Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Abril 2011 - Hallazgos América Latina

Introducción Symantec cuenta con las fuentes de datos más completas a nivel mundial sobre amenazas en Internet gracias a Symantec™ Global Intelligence Network. Esta red captura datos de inteligencia de seguridad en todo el mundo y ofrece datos inigualables a los analistas de Symantec para que los identifiquen y analicen, brinden protección y proporcionen una perspectiva y comentarios objetivos e informados sobre las nuevas tendencias de los ataques, de la actividad de códigos maliciosos, phishing y spam. Más de 240,000 sensores ubicados en más de 200 países y territorios supervisan la actividad de los ataques a través de una combinación de productos y servicios de Symantec como el Sistema de Manejo de Amenazas DeepSight™ de Symantec, Servicios Administrados de Seguridad de Symantec™ y productos Norton™ para consumidores finales, así como fuentes de datos adicionales de terceros. Symantec recopila datos de códigos maliciosos de más de 133 millones de equipos cliente, servidores y sistemas gateway que han implementado sus soluciones de seguridad y antivirus. Además, la red honeypot de Symantec recopila datos alrededor del mundo, después de capturar ataques y amenazas inadvertidas y proporcionar información valiosa sobre los métodos de los atacantes. Además, Symantec mantiene una de las bases de vulnerabilidades más completas del mundo, actualmente compuesta por más de 40,000 vulnerabilidades registradas (que abarca más de dos décadas) y que afecta a más de 105,000 tecnologías de más de 14,000 proveedores. Symantec facilita también la lista de correos BugTraq™, uno de los foros más populares de divulgación y discusión sobre vulnerabilidades en Internet, que tiene aproximadamente 24,000 suscriptores que contribuyen, reciben y examinan diariamente las investigaciones sobre las vulnerabilidades. Los datos de spam y phishing son capturados a través de una variedad de fuentes como: Symantec Probe Network, un sistema con más de 5 millones de cuentas señuelo; MessageLabs intelligence, una respetada fuente de datos y análisis de problemas, tendencias y estadísticas de seguridad de los mensajes; y otras tecnologías de Symantec. Los datos son recopilados en más de 86 países de todo el mundo. Más de 8 millones de mensajes de correo electrónico y más de 1,000 millones de solicitudes Web se procesan diariamente en 16 centros de datos y seguridad. Symantec también recopila información de phishing a través de una extensa comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de consumidores. Estos recursos dan a los analistas de Symantec fuentes de datos sin precedentes, mismos que se ven recopilados anualmente en el Informe de Symantec sobre las Amenazas a la Seguridad en Internet, que da a las empresas y consumidores información esencial para proteger sus sistemas efectivamente ahora y en el futuro. Además de recopilar información de ataques globales en Internet, Symantec también analiza datos de ataques detectados por sensores desplegados en regiones específicas. Este informe aborda aspectos notables de actividades maliciosas en Internet, que Symantec observó en la región de América Latina (LAM) en 2010.

Actividad Maliciosa por País en América Latina Contexto Esta métrica evalúa los países de la región de América Latina (LAM) en dónde ocurre o se origina la mayor actividad maliciosa. La actividad maliciosa generalmente afecta los equipos conectados a Internet a través de banda ancha de alta velocidad porque estas conexiones son blancos atractivos para los atacantes ya que brindan mayor capacidad que otros tipos de conexión, mayor velocidad, mayor cantidad de sistemas constantemente conectados y normalmente una conexión más estable. Symantec clasifica las actividades maliciosas de la siguiente manera:

Códigos Maliciosos. Éstos incluyen virus, gusanos y troyanos que se insertan secretamente en los programas. Los propósitos de los códigos maliciosos son destruir los datos, ejecutar programas destructivos o intrusos, robar información confidencial o comprometer la seguridad o la integridad de los datos de la computadora de la víctima.

Zombis de Spam. Se trata de sistemas comprometidos que se controlan y utilizan de forma remota para enviar grandes volúmenes de mensajes de correo electrónico basura o no solicitado. Estos mensajes pueden utilizarse para proporcionar códigos maliciosos e intentos de phishing.

Hosts de Phishing. Un host de phishing es un equipo que hospeda sitios Web que intentan reunir ilegalmente información confidencial, personal y financiera al mismo tiempo que aparenta que la solicitud de estos datos se está realizando desde una organización de confianza y conocida. Estos sitios Web están diseñados para imitar los sitios de empresas legítimas.

