32%) en relacin al Las vulnerabilidades crticas cayeron un 6% en relacin al
ao pasado. Sin embargo, los ataques web todava son ao pasado. Las vulnerabilidades crticas fueron encontradas
un gran problema, con un promedio de ms de 229.000 en un 9% de los sitios verificados. Eso comparado al 20% en
ataques detectados todos los das en 2016. Ms de tres 2014 y al 15% en 2015, mostrando una tendencia de constante
cuartos (76%) de los sitios web verificados en 2016 descenso en el nmero de sitios con vulnerabilidades crticas.
contenan vulnerabilidades, de las cuales un 9% fueron Una vulnerabilidad crtica es aquella que, si es explotada
consideradas crticas. por los delincuentes, puede permitir que el cdigo malicioso
|| La actividad maliciosa de los kits de exploits cay un sea ejecutado sin la interaccin del usuario, potencialmente
60% en 2016, con nuestra investigacin indicando que resultando en una violacin de datos y mayor riesgo de los
los delincuentes ahora favorecen el correo electrnico visitantes a los sitios afectados.
como un vector primario para invasiones. La reduccin
en los kits de exploits es significativa, pero no representa Porcentaje de vulnerabilidades que eran crticas
necesariamente que la amenaza de los delincuentes est El porcentaje de vulnerabilidades encontradas y consideradas crticas cay
constantemente en los ltimos tres aos y est ahora en un 9%.
disminuyendo, apenas que estn empleando mtodos
diferentes para distribuir las amenazas.
+4% pts -5% pts -6% pts
25%
|| El kit de exploit RIG fue el ms activo a fines de 2016.
20
Fue responsable del 35% de todos los ataques web en 15 20%
diciembre, distribuyendo principalmente Ransom.Cerber. 10 15%
|| En promedio, 2,4 vulnerabilidades en navegadores se
5 9%
descubrieron a cada da en 2016, una ligera cada en 2014 2015 2016
comparacin con 2015, cuando aproximadamente tres
vulnerabilidades en navegadores eran descubiertas todos
los das.
Volver al ndice
Kits de Exploit desaparecimiento. No obstante, el desaparecimiento de Spartan

Sin lugar a dudas, el mayor destaque para las amenazas web en parece ser simplemente un caso de un ciberdelincuente o
2016 fue la cada fenomenal en la actividad de kits de exploits. delincuentes responsables del mismo, decidiendo jubilar el
La deteccin de kits de exploits cay un 60%, con algunas de las kit de exploit. La telemetra de Symantec muestra que Spartan
familias de kits de exploits ms importantes desapareciendo estuvo extremadamente activo hasta el fin de marzo de 2016,
durante el ao. razn por la cual aparece en el top 10 del ao, pero despus
desaparece.
Existen algunas razones que justifican esa cada en la cifra
de deteccin de kits de exploits. Como fue mencionado El desaparecimiento de tantos kits de exploits de destaque
anteriormente y discutido en profundidad en el captulo Correo puede demostrar que no son ms vistos como una opcin
Electrnico: malware, spam & phishing, nuestros datos indican confiable. Los cibercriminales pueden no querer comprar un
que a lo largo de 2016 el correo electrnico se torn el vector kit de exploit como servicio por miedo de que el kit de exploit
de invasin favorito para los atacantes. La tasa de malware de podra simplemente desaparecer de circulacin al cabo de un
correo electrnico aument en 2016, de 1 de cada 220 correos mes.
electrnicos para 1 de cada 131 correos electrnicos. Hubo un aumento en la actividad del kit de exploit RIG en el
El desaparecimiento de muchas familias de kits de exploits a ltimo trimestre del ao, lo que posiblemente est relacionado
lo largo del ao tambin puede observarse, como muestra el con el desaparecimiento de tantas otras familias de kits de
anlisis de nuestros datos mensuales. exploits de destaque. El kit de exploit RIG fue el ms activo
en el final de 2016, y responsable de 35% de todos los ataques
El mayor porcentaje detectado de kits de exploits en 2016,
en diciembre. Estos ataques distribuyeron principalmente el
como en 2015, no posee clasificacin. Esta categora est
ransomware Ransom.Cerber.
compuesta por muchos kits de exploits diferentes, pequeos y
no relacionados, que no se encuadran en la definicin de una
Los 10 principales kits de exploit
familia de kit de exploit conocida.
El kit de exploit Angler fue el ms usado en 2016, y respondi por el 22% de
El kit de exploit Angler continu siendo la familia de kit de todos los ataques web con uso de kits de exploits. No obstante, la actividad del
exploit ms detectada en 2016, dominando la primera mitad Angler cay alrededor de un 30% en junio y continu cayendo a niveles casi
inexistentes en el final del ao. El kit de exploit RIG fue el ms activo en el final
del ao y respondiendo por ms del 50% de toda la actividad de de 2016, y responsable del 35% de todos los ataques en diciembre.
kits de exploits en mayo. Sin embargo, la actividad de Angler
cay alrededor del 30% en junio y sigui cayendo hacia niveles Diferencia de
Clasif. Kit de Exploit 2015 (%) 2016 (%)
casi inexistentes hasta el fin del ao. Porcentaje
Esa cada acentuada en la actividad de Angler coincidi con 1 Sin clasificacin 38,9 37,9 -1,0
el arresto de 50 personas en Rusia, acusadas de participacin
2 Angler 13,3 22,2 8,9
con el grupo de fraude bancario Lurk, y se especula que esa
prisin fue la razn para el desaparecimiento de este kit de 3 Spartan 7,3 11,9 4,6
exploit anteriormente dominante. Para ms informacin, vea 4 RIG 2,0 7,9 5,9
el estudio de caso ms adelante en este captulo.
5 Magnitude 1,1 5,8 4,7
El desaparecimiento de Angler llev a un pico de actividad del
kit de exploit Neutrino en los meses siguientes, con el aumento 6 Neutrino 1,3 5,8 4,5
del 10% en sus actividades en junio, inmediatamente tras la 7 VIP 24,8 3,2 -21,6
cada en la actividad de Angler. Sin embargo, a fin de ao, los
8 Nuclear 4,0 1,6 -2,4
niveles de actividad de Neutrino fueron en gran parte idnticos
a los registados en el inicio del ao. 9 Fiesta 2,5 1,0 -1,5
Nuclear y Spartan son otros dos toolkits que bsicamente 10 G01 Pack 2,2 0,8 -1,4
desaparecieron en 2016. Se estima que una revelacin
sobre el kit de exploit Nuclear que explic mucho acerca
de su funcionamiento, es el factor responsable de su
Volver al ndice
Ataques web Clasificacin de los sitios web explotados con ms

En general, los ataques Web cayeron ms del 30% entre 2015 frecuencia
y 2016. Esta cada puede explicarse por los atacantes que En 2016, los sitios relacionados con negocios y tecnologa fueron los ms
populares para el alojamiento de contenido malicioso y malvertising.
usaron el correo electrnico como vector primario de invasin.
Como fue mencionado anteriormente, el correo electrnico
ofrece una forma ms fcil para que los atacantes distribuyan Categoras de Diferencia de
Clasif. 2015 (%) 2016 (%)
Dominio Porcentaje
malware y, actualmente, tambin es ms confiable. Los kits de
exploit exigen mantener una infraestructura de back-end y son 1 Tecnologa 23,2 20,7 -2,5
simplemente ms trabajosos para los grupos de ataque que
2 Negocios 8,1 11,3 3,2
enviar un correo electrnico.
3 Blogs 7,0 8,6 1,6
No obstante, vale la pena recordar que las amenazas no han
disminuido, sino que los grupos de ataque simplemente usan 4 Alojamiento 0,6 7,2 6,6
tcticas diferentes para distribuir las amenazas.
5 Salud 1,9 5,7 3,8
La telemetra de Symantec muestra que la cada en las amenazas
6 Compras 2,4 4,2 1,8
web fue casi continua en los 12 meses de 2016. Alcanzaron su
nivel ms bajo en septiembre, aumentando ligeramente en 7 Educativo 4,0 4,1 < 0,1
octubre y noviembre, antes de caer nuevamente en diciembre.
8 Entretenimiento 2,6 4,0 1,4
Ataques web bloqueados por mes 9 Viajes 1,5 3,6 2,1

El nmero de ataques web por sistema nico cay de forma constante durante
10 Apuestas 0,6 2,8 2,2
2016.
12
Vulnerabilidades del navegador
10
En 2016, en promedio, se descubrieron por da 2,4
8 vulnerabilidades en navegadores. El nmero de
MILLONES
6 vulnerabilidades en navegadores pblicamente anunciadas

4
cay durante el ao, con Microsoft Internet Explorer/Edge
enfrentando la mayor cada en el volumen de vulnerabilidades.
2
Eso puede ser explicado por el hecho de que no hubo ninguna
0 nueva versin de Explorer lanzada en 2016, con Microsoft
bsicamente encerrando su desarrollo. El uso del navegador
Explorer tambin decay durante el ao. El nuevo navegador
A pesar de esta cada general en la actividad de amenazas de Microsoft, Edge, est disponible apenas para las personas
web, todava representan una gran amenaza, con Symantec que usan Windows 10, y su nueva arquitectura de seguridad
bloqueando un promedio de ms de 229.000 ataques web en dificulta explotaciones de xito.
computadoras en los endpoints todos los das en 2016. Los
La cifra de vulnerabilidades en Firefox y Safari tambin cay,
datos de los productos de gateway de Blue Coat que operan
mientras Symantec midi un ligero aumento en la cifra de
en el nivel de red muestran que, en el final de 2016, la cifra
vulnerabilidades de Google Chrome. Sin embargo, una cifra
de amenazas web bloqueadas en el gateway creci un 24% en
extraamente alta de vulnerabilidades en navegadores fue
relacin al mismo perodo de 2015. Sin embargo, la tasa de
descubierta en 2015, parcialmente debido al gran nmero de
aumento es baja, cuando se compara a un crecimiento de 124%
vulnerabilidades de da cero descubiertas en el mismo ao. En
de 2014 a 2015.
2016, la cifra de vulnerabilidades en navegadores simplemente
Los sitios web relacionados a tecnologa y negocios fueron las retornaron a niveles ms normales, sin embargo an estn
categoras ms explotadas en 2016. Los sitios de tecnologa bastante elevadas.
fueron explotados casi el doble que los sitios de negocios.
Consulta, que fue la tercera categora ms explotada en 2015,
cay del top 10 en 2016.
Volver al ndice
Vulnerabilidades del navegador

Estudio de caso La cifra de vulnerabilidades descubiertas en navegadores cay de 1.093 en
2015 para 888 en 2016.
Angler: La ascensin y cada de un kit de exploit
El kit de exploit Angler apareci por primera vez en el panorama
1.200
de amenazas en el final de 2013, tras el desaparecimiento del 1.093 Opera
kit de exploit Blackhole en octubre de ese ao. Inmediatamente 1.000 Google Chrome
se volvi bastante popular, pero realmente se destac en 2015, 888
cuando domin el panorama de kits de exploits. 800 Microsoft Internet
Explorer/Edge
Angler era un kit de exploit sofisticado, pionero en muchos avances 616 Mozilla Firefox
600
tcnicos que otros kits de exploits siguieron, como el uso de
medidas contra soluciones de ciberseguridad. Angler era capaz de Apple Safari
400
bajar y ejecutar malware a partir de la memoria, sin la necesidad
de grabar ningn archivo en el disco, en un intento de evadir la
200
deteccin por tecnologas tradicionales de seguridad. Tambin
fue muy rpido en la integracin de nuevos exploits de da cero 0
en su arsenal, lo que explicara su crecimiento en popularidad 2014 2015 2016
en 2015. En 2015 se descubrieron varias vulnerabilidades de da
cero, incluso algunas en el Adobe Flash Player, que fue un blanco Otra posible razn responsable de la cada en las vulnera-
comn de Angler. bilidades en navegadores es que debido al aumento del
Una de las grandes ventajas de Angler en relacin a otros kits de nmero de programas de recompensas de bugs y a la creciente
exploits era la posibilidad de evitar varias medidas tradicionales participacin de investigadores de seguridad en los mismos,
de seguridad. Usaba una serie de tcnicas para evadir la muchas vulnerabilidades en navegadores fueron descubiertas
deteccin, incluyendo el cambio de nombres de host y nmeros de y corregidas en aos anteriores y los bugs ms accesibles que
IP rpidamente, y tambin usaba la tcnica de domain shadowing, podran haber sido explotados por grupos maliciosos no estn
registrando nombres de dominio que parecan pertenecer a sitios ms disponibles.
legtimos, para camuflarse en dominios legtimos.
Angler fue uno de los kits de exploits ms activos en 2015. El Lectura adicional
sistema de proteccin contra invasiones de Symantec bloque || Locky, Dridex y Angler entre los grupos de cibercrimen
cientos de miles de ataques realizados por Angler diariamente. que enfrentan reduccin en sus actividades.
El nmero total de bloqueos de ataques basados en Angler
totaliz ms de 19,5 millones apenas en 2015. El mecanismo Mejores prcticas
primario de entrega usado por Angler eran malvertisements,
|| Examine regularmente su sitio web por vulnerabilidades
y explotaba principalmente vulnerabilidades del Adobe Flash.
Las computadoras que ejecutaban Windows, particularmente y malware.
Windows 7, eran sus blancos de ataque favoritos. || Escanee su sitio web diariamente por malware.
Angler fue usado primeramente para propagar ransomware. Su || Defina la opcin de seguridad para todos los cookies de
desaparecimiento en junio de 2016 coincidi con un declinio en sesin.
las detecciones de ransomware CryptXXX (Ransom.CryptXXX),
que fue distribuido principalmente a travs de Angler. || Proteja sus sitios web contra ataques man-in-the-middle
(MITM) e infeccin de malware.
Angler sufri un descenso en su actividad a inicios de 2016, pero
aument nuevamente de forma rpida, antes de desaparecer || Escoja Certificados SSL con Extended Validation que
completamente en junio. Su desaparecimiento se produjo tras el muestre la barra de direcciones verde del navegador para
arresto de 50 personas por autoridades en Rusia, supuestamente los usuarios del sitio.
asociadas al grupo de fraude bancario Lurk. Se estima que esas
|| Muestre marcas de confianza conocidas en locales
detencionesson la razn por tras del desaparecimiento de Angler.
altamente visibles en su sitio web.
El desaparecimiento de un kit de exploit tan dominante
|| Sea exigente con sus plugins. El software que usted usa para
anteriormente dej una especie de laguna en el mercado, que fue
administrar su sitio viene tambin con vulnerabilidades.
temporalmente ocupado por un aumento en la actividad del kit de
exploit Neutrino. Seguramente, los cibercriminales encontrarn
Cuanto mayor es el nmero de software de terceros que
una forma de llenar ese espacio en poco tiempo. usted usa, ms grande es la superficie de ataque, entonces
solamente implemente lo que sea absolutamente necesario.
Volver al ndice
Cibercrimen y la
economa clandestina
06
Seccin
O6 Cibercrimen y
la economa clandestina Pgina 39 ISTR Abril 2017
Introduccin || Si bien en 2016 la cifra de violaciones de datos se

mantuvo estable en comparacin a 2015, la cifra de
En 2016, surgieron dos lados diferentes del cibercrimen. identidades robadas aument significativamente. Casi
Los tradicionales grupos de ciberdelito para mercados 1.100 millones de identidades fueron robadas en 2016,
de masa realizaron campaas de correo electrnico en un gran aumento si comparamos esa cifra con las 563,8
gran escala con el objetivo de distribuir malware como millones de identidades robadas en 2015.
commodity, por ejemplo, ransomware y las amenazas || Se observaron casi 100 millones de bots en 2016, un
enfocadas en la banca online. Si bien sus motivaciones aumento de un 7% en relacin a 2015.
y cargas tiles permanecieron bsicamente las
mismas, sus mtodos de distribucin cambiaron de Malware
kits de exploits basados en la web para mtodos ms El malware contina siendo una plaga sobre el panorama
tradicionales, especialmente el uso de archivos adjuntos de amenazas, con ms de 357 millones de nuevas variantes
de correo electrnico. observadas en 2016. Sin embargo, por primera vez, la tasa de
nuevas instancias de malware vistas en endpoints se mantuvo
prcticamente estancada en 2016 - un aumento de un 0,5%.
El otro lado del cibercrimen est constituido por grupos
de delincuentes organizados, responsables de una
Variantes nicas de malware detectadas por primera vez
serie de sofisticados asaltos financieros. Sin embargo, Hubo un ligero (0,5%) aumento entre 2015 y 2016 en la cifra de variantes de
no fueron apenas los delincuentes profesionales que malware nicas detectadas por primera vez.
dirigieron esas campaas - tambin hubo evidencias de
participacin de naciones. 400
350
300 355M 357M
MILLONES
Tanto los grupos de cibercrimen para mercados de masa

250
200 274M
150
como los con blancos dirigidos, han adoptado tcnicas 100
50
con uso de herramientas del da a da. Esa tendencia, 2014 2015 2016
conforme es discutido en el captulo de Ataques
dirigidos, muestra que los atacantes aprovechan el
sistema operativo y los recursos de aplicaciones, junto Clculo mensual de variantes nicas de malware vistas por
con las herramientas pblicamente disponibles, en lugar primera vez en 2016
de explotar vulnerabilidades y desarrollar herramientas En este clculo mensual de variantes de malware nicas vistas por primera vez
en 2016, pudo observarse en octubre un claro aumento.
personalizadas.
2015 2016
100
Principales conclusiones
80
|| En 2016, los cibercriminales aumentaron su popularidad,

MILLONES
60
con vctimas de destaque y recompensas financieras
nunca vistas antes. Los ataques Banswift (Trojan. 40
Banswift) fueron tambin la primera vez en la que se

20
encontraron fuertes indicios de la participacin de
naciones en ciberdelitos financieros.
|| El cibercrimen para los mercados de masa contina con
fuerza, a pesar de los esfuerzos para interrumpir las A pesar de que la tasa de nuevas variantes de malware
actividades de estos grupos. Los atacantes adaptaron qued estable en el inicio de 2016, el segundo semestre
sus mtodos para la distribucin tradicional de malware vio una explosin de nuevas variantes. Principalmente
en ciberdelitos. En particular, el uso de downloaders hubo influencia del elevado volumen de downloaders de
JavaScript y archivos ejecutables de macro maliciosos en ransomware distribuidos por correo electrnico por botnet
archivos del Office fue difundido y responsable por poco Necurs (Backdoor.Necurs), que ser discutido con ms detalles
ms de 7 millones de intentos de invasiones en 2016. en este captulo.
Volver al ndice
O6 Cibercrimen y
En informes anteriores, Symantec sigui un abordaje un poco Otras explicaciones incluyen una menor incidencia de
diferente para contar las variantes de malware, enfocando en amenazas polimrficas y una menor dependencia de los
variantes exclusivas en aquel ao, en lugar de malware visto grupos de ataque de malware para distribuir sus obras. Ese es
por primera vez en el mismo perodo de tiempo. Usando esta un fenmeno que llamamos de uso de herramientas del da a
metodologa en 2016 que considera el legado, los datos reflejan da.
un volumen ligeramente mayor de variantes, pero una cada de
7% de nuevas variantes en el ao. Uso de herramientas del da a da: PowerShell, macros e
ingeniera social
Variantes nicas de malware detectadas Una tendencia surgi en 2016 donde los atacantes emplean
Hubo una ligera cada entre 2015 y 2016 en la cifra de variantes nicas de programas legtimos del Windows para descargar y ejecutar
malware detectadas. cargas tiles. Esta tctica del uso de herramientas del da a
da es discutida con ms detalles en el captulo sobre Ataques
500 dirigidos; sin embargo, las tcnicas usadas por los grupos
400
431M de ataques avanzados tambin son vistas en el mundo de la
MILLONES
300 401M cibercrimen.

