Informe-Ciberseguridad

INFORME VIU

Ciberseguridad: Tendencias 2017

INFORME VIU


Autores

Pro. Manel Medina (caedráico esCERT-UPC, esCERT-UPC, direcor máser en gesión de la ciberseguridad) Mercè Molis (periodisa de divulgación de ciberseguridad) Fecha

Febrero 2017

INFORME VIU


Autores

Pro. Manel Medina (caedráico esCERT-UPC, esCERT-UPC, direcor máser en gesión de la ciberseguridad) Mercè Molis (periodisa de divulgación de ciberseguridad) Fecha

Febrero 2017

INFORME VIU


�. RESUMEN EJECUTIVO En 2016 hemos vivido un crecimieno exraordinario de cinco ipos de aaques: 1. Aaques de denegación de servicio disribuidos (DDoS) usando disposiivos domésicos conecados a inerne (IoT), aprovechando que los usuarios los conecan sin acualizar las conraseñas de ábrica. 2. Aaques de secuesro de ficheros en discos duros y disposiivos móviles, pidiendo un rescae por recuperarlos crecieron un 800% en 2016. Normalmene se ineca el ordenador mediane un email conaminado con malware. Han generado aaques con un ancho de banda de más de 1Tbps (1.000Gbps). 3. Fraude del CEO (Direcor ejecuivo), en el que se suplana su idenidad en correos elecrónicos para engañar a alguna persona de la empresa para que haga una ranserencia a una cuena del aacane con engaños de ingeniería social. Ha provocado esaas/robos de 600.000€ por érmino medio en los aaques publicados, que son solo del orden del 15% de los que se producen. En 2015 provocaron pérdidas de 2 o 3 miles de millones de dólares en odo el mundo (según las uenes). 4. Las webs desde las que se hace Phishing crecieron un 25% durane 2016, con punas de crecimieno del 100% en primavera. primavera. Un 30% de los usuarios abren los mensajes de phishing y un 12% clica en la URL “sin pensar”. pensar”. 5. El robo de daos personales (denunciados) ha baido ciras récord de número de usuarios aecados: Voer Voer Daabase 191M, Friend Finder Nework, 412M, MySpace 164M, Dailymoion 85M, Anhem 80M, Weebly 43M. Con un cose medio de unos 4M€ por incidene o unos 150 €/regisro robado, que puede ser mayor si impaca en el valor de las acciones en bolsa. Esos hechos nos enseñan que debemos inverir y esorzarnos en conseguir que TODOS: a) Acualicemos las credenciales de los disposiivos IoT y que los abricanes lo acilien. b) Comprobar Comprobar muy bien los remienes remienes de los emails, y pregunar pregunar anes anes de abrirlos en caso de de la más mínima sospecha. sospecha. c) Desconfiar de comunicaciones de nuesros compañeros o amigos amigos que nos llegan por conducos nuevos y pedir confirmación siempre por oro canal. d) Proeger Proeger el acceso acceso a nuesros perfiles de redes redes sociales sociales y email con auenicación de doble doble acor acor.. e) Proeger la privacidad de usuarios y clienes con sisemas de auenicación en la sombra, idenificando comporamienos anormales o sospechosos. ) Aprender Aprender a idenificar los aaques aaques y comporamienos sospechosos, a proeger proeger nuesros equipos y las personas personas que nos rodean rodean de esos ciberaaques. En definiiva, ormarnos en ciberseguridad para sobrevivir en el ciberespacio.

2

INFORME VIU


�. INTRODUCCIÓN �.�. PANORAMA DE LA CIBERSEGURIDAD DURANTE �� EN LATINO�AMÉRICA El inorme del Banco Ineramericano de Desarrollo (BID) y la

de las inraesrucuras críicas, dos de cada res países no ienen

Organización de Esados Americanos (OEA), que lleva por íulo:

ningún cenro de comando y conrol de seguridad cibernéica y

“Ciberseguridad 2016, ¿Esamos preparados en América Laina y

la gran mayoría de miniserios carece acualmene de capacidad

1

el Caribe?” , asegura que sólo 6 países en Lainoamérica y el Caribe

para hacer rene a los delios cibernéicos, enre oras

ienen planes de seguridad cibernéica, un dao muy preocupane.

vulnerabilidades.

Brasil, Jamaica, Uruguay, Panamá, Trinidad y Tobago, Colombia

Los daos recogidos3 ueron analizados mediane el uso de los 49

y Panamá ienen medidas conra amenazas de ciberseguridad,

indicadores del modelo de madurez de la capacidad de seguridad

mienras que, en el caso de México, Perú, Bahamas, Argenina,

cibernéica desarrollado por el GCSCC (Global Cyber Securiy

Anigua y Barbuda, Cosa Rica, Bahamas, El Salvador, Haií,

Capaciy Cenre de Oxord), que se divide en cinco dimensiones: 1)

Surinam y República Dominicana, esán odavía en proceso de

Políica; 2) Sociedad; 3) Educación; 4) Legislación; y 5) Tecnología.

adopar medidas más poenes en maeria de ciberseguridad. Los

Hay cinco niveles de madurez para cada indicador: 1) Inicial; 2)

países en el mundo más avanzados en maeria de ciberseguridad

Formaivo; 3) Esablecido; 4) Esraégico; y 5) Dinámico.

son, en la acualidad, Esados Unidos, Esonia, Israel y Corea. Finalmene, es ineresane ciar el inorme de la Unión de El inorme sobre Ciberseguridad 2 consaa que cuaro de cada

Telecomunicación Inernacional: ITU Global 4, en el que se analizan

cinco países de la zona no presenan esraegias en maeria de

las políicas de ciberseguridad aplicadas en la mayoría de países

ciberseguridad, como planes de seguridad online y de proección

del mundo.

�.� RETOS MÁS IMPORTANTES EN LA CIBERSEGURIDAD DURANTE �� La mayoría de inormes publicados sobre los incidenes más desacables 5 y las endencias de ciber-aaques ocurridos durane

- Los aaques de Phishing en varias ormas, especialmene aquellos que aenan a la Idenidad digial

2016 coinciden en apunar hacia 3 amilias de aaques como los más desacables, por su volumen, crecimieno o impaco económico:

- Los aaques a la Accesibilidad a los daos y la inormación, en dos maniesaciones imporanes: aaques de denegación de servicio disribuidos (DDoS) y secuesro de discos y bases de

- Malware en general, pero especialmene aquél que aeca a la

daos pidiendo rescae para recuperarlos (ransomware).

seguridad de Inerne de las cosas (IoT)