Equipos Infectados con Bots. Se trata de equipos afectados que están siendo controlados remotamente por los atacantes. Normalmente, el atacante remoto controla una gran cantidad de equipos afectados por un canal único y confiable en una red de bots (botnet) que se utiliza para lanzar ataques coordinados. En la mayoría de las ocasiones los usuarios desconocen que su equipo está siendo utilizado para lanzar ataques.

Orígenes de Ataques de Red. Se refiere a las fuentes de ataques que se originan desde Internet. Por ejemplo, los ataques pueden centrarse en protocolos SQL o vulnerabilidades de desbordamiento de búfer.

Metodología Para determinar la actividad maliciosa por país, Symantec ha recopilado datos geográficos sobre numerosas actividades maliciosas, como informes de códigos maliciosos, zombis de spam, hosts de phishing, equipos infectados por bots y el origen de los ataques a la red. Luego se determina la proporción de cada actividad que se origina en cada país dentro de la región. Se calcula la media de los porcentajes de cada actividad maliciosa que se origina en cada país y este promedio determina la proporción de toda la actividad originada en el país en cuestión. Luego, la clasificación se determina calculando el promedio de la proporción de las actividades maliciosas que se originaron en cada país.

América Latina - Actividad Maliciosa por País Fuente: Symantec Corporation, 2011

Comentario Brasil sigue teniendo el mayor porcentaje de actividad maliciosa en América Latina. En 2010, Brasil ocupó el primer lugar en actividad general maliciosa en la región LAM. A nivel mundial, Brasil ocupó el cuarto lugar con 5 por ciento del total mundial. La alta clasificación de Brasil se debe a que obtuvo el primer lugar de la clasificación por un amplio margen en todas las actividades maliciosas. Además de ser el país con la mayor cantidad de conexiones de banda ancha en la región LAM, el protagonismo de botnets grandes y dominantes en Brasil contribuye a su alta clasificación en equipos infectados con bots, zombis de spam y hosts de phishing. Brasil es una fuente importante de equipos infectados por bots de botnets principales que envían mensajes de spam, como Rustock, aazben y Ozdok (Mega-D).

Origen de los Ataques en LAM por Fuente Contexto Esta métrica evalúa las principales fuentes globales desde dónde se originaron los ataques dirigidos a la región LAM en 2010. Se debe tener en cuenta que, debido a que el equipo atacante podría ser controlado de forma remota, el atacante puede estar en una ubicación diferente que el equipo utilizado para lanzar el ataque. Por ejemplo, un atacante ubicado físicamente en los Estados Unidos podría lanzar un ataque desde un sistema afectado en México contra una red en otro país como por ejemplo, Venezuela. Metodología En esta sección se miden las principales fuentes de ataques que afectaron los equipos de LAM en 2010. Generalmente, un ataque de red es considerado como cualquier actividad maliciosa, que se lleva a cabo en una red que ha sido detectada por un sistema de detección de intrusiones (IDS), sistema de prevención de intrusos (IPS) o firewall.

Origen de los Ataques en América Latina por Fuente Fuente: Symantec Corporation,2011

Comentario Los Estados Unidos Dominan el Origen de los ataques en LAM. En 2010, los Estados Unidos fue la principal fuente de ataques contra objetivos LAM, con un 50 por ciento de todos los ataques detectados por los sensores de Symantec en la región. Este resultado probablemente se explica por el alto nivel de actividad de los ataques que se originan generalmente en los Estados Unidos, como lo fue también la fuente principal de origen de los ataques a las redes a nivel mundial, con 22 por ciento de ese total. También ocupó el primer lugar en actividad malintencionada global, con 19 por ciento. Estados Unidos también ocupó el primer lugar a nivel mundial de equipos infectados por bots y gran parte de la actividad de ataques dirigida a la región LAM habría sido llevado a cabo a través de estas redes bot.