200
100
PowerShell, un poderoso lenguaje de script y shell de lnea de
comando, se torn un pilar de la cadena de invasiones y agrada
2014 2015 a los grupos de ataques por varios motivos. Se instala de forma
estndar en la mayora de las computadoras Windows, y la
El anlisis de los datos a cada mes muestra una tendencia casi mayora de las organizaciones no tienen el registro extendido
idntica con un aumento considerable en variantes en el fin del activado para el mismo, haciendo que las actividades maliciosas
ao. de PowerShell permanezcan invisibles en gran parte. Scripts
tambin pueden ser fcilmente ofuscados, lo que esconde sus
Clculo mensual de variantes nicas de malware en 2016 intenciones maliciosas. Esto permite que las cargas se ejecuten
El clculo de variantes nicas de malware tambin muestra un aumento en directamente de la memoria, lo que significa que los grupos de
octubre. ataque dejan menos rastros.
2015 2016
Un anlisis de Symantec en el fin de 2016 mostr que el 95,4%
100 de los scripts de PowerShell inspeccionados eran maliciosos.
Scripts maliciosos de PowerShell son utilizados principalmente
80
como archivos ejecutables durante la fase inicial de invasion,
MILLONES
60 pero tambin pueden usarse para el desplazamiento lateral a

travs de una red. Este desplazamiento lateral es normalmente
40
visto en ataques dirigidos para permitir que una amenaza
20 ejecute cdigo en una computadora remota al propagarse
dentro de la red. En el caso de ataques de cibercriminales,
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC PowerShell es usado para facilitar la descarga y ejecucin de
la carga til final.
Al analizar esos datos aisladamente, puede parecer que el
El uso del PowerShell aument bruscamente en 2016. Sandbox
problema de malware se est estabilizando o incluso mejorando;
de anlisis de malware de Blue Coat recibi 22 veces ms
sin embargo, en un anlisis ms amplio, queda claro que este
muestras usando PowerShell en el tercer trimestre de 2016
no es el caso. Muchos ataques son bloqueados en el inicio de la
en comparacin con el segundo trimestre. Esto se produjo
cadena de ataque y no se representan en la cifra de volumen de
probablemente debido al aumento de la actividad asociada con
malware, que enfoca principalmente en las cargas tiles finales
downloaders JavaScript y Trojan.Kotver durante este perodo.
o cerca del final. Como fue discutido en el captulo que trataba
En general, el anlisis identific que PowerShell fue usado ms
de correos electrnicos, el correo electrnico fue responsable
frecuentemente con W97M.Downloader (9,4% de muestras),
de un gran volumen de malware distribuido en 2016. Symantec
seguido por Kovter (Trojan.Kotver) con 4,5%, y JS.Downloader
tambin continu bloqueando un gran nmero de ataques web.
(4%). Kovter es conocido por su uso de PowerShell por crear
Esto lleva a menos cargas tiles finales entregadas y, por lo
una infeccin sin el uso de archivos, contenido totalmente en
tanto, a un nmero total ms bajo de variantes vistas.
el registro.
Volver al ndice
O6 Cibercrimen y
Los cibercriminales ms avanzados, con ataques dirigidos,

tambin aprovecharon PowerShell en 2016. El grupo Odinaff
us scripts maliciosos de PowerShell para atacar a las
En 2016, el panorama de organizaciones financieras. Estos ataques son discutidos ms
ataque tpico tuvo las adelante en este captulo.

Los macros maliciosos del Office siguen populares entre los
siguientes etapas: grupos de ataques, conforme evidenciado por la prevalencia
de detecciones (discutido abajo). Los macros del Office no
funcionan por estndar, entonces estos ataques dependen
de ingeniera social para convencer a los usuarios a iniciar
01 Un grupo de el macro al abrir un archivo adjunto del Office. Al usar
ataque enva un FACTURA recursos como PowerShell y macros, los grupos de ataque no
correo electrnico, necesitan depender de exploits de software o herramientas
normalmente personalizadas que son ms propensas a levantar sospechas,
camuflado como una adems de exigir ms tiempo y habilidad para su uso.
FACTURA o CUENTA
Tambin existen ataques que no dependen de cualquier cdigo
malicioso o recursos de sistemas. Los ataques BEC (Business
Email Compromise), discutidos en detalle en el captulo sobre
correo electrnico, dependen exclusivamente de ingeniera
02 El correo electrnico social para engaar a las vctimas a entregar grandes sumas
contiene un adjunto, de dinero.
generalmente un
archivo de Office, Si bien esta tendencia muestra un movimiento diferente del
JavaScript (JS), u otro uso de exploits y herramientas personalizadas, es importante
tipo de script notar que existe un componente de malwares en casi todos los
ataques. Esto representa que el malware continuar a persistir
como un problema. Asimismo, este cambio no significa que los
atacantes estn tornndose menos sofisticados. En realidad,
demuestra un aumento de la eficiencia y la capacidad de
03 Cuando el archivo es
iniciado, solicitar a los esconderse en reas visibles.
usuarios que ejecuten una
macro o inicien PowerShell Incidencia y tendencias de malware
para bajar y ejecutar la Deteces genricas dominaram a lista de malware mais prevalente detectado
em endpoints em 2016.
carga til final
Clasif. Deteccin Nmero de infecciones
04 La carga til final es tpicamente
ransomware pero tambin puede 1 Heur.AdvML.B 5.648.434
ser una amenaza a la banca
2 JS.Downloader 3.487.119
online, como Dridex
3 Packed.Dromedan!Ink 2.615.857
4 W97M.Downloader 2.199.083
5 Heur.AdvML.C 2.039.212
OU
6 SMG.Heur!cg1 1.291.550
7 W32.SillyFDC 1.019.644
8 Trojan.Startpage 908.429
9 W32.Downadup.B 814.687
10 Infostealer 753.783
Volver al ndice
O6 Cibercrimen y
Al analizar los destaques de malware ms frecuentes, es lo que explica la popularidad de los archivos ejecutables de
notable el impacto de las detecciones de malware genrico o macros del Office. Mientras tanto, la facilidad de ofuscar un
heurstico. Son responsables de 9 de cada 10 principales tipos intento de evitar la deteccin ha contribuido para el aumento
de malware detectados en endpoints en 2016. Sin embargo, es de archivos de JavaScript. Como discutido anteriormente,
importante notar la relevancia del JS.Downloader y W97M. JS.Downloader tpicamente utilizar PowerShell o un Visual
Downloader, que son nuevas entradas en la lista de destaques Basic Script (VBS) para ejecutar la carga til final en un intento
de 2016. de pasar desapercibido.
En 2016, Symantec observ un gran nmero de campaas de Investigaciones de Symantec indican que algunos grupos
correo electrnico que distribuan ransomware y amenazas favorecen W97M. Downloader, mientras otros prefieren
para banca online va macro malicioso del Office (W97M. JS.Downloader. Las actividades relacionadas al W97M.
Downloader y variantes) y archivos de downloader JavaScript Downloader cayeron en el segundo semestre de 2016, pero
(JS.Downloader y variantes). En 2016, fueron responsables Symantec estima que los grupos que lo usan pueden aumentar
de 7 millones de detecciones y han dominado el panorama nuevamente la actividad. En realidad, en el ltimo mes de
de amenazas de cibercrimen, especialmente en el segundo 2016 se observ un aumento en las detecciones de W97M.
semestre del ao. Downloader.
Muchas de esas amenazas se estn propagando principalmente
Detecciones de archivos ejecutables de JavaScript por mes por botnets de spam.
En el segundo semestre de 2016 aumentaron las detecciones de archivos
ejecutables de JavaScript (JS.Downloader y variantes). Symantec observ en 2016 un aumento en el nmero de bots.
La cifra salt de 91,9 millones para 98,6 millones de bots,
800.000
incluyendo varios botnets.
700.000
600.000 Cifra de actividad de Bots

500.000 A Symantec observou 6,7 milhes a mais de bots em 2016 em relao a 2015.
400.000
100
300.000
80 91.9M 98.6M
MILLONES
200.000
60
100.000
40
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC 20
2015 2016
Detecciones de archivos ejecutables de macros de Office

Algunas instancias de malware tomaron ms precauciones,
por mes
para ser aun ms furtivas. El 20% del malware ahora es capaz
En diciembre de 2016 hubo un aumento en las detecciones de macro del Office
(W97M.Downlader y variantes).
de detectar e identificar de forma rutinaria la presencia de un
entorno de mquina virtual, un aumento del 16% comparado
a 2015.
400.000
350.000 Sandbox de anlisis de malware de Blue Coat rastre un aumento

300.000 de la utilizacin del protocolo SSL para la comunicacin con
250.000 servidores de comando y control (C&C), tornando ms difcil la
200.000 inspeccin del trfico de red. Tal comportamiento aument el
150.000 79%, llegando a 3,1% al fin de 2016. Esto posiblemente sucedi
100.000
debido a la mayor disponibilidad de certificados SSL en 2016,
50.000
y los grupos de ataque percibieron que tenan una posibilidad
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC mayor de pasar a travs del gateway sin ser detectados si usasen
el cifrado SSL. Asimismo, la comunicacin para servicios en la
nube duplic para ms de 4% en 2016.
Los grupos de ataques prefieren estos archivos ejecutables
por una serie de motivos. Las empresas normalmente no Un 1% de todas las amenazas us la red Tor. En esos casos,
bloquean todos los archivos del Office en el gateway de correo fue usado principalmente por ransomware para entregar las
electrnico, ya que podra afectar a los correos electrnicos, instrucciones de pago.
Volver al ndice
O6 Cibercrimen y
Estudio de caso de Botnet: Necurs Este uso de diferentes archivos ejecutables indica que Necurs
La botnet Necurs fue una de los principales distribuidores de era una botnet de alquiler, que estaba siendo utilizado por
malware en 2016 y fue responsable de campaas de correo diferentes grupos de ataque.
electrnico masivo para distribucin de JavaScript, VBS Curiosamente, Symantec observ la detencin de la actividad
y archivos ejecutables de macros del Office. La carga til de Necurs por casi tres meses a partir del final de diciembre.
principal de Necurs en 2016 fue Ransom.Locky. Otras grandes Su ltima campaa de spam comenz el 22 de diciembre y
botnets observadas por Symantec se utilizaron para propagar termin el 24 de diciembre. Si bien la primera deduccin es que
amenazas como Dridex (W32.Cridex), Cerber (Ransom.Cerber), esto se produjo pues el grupo responsable de Necurs hizo una
y Kotver (Trojan.Kotver), as como Locky. pausa para las vacaciones, la botnet permaneci quieta hasta
Necurs fue una de las botnets ms activas en la distribucin de el 20 marzo de 2017.
malware en 2016. Los operadores responsables de Necurs usaron El desaparecimiento de Necurs produjo una gran reduccin
el perodo normal de trabajo. Las amenazas se distribuan de del volumen de correos electrnicos maliciosos enviados
lunes a viernes y haba poca actividad los fines de semana. en el fin de 2016 e inicio de 2017. El motivo por detrs de su
Al analizar apenas un da de actividad de Necurs, queda desaparecimiento permanece un misterio. El 20 de marzo,
evidente su capacidad de escala. El 24 de noviembre de el da de su retorno, Symantec bloque casi dos millones de
2016, Necurs envi cinco campaas de spam, siendo que dos correos electrnicos maliciosos. El hecho de que Necurs logr
entregaron archivos JavaScript, dos entregaron adjuntos .wsf, retomar campaas de spam en masa en su retorno indica que,
y hubo una entrega de un adjunto VBS. Estas cinco campaas no importa cual sea el motivo de su ausencia, parece no haber
de spam enviaron ms de 2,3 millones de correos electrnicos perdido sus capacidades.
de spam, ms de 1,8 millones usaron downloaders JS, mientras
Todo est relacionado al dinero: malware financiero
que un poco menos de 465.000 usaron VBS.
El malware financiero, especficamente las amenazas dirigidas
Una investigacin de Symantec sobre las 146 campaas
a la banca online, ha sido histricamente un gran conductor
de correo electrnico realizadas por Necurs en el ltimo
del cibercrimen. Sin embargo, una cantidad de detenciones
trimestre del ao descubri que fue responsable del envo de
e interrupciones, juntamente con el xito continuo de
aproximadamente 525 muestras nicas de malware en cada
ransomware, demuestra que se ha tornado menos dominante.
campaa de correo electrnico.
Los datos de invasiones muestran que esta rea est dominada
Al analizar las campaas de spam, involucrando principalmente
por cinco familias, y la actividad fuera de este top cinco es
downloaders JS, VBS y WSF, nuestro estudio constat que los
insignificante.
archivos JavaScript fueron de lejos el tipo ms popular de
archivo ejecutable distribuido por Necurs.
Los 10 principales troyanos financieros
La lista de los 10 principales troyanos financieros demuestra que un pequeo
Archivos ejecutables entregados por la botnet de spam Necurs grupo de troyanos financieros dominaron el panorama en 2016.
En el perodo observado por Symantec, Necurs envi predominantemente
campaas de spam que contena JS.Downloader.
Clasif. Amenazas financeiras Mquinas afectadas
1 Ramnit 460.673
2 Bebloh 310.086
WSF 15%
3 Zbot 292.160
VBS 14%
JSE 2% 4 Snifula 121.624
JS DOCX 1% 5 Cridex 23.127
67%
XLSX .3%
6 Dyre 4.657
7 Shylock 4.512
8 Pandemiya 3.330
Cuando empez este estudio de Necurs a fines de octubre,
9 Shifu 2.177
las amenazas eran distribuidas principalmente con el uso de
VBS, pero en noviembre y diciembre los archivos JavaScript 10 Spyeye 1.480
dominaron.
Volver al ndice
O6 Cibercrimen y
Ramnit (W32.Ramnit) tuvo una vuelta triunfal al mundo del Cadas significativas en la actividad de Dridex (que domin
fraude financiero en 2016. Ramnit est en operacin desde 2010, el panorama de amenazas en 2015), Dyre y Shylock (Trojan.
pero con la prisin del grupo de cibercriminales responsable de la Shylock) pueden atribuirse a interrupciones.
botnet, en febrero de 2015, asistida por Symantec, se pensaba que
las operaciones de la botnet haban concluido. Se estima que la Incluso Mac
botnet fue compuesta por 350.000 computadoras en el momento El sistema operativo de Apple, que ya fue visto como casi
de la interrupcin de sus actividades. Ramnit desapareci por un impenetrable, sinti una cantidad creciente de malware detectado
tiempo, pero fue observada una nueva variante en diciembre de a lo largo de 2016. Un aumento constante en malware detectado en
2015. Macs comenz en septiembre y continu por el ltimo trimestre
Ramnit pas a dominar el panorama de los troyanos financieros en del ao; una cifra casi tres veces mayor de detecciones de malware
2016 y se detect en cifras elevadas de forma consistente durante se produjo en noviembre de 2016 en comparacin con el inicio del
todo el ao. Curiosamente, como Ramnit era frecuentemente ao.
distribuido a travs del kit de exploit Angler en el pasado, no
present ninguna cada en la actividad tras el desaparecimiento Distribucin de malware para Mac por mes, 2014-2016
de Angler a mediados del ao. Eso indica que sus responsables En el segundo semestre de 2016, puede verse claramente el crecimiento en el
malware para Mac.
pueden haber adaptado sus tcnicas de infeccin, y hubo
relatos de Ramnit distribuido a travs de correo electrnico en
el Reino Unido. El hecho de que algunas variantes del Ramnit 400.000
autorreplican, contribuy para su predominancia. 350.000
300.000
En 2016 hubo relatos sobre Bebloh (Trojan.Bebloh), que ocupa el 250.000
segundo lugar en la lista de los troyanos financieros, iniciando 200.000
campaas agresivas en Japn, teniendo como victimas a 150.000
pequeos bancos y cooperativas de crdito. Bebloh tambin 100.000
caus un gran pico en la actividad de troyanos financieros en 50.000
septiembre y octubre. Bebloh formaba parte de la red Avalanche