1

htps://publicaions.iadb.org/handle/11319/7449?locale-atribue=es&

2 htp://www.iadb.org/es/noicias/anuncios/2016-03-11/inorme-ciberseguridad-en-americalaina-y-el-caribe,11422.hmlhtp://www.ciberseguridadparaempresas.com/ciberseguridad-enlainoamerica-asignaura-pendiene/ hp://acis.org.co/poral/conen/level-3-presena-inorme-de-amenazas-y-aaques-en-odaam%C3%A9rica-laina 3 htps://mydaa.iadb.org/Reorm-Modernizaion-o-he-Sae/2016-Cybersecuriy-ReporDaa-Se/cd6z-sjjchp://ceiuc.cl/Recomendados/inorme-ciberseguridad-iesamospreparados-en-america-laina-y-el-caribe

4 htp://www.iu.in/dms_pub/iu-d/opb/sr/D-STR-SECU-2015-PDF-E.pdtps://www.iu.in/ en/ITU-D/Cybersecuriy/Documens/Index_o_Indices_GCI.pdhp://www.iu.in/pub/D-STRSECU-2015 htp://www.iu.in/pub/D-STR-SECU-2015 htp://www.iu.in/en/ITU-D/Cybersecuriy/Documens/WP-GCI-101.pd 5 htp://gesion.pe/ecnologia/res-ciberdelios-que-amenazan-seguridad-empresas2168337htp://www.ee.com/ee/america/ecnologia/el-secuesro-de-daos-crece-en-americalaina-con-brasil-mexico-y-peru-a-la-cabeza/20000036-2931752

3

INFORME VIU


�. PROTECCIÓN DE DISPOSITIVOS CONECTADOS A INTERNET

�.�. MALWARE El malware sigue sin ser desbancado como rey de las amenazas en

Cada rimesre de 2016 hemos viso nacer 600 millones de nuevas

ciberseguridad. En 2016 sedeecaron casi 760 millones de aaques

muesras de malware 7. Las más imporanes novedades de ese

de malware y el 31,9% de ordenadores personales conecados

año ha sido:

a Inerne surieron al menos un ineno de inección vía web el año pasado. China, Turquía, Taiwan, Ecuador y Guaemala son los

a)

países con mayores raios de inección del mundo6. La siuación no

b) el código malicioso dirigido al robo de inormación y

va camino de mejorar sino odo lo conrario: de expandirse hacia

c) el malware móvil, con un crecimieno del 150% respeco a 2015

nuevos erriorios, como la Inerne de las Cosas (IoT).

y alos raios de inección en Brasil, Indonesia, Filipinas y México.8

6

htp://docs.apwg.org/repors/apwg_rends_repor_q3_2016.pd

7

htp://www.mcaee.com/us/resources/repors/rp-quarerly-hreas-sep-2016.pd

el

ransomware,

con

un

crecimieno

del

162%,

8 htps://blog.malwarebyes.com/malwarebyes-news/2017/02/2016-sae-o-malwarerepor

4

INFORME VIU


El ámbio móvil ha viso la aparición de enre 9 y 10 millones de

El malware ha vivido ambién un incremeno en su uso para

nuevos especímenes durane 2016. Las inecciones en iOS han

el raude de anuncios: ordenadores inecados visian siios

aumenado, pero en general ener un eléono Android sigue

web y pinchan en anuncios sin que su propieario se dé cuena,

siendo más arriesgado, concreamene res veces más arriesgado

provocando miles de millones en pérdidas para los anuncianes.

a la hora de surir una inección, dado que el malware para ese ipo de eléonos se ha cuadruplicado.9

Las principales vías de inección de malware en 2016 han sido los documenos adjunos y los enlaces maliciosos en el correo

Las principales amenazas en eleonía en 2016 han sido los

elecrónico, así como los siios web. Se deecaron más de 260

royanos capaces de conseguir derechos de superusuario, de

millones de URLs maliciosas que conenían explois11 y oros

orma que podían hacer odo lo que quisieran en el disposiivo

programas maliciosos, enlaces a oras páginas con explois,

Android inecado. Eso incluye esconderse en la carpea de

cenros de conrol de bones12, páginas exorsionadoras, ec.

sisema, hacerse prácicamene imposibles de borrar e insalar y acivar dierenes aplicaciones que mosraban anuncios de orma

Los programas maliciosos más abundanes en 2016 han sido

agresiva. Incluso podían comprar nuevas apps en Google Play 10.

los royanos, los programas no soliciados (PUPs), “droppers” (programas que insalan malware), “ransomware”, programas de

La mayoría de esos royanos se disribuían a ravés de la Google

Comando y Conrol, “keyloggers” (capuradores de pulsaciones de

Play Sore. Algunos uvieron 100.000 descargas y uno en concreo,

eclado), pueras raseras, divulgadores de inormación, malware

una Guía de Pokemon inecada, se insaló más de 500.000 veces.

para aaques de Denegación de Servicio Disribuida (DDoS) y

De odas ormas, cabe aclarar que en las redes móviles la raio

royanos de acceso remoo, más conocidos por las siglas RAT.

de inección es 20 veces menor que en las redes residenciales. Los royanos bancarios siguen siendo los reyes de los royanos

Desde el puno de visa del malware en circulación, el 60% han

y 2016 ha viso cómo se rasladaban de la web a las aplicaciones

sido royanos, el 16%, virus; el 11%, gusanos; el 4%, programas no

móviles, siguiendo la esela de sus vícimas. A mediados de 2016

soliciados y el 2% adware (programa malicioso para inroducir

ya superaban los números de disposiivos aacados de 2014 y

publicidad) y spyware. Las ciras varían un poco si lo que enemos

2015 junos. La banca móvil, básicamene operando Android, ue la

en cuena es la causa de la inección: 66% han sido causadas por

responsable de ese incremeno, un 46% mayor que en 2015, que

royanos, 2% por virus, 3% gusanos, 4% adware y spyware y 25%

represena casi 3 millones de disposiivos.

programas no deseados.

El royano bancario esrella de 2016 ha sido Svpeng, que aaca

Una de las causas más imporanes del crecimieno conínuo del

disposiivos Android. El aciero de ese malware es su orma de

malware es la prolieración en el mercado negro de las oeras

diusión, a ravés de la red de anuncios de Google AdSense, muy

del llamado “malware-como-servicio”. Esas inraesrucuras

usada en porales web, siios de noicias y oros. El malware se

consisen en diversos módulos masivos, como bones, kis de

insala en el disposiivo de la vícima cuando ésa ve el anuncio

explois, configuradores de malware, código malicioso, ec. Los

malicioso, sin necesidad de pinchar en él. Los países con más

clienes pueden alquilarlos por unas decenas de euros al día, para

aaques de royanos bancarios han sido Rusia, Brasil, Turquía, Sri

monar aaques de, por ejemplo, ransomware, en los que pueden

Lanka y Paquisán.

conseguir beneficios mensuales de 100.000 euros.

9 htps://www.skycure.com/wp-conen/uploads/2016/06/Skycure-Q1-2016MobileThreaInelligenceRepor.pd

11 Programas o herramienas para exploar auomáicamene vulnerabilidades de programas legales u ordenadores

10 htps://securelis.com/analysis/kaspersky-securiy-bullein/76858/kaspersky-securiybullein-2016-execuive-summary

12 Redes de ordenadores “zombies”, conaminados con un malware, que reciben órdenes remoamene desde un cenro de conrol para realizar aaques coordinados enre muchos o odos los ordenadores de la red.