Equipos Infectados con Bots en LAM por País Contexto Esta métrica mide los países de origen que infectan equipos con bots en América Latina (LAM) en 2010. Los equipos infectados con bots o bots son programas que se instalan secretamente en el equipo de un usuario con el fin de permitir a un atacante controlar el sistema atacado de manera remota a través de un canal de comunicación, como Internet Relay Chat (IRC), P2P o HTTP. Estos canales permiten al atacante remoto controlar un gran número de equipos atacados o comprometidos mediante un canal único y confiable en un botnet, que luego puede utilizarse para lanzar ataques coordinados. Los bots permiten una amplia gama de funcionalidades y la mayoría puede actualizarse para asumir nuevas funciones mediante la descarga de funciones y códigos. Los atacantes pueden usar bots para realizar diversas tareas, como la configuración de ataques de negación de servicio (DoS) contra el sitio Web de una organización, la distribución de ataques de spam y phishing, la distribución de spyware y adware, la propagación de códigos maliciosos y la recolección de información confidencial desde computadoras afectadas, lo cual puede conducir a graves consecuencias económicas y legales. En los equipos infectados con bots los atacantes usan un modelo descentralizado de comando y control (C&C) porque son difíciles de desactivar y permiten a los atacantes ocultarse en pleno sitio en medio de grandes cantidades de tráfico no relacionado que se produce en los mismos canales de comunicación. Lo más importante es que las operaciones de los botnets pueden ser lucrativas para sus controladores porque los bots son baratos y relativamente fáciles de propagar. Por

ejemplo, Symantec observó un anuncio en un foro clandestino en 2010 que promovía una botnet (red de bots) de 10,000 bots por US$15 dólares. (El anuncio no estipulaba si el costo era por compra o alquiler). Metodología Un equipo infectado con bots es considerado activo un día determinado si realiza por lo menos un ataque ese día. Su actividad no tiene que ser continua; por el contrario, un solo equipo puede estar activo días diferentes. Otro equipo infectado por bots es un equipo distinto que estuvo activo por lo menos una vez durante el período. Las actividades del equipo infectado por bots que Symantec rastrea, se pueden clasificar como ataques activos a bots o bots que envían spam (es decir, zombis de spam) o bots que se utilizan para campañas DoS.

Computadoras Infectadas por Bots en América Latina 2009-2010 Fuente: Symantec Corporation,2011

Comentario Brasil sigue teniendo más de la mitad de equipos infectados con bots en la región LAM con 56 por ciento del total regional. Se trata de un aumento con respecto al 2009, cuando Brasil también ocupó el primer lugar en esta categoría con 54 por ciento del total regional. A nivel mundial en 2010, Brasil ocupó el quinto lugar con 8 por ciento del total mundial. Una de las razones para este porcentaje de computadoras infectadas por bots en Brasil es que es una gran fuente de infección de botnets. LAM es fuente de un porcentaje relativamente alto de bots a nivel mundial ya que la región representó el 15 por ciento de todos los equipos infectados por bots detectados a nivel mundial, lo cual se debe probablemente al alto porcentaje de bots en Brasil, lo que contrasta con el hecho de que la región LAM tiene menos del 10 por ciento de la población mundial y más del 10 por ciento de la proporción global de usuarios de Internet.

Principales Muestras de Códigos Maliciosos Detectados en América Latina Contexto Esta métrica evalúa las principales muestras de códigos maliciosos en la región de América Latina (LAM) en 2010. Symantec analiza muestras de códigos malintencionados nuevas y existentes para determinar qué tipos de amenazas y vectores de ataque se emplean con mayor frecuencia. Esta

información también permite a los administradores y usuarios familiarizarse con las amenazas que los atacantes utilizan para sus ataques. Información sobre las nuevas tendencias de desarrollo de las amenazas puede ayudar a reforzar las medidas de seguridad y mitigar futuros ataques. Metodología Para determinar las principales muestras de códigos maliciosos, Symantec clasifica cada muestra con base en el volumen de fuentes únicas de infecciones potenciales observadas durante el período reportado.