ENE 14 JUL 14 ENE 15 JUL 15 ENE 16 JUL 16 DEC 16
de alojamiento de malware, que fue derribada en 2016, y sinti
una cada acentuada en las actividades en noviembre y diciembre.
No obstante, esta cifra no refleja necesariamente que los grupos
Actividades de troyanos financieros por mes de ataque estn centrados cada vez ms en el ecosistema Mac.
La cada en las actividades despus de octubre de 2016 refleja el impacto de
una serie de interrupciones de servicio de destaque. Un anlisis ms detallado del malware bloqueado en endpoints
OS X, downloaders JavaScript (JS.Downloader) y archivos
200.000
ejecutables de macro del Office (W97M.Downloader) son dos
de los principales vectores de infeccin, siendo responsable
150.000 por tres de los cinco primeros. JS.Nemucod, que entrega
ransomware Locky, tambin est en el top 10.
100.000
Posiblemente los usuarios de Mac estn sufriendo con
campaas de correo electrnico para la distribucin de las
50.000
amenazas usando JS.Downloader, W97M.Downloader y
JS.Nemucod, en lugar de la posibilidad que los responsables de
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC las amenazas estn cada vez ms dirigiendo sus ataques a los
usuarios de Mac.
El posible hacker responsable del malware bancario Eso tambin es evidente en un aumento en el malware detectado
Neverquest, que Symantec detecta como Trojan.Snifula, en Mac en noviembre y diciembre, poca en la cual tambin
tambin fue arrestado en enero de 2017. Todos esos factores se produjo un aumento en los incidentes de JS.Downloader y
pueden contribuir con que la lista de los 5 principales troyanos W97M.Downloader.
financieros sea muy diferente a fines de 2017. Las otras detecciones que componen la lista de los cinco
El impacto de las interrupciones, con muchos ms detalles primeros, OSX.Malcol y OSX.Malcol.2, son detecciones
ms adelante en este captulo, se refleja en la disminucin genricas que protegen contra troyanos individuales y variados
en el nmero de infecciones despus de octubre de 2016. de OS X.
Volver al ndice
O6 Cibercrimen y
Las 10 principales instancias de malware bloqueadas en A seguir, los criminales usaron malware para cubrir sus
los endpoints del OS X en porcentaje de las infecciones pistas. El malware alter los mensajes de confirmacin de
totales transacciones impresas del Banco de Bangladesh para retrasar el
JS.Downloader y W97M.Downloader est en la lista de las 5 principales descubrimiento del fraude. Los responsables del ataque llevaron
instancias de malware bloqueadas en endpoints OS X en 2016. a cabo la accin en el inicio de un fin de semana prolongado en
Bangladesh, para reducir an ms la posibilidad de descubrir el
Clasif. Deteccin Total de Infecciones (%) robo.
1 OSX.Malcol 6,88 Usando las credenciales SWIFT robadas del Banco de Bangladesh,
2 JS.Downloader 5,76 los criminales efectuaron varias solicitudes de transferencia al
Federal Reserve Bank of New York y desde all el dinero del Banco
3 OSX.Malcol.2 5,73
de Bangladesh fue transferido inicialmente hacia localidades en
4 W97M.Downloader 5,11 las Filipinas y Sri Lanka. Cuatro solicitudes de transferencia en
el total de US$ 81 millones para entidades en las Filipinas fueron
5 JS.Downloader.D 1,87
efectuadas con xito, pero una solicitud para transferir US$ 20
6 JS.Nemucod 1,09 millones hacia una fundacin sin fines de lucro en Sri Lanka
7 VBS.Downloader.B 1,04 despert sospechas puesto que el nombre de la fundacin estaba
escrito de forma incorrecta. Esto llev a la suspensin de las
8 VBS.Downloader.Trojan 0,83
transferencias y a buscar aclaraciones por el banco en Bangladesh,
9 Trojan.Malscript 0,59 que descubri el fraude. Sin embargo, en aquel momento los US$
10 SMG.Heur!cg1 0,57
81 millones ya haban desaparecido, principalmente en cuentas
relacionadas con casinos en las Filipinas.
La mayor parte de los US$ 81 millones an no ha sido recuperada,
Odinaff and Banswift: sin embargo, US$ 15 millones fueron devueltos por un casino en
El ao del asalto financiero dirigido las Filipinas al Banco Central de Bangladesh en noviembre.
Si bien el panorama de amenazas de cibercrimen normalmente Los mtodos empleados en este ataque, especialmente el
es dominado por ataques masivos indiscriminados, 2016 vio el profundo conocimiento de los sistemas SWIFT y las medidas
surgimiento o resurgimiento de grupos de cibercrimen ms tomadas para cubrir evidencias, indican que son actores
sofisticados y de elite. Mientras que el cibercrimen tradicional altamente competentes. Este fue un fraude increblemente
tiene un abordaje ms generalista, los delincuentes de osado, y tambin la primera vez que observamos fuertes indicios
elite usan tcnicas normalmente vistas en ataques dirigidos de participacin de naciones en ciberdelitos financieros. El
avanzados. Los recursos, paciencia y absoluto coraje necesarios ataque se atribuy a responsables en Corea del Norte.
para ejecutar esos ataques, demuestran como el cibercrimen
est potencialmente entrando en una nueva era. El anlisis llevado a cabo por Symantec del malware (Trojan.
Banswift) usado en el ataque al banco de Bangladesh encontr
El surgimiento de dos grupos que tenan como objetivo el evidencias de uso compartido de cdigo entre este malware y las
funcionamiento interno del sistema financiero internacional, herramientas usadas por el grupo Lazarus - que el FBI afirma
al tiempo que disminuyeron las amenazas tradicionales a la tener relacin con el gobierno nortecoreano. El grupo Lazarus
banca online, refleja como las instituciones financieras estn fue asociado con el famoso hack de Sony en 2014, y ha sido
enfrentando un tipo bastante diferente de amenaza en 2017. asociado a una serie de ataques contra EE.UU. y Corea del Sur
desde 2009.
Banswift
Uno de los asaltos ms osados a bancos ya vistos fue el Ese mismo grupo tambin fue vinculado a otros dos asaltos que
ciberasalto al Banco Central de Bangladesh a inicio de 2016. tenan como objetivo bancos que hacen transferencias usando
Los criminales huyeron sin problemas con US$ 81 millones y la red SWIFT, si bien la red SWIFT no haya sido afectada en
si no fuese por un error de digitacin y la sospecha de astutos ninguno de esos ataques.
funcionarios del banco, el grupo podra haber robado US$ 1 El banco vietnamita Tien Phong Bank revel que haba
billn. interceptado una transferencia fraudulenta de ms de US$ 1
Los criminales explotaron debilidades en la seguridad del milln en el cuarto trimestre de 2015. Investigacin realizada
Banco de Bangladesh para infiltrarse en su sistema y robar por Symantec tambin descubri evidencias de que otro banco
sus credenciales SWIFT, permitindoles realizar transacciones fue vctima del mismo grupo en octubre de 2015.
fraudulentas.
Volver al ndice
O6 Cibercrimen y
Un tercer banco, el Banco del Austro en Ecuador, tambin report herramientas y tcnicas existentes, todava existen grupos
haber perdido US$ 12 millones en ataques usando transacciones de cibercriminales extremadamente sofisticados que centran
fraudulentas SWIFT, a pesar de que ninguna relacin definitiva su atencin en la implantacin de campaas avanzadas para
puede realizarse entre aquel fraude y los ataques en Asia. obtener grandes recompensas financieras.
Symantec estima que el grupo Lazarus puede haber reaparecido
en 2017, con nuevos ataques contra instituciones financieras. Violaciones de datos y la economa clandestina
Odinaff Violaciones de datos
Una campaa que contena Trojan.Odinaff fue descubierta En los ltimos ocho aos, ms de 7.000 millones de identidades
teniendo como objetivo organizaciones financieras globales online fueron robadas en violaciones de datos, que es casi lo
en 2016. Los ataques que usaron Odinaff eran sofisticados y equivalente al nmero de personas en el planeta.
ejecutados claramente por un grupo profesional de cibercrimen. En 2016, ms de 1.100 millones de identidades fueron robadas
A pesar de que tambin tenga como blanco a usuarios del en violaciones de datos, casi el doble del nmero robado en
sistema SWIFT, no existen pruebas que vinculen estos ataques 2015, cuando poco ms de 563 millones de identidades fueron
con los ataques Banswift. robadas. Este aumento se produjo a pesar de una reduccin en
La investigacin de Symantec indica que las campaas que la cifra de violaciones de datos entre 2015 y 2016, pasando de
utilizan Odinaff comenzaron en enero de 2016 y fueron enfocadas 1.211 para 1.209.
en organizaciones de los sectores bancario, ttulos, trading y La cifra promedio de identidades robadas por violacin en
nmina de pago. El troyano Odinaff fue tpicamente implantado 2016 salt para casi 1 milln, el mayor promedio de los ltimos
en la primera etapa de un ataque para establecer su posicin en tres aos.
la red.
En 2016, se produjeron 15 megaviolaciones, en las que ms
Los ataques que contenan Odinaff fueron altamente de 10 millones de identidades fueron robadas, un aumento
sofisticados, exigiendo una gran cantidad de participacin comparado a las 11 megaviolaciones en 2014 y 13 en 2015.
directa, con la implantacin metdica de una serie de backdoors
ligeros y herramientas con objetivos explcitos en computadoras Violaciones de datos, 2014-2016
de inters especfico.
Si bien en 2016 la cifra de violaciones de datos se mantuvo estable, el nmero
La implantacin ms frecuente del troyano fue en documentos de identidades robadas aument significativamente.
que contenan macros maliciosos, siendo que los botnets
tambin fueron usados para implantarlo. Los ataques fueron Ao Violaciones
Identidades Promedio por Mega-
robadas violacin violaciones
cuidadosamente administrados, con los responsables de las
amenazas manteniendo un perfil discreto en la red de la 2014 1523 1.226.138.929 805.081 11
organizacin de la vctima, apenas descargando e instalando
nuevas herramentas cuando era necesario. 2015 1211 563.807.647 465.572 13
Las herramientas utilizadas en los ataques Odinaff recuerdan 2016 1209 1.120.172.821 926.528 15
el abominable grupo Carbanak, que ha dirigido sus ataques al
sector financiero desde 2013.
As violaes de dados tambm foram destaque em 2016,
Las actividades de Carbanak fueron descubiertas a fines de 2014 principalmente devido a Yahoo. Em setembro, a empresa
y se estima que el grupo tiene como blanco de ataque cientos revelou que uma violao em 2014 comprometeu 500 milhes
de bancos en varios pases. Algunos miembros de la comunidad de suas contas de usurios. Ento, em dezembro, a empresa
de ciberseguridad estiman que el grupo puede haber robado revelou que, em agosto de 2013, mais de 1 bilho de contas de
hasta US$ 1 billn. Symantec descubri varios vnculos entre usurios foram comprometidas, tornando-se a maior violao
Carbanak y los responsables de los ataques Odinaff, sin embargo, de dados j reportada.
la convergencia de infraestructura es atpica, es decir, Odinaff
A companhia disse que acredita que as duas violaes esto
puede cooperar de una forma libre con Carbanak, o incluso
conectadas e que os ataques so patrocinados por naes. As
formar parte de una organizacin ms amplia liderada por
revelaes tiveram srias implicaes para a empresa, que est
Carbanak.
no meio do processo de venda para a Verizon, e viu o seu valor
Los ataques Odinaff y Banswift demostraron que a pesar despencar como resultado destas revelaes.
de que en 2016 muchos grupos de ataque volvieron al uso de
Volver al ndice
O6 Cibercrimen y
Retrospectiva del ao Si bien la cifra de violaciones de datos se redujo en el fin del

A pesar de que las noticias de las violaciones de datos en Yahoo ao, el nmero de identidades robadas alcanz su pico en
fueron reveladas en 2016, no se incluyen en la telemetra de octubre, subiendo para casi 600 millones. Este aumento puede
Symantec para el ao, pues Symantec registra una violacin de atribuirse principalmente a una violacin de datos de Friend
datos cuando se produce, en vez de cuando es relatada. Finder Networks, que expuso la informacin privada de 412
millones de cuentas de usuarios.
La cifra mensual de violaciones en 2016, fue ms elevada en el
inicio del ao y, a seguir, disminuy hasta el fin del ao. Esta Friend Finder Networks es una compaa de sitios web de
situacin es bastante frecuente para violaciones de datos, pues pornografa y de cupido para adultos que opera sitios como
muchas veces existe una laguna entre la ocurrencia de una Adult Friend Finder y Cams.com, as como algunos otros sitios
violacin de datos y cuando es reportada, como puede verse menores. Tambin era responsable del sitio web Penthouse.
claramente en el caso de las violaciones de Yahoo, entonces las com, vendido en febrero de 2016. A pesar de la venta, Adult
violaciones de datos producidas a fines de 2016 pueden an no Friend Finder, todava posea informacin almacenada de
haber sido relatadas. usuarios del sitio Penthouse.com y, como resultado, tambin
fue expuesta en la violacin.
Violaciones de datos por mes, 2014-2016 La violacion revel direcciones de correo electrnico,
La cifra mensual de violaciones de datos disminuy a fines de 2016. Es posible contraseas (almacenadas em un simple formato visible o
que las violaciones de datos ocurridas en noviembre y diciembre an no hayan SHA-1 hash), fechas de las ltimos visitas, informaciones del
sido relatadas.
navegador, direcciones IP y status de los miembros del sitio.
Fue la segunda invasin de la organizacin en poco ms de un
200
ao.
150
Tipos de datos perdidos en violaciones en 2016
100
Informacin personalmente identificable an fue la forma ms frecuente del
robo de datos en 2016, sin embargo la Informacin Financiera Personal no
qued muy atrs.
50
2015 2016 Diferencia de

Tipo
(%) (%) Porcentaje
ENE 14 JUL 14 ENE 15 JUL 15 ENE 16 JUL 16 DIC 16
Informacin Personalmente
54,5 42,9 -11,6
Identificable (PII)
Identidades robadas por mes, 2014-2016 Informacin Financiera

32,9 39,2 6,3
Personal (PFI)
Hubo un aumento de identidades robadas en octubre de 2016, que fue en gran
parte causado por una violacin en Friend Finder Networks.
Otras informaciones 1,6 11,1 9,5
600
Informacin Personal
11,0 6,8 -4,2
500 de Salud (PHI)
400
MILLONES
Casi el 40% de la informacin perdida en violaciones de datos

300
en 2016 era Informacin Financiera Personal, que puede incluir
200
detalles de tarjetas de crdito o dbito o registros financieros
100 bancarios. Este nmero aument ms del 6% al compararlo
con 2015.
ENE 14 JUL 14 ENE 15 JUL 15 ENE 16 JUL 16 DIC 16
La exposicin de datos financieros en violaciones de datos es
grave, ya que los afectados corren un riesgo directo de prdida
financiera si estos datos son explotados.
Volver al ndice
O6 Cibercrimen y
Causas de violaciones de datos Las 10 principales causas de violaciones de datos por

Robo de datos fue la causa responsable del porcentaje ms identidades robadas en 2016
elevado (36%) de violaciones de datos en 2016, as como El robo de Datos fue responsable de la gran mayora de las identidades robadas
en 2016.
lo fue en 2015. Fue seguido por el uso impropio de datos,
sin clasificacin u otra causa (donde la causa no puede ser
determinada) y phishing, spoofing o ingeniera social. Diferencia
2015 2016
Clasif. Causa de
(%) (%)
Porcentaje
Las 10 principales causas de violaciones de datos en 2016
El robo de datos lider la lista en 2016 como la principal causa de violaciones 1 Robo de Datos 85,3 91,6 6,3
de datos, representando ms de un tercio de las violaciones.
Phishing, Spoofing o
2 9,8 6,4 -3,4
Diferencia Ingeniera Social
2015 2016
Clasif. Causa de
(%) (%)
Porcentaje Prdida Accidental de
3 1,1 1,0 - 0,1
Datos
1 Robo de Datos 42,4 36,2 -6,2 Errores de TI que
4 Llevan a la Prdida de < 0,1 0,9 0,9
Uso Impropio de Datos
2 20,4 19,3 -1,1
Datos Interrupcin de red o
5 < 0,1 < 0,1 < 0,1
DDoS
Sin Clasificacin u
3 11,9 19,2 7,3
Otra Causa Uso Impropio de
6 3,3 < 0,1 - 3,3
Datos
Phishing, Spoofing o
4 21,8 15,8 -6,0
Ingeniera Social Prdida o Robo de
7 < 0,1 < 0,1 < -0,1
Dispositivo
Prdida Accidental de
5 1,7 3,2 1,5
Datos Sin Clasificacin u
8 0,4 < 0,1 - 0,4
Otra Causa
Prdida o Robo de
6 0,6 3,1 2,5 Extorsin, Chantaje o
Dispositivo 9 < 0,1 < 0,1 < 0,1
Interrupcin
Errores de TI que
7 Llevan a la Prdida de 0,5 1,6 1,1 Robo de Identidad o
10 < 0,1 0 < -0,1
Datos Fraude
Interrupcin de red o
8 0,3 1,6 1,3
DDoS
Extorsin, Chantaje o
9 0,1 0,2 0,1
Interrupcin
Robo de Identidad o
10 0,1 0 -0,1
Fraude
Mientras que el Robo de Datos es la causa de poco ms de

un tercio de las violaciones de datos al analizar la cifra de
violaciones, cuando la medicin es realizada por la cifra
de identidades robadas, ms del 91% de las violaciones se
encuadran en esta categora.
Volver al ndice
O6 Cibercrimen y
Sectores expuestos Los 10 principales subsectores que sufrieron violaciones

El sector de Servicios fue el ms afectado por la violacin por cifra de incidentes
de datos en 2016, siendo que casi el 45% de las violaciones Los Servicios Empresariales fue el subsector ms afectado, seguido por los
ocurrieron en ese sector, seguido por Finanzas, Seguros y el Servicios de Salud.
Sector Inmobiliario con 22%. Los dos primeros de la lista son
los mismos que en 2015. Al analizar una subdivisin ms Clasif. Sector Violaciones Porcentaje
detallada en subsectores, el sector de servicios empresariales
present el mayor porcentaje de violaciones de datos (24%), 1 Servicios Empresariais 248 24,2
seguido de servicios de salud (11%).
Debido a la confidencialidad de la informacin que podra ser 2 Servicios de Sade 115 11,2
revelada, existen rigurosas reglas relacionadas al relato de
violaciones de datos en el sector de servicios de salud, lo que es 3 Instituciones Depositarias 71 6,9
responsable por su posicin tan alta en la lista. Instituciones
4 62 6,1
No Depositarias
Los 10 principales sectores que sufrieron violaciones por
5 Comunicaciones 42 4,1
cifra de incidentes
El sector de Servicios fue el ms afectado por la violacin de datos en 2016.
6 Aseguradoras 41 4,0
Clasif. Sector Violaciones Porcentaje Servicios de Gestin &

7 38 3,7
Ingeniera
1 Servicios 452 44,2
Ventas al por Menor -
8 34 3,3
Diversos
Finanzas, Seguros y
2 226 22,1 Ventas al por Mayor -
Mercado Inmobiliario 9 25 2,4
Bienes Duraderos
3 Manufactura 116 11,3 Holding & Otras
10 23 2,2
Agencias de Inversin
4 Comercio Minorista 84 8,2
Transporte &
5 75 7,3
Servicios Pblicos
6 Comercio Mayorista 32 3,1
7 Construccin 20 2,0
8 Minera 8 0,8
9 Administracin Pblica 6 0,6
Estabelecimentos
10 3 0,3
No Classificveis
Volver al ndice
O6 Cibercrimen y
Los 10 principales sectores y subsectores analizados por Los 10 principales subsectores que sufrieron violaciones
nmero de identidades robadas reflejan, en gran parte, los por cifra de identidades robadas
nmeros arriba, con el sector de Servicios (90%) en la cumbre Los Servicios Empresariales fue el subsector ms afectado en lo que se refiere a
de la lista de sectores y Servicios Empresariales (78%) en la identidades robadas, respondiendo por casi el 78% del total.
cumbre de los subsectores.
Clasif. Sector Identidades Porcentaje
Tras analizar las violaciones de datos por nmero de
identidades robadas, los Servicios de Salud representan un
1 Servicios Empresariais 786.918.569 77,5
porcentaje bastante menor - es el 9 en la lista de subsectores,
representando menos del 1% de las identidades robadas.
2 Pelculas 85.200.000 8,4
Los 10 principales sectores que sufrieron violaciones por
cifra de identidades robadas 3 Grficas y Editoras 49.299.205 4,9
El sector de Servicios fue responsable por ms del 90% de las identidades
robadas en 2016.
4 Servicios Personales 27.001.398 2,7
Clasif. Sector Identidades Porcentaje
Ventas al por Menor -
5 10.694.512 1,1
Diversos
1 Servicios 914.382.512 90,1
6 Minera de Carbn 9.746.241 1,0

2 Manufactura 56.782.089 5,6
Servicios de Gestin &
7 8.216.181 0,8
Ingeniera
3 Comercio Minorista 13.173.167 1,3
Prestadores de Servicios
8 7.932.817 0,8
Especiales
4 Minera 9.758.832 1,0
9 Servicios de Salud 6.868.017 0,7

5 Construccin 7.963.470 0,8
10 Comunicaciones 5.304.054 0,5

Transporte &
6 6.243.712 0,6
Servicios Pblicos
Finanzas, Seguros y Una caracterstica interesante en la lista de subsectores es la