5

INFORME VIU


Vectores de mitigación

• Eviar abrir mensajes de desconocidos, aunque parezcan de una persona conocida con una dirección nueva.

• Usar ani-virus y corauegos y enerlos acualizados y bien configurados, ano en el ordenador como en el eléono móvil y

• No pinchar enlaces en mensajes sino eclearlos a mano en el

ablea.

navegador.

• Descargar aplicaciones sólo de siios de confianza mejor si son

• Eviar visiar páginas web desconocidas.

los pre-configurados por el abricane del disposiivo móvil.

�.�. DISPOSITIVOS DOMÉSTICOS CONECTADOS: INTERNET DE LAS COSAS �IOT� La Inerne de las Cosas, juno con el ransomware, ha copado

direcamene con el sisema operaivo, por lo que no puede

los principales iulares periodísicos de 2016 reeridos a la

acualizarlo y la mayoría de disposiivos no esán preparados para

ciberseguridad de las personas y empresas. La impresión general

acualizarse solos. También suele ser diícil o imposible cambiar

es que esamos aún en el inicio de una explosión. Como aperiivo, en

las conraseñas, cuya versión de ábrica puede ser demasiado

2016 hemos viso imporanes aaques de denegación de servicio

ácil de adivinar o aparecer en manuales de acceso público.

(DoS) orquesados desde bones creadas con disposiivos de la Inerne de las Cosas (IoT, por “Inerne o Things”)

Todo eso conviere a la Inerne de las Cosas en un monón de millones de objeos desacualizados y vulnerables a aaques,

Según la Wikipedia, Inerne de las cosas es “un concepo que

conecados a Inerne las 24 horas, algo muy ineresane a la hora

se refiere a la inerconexión digial de objeos coidianos con

de orquesar aaques de Denegación de Servicio (DDoS), cuando

13

Inerne” . Algunos objeos serían rouers (equipos de acceso a

es clave que los disposiivos que acúan como armas esén

Inerne, ADSL o Fibra Ópica), cámaras web, punos de acceso

conecados el mayor iempo posible a la red.

wifi, grabadores de vídeo, impresoras, elevisores ineligenes e incluso bombillas. Son esencialmene micro-ordenadores, con su

En 2016 hemos podido ver lo que los experos consideran sólo el

CPU, memoria e ineraces de red, conecados a Inerne las 24

principio de los múliples problemas que puede conllevar esa IoT

horas del día, realizando una area muy concrea.

con miles de millones de disposiivos mal proegidos. En verano de 2016, en plenos Juegos Olímpicos de Río de Janeiro, se usó una

La Inerne de las Cosas esá en pleno crecimieno exponencial.

bone hecha con 10.000 disposiivos de la IoT para bombardear

En 2008 esos objeos ya superaron a los humanos conecados

diversos siios web relacionados con los Juegos. El puno máximo

a la red. Los analisas barajan diversas esimaciones, pero en

del bombardeo ue de 540 Gbps 15.

general se admie que 2016 acabó con una Inerne de las Cosas ormada por seis mil millones de disposiivos y en 2020 podrían

En sepiembre, una bone con 14.000 disposiivos de IoT se lanzó

ser veine mil millones.14

conra la web del periodisa Brian Krebs. El puno máximo del 16

aaque llegó a los 620 Gbps . En ocubre, oro aaque de la Inerne El principal problema de la Inerne de las Cosas es que su

de las Cosas, básicamene rouers y cámaras IP, puso de rodillas

ciberseguridad es mínima o nula. El usuario no puede ineracuar

al proveedor de DNS Dyn y a la propia Inerne, dado que algunos

13

htps://es.wikipedia.org/wiki/Inerne_de_las_cosas

15

htp://www.arborneworks.com/blog/aser/lizard-brain-lizardsresser

14

ENISA Threa Landscape Repor 2016

16

htp://krebsonsecuriy.com/2016/09/krebsonsecuriy-hi-wih-record-ddos/

6

INFORME VIU


servicios como Twiter, Spoiy o Reddi se vieron ralenizados o

al año pasado, serían sólo “eseos de combinaciones de ipos

caídos esporádicamene. La poencia máxima rozó la riolera de

de ráfico, desde pequeños números de bos. Los auores de

1,2 Terabis por segundo.17

esos bombardeos esarían sólo haciendo pruebas sobre las capacidades del malware, sin llegar a desplegar aaques a gran

En noviembre, el conocido proveedor de hosing rancés OVH

escala”. 22

surió bruales oleadas de aaques DDoS, coordinados desde dierenes bones hechas con cámaras IP, rouers y grabadoras

Los disposiivos de la Inerne de las Cosas son especialmene

digiales. La poencia máxima ue de 1,1 Terabis por segundo 18.

apeecibles para la ciberdelincuencia primero por su número: son

También en noviembre, 900.000 clienes de Deusche Telekom en

miles de millones de disposiivos inseguros a los que cada día se

Alemania se quedaron sin Inerne ni elevisión 19 ras un aaque

añaden 5,5 millones de objeos más. Esán siempre conecados,

DDoS de una bone, creada con disposiivos IoT, posiblemene la

por lo que esán siempre disponibles. Suelen esar conecados a

misma que habría llevado a cabo los aaques aneriores y a la que

conexiones de Inerne de ala velocidad, lo que permie generar

se bauizó como Mirai.

mucho ráfico de daos de aaque DDoS. Además, esos objeos son muy úiles como proxyes anónimos. Por úlimo, la ecnología y

El auor de esa bone, Anna-Senpai, hizo público el código de

manuales para asalar esos disposiivos y usarlos en aaques se

Mirai el 30 de sepiembre de 2016, permiiendo que cualquiera

han pueso a disposición pública.23

pueda a parir de ahora crear su propio virus y bone de la Inerne de las Cosas. Eso provocó una explosión ano en la creación de

La miigación de esa amenaza es realmene diícil, dado que

bones de ese ipo como en la “caza y capura” de disposiivos

buena pare de esos objeos no ienen orma de ser acualizados,

de IoT por pare de los ciber-delincuenes, para añadirlos a sus

ni de mejorar su seguridad. Las organizaciones ven con

respecivas bones y alquilarlas al mejor posor.

preocupación las expecaivas de que, con Inerne de las Cosas, sus ecosisemas crecerán de orma significaiva, así como el

A mediados de noviembre, el invesigador Rober Graham llevó

volumen del inercambio de daos. Eso hará cada vez más diícil

a cabo un inquieane experimeno: conecó una cámara IP

la moniorización del perímero de los ecosisemas.24

JideTech a Inerne y en 98 segundos un virus ipo Mirai ya la había deecado y omado su conrol 20 .