Principales Muestras de Códigos Maliciosos en América Latina Fuente: Symantec Corporation,2011

Comentario La principal muestra de códigos maliciosos por volumen de posibles infecciones en LAM en 2010 fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para que la familia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010. Descubierto en 2008, Sality.AE ha sido una parte importante del panorama de amenazas desde entonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en 2009. La simplicidad de propagarse a través de dispositivos USB y otros medios de comunicación hace que códigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalar códigos maliciosos adicionales en los equipos. Aprenda más sobre Sality.AE

El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvo significativa atención en 2009 debido a sus sofisticados atributos y eficacia. A pesar de la versión de un parche para la vulnerabilidad el 23 de octubre de 2008 (es decir, antes de que Downadup estuviera incluso activo), se estimó que el gusano todavía se encontraba en más de 6 millones de computadoras en todo el mundo a finales de 2009. Aunque este número disminuyó durante 2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs a finales de ese año. Este gusano fue la muestra de códigos malintencionados que ocupó el primer puesto en la región en 2009. Aprenda sobre Downadup (alias, Conficker)

Países de Origen del Spam Generado por Botnets en América Latina Contexto En esta sección se describen los principales países que originaron spam mediante botnets en América Latina (LAM) en 2010. Los botnets pueden identificarse por patrones SMTP y en la estructura de encabezados de correo electrónico. En el análisis, los mensajes de spam se clasifican análisis según el botnet que lo origina durante la fase de la transacción SMTP. Este análisis sólo revisa los botnets involucrados en el envío de spam y no considera botnets utilizados para otros fines, como fraude financiero o ataques DoS. Metodología Los honeypots de spam de Symantec recolectaron entre 30 y 50 millones mensajes de spam diariamente en 2010. Estos se clasifican de acuerdo a una serie de reglas heurísticas aplicadas a la conversación SMTP y a la información del encabezado de los correos electrónicos. Una variedad de listas de reputación de IP interna y externa también se utiliza para clasificar el tráfico de botnets conocidos con base en la dirección fuente IP del remitente. La información es compartida con otros líderes del sector para garantizar que los datos estén actualizados y sean precisos.

Principales Fuentes de Spam Generado por Botnets en América Latina Fuente: Symantec Corporation,2011

Comentario En 2010, el 17 por ciento de todo el spam de botnets detectado a nivel mundial por Symantec se originó en la región América Latina. Dentro de la región, Brasil ocupó el primer lugar con 41 por ciento del spam originado. La alta tasa de spam de los botnets originado en Brasil probablemente obedece al alto porcentaje de zombis de spam ubicados allí, puesto que Brasil ocupó el primer lugar en zombis de spam en la región LAM y, más significativamente, a nivel mundial en 2010. La prominencia de botnets grandes y dominantes en Brasil contribuye al alto ranking en spam de botnets. Brasil es una poderosa fuente de equipos infectados por bots comparado con importantes botnets que envían mensajes de spam, como Rustock, Maazben y Ozdok (Mega-D). Rustock fue responsable de casi la mitad del spam mundial de botnets enviado a finales de 2010.

###

Acerca del Informe sobre las Amenazas a la Seguridad en Internet de Symantec El Informe sobre las Amenazas de Seguridad en Internet (ISTR por sus siglas en inglés) se deriva de datos recopilados por decenas de millones de sensores de Internet, investigación de primera mano y monitoreo activo de comunicaciones de hackers, y proporciona una visión global del estado de seguridad en Internet. El período del estudio del Volumen XVI del Informe abarca de enero de 2010 a diciembre de 2010. Más detalles sobre el ISTR XVI están disponibles en: www.symantec.com/la/gin Acerca de Security Technology and Response La organización de Security Technology and Response (STAR), que incluye Symantec Security Response, es un equipo mundial de ingenieros de seguridad, analistas de amenaza e investigadores que ofrecer el soporte, contenido y funcionalidad subyacente para todos los productos de seguridad de consumo y corporativos de Symantec. Con centros de respuesta ubicados en todo el mundo, STAR monitorea informes de códigos malintencionados de más de 130 millones de sistemas en Internet, recibe datos de 40,000 sensores de red en más de 200 países y rastrea más de 25,000 vulnerabilidades que afectan más de 55,000 tecnologías de más de 8,000 proveedores. El equipo utiliza esta gran inteligencia para desarrollar y ofrecer la protección de seguridad más completa del mundo. Acerca de Symantec Symantec es líder mundial en soluciones de seguridad, almacenamiento y administración de sistemas que ayudan a las empresas y consumidores a proteger y administrar su información. Nuestro software y servicios protegen contra más riesgos, en más puntos y de manera más completa y eficiente, generando confianza en donde quiera que la información se utilice o guarde. Más información está disponible en www.symantec.com/la