7 3.554.225 0,4
Mercado Inmobiliario
presencia de Pelculas en el segundo lugar con 85,2 millones
de identidades robadas (8%). Esta cifra puede atribuirse a una
8 Comercio Mayorista 2.051.635 0,2
nica violacin de datos, la invasin del sitio francs de uso
compartido de vdeos online Dailymotion, que se encuadra en
9 Administracin Pblica 1.198.971 0,1 la categora Pelculas.
La violacin de datos de Dailymotion ocurri en octubre, sin
Establecimientos
10 685 < 0,1 embargo no fue revelada hasta diciembre. La violacin result
No Clasificables
en la exposicin de 85,2 millones de direcciones de correo
electrnico y nombres de usuarios nicos que estaban en los
sistemas de la empresa. Sin embargo, aproximadamente cerca
del 20% de las cuentas expuestas tenan contraseas asociadas
que fueron cifradas con el mtodo fuerte bcrypt hashing,
tornndolas difciles de descifrarlas.
Volver al ndice
O6 Cibercrimen y
Datos por pas Los 10 principales pases por cifra de identidades robadas
Estados Unidos fue el primero de la lista, tanto en nmero Una vez ms, Estados Unidos lidera la lista de identidades robadas en 2016.
de violaciones por pas como en el nmero de identidades
robadas por pas. Este descubimiento no sorprende por varios Clasif. Pas Identidades
motivos. EE.UU. posee una gran poblacin, alta adopcin de
tecnologa, y un gran nmero de compaas con sede en el pas. 1 Estados Unidos 791.820.040
Existen tambin rigurosas exigencias legales en EE.UU. sobre
los reportes de violaciones de datos. Las violaciones de datos 2 Francia 85.312.000
frecuentemente no se relatan en su totalidad, en territorios
donde no existen exigencias legales. 3 Rusia 83.500.000
Los 10 principales pases por cifra de violaciones de datos 4 Canad 72.016.746

Estados Unidos fue el pas ms afectado por las violaciones de datos en 2016.
5 Taiwn 30.000.051
Clasif. Pas Identidades
6 China 11.344.346
1 Estados Unidos 1023
7 Corea del Sur 10.349.341

2 Reino Unido 38
8 Japn 8.301.658
3 Canad 19
9 Holanda 6.595.756
4 Australia 15
10 Suecia 6.084.276
5 India 8
6 Irlanda 8 Al analizar las identidades robadas en EE.UU. un

descubrimiento interesante es que las identidades fueron
7 Japn 7 expuestas principalmente en megaviolaciones. El 90% de las
identidades robadas en EE.UU. fueron expuestas en apenas
8 Israel 6 ocho megaviolaciones.
En 2016, hubo apenas cuatro violaciones de datos en Francia,
9 Alemania 5 pero el pas se encuentra en el segundo lugar en la lista de
identidades robadas debido a la violacin de Dailymotion
10 Tailandia 5 discutida anteriormente, en la que ms de 85 millones de
identidades fueron robadas.
De la misma forma, en Rusia, dos violaciones de datos fueron
responsables de la mayor parte de las identidades expuestas.
Ambas violaciones se produjeron en Mail.Ru. Una violacin
revel 57 millones de direcciones de correo electronico,
mientras que la segunda vio 25 millones de cuentas de usuario
afectadas en un foro online.
Volver al ndice
O6 Cibercrimen y
Economa Clandestina Lista de precios de mercados clandestinos

Mientras que la economa clandestina est tpicamente Tarjetas de pago Precio (USD)
asociada al robo de informacin personal y detalles de tarjetas Tarjeta de crdito nica $0.5 - $30
de crdito, los investigadores de Symantec observaron el
Tarjeta de crdito nica con detalles
creciente inters de los cibercriminales en la venta de cuentas completos (Fullz)
$20 - $60
de medios de comunicacin, como Netflix y Spotify, con precios
Datos de la banda magntica 1&2 & PIN $60 - $100
que varan desde 10 centavos a US$ 10 por cuenta. Si bien los
valores que pueden cobrarse por estas cuentas son bajos, si Malware
un grupo de ataque tiene un dispositivo infectado es posible Kit bsico de troyano bancario con soporte $100
que tendr esas informaciones de cuenta de cualquier modo,
Troyano de robo de contrasea $25 - $100
entonces intenta venderlas en un esfuerzo para maximizar sus
lucros. Troyano para Android banking $200
La economa clandestina en 2016 tiene algo para todos: desde Generador de downloader de macro del Office $5
cuentas para aplicaciones de transporte como Uber por US$ 1
Servicio de cifrado de Malware (dificultar la
hasta servicios DDoS (denegacin de servicio distribuido) que $20 - $40
deteccin)
pueden costar hasta US$ 1.000.
Kit de ransomware $10 - $1800
Las tarjetas de regalo de restaurantes, reservas de hoteles y
Servicios
millas de fidelidad de compaas areas tambin estaban entre
los servicios a la venta. Las cuentas bancarias online tambin Servicios de streaming de audio $0.10 - $10
estaban a la venta, junto con cuentas PayPal y cuentas de Cuentas de programa de recompensa de
$10 - $20
compras de ventas al detalle como Amazon y Walmart. hoteles (100K puntos)
En relacin al malware, toolkits de ransomware pueden Cuenta de millas de fidelidad de compaa

$5 - $35
area (10K millas)
comandar hasta US$ 1.800, y fueron muchas veces vendido
como Crimeware-as-a-Service (CaaS), con troyanos de Cuentas de aplicaciones de txi con crditos $0.5 - $10
Android banking vendidos por US$ 200. 20% - 65% del
Tarjetas de regalo de vendedores online
valor de la tarjeta
Symantec observ un aumento en la oferta de servicios
de transferencia de dinero, que se estaban vendiendo por 20% - 40% del
Tarjeta de regalo de restaurantes
valor de la tarjeta
aproximadamente 10% de su valor, por ejemplo, pagar US$
100 en bitcoins para una transferencia de dinero de US$ 1.000. $10 del valor
Reservas de hotel y pasajes areos
Eso indica que el proceso de sacar dinero robado todava es el de la reserva
paso ms difcil en la cadena para los cibercriminales. Servicio DDoS, < 1h de duracin, blanco de
$5 - $20
ataque medio
Los valores observados, en foros clandestinos pblicamente
Servicio DDoS, > 24h de duracin, blanco de
accesibles y sitios Tor en la web oscura, se mantuvieron estables ataque mediano y fuerte
$10 - $1000
desde 2015. Las tarjetas de crdito an son el bien digital ms
Alojamiento blindado dedicado (por mes) $100 - $200
vendido en foros clandestinos.
Servicios de Transferencia de dinero
Los valores para las tarjetas de crdito variaron mucho,
dependiendo del pas de origen (tarjetas de crdito de la UE Servicio de cash-out 10% - 20%
son ms caras que las tarjetas de EE.UU.), bandera, nivel (Gold, Cuentas
Platinum, etc), y la informacin adicional proporcionada. Las 0.5% - 10% do
tarjetas de crdito con informacin completa tuvieron un valor Cuentas bancarias online
saldo de la cuenta
ms elevado que aquellas sin estos detalles, y si un nmero
Cuentas de vendedores $20 - $50
de identificacin personal (PIN) estuviese incluido, el precio
podra ser 10 veces mayor. Cuentas de prestadores de servicios en la nube $6 - $10
Identidades
Identidad (Nombre, DNI y fecha de nacimiento) $0.1 - $1.5
Pasaportes y otros documentos digitalizados

$1 - $3
(ej.: cuenta de luz)
Volver al ndice
O6 Cibercrimen y
El mercado clandestino
Documentos
Toolkit de DDoS corta duracin (Pasaportes, cuentas de
Ransomware (< 1 hr) servicios pblicos)
$10 - $1.800 $5 - $20 $1 - $3
(USD) (USD) (USD)
BANK
8475 0594 5688 4856
Trojan bancario Jane Doe

Cuenta de servicios
para Android Tarjetas de crdito de nube
$200 $0,5 - $30 $6 - $10
(USD) (USD) (USD)
GIF T
Tarjeta de regalo Servicio de cash-out Donde todo

20% - 40%
del valor de la tarjeta
10% - 20%
del valor de la tarjeta
tiene un precio
Volver al ndice
O6 Cibercrimen y
Interferencias y interrupciones como Bayrob se transform de una operacin de fraude online

Mientras el cibercrimen contina siendo un negocio rentable, para una botnet de ms de 300.000 computadoras usadas para
hubo una serie de interferencias legales significativas, la minera de criptomonedas. Symantec consigui exponer las
incluyendo varias interrupciones de destaque, que ayudaron a operaciones del grupo de delincuentes, ganando insights sobre
atrapalhar las actividades y enviar una seal de alerta. sus principales responsables, tcticas, malware, adems del
impacto potencial y las actividades criminales realizadas.
Avalanche Symantec escribi por primera vez sobre el grupo Bayrob en
La operacin para derribar Avalanche fue un duro golpe para 2007, cuando expuso su fraude altamente sofisticado de ventas
la comunidad de cibercriminales, tras la interferencia en la falsas de coches en eBay. Sin embargo, esta atencin pblica
infraestructura usada por al menos 17 familias de malware. no intimid a los criminales y los delincuentes prosiguieron
La operacin fue un esfuerzo conjunto de varias agencias de sus actividades criminales, ejecutando ms fraudes en
autoridades legales internacionales, promotores pblicos y subastas online, as como diversificaron sus actividades con
organizaciones de seguridad y de TI, incluyendo a Symantec. fraudes de tarjetas de crdito. Tambin reclutaron una red de
Eso result en la aprensin de 39 servidores y cientos de miles mulas de dinero en EE.UU. y en Europa, para transportar los
de dominios que estaban siendo usados por la organizacin rendimientos de sus estafas hacia Rumania.
criminal responsable por la red Avalanche.
En los ltimos aos, el grupo haba centrado su atencin en
El trabajo de Symantec relacionado a la red Avalanche la construccin de una botnet para minera de criptomonedas,
tuvo inicio en 2012 cuando public una investigacin sobre y en 2016 su botnet haba crecido para ms de 300.000
ransomware que tena como blanco predominante las personas computadoras.
que usaban el idioma alemn en Alemania, Austria y regiones de
En el transcurso de los aos, Symantec monitore
Suiza. Al mismo tiempo, la policia alemana estaba ejecutando
continuamente las actividades del grupo, permitiendo que
una investigacin sobre el malware Bebloh (Trojan. Bebloh),
pudisemos continuar mejorando la proteccin hacia nuestros
que estaba en la investigacin de Symantec. Los investigadores
clientes, as como auxiliar la investigacin del FBI. Esta
de Symantec brindaron asistencia tcnica para la investigacin
cooperacin, eventualmente, llev a las detenciones a fines de
policial y esos esfuerzos combinados eventualmente lllevaron
2016.
al descubrimiento de la botnet Avalanche. Avalanche era una
inmensa operacin responsable de controlar un gran nmero Lurk/Angler
de computadoras afectadas en todo el mundo.
Fuerzas de seguridad rusas realizaron una operacin para
La investigacin culmin en la operacin llevada a cabo el 30 de reprimir el grupo de malware bancario Lurk en junio de 2016,
noviembre de 2016 y result en el derribo de la infraestructura arrestando a 50 personas en Mosc.
de apoyo para al menos 17 familias diferentes de malware,
El troyano bancario Lurk tuvo como blanco instituciones
as como la detencin de varios individuos sospechosos de
financieras rusas y se estima que el grupo responsable del
participar en la operacin.
mismo pudo haber robado ms de US$ 25 millones de las
Bayrob cuentas de varias instituciones financieras rusas.
La operacin para derribar Bayrob culmin una investigacin Estas detenciones coincidieron con la cada en las actividades
de 8 aos del FBI con soporte de Symantec, que acompa la de una serie de grupos de amenazas, incluyendo Locky, Dridex,
prisin y extradicin hacia EE.UU de tres rumanos que pueden y el kit de exploit Angler. Sin embargo, mientras Locky y Dridex
haber robado hasta US$ 35 millones de vctimas durante varios experimentaron un aumento en sus actividades nuevamente
aos. en el segundo semestre de 2016, Angler no tuvo el mismo
comportamiento. Eso llev a la especulacin de que las mismas
Los cibercriminales de carrera responsables del Bayrob (Trojan.
personas eran responsables tanto por el troyano bancario Lurk
Bayrob) iniciaron con la creacin de falsas subastas online de
como por el kit de exploit Angler.
vehculos para engaar a las vctimas y extorsionar decenas
de miles de dlares, antes de diversificar en otras operaciones Desde las capturas vinculadas a Lurk, Angler desapareci del
fraudulentas y de malware, incluyendo robo de tarjeta de panorama de amenazas, un hecho que fue relatado en detalles
crdito y minera de criptomonedas. en el captulo de Ataques Web.
Durante su investigacin, Symantec descubri varias versiones

del malware Bayrob, recopil datos de inteligencia y observ
Volver al ndice
O6 Cibercrimen y
Dyre Mejores prcticas

Una de las historias ms grandes a ser publicadas en el inicio || Efecte el backup peridico de cualquier archivo
de 2016 fue relacionada al troyano de fraude financiero Dyre. almacenado en su computadora y otros dispositivos.
En febrero surgieron relatos que una operacin de autoridades || Mantenga siempre actualizado su software de seguridad
legales rusas en noviembre de 2015 coincidi con la en todos sus dispositivos, incluso los dispositivos mviles,
interrupcin casi total de las actividades que usaban este a fin de protegerse contra cualquier nueva variante de
troyano financiero. La telemetra de Symantec confirm esta malware.
cada en las actividades. Dyre (Infostealer.Dyre) era distribuido
|| Mantenga su sistema operativo y otros softwares
a travs de campaas de correo eelctrnico de spam, y ninguna
actualizados. Las actualizaciones de software incluirn
campaa de spam relacionada a Dyre se ha observado por
frecuentemente parches para vulnerabilidades de
Symantec desde el 18 de noviembre de 2015.
seguridad recientemente descubiertas que podran ser
La operacin para derribar Dyre fue significativa porque el explotadas por grupos de ataque.
troyano se haba vuelto una de las herramientas de fraude
|| Excluya cualquier correo electrnico de apariencia
financiero ms activas en operacin. Dyre tena como objetivo
las computadoras con Windows para robar datos bancarios y sospechosa que reciba, especialmente si incluyen enlaces
otras credenciales, y tambin podra ser usado para infectar o adjuntos.
a las vctimas con otros tipos de malware y aadirlos a las || Desconfe de cualquier adjunto de correo electrnico del
botnets de spam. Microsoft Office que aconseje a habilitar macros para
Las campaas de spam de Dyre contenan un adjunto malicioso exhibir su contenido. A menos de que est absolutamente
que, al abrirlo, instalara el downloader Upatre (Downloader. seguro de que este es un correo electrnico genuino de
Upatre) en la computadora de la vctima. Las detecciones de una fuente confiable, no active macros y, en vez de eso,
Upatre afectaron un pico de ms de 250.000 en julio de 2015. excluya inmediatamente el correo electrnico.
Las detecciones de Upatre y Dyre cayeron drsticamente || Abstngase de realizar la descarga de aplicaciones de
despus de noviembre de 2015. sitios desconocidos y solamente instale aplicaciones de
Las circunstancias que rodean el derribo de Dyre no son claras, fuentes seguras. Adems, preste mucha atencin a las
sin evidencias definitivas relacionadas a quienes o cuantas autorizaciones solicitadas por apps.
personas fueron arrestadas. Relatos a fines de 2016 afirmaron || Asegrese de que las contraseas que usa para sus
que el nuevo troyano bancario Trickbot (Trojan.Trickybot) era cuentas online sean exclusivas y fuertes. No reutilice
una relectura de Dyre. Investigadores de Fidelis creen con contraseas para varias cuentas, y si est disponible,
moderada confianza que uno o ms de los creadores originales habilite la autenticacin de dos factores.
de Dyre estaban involucrados con Trickbot.
|| Regstrese para recibir alertas de su banco para avisarlo si
se efecta alguna transaccin sospechosa en su cuenta.
Lectura adicional
|| Malware de grupos de ataques SWIFT vinculado a ms
ataques financieros
|| Odinaff: Nuevo troyano usado en ataques financieros de
destaque
|| Red de malware Avalanche es afectada por operacin de
autoridades legales
|| Bayrob: Tres sospechosos extraditados para enfrentar
acusaciones en EE.UU.
|| Aumento de amenazas PowerShell: el 95,4% de los scripts
analizados eran maliciosos
|| Necurs: La botnet de envo de correo electrnico masivo
retorna con nueva ola de campaas de spam
Volver al ndice
Ransomware:
Extorsionando a
consumidores y
empresas
07
Seccin
O7 Ransomware: Extorsionando a
consumidores y empresas Pgina 57 ISTR Abril 2017
Introduccin Ransomware es distribuido de diferentes formas y, de un modo

general, el proceso de infeccin involucra diferentes etapas en
En 2016, ransomware fue una de las amenazas las que el ataque puede ser bloqueado. Por ejemplo, en el caso
ms significativas enfrentadas por individuos y de ransomware distribuido va correo electrnico, la mayora
organizaciones. Los grupos de ataque mejoraron y de los ataques (cientos de miles al da) son bloqueados por
perfeccionaron el modelo de negocio de ransomware, defensas antispam. La mayora de los correos electrnicos de
ransomware vienen con un archivo ejecutable escondido en un
con el uso de cifrado fuerte, pagos annimos en Bitcoin,
adjunto malicioso. El archivo ejecutable es usado para bajar e
y grandes campaas de spam para crear malware
instalar el ransomware en la computadora de la vctima y un
peligroso y amplio. El nmero creciente de nuevas volumen significativo de ataques es bloqueado en esta fase,
familias de ransomware indica que cada vez ms los antes de que el ransomware se descargue en la computadora
grupos de ataque estn usando esta estrategia. Si bien de la vctima.
especialmente los consumidores (69% de todas las En el caso de ataques web, un volumen significativo de ataques
infecciones) corren riesgos de ataques de ransomware, ransomware es realizado con el uso de kits de exploits, pginas
este ao vieron evidencias que los grupos de ataques web maliciosas proyectadas para explotar vulnerabilidades en
de ransomware estn creando nuevas ramificaciones la computadora de la vctima para instalar malware. Un gran
volumen de ataques de ransomware es bloqueado en la fase del
y desarrollando ataques an ms sofisticados, tales
kit de exploit, antes de que el ransomware logre instalarse en
como ataques de ransomware dirigidos a las empresas la computadora de la vctima.
que involucraron una infeccin inicial y movimiento
Adems de los ataques que se bloquean en el inicio del proceso
por la red, llevando al cifrado de varias mquinas. de infeccin, ransomware es frecuentemente detectado
Ransomware parece destinado a seguir siendo una gran y bloqueado por tecnologas de deteccin genrica, que
fuente de preocupacin mundial en 2017. identifican comportamientos maliciosos comunes en malware.
Si bien las detecciones de ransomware realizadas por antivirus
Principales conclusiones representan un pequeo porcentaje del nmero total de
|| Debido a su prevalencia y poder de destruccin, ataques, un aumento considerable en las detecciones durante
ransomware continu siendo la amenaza de cibercrimen el ao sugiere que la actividad de ransomware aument en
ms peligrosa para los consumidores y las empresas en 2016.
2016.
Promedio de detecciones globales de ransomware por da
|| El valor promedio de rescate aument considerablemente,
Las detecciones de ransomware por antivirus aumentaron un 36% en
266%, de US$ 294 en 2015 para US$ 1.077. Es evidente comparacin con 2015, aumentando de un promedio de 933 por da en 2015
que los grupos de ataque consideran que pueden exigir para 1.270 por da en 2016.
ms de las vctimas.
1.500
|| Las detecciones de ransomware aumentaron un 36% en
2016. 1.200
1.271
900
Tendencias y anlisis 933