Las organizaciones no esán aún concienciadas de la dimensión real del problema. La Inerne de las Cosas es sólo el sexo

El parque de aparaos conecados a la Inerne de las Cosas, por

ema de ciberseguridad que más preocupa a las empresas. Los

el que compien esos oscuros empresarios del “DDoS-como-

proección de los daos generados por esos disposiivos (36%)

servicio”, aún es pequeño en comparación con lo que puede

y la idenificación de daos sensibles generados por los mismos

llegar a ser. Según el esudio “Rise o he Machines” de Garner,

(30%) son los riesgos a los que esán más aenas, por el momeno,

21

los bruales aaques visos hasa ahora, que según Akamai han

las compañías.25

supueso un aumeno del 70% en los aaques DDoS respeco

17

htp://krebsonsecuriy.com/2016/10/ddos-on-dyn-impacs-witer-spoiy-reddi

18

htp://www.bbc.com/news/echnology-37504719

19

htp://www.heregiser.co.uk/2016/11/28/rouer_flaw_exploied_in_massive_atack

20 htp://www.heregiser.co.uk/2016/11/18/surveillance_camera_compromised_in_98_ seconds

21 htps://www.akamai.com/us/en/mulimedia/documens/sae-o-he-inerne/q3-2016sae-o-he-inerne-securiy-execuive-summary.pd 22

htp://iciech.org/wp-conen/uploads/2016/12/ICIT-Brie-Rise-o-he-Machines.pd

23 htps://pages.arborneworks.com/rs/082-KNA-087/images/12h_Worldwide_ Inrasrucure_Securiy_Repor.pd 24

htp://www.ey.com/gl/en/services/advisory/ey-global-inormaion-securiy-survey-2016

25

htp://dr.halesesecuriy.com/

7

INFORME VIU



Inerne, si no es necesario.

- Anes de comprar esos objeos, asegurarse de que el

- Cerrar servicios innecesarios en esos disposiivos, como la

soware y conraseñas pueden ser acualizados y acualizarlos

redirección DNS, muy usada en aaques DDoS, para eviar que

periódicamene.

sean accesibles desde Inerne. Mejor deshabiliarla.

- Invesigar si realmene, para su correco uncionamieno, esos

- Comprar disposiivos de abricanes que puedan probar que sus

disposiivos necesian esar conecados a Inerne y, en caso de

producos son seguros y pedirles pruebas de esa seguridad.

que no sea necesario, desconecarlos, o conecarlos sólo cuando sea necesario.

- Moniorizar nuesro ráfico saliene.

- En general, aislar los disposiivos IoT de oros servicios y de

�.�. INFRAESTRUCTURAS CRÍTICAS: SCADA 2016 ha sido el año en que se ha omado conciencia de la

aaques de ese ipo.27

imporancia de la ciberseguridad en enornos indusriales y de inraesrucuras críicas, y de lo poco proegidos que

El “Mapa de Rua de la Ciberseguridad Indusrial en España” 28

esán acualmene esos enornos. Prácicamene cada mes

describe la siuación acual: “Los propiearios y gesores de

hemos conocido al menos dos casos de aaques imporanes a

los sisemas de conrol indusrial ienen gran experiencia en el

inraesrucuras críicas de odo el mundo, desde Ucrania hasa

esablecimieno y desarrollo de medidas de seguridad ísica,

Esados Unidos, desde Uruguay hasa Japón.

medio ambienal, de prevención laboral, lo cual, indudablemene ha salvado muchas vidas y proegido a las insalaciones indusriales

El año empezó con un imporane aaque conra la red elécrica

de aaques ísicos (que requieren presencia ísica). Sin embargo,

de Ucrania que dejó a 80.000 personas sin luz durane 6 horas,

desde un puno de visa lógico, la gran mayoría de los sisemas de

en un río 23 de diciembre de 2015. Después se supo que una de

conrol indusriales son vulnerables (malware, bones, DDoS)”.

las piezas claves de la acción ciber-errorisa había sido un virus, bauizado como BlackEnergy, juno con un uere aaque de “Eso supone un cambio de endencia imporane, ya que, debido 26 Denegación de Servicio (DDoS) . El gobierno de Ucrania culpó al a la inegración de las redes de conrol con las corporaivas, ruso del aaque.

hoy en día, los aaques ya no requieren presencia ísica en las insalaciones y pueden ser realizados de manera remoa a ravés

El 17 de diciembre de 2016 se reprodujo oro aaque conra la

de redes públicas. Esa siuación se ve agravada por el hecho de

red elécrica de Ucrania, esa vez acompañado de oros aaques

que las insalaciones ya no deben deenderse sólo de los aaques

conra alos uncionarios, enre ellos la Adminisración del

dirigidos a ellas, sino que ambién son vulnerables a aaques

Transpore Ferroviario. Según algunos observadores, Ucrania

casuales o al azar que an sólo buscan un objeivo vulnerable”.

esaría sirviendo de banco de pruebas a la hora para realizar

26 htps://ics.sans.org/blog/2016/01/09/confirmaion-o-a-coordinaed-atack-on-heukrainian-power-grid 27 htps://moherboard.vice.com/en_us/aricle/ukrainian-power-saion-hackingdecember-2016-repor 28

htps://www.cci-es.org/mapa

8

INFORME VIU


La complea seguridad en la indusria y las inraesrucuras

Esa ala incidencia demuesra que la mayoría de las redes de

críicas, es hoy una enelequia de la que empiezan a

auomaización en Brasil, igual que en oros países, “no ienen

aprovecharse los aacanes. La siuación es mejor o peor según

los recursos mínimos de seguridad rene a soware malicioso,

la siuación geográfica, según inorme publicado por el Cenro

cuenan con máquinas sin anivirus, y con parches obsoleos,

de Ciberseguridad Indusrial: “Europa esá enre 5 y 10 años por

cuando exisen. Ese rágil escenario se debe básicamene a dos

derás de EEUU en la implanación de conroles de Ciberseguridad

acores: el reraso de los abricanes en la publicación y prueba

Indusrial, y países como España se encuenran más de un lusro

de parches ya liberados, y la ala de buenas prácicas y políicas

por derás de oros países europeos como Holanda o el Reino

de ciberseguridad en las redes de auomaización”.

31

Unido. En Lainoamérica exisen ambién imporanes carencias en ese ámbio”. 29

En España, según daos del Cenro Nacional para la Proección de las Inraesrucuras Críicas (CNPIC), en 2015 se regisraron 134

Uno de los pocos países lainoamericanos de los que se conocen

aaques conra inraesrucuras críicas españolas y para 2016 se

daos de aaques a inraesrucuras es Uruguay: durane 2016, su

esperaba que uesen más del doble, alrededor de 30032. El secor

Cenro de Respuesa a Incidenes de Seguridad Inormáica habría

energéico es el más aacado. Los incidenes más relevanes

conado 21 casos, seis de muy ala severidad y 15 de ala severidad,

conra esas inraesrucuras en España son los accesos no

dirigidos a servicios considerados como inraesrucuras críicas.30 auorizados, el raude y el malware, siendo el malware el ipo de incidene con mayor repercusión. Su aumeno esá siendo de más En Brasil, los aaques a sisemas indusriales de auomaización

del 100% anual.

explosionaron en 2015, pasando de 114 el año anerior a 778. Los principales responsables ueron los aaques de malware.