600
El nmero de detecciones de ransomware aument un 36%
en 2016, de 340.000 en 2015 para 463.000 en 2016. La tasa 300
diario de detecciones de antivirus para ransomware tambin

aument en 2016, con un promedio de aproximadamente 846 2015 2016
por da en el inicio del ao y aument para ms de 1539 por da

en el fin del ao.
Es importante percibir que estos nmeros de deteccin
representan una pequea fraccin de la cantidad total de
ransomware bloqueado por Symantec, con la mayora de los
ataques bloqueados en el inicio del proceso de infeccin.
Volver al ndice
Detecciones globales de ransomware por mes Nuevas familias de ransomware

Las detecciones mensuales de ransomware por antivirus aumentaron en el Nuevas familias de ransomware descubiertas por ao. La cifra ms que triplic
transcurso de 2016, con un promedio de aproximadamente 35.000 por mes en para 101 en 2016, lo que sugiere que cada vez ms los grupos de ataque estn
el inicio del ao y subiendo para ms de 40.000 por mes en el fin del ao. usando la estrategia de ransomware.
60.000 120
50.000 100
101
40.000 80
30.000 60
20.000 40
10.000 20 30 30
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC 2014 2015 2016
Con ms de un tercio de todas las infecciones registradas La cifra de variantes de ransomware (es decir, variantes distintas
en 2016, EE.UU. sigue siendo la regin ms afectada por de familias de ransomware) disminuy en comparacin con
ransomware. Japn (9%), Italia (7%), Canad (4%) e India (4%) el ltimo ao, una cada de 29% de 342.000 en 2015 para
tambin son fuertemente afectados. Los pases europeos como 241.000 en 2016. Esa tendencia de cada se reflej en las
Holanda (3%), Rusia (3%), Alemania (3%), y Reino Unido (3%) cifras mensuales de nuevas variantes de ransomware, donde
tambin presentan posiciones de destaque en las estadsticas el promedio cay de ms de 20.000 en enero para menos de
de infeccin. Otro pas a figurar en el top 10 es Australia (3%). 20.000 en el fin del ao.
Las estadsticas indican que los grupos de ataque estn en gran La cifra de nuevas variantes es otra tasa de la actividad general
parte, concentrando sus esfuerzos en economas desarrolladas de ransomware, donde los grupos de ataque crean nuevas
y estables. variantes de sus amenazas, en la esperanza de escapar de la
deteccin. La cada en la cifra de variantes puede ser explicada
Detecciones de ransomware por pas cuando es analizada junto al gran aumento de nuevas familias
Las detecciones de ransomware por antivirus por pas en 2016. EE.UU. sigue de ransomware en 2016. Los nmeros sugieren que ms grupos
siendo la regin donde ransomware es ms predominante. de ataque optan por comenzar desde cero con la creacin de
una nueva familia de ransomware en vez de ajustar las familias
Reino Unido 3% existentes, creando nuevas variantes.
Australia 3%
Alemania 3%
Estados
Nuevas variantes de ransomware
Rusia 3%
Unidos Nuevas variantes de ransomware (nmero de ejemplos nicos, individuales)
Holanda 3%
34% por ao. La cifra de nuevas variantes cay un 29% de 342.000 en 2015 para
India 4% 241.000 en 2016.
Canad 4% Otros
Italia 7% Pases
400
Japn 9% 27%
350
300 342.000
250
MIL
La cifra de nuevas familias de ransomware aument 200 241.000

drsticamente en 2016. Con 30 nuevas familias a cada ao 150
en 2014 y 2015, la cifra ms que triplic para 101 en 2016. La 100
tendencia sugiere que cada vez ms los grupos de ataque estn 50

68.000
usando la estrategia de ransomware y creando nuevas familias 2014 2015 2016
de ransomware, en lugar de modificar las ya existentes.
Volver al ndice
Variantes de ransomware por mes Infecciones de consumidores x corporativas por mes

Nuevas variantes de ransomware por mes. La cifra promedio cay de ms de El porcentaje de infecciones de consumidores versus las infecciones en
20.000 en enero para menos de 20.000 en el fin del ao. empresas y otras organizaciones permaneci relativamente estable durante
gran parte de 2016.
35.000
Consumidores Empresas
30.000 50.000
25.000
40.000
20.000
15.000 30.000
10.000
20.000
5.000
10.000
La mayor parte de las infecciones de ransomware en 2016

se produjo en las computadoras de consumidores (69%).
Investigaciones/Estudios de casos
Esta cifra subi ligeramente en relacin a 2015, cuando la
proporcin de infecciones de ransomware que se produjeron Cmo ransomware puede afectar a los consumidores
en las computadoras de consumidores fue del 67%. Actualmente existen cientos de diferentes familias de
El porcentaje de infecciones de consumidores versus infecciones ransomware, distribuidas a travs de una variedad de
en empresas y otras organizaciones permaneci relativamente mtodos, pero las amenazas de ransomware ms activas que
estable durante gran parte de 2016, con infecciones de se observaron en 2016 fueron generalmente distribuidas por
consumidores representando entre el 59% y el 79%a cada mes. correo electrnico. En muchos casos, la vctima recibe un correo
La nica excepcin fue diciembre de 2016, cuando hubo casi electrnico de spam proyectado para parecer una factura o
una paridad, con la proporcin de infecciones de consumidores recibo de una empresa. El correo electrnico est escrito de tal
forma para atraer al destinatario a abrir un adjunto malicioso,
cayendo para el 51%.
por ejemplo, Siguen los detalles de su reciente compra, ms
informacin vea el recibo adjunto.
Infecciones de consumidores x corporativas
Infecciones de ransomware en consumidores x empresas. La mayor parte de Abrir el adjunto puede iniciar el proceso de infeccin. Eso
las infecciones de ransomware en 2016 se produjo en las computadoras de puede ejecutar un pequeo pedazo de malware, conocido como
los consumidores. El porcentaje de infecciones de consumidores (69%) subi downloader o archivo ejecutable, que bajar el ransomware y lo
apenas ligeramente en relacin a 2015, cuando lleg al 67%.
instalar en la computadora de la vctima. Una vez instalado, el
ransomware comenzar entonces el cifrado de varios archivos
Consumidores Empresas
100% predefinidos en la computadora (o archivos en determinados
90 directorios o archivos con determinadas extensiones o ambos).
80
70
La mayor parte de las familias de ransomware ms recientes
60 67% 69% emplean un cifrado fuerte, es decir, la vctima no tiene ninguna
50 chance de abrir los archivos cifrados sin una chave de cifrado.
40
30 Muchas veces la vctima no tendr conocimiento del problema
33% 31%
20 hasta que se exhiba un mensaje en su pantalla. El mensaje
10
generalmente explicar lo que sucedi con los archivos de la
2015 2016 vctima y como puede pagarse el rescate, que muchas veces es
hecho mediante sitios web en la red annima Tor.
Cmo ransomware puede afectar a las empresas

La mayor parte de las amenazas de ransomware son de uso
indiscriminado y la experiencia de infeccin es semejante para las
empresas y los consumidores. Sin embargo, un pequeo nmero
de grupos comenz a dirigir sus ataques especficamente en
empresas, con ataques de ransomware proyectados para infectar
a varias computadoras en una nica red y cifrar datos valiosos.
Volver al ndice
En el caso de SamSam (Ransom.SamSam) el punto inicial de del Bitcoin, especialmente ahora que Bitcoin no es tan obcuro
ataque del grupo de ataque fue un servidor web volcado al como sola ser.
pblico. Explotaron una vulnerabilidad no corregida para afectar Sin embargo, pagar el rescate no garantiza la descodificacin de
el servidor e invadir la red de la vctima. A partir de este momento, los archivos de la vctima. De acuerdo con el equipo Norton Cyber
el grupo de ataque us herramientas polivalentes como Microsoft Security Insight, apenas el 47% de las vctimas que pagaron el
Sysinternals para desplazarse en la red de la vctima. Esto les rescate relataron haber recibido sus archivos de vuelta.
permitio mapear cada computadora con acceso a la red de la
organizacin e identificar los activos ms valiosos. Promedio de pedido de rescate
A seguir, el grupo de ataque utiliz un script batch llamado f.bat El pedido de rescate promedio visto en nuevas familias descubiertas en 2016
para implantar SamSam y una clave de cifrado pblica en cada triplic, de US$ 294 para US$ 1.077.
computadora. El script tambin excluy los archivos de copia

de sombra de las computadoras, lo que impidi que cualquier US$ 1.200
archivo fuese restaurado a partir de ellos tras la infeccin. US$ 1.000 US$ 1.077
Despus, distribuyeron una herramienta llamada sqlsrvtmg1. US$ 800
exe. Este archivo ejecutable busc cualquier proceso de backup en
US$ 600
ejecucin y lo interrumpi. Tambin se excluy cualquier archivo
de backup relacionado que fuese encontrado. US$ 400
US$ 373
La ltima etapa fue la distribucin de otro script batch llamado US$ 200 US$ 294
reg.bat. Este inici el proceso de cifrado en cada computadora
2014 2015 2016
infectada. SamSam est configurado para cifrar cientos de
diferentes tipos de archivo. Una vez que finalizaba el cifrado,
el ransomware era excluido, dejando los archivos cifrados y un Los grupos de ataque tambin se han vuelto ms creativos en
pedido de rescate en el escritorio del equipo. El pedido instrua a sus intentos de extraer ms de las vctimas, con varias familias
la vctima a acceder a un sitio web y pagar un rescate de 1,5 Bitcoin de ransomware ms recientes presentando pedidos de rescate
(US$ 1.587 en el momento en que el documento fue creado) para variables. Por ejemplo, Cerber (Ransom.Cerber) duplica su
cada computadora afectada. pedido de rescate de 1 bitcoin (US$ 1.255) para 2,5 bitcoin
despus de cinco das, si no se paga el rescate .
Aumentan los pedidos de rescate
Existen tambin algunas evidencias de que los grupos de ataques
El rescate promedio exigido por los grupos de ataque aument de ransomware comenzaron a adaptar sus pedidos de rescate
drsticamente en 2016. Tras un ligero descenso en 2015, el en funcin del tipo y volumen de datos que cifraron. El grupo
rescate promedio demandado, conforme visto en nuevas familias de ataque responsable del HDDCryptor (Ransom.HDDCryptor)
descubiertas en 2016, subi de US$ 294 para US$ 1.077. habra exigido US$ 70.000 tras un ataque a la Agencia
El aumento del rescate promedio demandado fue, en parte, afectado Municipal de Transportes de San Francisco, lo que ocasion la
por el mayor rescate visto en 2016, un valor extremadamente interrupcin del servicio ferroviario urbano de la ciudad (estos
alto de US$ 28.730, que fue exigido por el ransomware MIRCOP pedidos de rescate personalizados no se toman en cuenta en
(Ransom.Mircop). Sin embargo, incluso si excluimos el rescate nuestros clculos para valores promedios de rescate).
pago por MIRCOP, el rescate promedio habra ms que doblado
Vectores de infeccin
para US$ 678. Es evidente que los grupos de ataque consideran
que puede cobrarse ms de las vctimas. Ransomware es distribuido con el uso de varios vectores
de infeccin. Uno de los vectores ms comunes usados es el
De acuerdo con una investigacin realizada por el equipo Norton
correo electrnico de spam, con algunas de las amenazas
Cyber Security Insight, el 34% de las vctimas pagar el rescate.
ms frecuentes de 2016, tales como Locky (Ransom. Locky),
En EE.UU. este porcentaje sube para el 64% de las vctimas, lo que
distribuidas de esta forma.
proporciona algunos indicios a respecto del motivo por el cual el
pas es un blanco tan grande de ataque. Disposicin para pagar el Las campaas de spam en gran escala, algunas compuestas por
rescate debe ser uno de los principales motivos para el aumento millones de correos electrnicos, ocurren casi que diariamente
del valor de los pedidos de rescate. y son alimentadas por botnets, redes de computadoras
afectadas, que varan de cientos a millones de computadoras.
El pago del rescate tambin qued ms fcil de administrarse. Para
La mayora de las campaas utilizan trucos de ingeniera social
incentivar a las vctimas a pagar, los grupos de ataque muchas
para atraer a los destinatarios a abrir los correos electrnicos
veces ya ofrecen soporte sobre cmo pagar la tasa y una mayor
y adjuntos, por ejemplo, camuflar el correo electrnico como
disponibilidad de servicios de pago torna incluso ms fcil el uso
una factura o una notificacin de envo.
Volver al ndice
Principales amenazas de ransomware
Locky Cerber CryptXXX

Rescate Aprox:
US$ 965 US$ 1.200 US$ 500

Descubierta:
Febrero 2016 Marzo 2016 Abril 2016
Distribuido por:
Campaas de correo Campaas de correo Kit de exploit Angler

electrnico electrnico Kit de exploit Neutrino

Kit de exploit Neutrino
Kit de exploit RIG

Kit de exploit Nuclear
Kit de exploit Magnitude

Kit de exploit RIG

Una de las amenazas de Bastante difundido en el El desaparecimiento del Angler

ransomware ms distribuidas fin de 2016, resultado de a inicios de junio de 2016 provoc
en 2016 extensas campaas de correo una disminucin de las actividades
electrnico y kit de exploit RIG
Distribucin a travs de Reapareci en el inicio de 2017
campaas de correo electrnico Las campaas de distribuido por el kit de exploit
masivo generadas por la botnet correo electrnico usan Neutrino
Necurs principalmente JavaScript
y archivos ejecutables de Variantes ms antiguas
Cada significativa en la macros del Office, pero usaban cifrado dbil que podra
incidencia del Locky en el inicio tambin pueden usar romperse. Las versiones ms
de 2017 debido a la reduccin adjuntos de un archivo zip recientes emplean cifrado ms
en la actividad de Necurs desde fuerte, tornando imposible la
el fin de diciembre de 2016 descodificacin
Volver al ndice
El mtodo de infeccin ms comn involucra un adjunto vulnerable que se ejecuta en servidores para tener acceso
malicioso que contiene un archivo ejecutable, generalmente a la red de una organizacin. El grupo responsable por
un archivo JavaScript (JS.Downloader) o archivo ejecutable de el ransomware SamSam (Ransom.SamSam) encuentra
Macro del Word (W97M.Downloader), que posteriormente baja y explota vulnerabilidades para propagar su malware a
e instala el ransomware. En algunos casos, ningn archivo es travs de una red.
usado y el adjunto malicioso instala directamente el ransomware.
|| Autopropagacin: A pesar de que un pequeo volumen
En otros, el correo electrnico de spam contendr un enlace que
de ransomware para Android demuestra comportamiento
dirige hacia un kit de exploit, que instalar el ransomware en la
similar a un gusano, propagndose hacia todos los
computadora del destinatario. Algunos enlaces no llevan a un
contactos va SMS, 2016 vio el primer ransomware
kit de exploit, en lugar de ello, llevan directamente a un archivo
Windows usar autopropagacin. ZCryptor (W32.ZCrypt)
ejecutable o la carga til del ransomware.
infecta todas las unidades removibles con una copia de
Kits de exploits son otro vector importante de infecccin y han s mismo antes de comenzar el cifrado, aumentando las
sido utilizados para distribuir grandes amenazas de ransomware chances de propagarse hacia otras computadoras.
como Cerber (Ransom.Cerber) y CryptXXX (Ransom. CryptXXX).
|| Tiendas de aplicaciones de terceros: Algunas instancias
Los grupos de ataques que usan kits de exploits generalmente
de ransomware mvil pueden ser transmitidas va tiendas
invaden los servidores web de terceros e ingresan un cdigo
de aplicaciones de terceros no seguras. Un ejemplo es
malicioso en pginas web alojadas en ellos. Esto les permite
Android.Lockdroid.E, que se presenta como un player de
dirigir los navegadores hacia los servidores de los kits de exploits.
vdeo pornogrfico en tiendas de aplicaciones de terceros.
Adems de enlaces distribuidos a travs de campaas de spam o
publicaciones de medios sociales, los grupos de ataque pueden Llega el ransomware como servicio
usar una serie de otros mtodos para redirecionar el trfico Un factor que puede haber influido el aumento de las actividades
de los servidores de kits de exploits, tales como anuncios de ransomware en 2016 fue la llegada de Ransomware como
maliciosos (conocidos como malvertising) o redireccionar el Servicio (RAAS). Esto involucra la creacin de kits de ransomware
trfico de los servicios de distribucin de trfico. por los desarrolladores de malware, que pueden usarse para crear
Kits de exploit dependen de la explotacin de vulnerabilidades. y personalizar fcilmente sus nuevas variantes de ransomware.
Los usuarios que ejecutan software desactualizado o sin parches Los desarrolladores generalmente ofrecen los kits para los
de correccin corren ms riesgo. Los usuarios con software grupos de ataque, en cambio de un porcentaje de los ingresos.
actualizado solamente sern expuestos en los casos en que una Un ejemplo de RaaS es Shark (Ransom.SharkRaaS), que surgi
vulnerabilidad de da cero es usada por un kit de exploit. A fines en 2016. Shark es distribuido a travs de su propio sitio web y
de 2016, Symantec estaba bloqueando en torno de 388.000 permite a los usuarios personalizar el valor del rescate y cules
ataques por da a partir de kits de exploits. sern los archivos cifrados. El pago es automatizado y enviado
Si bien las campaas de spam y kits de exploits son los principales directamente a los creadores de Shark, que retienen el 20% y
vectores de infeccin, se han usado una serie de otras tcticas enva lo restante para los grupos de ataques.
tambin para distribuir ransomware, incluyendo:
Nuevas tcnicas: ataques dirigidos y uso de herramientas
|| Infecciones secundarias: En algunos casos el malware del da a da
que ya infect una computadora puede ser usado para A pesar de que los ataques de ransomware hasta hoy han
bajar ms malware, incluyendo ransomware. Un caso fue sido generalmente indiscriminados, existen evidencias
el ransomware CryptoLocker original, siendo que algunas que los grupos de ataques tienen un creciente inters en
vctimas quedaban supuestamente infectadas tras la centrarse en organizaciones con ataques dirigidos. Si bien en
infeccin original realizada por una de las varias botnets. un volumen relativamente pequeo en comparacin con las
|| Ruptura de contraseas por fuerza bruta: Algunas amenazas enviadas de forma masiva, estos ataques pueden
familias de ransomware son distribuidas a travs de ser devastadores para las organizaciones afectadas, con
la ruptura de credenciales de ingreso por fuerza bruta potencialmente cientos de computadoras cifradas.
de software usado en servidores. Un ejemplo es Bucbi Uno de los ejemplos ms peligrosos de esta nueva generacin
(Ransom. Bucbi), que usa este mtodo para establecerse en de ataques dirigidos es SamSam (Ransom.SamSam). SamSam
servidores Remote Desktop Protocol (RDP). tiene como blanco los servidores que ejecutan versiones
|| Explotacin de vulnerabilidades del servidor: Varios ms antiguas, comunitarias y sin parches de correccin de
grupos de ransomware tienen como blanco el software JBoss Application Server, con los grupos de ataque usando
herramientas disponibles de forma gratuita, por ejemplo,
Volver al ndice
la herramienta de prueba de cdigo abierto JexBoss, para infraestructura de comando y control (C&C) perteneciente al
identificar servidores vulnerables. grupo WildFire (Ransom.Zyklon).
Luego de ingresar en un servidor, los grupos de ataque pueden En diciembre, Symantec colabor en una operacin de
robar credenciales y usar una serie de herramientas disponibles destruccin de la red de alojamiento de malware Avalanche. La
pblicamente, como servicios de Microsoft Sysinternals, para operacin result en la detencin de 39 servidores y cientos de
desplazarse en la red de la vctima. Cuando se identifican las miles de dominios que la organizacin criminal estaba usando
computadoras ideales para infeccionar, los atacantes usan un para distribuir por lo menos 17 familias de malware, incluso el
script batch para implantar SamSam y un cifrado de clave ransomware Trojan.Ransomlock.P.
pblica en cada computadora. El script tambin excluye los
archivos de copia de sombra de las computadoras, lo que Lectura adicional
impide que cualquier archivo sea restaurado a partir deles
|| Ransomware y Negocios 2016
tras la infeccin. Tambin buscan cualquier proceso de backup
en ejecucin y los interrumpe, adems de excluir cualquier || Ransomware Locky en la caza agresiva por vctimas
archivo encontrado relacionado a backup.
|| KeRanger: Surge el primer ransomware para Mac OS X
Las tcnicas empleadas en los ataques SamSam son ms
|| SamSam puede sealizar una nueva tendencia de
vistas en campaas de ciberespionaje e indican el nivel de
ransomware dirigido
conocimiento disponible para algunos grupos de ransomware.
A pesar de que es ms difcil que se ejecuten, esos tipos de
ataques dirigidos pueden potencialmente infectar miles de Mejores prcticas
computadoras en una organizacin afectada, causando la || Nuevas variantes de ransomware aparecen de forma
interrupcin de varios servicios. peridica. Mantenga siempre actualizado su software de
seguridad para protegerse contra ransomware.
Otras plataformas ahora vulnerables
Hasta la actualidad, los grupos de ataques de ransomware se || Mantenga su sistema operativo y otros softwares
han centrado, en gran parte, en usuarios del Windows, sin actualizados. Las actualizaciones de software incluirn
embargo, la variedad de plataformas bajo amenazas empez frecuentemente parches para vulnerabilidades
a crecer. Han surdigo varias amenazas Android, inclusive un recientemente descubiertas que podran ser explotadas
cripto-ransomware para Android en Ruso llamado Simplocker por grupos de ataque de ransomware.
(Android.Simplocker) y su variante en ingls llamada || El correo electrnico es uno de los principales mtodos
(Android.Simplocker.B). Los dispositivos mviles no son los de infeccin. Excluya cualquier correo electrnico de
nicos dispositivos Android potencialmente vulnerables a apariencia sospechosa que reciba, especialmente si
ransomware. Investigaciones de Symantec han descubiero incluyen enlaces y/o adjuntos.
que las smartTVs que ejecutan el Android podran tambin ser
|| Desconfe de cualquier adjunto de correo electrnico del
potencialmente afectadas.
Microsoft Office que aconseje a habilitar macros para
En 2016, una amenaza conocida como KeRanger (OSX. exhibir su contenido. A menos de que est absolutamente
Keranger) se volvi el primer ransomware generalizado seguro de que este es un correo electrnico genuino de
que tena como blanco los usuarios de Mac. KeRanger fue una fuente confiable, no active macros y, en vez de eso,
distribuido brevemente en una versin afectada del instalador excluya inmediatamente el correo electrnico.
para el cliente de Transmission BitTorrent.
|| Realizar backup de datos importantes es la manera ms
Adems de las amenazas especficamente proyectadas para
eficaz de combatir la infeccin por ransomware. Los
un sistema operativo, se crean una serie de variantes de
grupos de ataque tienen poder sobre sus vctimas, al cifrar
ransomware en JavaScript, lo que significa que puede infectar
archivos valiosos y dejndolos inaccesibles. Si la vctima
mltiples plataformas, como Ransom.Nemucod y Ransom.
tiene copias de backup, puede restaurar sus archivos as
Ransom32.
que la infeccin haya sido eliminada.
Operaciones de autoridades legales || El uso de servicios en la nube puede ayudar a mitigar la
Hubo una serie de operaciones lideradas por autoridades infeccin por ransomware, ya que muchos mantienen
legales que afectaron algunos de los grupos de ransomware versiones anteriores de archivos, permitiendo que usted
menores en 2016. En agosto, la polica holandesa aprendi la revierta para los archivos no cifrados.
Volver al ndice
OO
Introduccin Pgina 64 ISTR Abril 2017
Nuevas fronteras:
El Internet de las Cosas,
dispositivos mviles y
amenazas en la nube
08
Seccin
Volver al ndice
O8 Nuevas fronteras: El Internet de las Cosas,
dispositivos mviles y amenazas en la nube Pgina 65 ISTR Abril 2017
A pesar de que los ataques tradicionales contra equipos Principales conclusiones

de escritorio y servidores han dominado en volumen el || Los ataques contra el honeypot del Internet de las Cosas
panorama de amenazas, existen otras plataformas que de Symantec casi duplicaron de enero a diciembre de
estn siendo activamente atacadas o que estn en el 2016. Un promedio de casi 4,6 direcciones IP nicos
afectaron el honeypot a cada hora en enero, pero eso
punto de mira de los responsables de las amenazas.
aument para un promedio de poco ms de 8,8 en
El uso generalizado de los dispositivos mviles y la diciembre. En momentos de pico de actividad, cuando
Mirai estaba expandindose rpidamente, los ataques al
adopcin dominante de tecnologas en la nube y del
honeypot estaban ocurriendo a cada dos minutos.
Internet de las Cosas (IoT), abri nuevas plataformas y
|| En 2016, los dispositivos IoT fueron responsables por el
usuarios para los grupos de ataque, y en 2016 pueden
mayor ataque DDoS ya visto. El ataque a la compaa de
observarse una serie de amenazas emergentes cada vez
alojamiento francesa OVH, que lleg a alcanzar 1 Tbps,
ms importantes contra esas tres reas. fue el mayor ataque DDoS ya registrado. Fue conducido
principalmente por la botnet Mirai.
El Internet de las Cosas || Las contraseas estndar todava son la principal falla
de seguridad para los dispositivos IoT. La contrasea
El rpido aumento en el destaque dado a la seguridad admin es la ms usada por los grupos de ataque.
de los dispositivos IoT en 2016 no surgi de la nada.
Symantec alert sobre la inseguridad del Internet de Tendencias y anlisis
las Cosas en el ISTR de 2015. Sin embargo, habria Qu significa IoT? Muchas personas imaginan termostatos
sido difcil predecir el nivel de atencin que IoT y su inteligentes y asistentes virtuales que respondern a los
seguridad, o la falta de ella, recibira en el ltimo comandos de voz, pero IoT est compuesta principalmente
trimestre de 2016. por dispositivos frecuentemente usados. Los ruteadores
domsticos, DVRs y las cmaras conectadas a Internet - que
El motivo para tal atencin se resume en una palabra: forman parte de IoT - fueron los dispositivos que ms sufrieron
Mirai. La botnet Mirai, que est compuesta por como blancos de la botnet Mirai.
dispositivos IoT, fue usada en varios ataques distribuidos Una botnet es un ejercito zombie de dispositivos conectados a
de denegacin de servicio (DDoS) hasta el fin de 2016. Internet, infectados con software malicioso y controlados como
un grupo sin el conocimiento de sus propietarios. El grupo de
Es difcil afirmar definitivamente cuantos dispositivos ataque puede usar los dispositivos controlados para ejecutar
realmente fueron infectados por Mirai, no obstante actividades maliciosas, como ataques DDoS o campaas de
spam. Los dispositivos IoT son un blanco atractivo para las
muchos de los nmeros mencionados son bastante
botnets por tres motivos:
alarmantes. La investigacin de Incapsula descubri
01 La seguridad muchas veces no es una prioridad para el
casi 50.000 IPs originales que alojan dispositivos
fabricante del dispositivo. Eso lleva a prcticas inadecuadas,
infectados por Mirai y que intentan lanzar ataques en su como el uso de contraseas estndar y puertas abiertas,
red. Level 3 dijo haber identificado aproximadamente que los usuarios no alteran o no pueden cambiar.
493.000 bots de Mirai: 213.000 antes que el cdigo
02 Normalmente, no tienen mecanismos internos para recibir
fuente fuese liberado, y 280.000 en los ltimos meses actualizaciones automticas de firmware, posibilitando
de 2016. vulnerabilidades sin correccin.
Symantec estableci un honeypot de IoT en el fin 03 Frecuentemente, son olvidados tras la instalacin. Eso
significa que sus propietarios no saben cuando los
de 2015 para rastrear intentos de ataque contra
dispositivos estn usndose para propsitos malicosos
dispositivos IoT. Los datos recopilados de este honeypot y tienen poco incentivo para aplicar actualizaciones de
muestran como los ataques a IoT estn obteniendo firmware.
fuerza y como los dispositivos IoT estn atrayendo la
atencin de los grupos de ataque.
Volver al ndice
Mientras que el nico propsito de Mirai parece ser los ataques Ataques a cada hora al honeypot de IoT por mes
DDoS, malware en un ruteador inalmbrico puede llevar El aumento en los ataques a cada hora al honeypot de Symantec de enero a
que la informacin personal - incluso nombres de usuarios, diciembre puede ser claramente observado, casi duplicando a lo largo del ao.
contraseas y datos financieros - sea robada. Los dispositivos
IoT infectados tambin pueden usarse como un punto de 10
9
partida para atacar otros dispositivos en una red privada. Eso 8
tambin supone que uno de sus dispositivos puede participar 7
de una botnet global enfocada en interrumpir la operacin de 6

5
sitios o servicios. 4
Symantec estableci un honeypot de IoT en 2015 para observar 3

2
los ataques contra dispositivos IoT. El honeypot es camufado 1
como un ruteador abierto y los intentos de conectarse al sistema
son registrados para el anlisis. Entre enero y diciembre de
2016, el nmero de direcciones IP nicas dirigidas al honeypot
casi duplic.
Si bien ha ocurrido una ligera tendencia de cada de julio a
En enero, el nmero promedio de IPs nicos que escaneaban octubre, en noviembre y diciembre los incidentes de ataques
el honeypot a cada hora era casi 4,6. En diciembre, ese nmero aumentaron bruscamente. El cdigo fuente para la botnet Mirai
creci para un promedio de poco ms de 8,8. La mayora de los fue divulgado pblicamente en el ltimo da de septiembre, lo
IPs que afectaban el honeypot son otros dispositivos IoT. que probablemente influy en ese aumento.
El cdigo fuente para Mirai fue revelado en un foro de hackers
por un individuo con nombre de usuario Anna-senpai. No
es posible decir definitivamente quien est por detrs de
Mirai, pero el periodista de seguridad Brian Krebs, una de las
primeras vctimas de la botnet, escribi un extenso artculo
sobre su investigacin con la identidad de Anna-senpai.
Los 10 principales pases donde se iniciaron

los ataques al honeypot IoT de Symantec
Alemania China
4,9% Ucrania Rusia 26,5%
Holanda 5,8%
3,0% 2,5%
Japn
Estados 2,3%
Unidos Reino
17,7% Unido
2,1%
Francia Vietnn
2,5% 3,8%
Otros
28,8%
Volver al ndice
Un ataque en gran escala al proveedor de DNS Dyn, ocurrido Las 10 contraseas ms utilizadas para intentar ingresar en
el 21 de octubre, recibi una amplia atencin de la prensa y el honeypot IoT de Symantec
puso a Mirai en las prinicpales noticias. Eso demostr como era Las contraseas estndar dominaron la lista de las 10 contraseas ms
fcil crear una botnet grande y causar daos a los principales utilizadas para ingresar en el honeypot de Symantec.
sitios. Los autores del ataque Dyn no fueron identificados, pero
se estima que eran script kiddies (aspirantes a hackers con abc123 1,8%
pocas habilidades), en vez de un grupo de hackeo sofisticado. test 2,0%
admin
El ataque Dyn tambin revel la existencia de Mirai hacia el admin123 2,3% 36,5%
mundo en general, y la prensa destac los llamados skids, 1234 5,6%
que pidieron tutoriales en foros de hackers para que pudiesen password 7,2%
aprender a usar el cdigo fuente de Mirai. ubnt 7,5%
root
16,3%
12345 10,1%
Datos por pas 123456 10,7%
El anlisis de los datos de honeypot demostr tambin que era
posible determinar de qu pases se iniciaron los ataques al
honeypot. Admin (37%) y root (16%) dominan la lista de contraseas
usadas para intentar ingresar en el honeypot de Symantec,
China (26,5%) y EE.UU. (17,7%) dominaron el volumen de
con los sospechosos usuales 123456, 12345, 1234 y
ataques, con Rusia (5,8%), Alemania (4,9%) y Vietnn (3,8%)
password tambin parte de la lista. La contrasea estndar
los prximos en la lista de los cinco principales pases.
para la marca Ubiquiti de ruteadores, ubnt, tambim est
Esas mtricas miden los pases en los cuales la direccin IP en el top 10. Es probable que los ruteadores de Ubiquiti
del dispositivo de ataque fue localizado, pero eso no significa fuesen blancos porque fue revelado en mayo de 2016 que
necesariamente que los propios grupos de ataque estaban una antigua vulnerabilidad en los ruteadores permita que
ubicados en esos pases. los gusanos (worms) dirigiesen los dispositivos incorporados
para propagarse por miles de ruteadores de Ubiquiti Networks
Contraseas ejecutando un firmware desactualizado.
El anlisis de las contraseas usadas por el malware de IoT Si bien Ubiquiti, a mediados de 2016, lanz una actualizacin
para intentar ingresar a los dispositivos trajo resultados no de firmware que corrigi esta vulnerabilidad, el gusano
sorprendentes, revelando que los nombres de usuarios y an era capaz de explotar la debilidad en los casos en que la
contraseas estndar de los dispositivos de IoT muchas veces actualizacin de firmware no haba sido descargada.
no son alterados.
Existen muchas razones para esto. Varios dispositivos de La botnet Mirai
IoT tienen nombres de usuario y contraseas codificadas Mirai primero llam la atencin del pblico en septiembre,
que no pueden ser fcilmente alteradas. Muchos usuarios cuando, como mencionado arriba, la botnet fue usada para un
posiblemente no conocen los peligros de las credenciales enorme ataque DDoS en el sitio web de Brian Krebs. Ese ataque
estndar, por lo tanto, raramente tratan de alterarlas. alcanz el pico de 620 Gbps, tornndose el mayor ataque
La prctica tradicional recomendada determina que los DDoS ya relatado en aquella poca. Sin embargo, algunos
usuarios deben poseer una combinacin de nombre de usuario das despus, surgieron relatos sobre un ataque anterior a la
y contrasea exclusiva para todos los dispositivos de IoT, compaa de alojamiento francesa OVH, y fue reportado que
conforme es recomendado para las cuentas online. Sin embargo, alcanz un pico de 1 Tbps.
a menos que los fabricantes y los proveedores implementen No obstante, fue un ataque DDoS en la empresa de DNS Dyn en
alteraciones que obligan a los usuarios a seleccionar una octubre que puso en primera pgina a Mirai. El ataque a Dyn
contrasea exclusiva, las contraseas probablemente interrumpi las actividades de varios de los principales sitios
continuarn a ser un punto dbil de la seguridad. web del mundo, incluso Netflix, Twitter y PayPal.
El ataque mostr lo poderoso que podra ser un ataque DDoS
usando dispositivos IoT y levant preguntas sobre lo que podra
representar si los grupos de ataque decidiesen invadir sistemas
de control industrial o infraestructura nacional crtica.
Volver al ndice
El rastro de interrupciones de Mirai en 2016 27 La botnet Mirai explota

vulnerabilidad en ruteadores
19 Mirai botnet 30 El cdigo fuente de 21 El ataque contra el proveedor domsticos usados por clientes
lanza ataque DDoS Mirai es lanzado en la de DNS Dyn bloquea el acceso a de Deutsche Telekom y resulta
contra el proveedor de comunidad de hackers varios sitios web populares como en casi un milln de usuarios
alojamiento OVH con online HackForums. Netflix, Twitter y PayPal. domsticos desconectados.
picos de 1 Tbps .
SEPTIEMBRE OCTUBRE NOVIEMBRE
20 La botnet Mirai lanza un ataque DDoS contra 24 Hangzhou Xiongmai Technology Co hizo el recall
krebsonsecurity.com con picos de 620 Gbps. de una serie de dispositivos que pueden haber sido
utilizados como parte de la botnet Mirai.
Mirai funciona con el escaneo continuo de dispositivos de de Administracin CPE WAN. Tambin se estima que los
IoT que son accesibles a travs del Internet y protegidos por ruteadores similares usados por la compaa irlandesa Eir
usuarios y contraseas estndar de fbrica o codificados. estaban vulnerables al mismo ataque.
Enseguida, los infecta con malware que los obliga a reportar a Con esta primera variante apareciendo menos de dos meses
un servidor de control central, transformndolos en un bot que despus que el cdigo fuente fue tornado pblico, sera
puede usarse en ataques de DDoS. Existen tambin al menos razonable suponer que es apenas la punta de lo que podra ser
otras 17 familias de malware de IoT que estn activamente un iceberg muy grande.
infectando dispositivos.
Segn la estimativa de Gartner, que hasta 2020 habr ms Visin futura
de 20.000 millones de dispositivos de IoT en el mundo, es
El nmero de dispositivos IoT continuar creciendo y eso puede
importante que se resuelvan los problemas de seguridad o las
llevar a un aumento de las solicitudes para la reglamentacin
campaas como Mirai puedan verse en una escala an mayor.
del sector de IoT como la nica forma de enfrentar el problema
Asimismo, el perfil de los dispositivos de IoT posiblemente
de la seguridad. Si la reglamentacin se torna una posibilidad,
cambiar. A medida que los coches y los dispositivos mdicos
la prxima cuestin es si sera mejor aplicada en el nivel de la
conectados se vuelvan ms frecuentes, las motivaciones de los
industria o del gobierno.
grupos de ataque tambin pueden cambiar.
El ataque DDoS contra Dyn, con sede en EE.UU., que fue ejecutado
Los ataques que usan dispositivos IoT tambin disminuyen las
predominantemente con el uso de webcams producidas por la
barreras para la entrada de los cibercriminales. Existe mucho
empresa china de electrnicos XiongMai Technologies, enfatiza
menos seguridad a superar para los grupos de ataque cuando
la dificultad de reglamentar los dispositivos de IoT.
intentan asumir el control de un dispositivo de IoT. Al contrario de
una computadora o laptop, que normalmente habrn instalados A pesar de que no existe ninguna manera de corregir un
software de seguridad y recibirn actualizaciones automticas problema complejo como este, estndares de seguridad basados
de seguridad, la nica proteccin de un dispositivo de IoT puede en riesgos son parte de la solucin. Las naciones individuales
ser un nombre de usuario y una contrasea estndar fcilmente deben considerar una reglamentacin de seguridad mnima,
adivinados. Actualmente, la dbil seguridad en los dispositivos en particular para usos crticos, a fin de garantizar que la
de IoT apenas torna ms fcil la vida de los cibercriminales. seguridad sea un requisito fundamental en la concepcin y
fabricacin de dispositivos IoT.
Una historia en evolucin
Naturalmente, los fabricantes deben asumir el rol principal en
El cdigo fuente para Mirai estaba disponible pblicamente la seguridad de los productos que envan al mercado. Deben
en el fin de septiembre. Como mencionado, fue publicado en proporcionar a los consumidores un nivel de transparencia en
HackForums por un usuario con el nombre Anna-senpai, el 30 la seguridad de los dispositivos IoT para que puedan tomar una
de septiembre. Como esperado, la revelacin del cdigo fuente decisin informada en sus compras. Eso tambin permite que
result en la creacin de otras variantes de Mirai. la seguridad se vuelva un recurso inherente en un dispositivo,
A fines de noviembre, una variante de Mirai interrumpi el lo que permitira a los fabricantes premium diferenciar sus
acceso al internet para casi 1 milln de usuarios domsticos productos con base en la seguridad.
en Alemania. Esta variante atac varios ruteadores donde el Independientemente de lo que suceda, es probable que la
puerto TCP 7547 era accesible remotamente en el dispositivo, seguridad del internet de las cosas continuar a ser muy
al tiempo que tambin explotaba una debilidad en el Protocolo discutida en 2017.
Volver al ndice
Mejores prcticas Dispositivos Mviles