Figure 3: Fuene: Cenro de Ciberseguridad Indusrial.

29

htps://www.cci-es.org/mapa

30 htp://www.elobservador.com.uy/uruguay-surio-15-ciberaaques-ala-severidad2016-n1022628

31 htps://www.cci-es.org/documens/10694/296864/Inorme+incidenes+de+ciberseguri dad+en+Brasil+2016_ES.pd/042d6a49-173-470e-ada-484805262dff 32

htp://www.cnpic.es/Biblioeca/Noicias/NOTA_DE_PRENSA_SES_PNPIC.pd

9

INFORME VIU


El malware ipo ransomware ha sido en 2016 responsable de

en una compañía no desvelada: un grupo hackivisa próximo a

algunos sonados aaques conra inraesrucuras críicas. En

Siria se habría infilrado en el sisema de conrol de una compañía

mayo, una empresa de agua y elecricidad de Michigan necesió

de agua gracias a que las credenciales se guardaban en su

una semana para recuperarse de un aaque de ransomware

servidor web, accesible vía SQL injecion. El sisema aacado

33

que, por suere, sólo aecó a sus oficinas . Más grave ue, en

era el encargado de los conroladores lógicos programables que

noviembre, el aaque de un ransomware conra la Agencia de

regulaban las válvulas y canales que a su vez conrolaban el flujo

34

Transpore Municipal de San Francisco . Durane una semana sus

del agua y los químicos usados para su raamieno.38

usuarios pudieron viajar grauiamene porque el aaque impacó sus sisemas de pago, más de 2.000 ordenadores.

Juno a ese aumeno de la acividad deliciva conra inraesrucuras críicas, han avanzado ambién los esuerzos

En España, un ransomware inuilizó el 25 de abril el servidor de

dirigidos a la prevención y proección. En marzo de 2016, el

la Subdirección General de Gesión Económica y Parimonial del

Secreario de Esado de Seguridad del gobierno de España

Miniserio del Inerior, que da servicio a nueve deparamenos.35

presenaba, en la sede de la compañía Gas Naural Fenosa, el “Plan Nacional de Proección de Inraesrucuras Críicas”

Oro número imporane de aaques conra inraesrucuras

ane 200 operadores públicos y privados de los secores de

críicas se consideran realizados por grupos sofisicados pagados

energía, indusria nuclear, sisema financiero, ranspore y

por gobiernos. Un buen ejemplo sería la llamada Operación Dus

agua 39 . Siguiendo ese plan, en junio se consiuía la “Mesa de

Sorm, dada a conocer en ebrero de 2016 por la firma Cylance.

Coordinación para la Proección de las Inraesrucuras Críicas”. 40

La Operación esaría en marcha desde 2010 y aacaría inereses comerciales de dierenes países, con especial oco en Japón,

Vectores de mitigación41

donde habría asalado dierenes inraesrucuras críicas como compañías elécricas, perolíeras y de gas, fianzas, ranspore y

- Crear una políica adecuada para la gesión de las aplicaciones

consrucción.36

que hacen uso de las redes de auomaización, aumenando el conrol de las mismas y limiando su uso a los aplicaivos

Semanas después se descubría ora operación gubernamenal

esricamene necesarios.

dirigida al aaque de las inraesrucuras críicas de sus enemigos: OnionDog, en marcha desde 2013 y dirigido conra países de

- Limiar el uso de aplicaciones P2P y/o de inercambio de archivos

habla coreana que usarían el popular programa de oficina Hangul.

basado en el navegador en las redes de auomaización.

El royano OnionDog aprovechaba una vulnerabilidad en ese programa para aacar redes aisladas a ravés de un gusano USB.

- Limiar el uso de aplicaciones de anonimización, como proxies,

Mero y oros sisemas de ranspore público, redes elécricas,

accesos remoos y úneles cirados.

empresas del agua y oras esarían enre sus vícimas.37

- Realizar copias de seguridad

Verizon inormaba de oro imporane aaque, en marzo de 2016,

33 htp://www.heregiser.co.uk/2016/05/03/michigan_elecriciy_uiliy_downed_by_ ransomware_atack 34 htps://hreapos.com/hackers-make-new-claim-in-san-rancisco-ransi-ransomwareatack/122138 35 htp://www.elconfidencial.com/espana/2016-05-03/un-virus-ransomware-inuilizanueve-areas-del-miniserio-del-inerior-una-semana_1192757

38

htp://www.heregiser.co.uk/2016/03/24/waer_uiliy_hacked

39

htp://www.cnpic.es/Biblioeca/Noicias/NOTA_DE_PRENSA_SES_PNPIC.pd

40

htp://www.cnpic.es/Biblioeca/Noicias/mesa_coordinacion_pic.pd

41 htps://www.cci-es.org/documens/10694/296864/Inorme+incidenes+de+ciberseguri dad+en+Brasil+2016_ES.pd/042d6a49-173-470e-ada-484805262dff

36 htps://www.helpnesecuriy.com/2016/02/24/japanese-criical-inrasrucure-underargeed-atack 37 htps://www.helpnesecuriy.com/2016/03/09/oniondog-ap-arges-heinrasrucure-indusry

10

INFORME VIU


- Proeger las consolas de operación y supervisión para que se

exerna.

dediquen, exclusivamene, a las unciones ípicas de operación, ingeniería y manenimieno. Los servicios y pueros que no sean

- Formar al personal de operación y manenimieno.

necesarios deben ser desacivados. - Esablecer una gesión de cambios derivados de incidenes de - Esablecer perímeros de seguridad en las redes de acceso

ciberseguridad.

para poder filrar y resringir los punos de acceso. Bajo ningún concepo debería permiirse acceso direco a Inerne o disponer

- Esablecer un proceso conínuo de gesión de la ciberseguridad.

de una dirección IP pública que permia el acceso desde una red

Figure 4: Recomendaciones para operadores de inraesrucuras críicas. (Fuene Kaspersky)

11

INFORME VIU


�.�. VEHÍCULOS INTELIGENTES La ciberseguridad en coches ineligenes es un concepo nuevo

vehículo sin usar ninguna llave.46

que apareció con uerza en verano de 2015, después que dos hackers demosrasen que era posible aacar remoamene un

La indusria de auomoción ha demosrado ener poco en cuena

Jeep y hacerlo renar en medio de la auopisa 42. En 2016 se han

la seguridad inormáica en el diseño de sus vehículos ineligenes.

sucedido nuevas demosraciones públicas de inseguridad en

Han sido reporados graves problemas en la proección de

coches ineligenes. Ésos son considerados pare de la Inerne

las comunicaciones, en la auenicación y auorización y en el

de las Cosas y, como el reso de disposiivos que la orman, su alón

diagnósico. Como ejemplo, no se han esablecido esándares de

de Aquiles es la ala de ciberseguridad, debido a su complejidad y

evaluación de seguridad en vehículos ineligenes. Concepos de

la poca amiliarización de los abricanes con ese conexo.

ciberseguridad como “prueba de peneración” son desconocidos para la indusria.