|| Examine las capacidades y los recursos de seguridad de un
dispositivo de IoT antes de la compra. Symantec continu observando un aumento en las
actividades maliciosas relacionadas a los dispositivos
|| Ejecute una auditora de los dispositivos de IoT usados en
su red.
mviles, dirigidas por cibercriminales que usaban
mtodos comprobados y seguros para obtener dinero de
|| Altere las credenciales estndar en dispositivos. Use
los ataques. Android contina siendo la plataforma mvil
contraseas fuertes y nicas para cuentas de dispositivos
y redes WiFi. No use contraseas comunes o fcilmente ms atacada. Sin embargo, tras un ao de crecimento
adivinables como 123456 o contrasea. explosivo en 2015, la tasa de crecimiento de los ataques
|| Use un mtodo de cifrado fuerte al configurar el acceso a
contra Android desaceler por primera vez en 2016
la red Wifi (WPA2). a medida que los grupos de ataque consolidan sus
actividades y utilizan mejores arquitecturas de seguridad.
|| Muchos dispositivos vienen con una variedad de servicios
habilitados por estndar. Desactive los recursos y
servicios que no son necesarios Principales conclusiones
|| El sistema operativo Android contina siendo la atencin
|| Desactive el login Telnet y use SSH siempre que sea
principal de los responsables por amenazas mviles. Sin
posible.
embargo, las mejoras de seguridad en la arquitectura del
|| Modifique las configuraciones estndar de privacidad y Android han vuelto cada vez ms difcil la infeccin de
seguridad de los dispositivos de IoT de acuerdo con sus telfonos celulares o incluso capitalizar con infecciones
necesidades. exitosas.
|| Desactive o proteja el acceso remoto a los dispositivos de || Los ataques al sistema operativo iOS todava son
IoT cuando no sea necesario. relativamente raros. Sin embargo, tres vulnerabilidades de
|| Use conexiones cableadas en vez de inalmbricas donde da cero en iOS fueron explotadas en ataques dirigidos para
sea posible. infectar celulares con el malware Pegasus en 2016.
|| Regularmente verifique el sitio web del fabricante para || El volumen total de aplicaciones Android maliciosas
actualizaciones de firmware. aument significativamente en 2016, con un crecimiento
del 105%. Pero, esta tasa de crecimiento desaceler al
|| Asegrese de que una falla de hardware no ocasione un compararla con el ao anterior, cuando el nmero de
estado inseguro del dispositivo. aplicaciones maliciosas aument un 152%.
|| En 2016, Symantec bloque 18,4 millones de infecciones de
malware en dispositivos mviles. Los datos de dispositivos
mviles protegidos por Symantec muestran que 1 de cada
20 dispositivos sufri un intento de infeccin en 2016. Se
observaron niveles semejantes en 2015.
Tendencias de malware de dispositivos mviles

El total de detecciones de amenazas en dispositivos mviles,
incluso los datos de las tecnologas en la nube de Symantec,
duplic en 2016, resultando en 18,4 millones de detecciones
de malware en dispositivos mviles en 2016. Sin embargo, el
aumento del 105% en 2016 fue significativamente menor que el
aumento del 152% en el ao anterior, a pesar del crecimiento en
el uso de smartphones. Esto indica que existe una transicin en
marcha de un perodo de crecimiento explosivo en el panorama de
amenazas mviles, hacia una fase en la que los grupos de ataque
estn consolidando sus actividades, al mismo tiempo en que se
adaptan a las medidas de seguridad implementadas en el Android.
Volver al ndice
Cifra total de detecciones por ao de malware Variantes de dispositivos mviles por familia
Symantec observ 18,4 millones de detecciones de malware en dispositivos Las variantes mviles por familia aumentaron ms del 25% en 2016, un poco
mviles en 2016, un aumento del 105% en comparacin con 2015. menos que el aumento del 30% en 2015.
20 60
59
18,4 mi 50
15
47
MILLONES
40
10 30 36
9,0 mi 20
5
10
3,6 mi
2014 2015 2016 2014 2015 2016
Otras evidencias de la consolidacin en marcha surgen cuando Al adoptarse una visin ms holstica, hubo una ligera cada
se analizan las familias de amenazas. Las familias de amenazas en el nmero total de variantes maliciosas de aplicaciones
son un agrupamiento de amenazas de grupos de ataque, iguales mviles detectadas, con una reduccin del 8% entre 2015 y
o similares. Symantec registr cuatro nuevas familias de 2016. Esta pequea cada acompa un enorme aumento en
amenazas mviles en 2016, una cada acentuada en relacin a las variantes maliciosas de aplicaciones mviles detectadas
2015, cuando se identificaron 18 nuevas familias. No obstante, entre 2014 y 2015, cuando aument ms del 75%. Las cifras
se debe notar que las tecnologas de deteccin ms recientes, de este ao muestran que la actividad comenz a estabilizarse.
como heurstica, aprendizaje de mquina y detecciones
en la nube, detectan las amenazas de forma ms genrica, Variantes de malware para dispositivos mviles por ao
camuflando potencialmente la presencia de nuevas familias. Al La reduccin de las variantes mviles detectadas en 2016 indica que la
actividad en el rea comienza a estabilizarse.
analizar ms detalladamente las caractersticas de las amenazas
mviles, pueden observarse conjuntos de 61 nuevas amenazas
distintas que surgieron en 2016. Al comparar este nmero con 4.000
3.944
los 75 grupos identificados en 2015, queda evidente una cada 3.500
3.634
3.000
de casi 19%, nuevamente indicando una desaceleracin en el
2.500
crecimiento o innovacin en el panorama de amenazas mviles.
2.000
2.227
1.500
Nmero acumulativo de familias de malware por ao 1.000
Cuatro nuevas familias de malware mviles fueron registradas por Symantec 500
en 2016, una cada acentuada en relacin a 2015, cuando se identificaron 18
nuevas familias. 2014 2015 2016
300
299 En general, se puede deducir que los grupos de ataque estn optando
290
295 por refinar y modificar las familias y los tipos de malware existentes,
en vez de desarrollar nuevos y exclusivos tipos de amenazas.
280
277 Motivos y tcnicas

270
El malware mvil contina teniendo movimiento financiero y
260
usa mtodos comprobados y seguros de obtener dinero, como
2014 2015 2016 enviar mensajes de texto premium, fraude de clics de anuncios y
ransomware.
Al analizar ms detalladamente las variantes de amenazas Al analizar los tipos de malware detectados, las dos principales
individuales en cada familia, el nmero de variantes maliciosas detecciones - Android.Malapp y Android.MalDownloader -
de aplicaciones mviles por familia aument ms del 25% en representan ms de la mitad del total de las detecciones del ao.
2016, un poco menos que el aumento en 2015, cuando el nmero Estas son detecciones genricas usadas para detectar una gran
de variantes mviles maliciosas por familia aument un 30%. variedad de amenazas individuales, pero no clasificadas.
Volver al ndice
La primera deteccin que llama la atencin en el top 10 es Android. Tasas de malware y grayware
Opfake que est en tercer lugar. Opfake detecta malware que Symantec clasifica de forma proactiva las aplicaciones para
enva mensajes de texto premium, que continan siendo un gran dispositivos mviles que contienen grayware o malware.
generador de ingresos para los grupos de ataque de amenazas
mviles. Una segunda deteccin de mensajes de texto premium, Grayware est compuesto por programas que no contienen
Android.Premiumtext, aparece en quinto lugar. El sistema malware y no son directamente maliciosos, pero pueden ser
operativo Android aadi avisos cuando se envan los mensajes de irritantes o perjudiciales para los usuarios. Ejemplos incluyen
texto premium, tornando cada vez ms difcil que los responsables herramientas de hackeo, accessware, spyware, adware,
por amenazas escondan sus actividades. Algunas de las otras discadores y programas de bromas.
instancias de malware en el top 10 (Android.HiddenAds y Android. Hubo picos significativos en aplicaciones de malware y
Fakeapp) usan mtodos de fraude de clics para obtener ingresos y grayware entre 2014 y 2015, pero en 2016 los nmeros de las
escapar de los avisos. dos reas alcanzaron niveles semejantes. Grayware aument
El malware utilizado para distribuir ransomware y el malware un poco menos de 4% en 2016, mientras que el malware
usado en los intentos de robar informacin bancaria de las aument aproximadamente un 29%, comparado con un
vctimas tambin aparecieron en las 20 principales detecciones en aumento de ms del 300% en 2015. Los niveles de grayware y
2016. malware identificados en 2016 son bastante parecidos.
Principales amenazas para dispositivos mviles en 2016 Tasas de malware y grayware, 2014-2016
La cifra de aplicaciones de malware y grayware en 2016 alcanz niveles
Las dos detecciones de malware para dispositivos mviles ms frecuentes son
semejantes en 2016, tras el crecimiento entre 2014 y 2015.
nombres genricos de deteccin, usados para bloquear una amplia gama de
amenazas no clasificadas del Android.
Malware Grayware
10
Amenaza Mvil Porcentaje
8
Android.Malapp 39,2 7,8 mi 8,1 mi
MILLONES
7,2 mi
6
Android.MalDownloader 16,1
5,6 mi
Android.Opfake 5,2 4
4,3m
Android.HiddenAds 4,8 2
Android.Premiumtext 4,1 1,3 mi

Android.Maldropper 2,1 2014 2015 2016
Android.Mobilespy 1,9
Android.Downloader 1,7
Aumento de empaquetadores en tiempo real
Android.Dropper 1,7
Si bien los grupos de ataque de dispositivos mviles no
Android.Fakeapp 1,7 demuestran innovaciones significativas en los tipos de
Android.Smsstealer 1,7 actividades de amenazas que conducen, estn adoptando
Android.Rootnik 1,6 tcnicas que aumentarn las tasas de xito de infecciones y
su longevidad. Los grupos de ataque de dispositivos mviles
Android.Lotoor 1,4
adoptaron cada vez ms el uso de empaquetadores de
Android.SmsBlocker 1,4 runtime en un intento de ocultar el malware, una prctica que
Android.MobileSpy 1,3 prcticamente duplic desde el inicio de 2016 hasta el fin del
Android.RegSMS 1,2 ao.
Android.FakeInst 1,2 Los empaquetadores de runtime tornan ms difcil la
Android.SMSblocker 0,9 deteccin de malware y vienen siendo usados por malware
tradicional durante varios aos. Pueden permitir que una
Android.HiddenApp 0,8
aplicacin maliciosa sea recopilada varias veces para que no
Android.Lockdroid.E 0,8 se detecte como maliciosa, sin embargo en tiempo de ejecucin
implantar su carga de malware.
Volver al ndice
Vulnerabilidades relatadas en dispositivos mviles por sistema operativo

Android sobrepas a iOS en trminos de la cantidad de vulnerabilidades
en dispositivos mviles reportadas en 2016.
10 Blackberry
iOS Android
2014 178 12
2015 463 89
2016 290 316
0 100 200 300 400 500 600
Porcentaje de malware para dispositivos mviles en el grupos de ciberataques para obtener dinero con malware en
campo que es empaquetado dispositivos mviles. Sin embargo, Android 4.2 (Jelly Bean)
Un aumento en el uso de empaquetadores de runtime puede observarse en incorpor una actualizacin en 2012 que obstaculiz la operacin
2016, con la tasa ms que duplicando entre enero y diciembre. de troyanos en mensajera de SMS premium, que era utilizada de
forma desenfrenada en la poca. Con la actualizacin, el telfono
30
exhibira una alerta en caso de que hubiese un intento de enviar
25 un mensaje a un nmero de telfono premium, reduciendo
20
considerablemente la eficacia de esos fraudes.
15
Las restricciones de inicializacin automtica introducidas en
Android 3.1 (Honeycomb) en 2011 tambin presentaron un reto
10
para los grupos de ataque, pues bloqueaban los recursos de auto-
5 restauracin silenciosa, impidiendo que los troyanos iniciasen
silenciosamente sin cualquier actividad de front-end. Incluso con
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC la eficacia de estas restricciones, los grupos de ataque tambin
crearon formas de driblar esa restriccin.
En otras reas, las actualizaciones lanzadas pertenecientes
Vulnerabilidades en dispositivos mviles a Android 5.0 (Lollipop) y de Android 6.0 (Marshmallow)
Un notable cambio en 2016 fue que Android sobrepas el iOS en dificultaron la vida de los grupos de ataque que tratan de
trminos del nmero de vulnerabilidades mviles reportadas, implantar malware bancario en dispositivos mviles. El
un fuerte contraste con los aos anteriores, cuando iOS super malware bancario en dispositivos mviles funciona a travs
Android en esta rea. Ese cambio puede ser parcialmente atribuido de overlay de la pantalla, para phishing en la aplicacin
a mejoras continuas en la seguridad de la arquitectura Android actualmente en ejecucin, pero esas actualizaciones frustraron
y un inters continuo de los investigadores en las plataformas la capacidad del malware de encontrar la tarea actualmente
mviles. en ejecucin, depreciando a API getRunningTasks(). Desde
entonces, los grupos de ataque estn determinados a encontrar
Mejoras en la arquitectura Android soluciones alternativas para superar esas medidas adicionales
de seguridad.
Android ha modificado continuamente su arquitectura para
ayudar en mejoras de seguridad. Esto ha impactado a los Actualizaciones en Marshmallow tambin intentaron resolver
cibercriminales, dificultndoles la instalacin de malware con el problema de ransomware en los dispositivos mviles. Un
xito en los telfonos. Aun cuando consigan instalar malware nuevo modelo de autorizaciones en las actualizaciones dificult
en el telfono de una vctima, varios desarrollos y mejoras en el bastante a los responsables del ransomware que tiene como
Android dificultan cada vez ms la monetizacin. objetivo Marshmallow, lanzar con xito su malware en un
dispositivo, exigiendo que el usuario conceda autorizacin
Datos de Symantec muestran que los mensajes de texto premium
explcita para que el ransomware bloquee el dispositivo.
todava son una de las formas ms eficaces utilizadas por los
Volver al ndice
Si bien esas actualizaciones y mejoras de seguridad son Un sabor amargo para Apple
bienvenidas, las mejoras continuas solamente sern tiles si las An son relativamente raras las instancias de malware en el
personas logran descargar la versin ms reciente del Android iOS. Sin embargo, en agosto de 2016, se descubri que tres
en sus dispositivos, lo que ni siempre es realidad. vulnerabilidades de da cero en el iOS, conocidas como Trident,
Algunos fabricantes nunca lanzan la versin ms reciente del estaban siendo explotadas en ataques dirigidos para inyectar
Android para sus smartphones, o existe un gran atraso entre el malware Pegasus en los telfonos de las vctimas. Pegasus es
el lanzamiento de la versin ms reciente y su disponibilidad un spyware que puede acceder a mensajes, llamadas y correo
para todos. Datos del propio Android muestran que, en el inicio electrnico. Tambin puede recopilar informacin de aplicaciones
de 2017, la versin ms actualizada de su sistema operativo, como Gmail, Facebook, Skype y WhatsApp.
Nougat, estaba presente en una pequea parte del mercado,
El ataque funcionaba con el envo de un enlace hacia la vctima
ya que todava no estaba disponible para la mayora de los
por medio de un mensaje de texto. Si la vctima haca clic en el
aparatos fuera del ecosistema Google. La prxima versin
enlace, a seguir el telfono estara desbloqueado y Pegasus podra
ms actualizada, Marshmallow, tampoco tena la mayor parte
ingresar e iniciar su trabajo de espionaje.
de mercado del sistema operativo, con aproximadamente
un 4% por debajo de la versin anterior, Lollipop. La falta de Las vulnerabilidades que permitieron que ese ataque se produjese
actualizaciones puede crear grandes oportunidades para que incluan una en el WebKit de Safari que le permita al grupo de
los grupos de ciberataques tengan como blanco los sistemas ataque invadir el dispositivo si un usuario haca clic en un enlace,
operativos desactualizados en dispositivos mviles. provocaba una fuga de informacin en kernel y un problema en
el cual la corrupcin en la memoria de kernel podra desbloquear
Participacin de mercado de diferentes versiones de el dispositivo.
Android, enero de 2017 El ataque se descubri cuando un activista de derechos humanos
La versin ms actualizada del Android, Nougat, tiene apenas un pequeo entreg su telfono a Citizen Lab, tras recibir un sospechoso
porcentaje del mercado del sistema operativo.
mensaje de texto. Las vulnerabilidades parecen haber sido
explotadas tan solo en un nmero limitado de ataques dirigidos.
1,0% Gingerbread
Nougat 0,7% Pegasus es un spyware desarrollado por el Grupo NSO, una
Jelly 1,1% Ice Cream
Bean Sandwich compaa israelense que supuestamente solamente vende su
11,6%
software a gobiernos. Las tres vulnerabilidades fueron corregidas
Marshmallow
29,6%
KitKat
por Apple en el iOS versin 9.3.5.
22,6%
Este ataque mostr que, aunque son raros los ataques al iOS, el
Lollipop sistema no es infalible.
33,4%
Mejores prcticas
|| Mantenga actualizado su software.
El predominio de versiones antiguas del sistema operativo
|| Abstngase de realizar la descarga de aplicaciones de
demuestra que los grupos de ataque pueden continuar empleando
sitios desconocidos y solamente instale aplicativos de
tcnicas antiguas, que pueden ser inutilizables en las versiones
fuentes seguras.
ms actualizadas de SO, para llevar a cabo ataques sin necesidad
de innovar. || Preste mucha atencin a las autorizaciones solicitadas
por apps.
De alguna manera esto puede explicar la falta de innovacin
o expansin por parte de los grupos de ataques de dispositivos || Instale una aplicacin de seguridad mvil adecuada, como
mviles - tienen un modelo que funciona. Norton, para proteger su dispositivo y los datos.
|| Efecte frecuentes backups de datos importantes.
|| Faa backups frequentes de dados importantes.
Volver al ndice
Nube Si bien esos nmeros pueden parecer grandes, tenga en mente

que una gran variedad de servicios comnmente usados, como
Como el uso de la nube por parte de las empresas y los Office 365, Google, Dropbox y Salesforce, son aplicaciones
consumidores se ha vuelto la tendencia del momento, en la nube. De hecho, Office 365, Google y Dropbox fueron
ha aumentado naturalmente el inters para los grupos consideradas las tres aplicaciones colaborativas ms utilizadas
y adoptadas con mayor frecuencia en las compaas, tanto en
de ataque. Si bien los ataques a la nube an estn en su
el primero como en el segundo semestre de 2016.
inicio, 2016 sinti la primera interrupcin generalizada
de servicios en la nube como resultado de una campaa Aplicaciones en la nube ms utilizadas en las compaas
de denegacin de servio (DoS), y debe servir de aviso La organizacin comn tiene en sus sistemas 928 aplicaciones en uso en la
sobre cmo los servicios en la nube estn sujetos a los nube, sin embargo la mayora de los CIOs estima que sus compaas usan
apenas aproximadamente 30 o 40 aplicaciones en la nube.
ataques maliciosos.
Colaboracin
Principales conclusiones 1S 2016 2S 2016
|| El uso generalizado de aplicaciones en la nube en las Office 365 Office 365
corporaciones, aliado al comportamiento de riesgo de
Google Google
los usuarios que incluso la empresa puede no tener
conocimiento, ha ampliado el alcance para los ataques Dropbox Dropbox
basados en la nube. A fines de 2016, la organizacin media Box Evernote
estaba usando 928 aplicaciones en la nube, un aumento
Evernote Box
en relacin a los 841 en el inicio del ao. Sin embargo,
la mayora de los CIOs estima que sus compaas usan Habilitacin de negocios
apenas aproximadamente 30 o 40 aplicaciones en la nube. 1S 2016 2S 2016
|| El anlisis de CloudSOC de Symantec descubri que un Salesforce GitHub

25% de todos los datos relacionados a Shadow IT (datos GitHub Salesforce
comerciales almacenados en la nube sin el consentimiento
Zendesk Zendesk
o el conocimiento del departamento de TI de la compaa)
son ampliamente compartidos, aumentando su riesgo de ServiceNow ServiceNow
exposicin. 3% de estos datos ampliamente compartidos Amazon Web Services Amazon Web Services
estn relacionados a la conformidad de la compaa.
Consumidores
|| En 2016, varios ataques y campaas de destaque fueron
1S 2016 2S 2016
contra los servicios relacionados a la nube, inclusive los
ataques distribuidos de denegacin de servicio (DDoS) Facebook Facebook
de Mirai contra el proveedor DNS Dyn y los ataques a las Twitter LinkedIn
bases de datos Mongo DB alojadas en servicios en la nube. LinkedIn YouTube
YouTube Twitter
Tendencias y anlisis
Pinterest Pinterest
Los datos recopilados por CloudSOC de Symantec en los
ltimos seis meses de 2016 mostraron que est en auge el uso
y abuso de aplicaciones y servicios en la nube, as como los una compaa deben usar los servicios en la nube, aumenta
datos compartidos y almacenados en los mismos. el riesgo de uso de las aplicaciones en la nube. Este anlisis
El anlisis se centr en ms de 20.000 aplicaciones en la nube, descubri que la mayora de los CIOs estima que sus compaas
176 millones de documentos en la nube y 1.300 millones de usan apenas aproximadamente 30 o 40 aplicaciones en la
correos electrnicos. Se descubri que la organizacin media nube, a pesar de la mayora de las compaas haber adoptado
tiene 928 aplicaciones en uso en la nube, un aumento de 87 en un promedio de 928, una diferencia que supera el 2.000%.
relacin al nmero de 841, identificado en el primer semestre
de 2016.
Volver al ndice
El anlisis de CloudSOC de Symantec descubri que un 25% de El peligro del ransomware

todos los datos relacionados a Shadow IT (datos comerciales Una serie de ataques de ransomware contra los servicios
almacenados en la nube sin la autorizacin o el conocimiento basados en la nube demostr la vulnerabilidad de los datos
del departamento de TI de la compaa) son ampliamente basados en la nube a los ataques de cibercriminales. Un reciente
compartidos, es decir, se comparten internamente, caso de destaque fue cuando decenas de miles de bases de datos
externamente y/o con el pblico. de cdigo abierto MongoDB fueron secuestradas y mantenidas
Incluso ms alarmante es que de los 25% de los archivos como rehenes hasta el pago de rescate. El incidente se produjo
ampliamente compartidos, un 3% contenan datos luego que las bases de datos MongoDB ms antiguas quedaron
relacionados a la conformidad, como Informacin Personal abiertas, pues los usuarios usaron una configuracin estndar.
Identificable (PII), Informacin de Tarjetas de Pago (PCI) o A pesar de que no hubo ninguna vulnerabilidad en la propia
Informacin Protegida de Salud (PHI). Si existe una fuga de seguridad de MongoDB, y la empresa haya alertado a los
estos datos confidenciales, puede llevar a significativas multas usuarios acerca de ese problema, innmeras implementaciones
de conformidad y costos de mitigacin para la compaa antiguas que no haban aplicado las mejores prcticas de
afectada. Limitar a los funcionarios a usar aplicaciones de uso seguridad permanecieron online, con ms de 27.000 bases
compartido de archivos seguros y populares, como Office 365 y de datos supuestamente siendo secuestrados. Estos ataques
Box, no puede mitigar completamente los riesgos de esos datos enfatizaron la necesidad de los usuarios a permanecer atentos
debido al mal uso por parte del empleado o a la invasin deo de y asegurarse que cualquier software de cdigo abierto que
la cuenta por hackers. La imposicin de prcticas inteligentes utilicen sea seguro.
de gobernanza de los datos en la nube, como la identificacin,
Otro caso, a inicios de 2016, una organizacin en California
categorizacin y monitoreo del uso de todos los datos de la
ejecut toda su operacin a travs de una empresa de
nube, es esencial para evitar la prdida de datos.
soluciones administradas en la nube. Luego de que uno de
De forma preocupante, CloudSOC de Symantec descubri que sus funcionarios abriese un correo electrnico de spam, se
el 66% de las actividades de riesgo de usuarios en la nube descubri que ninguna persona en la compaa podra acceder
indicaba intentos de exfiltrar datos. Los intentos de exfiltrar a los ms de 4.000 archivos almacenados en la nube.
los datos se indican por el uso compartido frecuente de
La compaa haba sido vctima de ransomware, especficamente
cuentas, descargas frecuentes o excesivas y previsualizacin
TeslaCrypt (Ransom.TeslaCrypt). Afortunadamente, el proveedor
frecuente de documentos. La previsualizacin de documentos
de los servicios de la nube mantuvo copias peridicas de
es un indicio de actividades de exfiltracin, pues puede
seguridad, pero tard una semana para restaurar los archivos de
permitir que los grupos de ataque capturen datos. El Anlisis
la empresa. Este es apenas un ejemplo del nivel de interrupcin
Comportamental del Usuario (UBA) es crtico para identificar
que el ransomware puede causar a las compaas.
a los usuarios de riesgo, adems de identificar y prevenir
exploits, como exfiltracin de datos, destruccin de datos e
invasin de cuentas. IoT y nube: potenciales aliados en el cibercrimen
La prisa de llevar todos y cualquier dispositivo hacia una
Negocios de riesgo
plataforma online muchas veces deja la seguridad en segundo
El aumento del uso de servicios en la nube por las compaas plano. Eso fue evidente en el caso de CloudPets, animales de
y sus funcionarios indica que la gobernanza de datos de peluche conectados a internet. Los CloudPets fabricados por
las empresas est perjudicada y susceptible a fragilidades Spiral Toys son mascotas de peluche que permiten que los
existentes fuera de la compaa. nios y sus padres puedan intercambiar mensajes grabados
Eso puede ser muy serio. El anlisis de Symantec descubri a travs de Internet. Sin embargo, el investigador Troy Hunt
que el 76% de los sitios web contienen vulnerabilidades, de descubri que la compaa almacenaba datos de clientes en
las cuales un 9% son crticas. Esta estadstica es explotada con una base de datos MongoDB desprotegida y que era fcil de ser
ms detalles en el captulo sobre Ataques Web. identificada online. Eso expuso ms de 800.000 credenciales
de clientes, incluso correos electrnicos, contraseas y ms
El ataque Dyn, abordado en la seccin de IoT en este captulo,
de 2 millones de mensajes grabados. Hunt dijo que, a pesar de
es un ejemplo de un grupo de ataque que tiene como blanco
que las credenciales fuesen protegidas usando la funcin de
una compaa especfica, pero que afect a los servicios
hashing seguro bcrypt, un gran nmero de contraseas eran
proporcionados por varias empresas, inclusive Amazon Web
demasiado dbiles para que fuese posible descodificarlas.
Services, SoundCloud, Spotify y GitHub. Eso enfatiz los
riesgos que corren las empresas al usar los servicios en la nube.
Volver al ndice
Este caso ilustra como la combinacin de IoT y nube puede Lectura adicional
poner en riesgo los datos de los clientes. Muchos dispositivos 2S 2016 Informe Shadow Data: Empresas ms colaborativas,
IoT recopilan datos personales y dependen de los servicios en ms seguras y ms en la nube que antes
la nube para almacenar esos datos en bases de datos online. Si
esas bases de datos no poseen la proteccin adecuada, entonces
la privacidad y la seguridad de los clientes estn siendo puestas
Mejores prcticas
en riesgo. || Excluya cualquier correo electrnico de apariencia
sospechosa que reciba, especialmente si incluyen enlaces
o archivos adjuntos.
Uso de herramientas del da a da
El aumento del uso de servicios en la nube tambin ayuda a || Desconfe de cualquier archivo adjunto de correo
facilitar una tendencia discutida en este informe de grupos de electrnico del Microsoft Office que aconseje a habilitar
ataque que optan por el uso de herramientas del da a da, en macros para exhibir su contenido. A menos de que est
vez de desarrollar su propia infraestructura de ataque. absolutamente seguro de que este es un correo electrnico
genuino de una fuente segura, no active macros y, en vez
Dos de los casos de mayor destaque en 2016, el hackeo de la
de eso, excluya inmediatamente el correo electrnico.
cuenta de Gmail de John Podesta, jefe de campaa de Hillary
Clinton, y el hackeo de la Agencia Mundial Antidoping || Cuidado con las actualizaciones o parches emitidos para
(WADA) - fueron facilitadas mediante el uso de servicios en la cualquier software de cdigo abierto que utiliza. Las
nube. Los grupos de ataque emplearon ingeniera social para actualizaciones de software incluirn frecuentemente
adquirir la contrasea de Gmail de John Podesta. Asimismo, parches para vulnerabilidades de seguridad recientemente
los grupos de ataque supuestamente usaron servicios en la descubiertas que podran ser explotadas por grupos de
nube para exfiltrar los datos robados en lugar de construir ataque.
una infraestructura personalizada para esa finalidad. Ambos || Asegrese que el servicio que utiliza en la nube efecte
casos de gran destaque son abordados en detalles en el captulo regularmente backup de sus archivos, para garantizar que
Ataques Dirigidos. pueda sustituirlos si se torna una vctima de ransomware.
La nube es atractiva para los grupos de ataque pues, || Implemente prcticas inteligentes de gobernanza de
dependiendo de como es usada y configurada, permite que datos en su compaa para que pueda saber qu datos de
pasen por la seguridad local. Los datos almacenados en la negocios estn siendo almacenados en los servicios en la
nube pueden ser ms fcilmente accesibles a los grupos de nube.
ataque que los datos almacenados en los servidores locales.
Tener como blanco los servicios en la nube tambin posibilta
que los grupos de ataque causen la mxima interrupcin con
relativamente poco esfuerzo - como fue visto con el ataque
DDoS en el DNS Dyn.
A medida que el uso de los servicios en la nube se vuelve cada
vez ms comn, hace sentido que los ataques a esos servicios
tambin se tornen ms frecuentes en el futuro.
Volver al ndice
Crditos
Equipo Colaboradores
Kavitha Chandrasekar Shaun Aimoto
Gillian Cleary Tareq AlKhatib
Orla Cox Peter Coogan
Hon Lau Mayee Corpin
Benjamin Nahorney Jon DiMaggio
Brigid O Gorman Stephen Doherty
Dick OBrien Tommy Dong
Scott Wallace James Duff
Paul Wood Brian Fletcher
Candid Wueest Kevin Gossett
Sara Groves
Kevin Haley
Dermot Harnett
Martin Johnson
Sean Kiernan
Bhavani Satish Konijeti
Gary Krall
Richard Krivo
Yogesh Kulkarni
Matt Nagel
Gavin OGorman
John-Paul Power
Nirmal Ramadass
Rajesh Sethumadhavan
Ankit Singh
Tor Skaar
Dennis Tan
Suyog Upadhye
Parveen Vashishtha
William Wright
Tony Zhu
Volver al ndice
Acerca de Symantec
Symantec Corporation (NASDAQ: SYMC) es lder mundial en
soluciones de ciberseguridad y ayuda a las compaas, gobiernos
e individuos a proteger sus datos ms importantes en cualquier
lugar. Compaas en todo el mundo buscan a Symantec para
soluciones estratgicas e integradas para defenderse contra
ataques sofisticados en endpoints, en la nube e infraestructura.
Del mismo modo, una comunidad global de ms de 50 millones
de personas y familias dependen de la suite de productos Norton
de Symantec para proteccin en casa y en todos sus dispositivos.
Symantec opera una de las redes civiles de ciberinteligencia ms
grande del mundo, lo que le permite ver y proteger contra las
amenazas ms avanzadas.
Ms informacin
Site Global da Symantec: http://www.symantec.com
ISTR e Symantec Intelligence Resources: https://www.symantec.com/security-center/threat-report
Symantec Security Center: https://www.symantec.com/security-center
Norton Security Center: https://us.norton.com/security-center
Sede Mundial de Para escritorios regionales y
Symantec nmeros de contacto especfico, por
350 Ellis Street favor acceda a nuestra pgina web.
Mountain View, CA 94043 Para obtener ms informacin sobre
USA los productos en los Estados Unidos,
llame al nmero de telfono gratuito
+1 650 5278000 (800) 745 6054.
+1 800 7213934
Symantec.com
04/17
Copyright 2017
Symantec Corporation.
Todos los derechos

reservados. Symantec, el
logo de Symantec y el logo
de Checkmark son marcas
registradas o marcas
comerciales registradas de
Symantec Corporation o de
sus subsidiarias en EE.UU. e
outros pases. Otros
nombres pueden ser marcas
registradas de sus respectivos
propietarios.

Informe Final de Symantec Abril de 2017

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe Final de Symantec Abril de 2017

Cargado por

Copyright:

Formatos disponibles

ISTR

Informe sobre Amenazas para la Seguridad en Internet

Nuevas fronteras: IoT,

Asaltos financieros: Los delincuentes centran la

Nuevas fronteras: IoT y servicios en la nube en

1.523 1.211 1.209

Total de identidades 1,2B 564M 1,1B

Promedio de identidades 805K 466K 927K

En los ltimos 8 aos, ms de 7,1 bilhes milones de

Amenazas de correo electrnico, malware y bots

60% 53% 53%

275M 355M 357M

2016 290 316 606 46

2014 178 200

Web 2014 2015 2016 Promedio de ataques

Ransomware 2015 2016

US$ 373 US$ 294 US$ 1.077

25% 23% 25%

El Internet de las Cosas

Introduccin Principales conclusiones

Lnea del tiempo

Ataques dirigidos notables

Herramientas, tcticas y Motivos Herramientas, tcticas y Motivos

Posible regin de origen: Posible regin de origen:

Herramientas, tcticas y Motives Herramientas, tcticas y Motivos

Possible region of origin: Possible region of origin:

Ferramentas, tticas e Motivos Herramientas, tcticas y Motivos

Posible regin de origen: Posible regin de origen:

Herramientas, tcticas y Motivos Herramientas, tcticas y Motivos

Posible regin de origen: Posible regin de origen:

Herramientas, tcticas y Motivos Herramientas, tcticas y Motivos

El panorama de los ataques dirigidos en 2016 Total anual de vulnerabilidades de da cero

incidentes polticamente subversivos dirigidos a Estados 5.000

capacidad de larga data para llevar a cabo una variedad de 1.000

ciberoperaciones, las potencias regionales tambin migraron

dirigidas a los pases rivales y a los grupos internos de oposicin.

Eleccin presidencial de EE.UU.: Lnea del tiempo de los ataques en

Las herramientas ms frecuentes que los atacantes pueden

resurgi en noviembre de 2016 con una serie de ataques contra 4,6M

serie de ataques en todo Medio Oriente.

Asociada a esa tendencia, algunos especficos grupos chinos Lectura adicional

Introduccin Tendencias y anlisis

200 vio un aumento de 1 de cada 396 correos electrnicos para 1

amenazas Kovter (Trojan.Kovter) empezaron a aumentar en 1-250 127

Servicios 121 2014 2015 2016

Manufactura 130 1 de cada 965 1 de cada 840 1 de cada 2596

Comercio Minorista 135

Sin embargo, spear phishing contina creciendo. Algunos

Es posible que existan innmeras razones responsables de la Fraudes BEC

Finanzas, Seguros y Mercado Inmobiliario 1918

Solicitud de Transferencia 9% 10% Urgente 54,5%

Tamao de la Empresa Tasa de Spam (%) 700.000

250-500 53,1 400.000

Con la migracin para los downloaders de JavaScript, desde

JUN JUL AGO SEP

Idiomas preferidos usados en campaas de spam Lectura adicional

La gran mayora (89%) de las principales campaas analizadas

Ataques web, toolkits

Introduccin Tendencias y anlisis

delincuentes alternan regularmente entre el correo 80

electrnico y los kits de exploits y es posible que 60 76% 78% 76%

2014 2015 2016

Kits de Exploit desaparecimiento. No obstante, el desaparecimiento de Spartan