ENISA define “coches ineligenes” como “los sisemas que incluyen unciones conecadas de valor añadido para mejorar la

Los avisos de los invesigadores respeco a los peligros

experiencia de los usuarios o la seguridad de los vehículos. Eso

deecados no han esimulado un diálogo ransparene con

incluye no sólo vehículos pariculares sino ambién comerciales,

la indusria de la auomoción, que más bien ha mosrado una

como auobuses, camiones y oros”. 43

reacción ardía y negaiva.47

En el úlimo año han aumenado las invesigaciones y exposiciones

Los principales aaques que puede surir un vehículo ineligene

públicas que denuncian allos de seguridad en coches ineligenes.

son accesos no auorizados al sisema de inormación o la red,

Algunas de esas demosraciones han sido además muy áciles

insalación no auorizada de soware, aaques de hombre-

y baraas, como el adolescene que consiguió abrir y poner en

inerpueso (Man-in-he-Middle), uso no auorizado de

marcha remoamene un coche ineligene con una inversión de

disposiivos y sisemas, y filración de inormación. En ellos

sólo 15 dólares en maerial elécrico.44

pueden verse compromeidos los sensores, la Unidad de Conrol Elecrónico (ECU), la Red de la área de Conrol (CAN), redes,

Uno de los descubrimienos más especaculares del año, por

subredes, conexiones inalámbricas y una miríada de componenes

el número de vehículos aecados (100 millones), lo llevó a cabo

que hacen casi iánica la proección oal del vehículo.

un grupo de invesigadores liderado por Flavio Garcia, de la Universidad de Birmingham. Consiguieron exraer la clave de

Las consecuencias debidas a la manipulación de las ECU y las redes

cirado que permie abrir y cerrar a disancia odos los coches

pueden ser muy peligrosas, llegando hasa la desconexión de los

Volkswagen creados a parir de 1995.45

renos, parar el moor o acivar el airbag en plena conducción, ambién acelerar o aminorar la velocidad del coche, orzar el cierre

En sepiembre, invesigadores chinos del Keen Securiy Lab

de las pueras, desacivar los cinurones de seguridad, acivar los

mosraron en un vídeo cómo manipulaban el sisema de renos

inermienes, cerrar o encender el aire acondicionado, mover los

de un coche Tesla mienras esaba siendo conducido. La

rerovisores, subir y bajar las venanas, poner las luces coras o

manipulación era remoa, a 19 km del coche, usando un poráil.

largas, manipular la radio o el elevisor, ec.

Los invesigadores consiguieron ambién abrir una puera del

42

htp://www.wired.com/2015/07/hackers-remoely-kill-jeep-highway

43

htps://www.enisa.europa.eu/publicaions/cyber-securiy-and-resilience-o-smar-cars

44 htp://www.orbes.com/sies/leoking/2015/02/23/14-year-old-hacks-conneced-carswih-pocke-money

45 htps://arsechnica.com/cars/2016/08/hackers-use-arduino-o-unlock-100-millionvolkswagens 46

htp://www.bbc.com/news/echnology-37426442

47

htps://www.enisa.europa.eu/publicaions/cyber-securiy-and-resilience-o-smar-cars

12

INFORME VIU


Figure 5: El uuro de Inerne de las cosas: vehículos vulnerables...

13

INFORME VIU



- Crear un consenso en esándares écnicos de buenas prácicas.

- Mejorar la comunicación enre la indusria y la comunidad de

- Definir un esquema de evaluación por erceras pares

ciberseguridad. Promover el inercambio de inormación en alleres, conerencias, ec.

- Crear herramienas para análisis de seguridad en vehículos ineligenes.

- Clarificar los emas de responsabilidad legal de la indusria.

�.�. DERECHO A LA PRIVACIDAD: PROTECCIÓN DE DATOS �.�.�. PHISHING El phishing48 es un mecanismo criminal que emplea Ingeniería

b) Responder direcamene al mensaje con nuesros daos de

social y suberugio écnico para robar Daos de idenidad

acceso.

personal y credenciales de cuenas bancarias a los consumidores. Los parones de ingeniería social usan e-mails alsificados,

Si lo hacemos, habremos dado nuesras credenciales a la

que se propone perenecen a empresas o Agencias legíimas,

organización que ha lanzado la “campaña” de “phishing” (en inglés

diseñadas para llevar a los consumidores a siios web que inducen

significa pescando), para “a ver qué pescamos hoy” (una campaña

a los visianes a revelar daos financieros, como nombres de

dura unas 32 h, por érmino medio).

usuario y conraseñas. Los parones de suberugios écnicos usan programas ipo “crimeware” en PC, para robar credenciales direcamene, a menudo uilizando sisemas para inercepar

Hay quien piensa que el “phishing” esá pasado de moda. Pero según los inormes de APWG50 el número de aaques de

nombres y conraseñas de usuario de los consumidores “phishing” se ha manenido esable, aunque con cieros repunes conecados, y corromper las herramienas de navegación locales esacionales de hasa 100% (se deecan 1 “phishing” nuevo cada para redirigir a los usuarios a siios web alsificados (o auénicos,

minuo, más de 100.000 al rimesre). Los siios desde los que se

pero a ravés de PROXYes conrolados por phishers para

realizan aaques (URL) han aumenado un 25% durane 2016, con

inercepar las pulsaciones de eclas de los consumidores).

punas de hasa un 100% más que los regisrados a principio de 2016.

El parón habiual de ese ipo de aaque consise en que recibimos un mensaje de correo elecrónico (spam 49, en algunos

El peligro real para la sociedad es que el “phishing” ha derivado a

casos se usa SMS en vez de correo), con una oera comercial, de

“spear-phishing” o aaques dirigidos a engañar a una persona o

nuesro banco o proveedor de servicios o de un amigo o conocido,

grupo denro de una organización. Consisen en mensajes muy

en el que se nos invia a:

concreos, aparenemene provenienes de personas conocidas o compañeros de rabajo, con emas y conenidos “calcados”

a) Visiar una página web, que simulará ser la del comercio, banco

de mensajes habiuales de esa persona. Con esas écnicas se

o proveedor y nos pedirá, o bien que nos acrediemos para acceder

consigue acceso a daos confidenciales de la organización o a los

al servicio, o bien los daos de nuesra arjea de crédio; o

sisemas de conrol de la producción, suminisros o disribución, sembrando el caos y la inerrupción del servicio. Ese ipo de

48

Wikipedia. Phishing (2015). .

49 Gudkova, Darya; Demidova, Nadezhda (2014). “Spam and phishing in Q2 2014”. Secure Lis. < htp://securelis.com/analysis/quarerly-spam-repors/65755/spam-and-phishingin-q2-2014/>

50 htps://docs.apwg.org/repors/apwg_rends_repor_q2_2016.pdtp://docs.apwg.org/ repors/apwg_rends_repor_q3_2016.pd

14

INFORME VIU


aaques suele empezar por personas no-écnicas, escalando

clic en el malware adjuno / enlace y por lo ano han causado

progresivamene en el escalaón de la organización hasa llegar

una inección en su sisema53. La explicación puede ser la mayor

a las personas con los privilegios necesarios para perperar el

eficiencia lograda por los phishers dado los avances en engañar a

aaque.

la gene.

En cuano a los aaques a personas, el phishing ha seguido

Se demuesra que cuando se iene en cuena la ineligencia sobre

abusando de la inormación disponible en los medios sociales.

el perfil del grupo de vícimas, se puede lograr un impaco mucho

Durane 2016 el phishing uvo una paricipación significaiva en

mayor con noablemene menos volúmenes de aaque 54. Por lo

las campañas de secuesro de daos: “ransomware”. Ésos habían

ano, mienras que el phishing ha jugado un papel imporane en

aumenado del orden de un 800% en comparación con 2015.

algunas oras amenazas, ha disminuido en general. Como razones

Esa asa se puede explicar con el aumeno de siios de phishing

para esa disminución se puede reconocer la eficacia de las

únicos en un 61%, reporado por APWG para el segundo rimesre

medidas ani-phishing y el aumeno de la calidad de phishing (es

de 2016. Por ora pare, es noable que el phishing ha alcanzado

decir, aaques de phishing más específicos).

exiosamene el nivel ejecuivo: raude basado en phishing basado en CEO ha causado pérdidas significaivas a las empresas 51. Tales

Las organizaciones de vena minorisa y servicios (incluyendo

aaques se llevan a cabo ya sea omando cuenas de correo del

comercio-e) ienen la cuoa de aaques de phishing más ala

ejecuivo a ravés de phishing, o direcamene phishing empleados

(alrededor del 43%), seguidos del secor financiero, con un 21%,

con mensajes alsos de la CEO .52

que ha aumenado a un rimo de un 25% por rimesre (Figure 6: Secores más aacados por Phishing durane 2016 (Fuene APWG.

Combinación de phishing con la ineligencia (espionaje) que se ha

org)). Por úlimo, el phishing se ha cenrado en las empresas cada

ganado a ravés de los medios de comunicación social. Además de

vez más pequeñas (1-250 empleados), mienras que la cuoa de

diundir mensajes de phishing a un deerminado grupo objeivo,

las grandes y medianas empresas se ha reducido 55, 56. Se cree que

los aacanes han recopilado inormación de las redes sociales

esa endencia coninuará en un uuro próximo. Las encuesas

sobre comporamienos, por ejemplo, sobre sus rabajos, hábios

muesran que el phishing esá en la ercera posición de las

y esrucuras organizacionales. Se espera que los aaques a

amenazas más perjudiciales .57

múliples niveles de la vida de la vícima van a aumenar en el uuro, en paricular, cuando la inormación robada de disposiivos

Los 5 principales países que hospedan el siio web de phishing:

IoT se esá omando en cuena.

Esados Unidos, Belice, Hong Kong, Bélgica y Reino Unido58. La geograía de las vícimas de phishing incluye China (alrededor

El comporamieno medido de los usuarios al hacer rene a

del 20%), Brasil (alrededor del 18%), Argelia (alrededor del 14%),

los mensajes de phishing es indicaivo de las asas de éxio de

Reino Unido (alrededor del 13%) y Ausralia (aproximadamene

esa amenaza. 30% de los mensajes han sido abieros por los

12,5%).

desinaarios en promedio. 12% de los desinaarios han hecho

51

htps://krebsonsecuriy.com/2016/04/fi-2-3-billion-los-o-ceo-email-scams/

52 htps://liars.com/2016/07/email-scammers-sealing-billions-rom-americancompanies/?um_source=Subs&um_campaign=851e26b20d-CyberNews_July_28&um_ medium=email&um_erm=0_a931d19921-851e26b20d-342302245 53

55 htps://www.symanec.com/conen/dam/symanec/docs/inographics/isr-atackers srike-large-business-en.pd 56 htps://www.symanec.com/conen/dam/symanec/docs/repors/isr-21-2016-en. pd?aid=elq_9562&om_sem_kw=elq_14669249&om_ex_cid=biz_email_elq_

htp://www.verizonenerprise.com/resources/repors/rp_DBIR_2016_Repor_en_xg.pd

54 htps://www.europol.europa.eu/conen/inerne-organised-crime-hrea-assessmenioca-2016

57 htp://blogs.splunk.com/2016/06/29/deecing-and-responding-o-he-accidenalbreach/, 58

htps://www.orcepoin.com/resources/repors/orcepoin-2016-global-hrea-repor

15

INFORME VIU


Figure 6: Secores más aacados por Phishing durane 2016 (Fuene APWG.org)

Vectores de mitigación:

- Deección y eliminación de archivos adjunos maliciosos en las pasarelas de correo elecrónico.

Las posibles conramedidas para eviar esa amenaza conienen los siguienes elemenos:

- Escanear URL recibidas y clicadas buscando caracerísicas maliciosas en servicios PROXY.

- Realización de cursos de enrenamieno y concienización dirigido al phishing.

- Implanación de deección de raude y anomalías a nivel de red, ano de enrada como de salida 59 .

- Rendimieno del filrado de correo elecrónico seguro en las pasarelas.

- Implemenaciónde múliplesconroles(incluyendoauenicación de doble acor) para las ransacciones financieras críicas.

- Verificación de la idenidad del remiene y de las URL, así como conrol de los DNS usados.

59 htps://www.ncbi.nlm.nih.gov/pmc/aricles/PMC4701335/, htps://eprin.iacr. org/2016/040.pd,

16

INFORME VIU


�.�.�. PROTECCIÓN DE DATOS PERSONALES Dao personal es cualquier inormación que se pueda usar para

considerar los daos personales desde dos perspecivas

idenificar, conacar o localizar a una persona, o puede ayudar a

adicionales: a) los daos que permien suplanar nuesra idenidad,

conseguirlo, con oros daos. En inglés se conoce con las siglas PII

b) las que permien aenar conra nuesra privacidad.

(Inormación de idenificación personal). Pero hoy en día debemos

de 300 incidenes de robo de daos personales al año, pero

1. Identidad digital

sólo los operadores de elecomunicaciones esán obligados a En el mundo moderno odos los adulos y adolescenes (y

declararlos, y se esima que enre el 80% y el 90% no se declaran 61

muchos niños) enemos una idenidad digial, que nos permie

(Figure 7). En cada incidene se exponen una media de más de 1

ser reconocidos a las aplicaciones accesibles a ravés de la red

millón de idenidades, aunque

Inerne. De hecho, enemos muchas de idenidades digiales,

la mediana se esá reduciendo

anas como redes sociales o cuenas de correo elecrónico o

a unas 5.000, porque la mayoría

porales web o aplicaciones a los que enemos derecho de acceso.

de aaques son a pequeños comercios o empresas (figure

La idenidad digial es uno de los acivos más codiciados por las mafias organizadas del cibercrimen, y una de las uenes de aaque 60

más comunes. Según un inorme de Symanec Se declaran más

8). Figure 7: Brechas de daos

personales compromeidos no declarados (uene Symanec)

2. Monetización de los datos personales

Nuesros daos personales ienen un precio, que es unción de

del ipo de inormación de que se rae: financiera, salud, sexo,

nuesro perfil como personas (vida privada) y proesionales, y

religión, aficiones, ec.

Figure 8: Evolución de las brechas de daos personales (uene Symanec)

60 htps://www.symanec.com/conen/dam/symanec/docs/repors/isr-21-2016-en. pd?aid=elq_9562&om_sem_kw=elq_14669249&om_ex_cid=biz_email_elq_ 61

htps://www.symanec.com/securiy-cener/hrea-repor

17

INFORME VIU


En cuano a las credenciales de idenidad digial, el precio es

ransmiidos en el Mercado, la Sociedad o individuos concreos.

unción de la aplicación a la que de acceso: financieras, saniarias, de operación de inraesrucuras críicas, ec.

- El robo de daos corporaivos, direcamene de las bases de inormación corporaivas (Daa Leakage) o a ravés de perfiles

También depende del país o región donde habiamos y las

de sus direcivos en las redes sociales. Ese es un peligro muy

plaaormas en las que se comercialice.

imporane (recordemos los incidenes causados por WikiLeaks) y puede aciliar: a) la creación de idenidades alsas “creíbles”,

Debemos ser conscienes de que las aplicaciones grauias en

b) daños económicos por la pérdida de concursos públicos o

realidad cobran a ravés de la comercialización de nuesros daos

disminución del valor de las acciones en el mercado, c) daños

personales.

diíciles de reparar en la imagen social de la organización en el mundo enero por la diusión de daos confidenciales.

Incluso hay producos comerciales (ordenadores y disposiivos móviles), que se comercializan a precios ineriores al de cose,

El número de marcas únicas aacadas es de alrededor de 400,

conando con el beneficio que se obendrá de los daos personales

por lo que se han uilizado 350-400 URL por marca, según el

y posibilidad de perfilar a los clienes que los adquieran o los que

inorme de APWG62, desacando: Microso (alrededor del 8%),

se les regale.

Facebook (alrededor del 8%) y Yahoo (alrededor del 7%) son las res principales organizaciones mencionadas en los mensajes de

Por lo ano, se debe concienciar a la gene de la necesidad de

phishing63. Por secores, el robo de daos ha aecado en un 44%

eviar ceder esos daos de orma grauia, para eviar susos y

al secor saniario, un 31% a empresas64, aunque en el inorme de

problemas, además de financiar negocios ilegales.

Symanec esas dos caegorías se agrupan en “servicios” (Figure 9).

3. Privacidad corporativa como persona jurídica

Las organizaciones ambién ienen una idenidad digial, que va más allá del puro acceso a servicios en la red Inerne, pues permie a los usuarios de la red idenificar a la organización y dierenciarla de oras similares que puedan exisir, es la “Imagen Corporaiva”. Esa imagen digial corporaiva puede verse deeriorada por varios moivos: - La creación de idenidades alsas en las redes sociales, dominios de Inerne, o correos elecrónicos, que preenden ser la de la

Figure 9: Incidenes y regisros aecados inormados por secores

organización, con la inención de suplanarla en los mensajes

(uene Symanec)

62

64

htp://docs.apwg.org/repors/apwg_rends_repor_q3_2016.pd

htp://www.idhecener.org/ITRC-Surveys-Sudies/2013-daa-breaches.hml

63 htps://kasperskyconenhub.com/securelis/files/2016/08/Spam-repor_Q22016_final_ENG.pd

18

INFORME VIU


4. Percepción del riesgo asociado al robo de datos personales

responsables, y en el peor de los casos, la jusicia nos puede pedir responsabilidad y casigarnos si no hemos omado las

A pesar de los daos alarmanes que hemos mencionado y

medidas adecuadas de proección de esos daos.

el número de daos personales robados en brechas en los úlimos meses (Figure 10), los ciudadanos y los direcivos no

- Aleración de daos personales, que puede conllevar problemas

ienen conciencia de los riesgos que represena la pérdida de

en nuesras relaciones sociales, ambién enemos que hacer

idenidad digial. Por ello debemos aumenar los esuerzos para

rene a dos escenarios:

concienciar a los ciudadanos y proesionales de que hay dos peligros imporanes a eviar:

o Modificación de nuesros daos personales (perfil, caracerísicas personales, daos de conaco, ec.) a ficheros,

- Robo de daos personales, que puede ener consecuencias

agendas o bases de daos de una organización o persona

económicas y uncionales imporanes. Debemos disinguir

deerminada. Eso puede provocar que no puedan conacar

enre el robo de:

con nosoros, que no nos puedan reconocer, o que perdemos derechos que nos corresponden. Todo eso puede ener un

o Nuesros daos personales, que puede causarnos

impaco negaivo en nuesra relación con la enidad aecada.

inconvenienes derivados de su mal uso, como por ejemplo pérdida de privacidad, si alguien que no deseamos nos aborda

o Modificación de los daos personales con las que nos

y / o acosa, y nos provoca aleraciones psicológicas o pérdidas

idenificamos ane una organización, puede igualmene alerar

económicas direcas (robo) o indirecos (incremeno de medidas

esa relación, hasa impedir que nos podemos relacionar con

de seguridad personal o privacidad).

ella, o provocar su rechazo, por haber “perdido” los aribuos que nos daban derecho.Modificación de los daos personales de

o Los daos personales que oras personas nos han cedido y

oras personas que nosoros enemos almacenadas, igualmene

que conservamos en nuesras agendas de conacos, lisas de

deerioraría nuesra relación con esas personas, limiando,

clienes, proveedores, ciudadanos, ec. En ese caso, el daño lo

debiliando o anulando nuesra capacidad de comunicarnos con

pueden surir esas personas y por lo ano nos debemos senir

ellas. Figure 10: Úlimos incidenes de robo de daos

personales (uene htp://www.inormaionisbeauiul. ne/visualizaions/worlds-bigges-daa-breacheshacks/.)

19

INFORME VIU


El cose medio de una brecha de daos es de unos 4M USD, unos

Debemos disinguir 2 ormas de robo de idenidad:

150 USD/regisro robado, aunque en los aaques más voluminosos el cose se dispara, por el impaco que puede ener en la valoración

a) Robo de una idenidad digial nuesra, que uilizamos

de la empresa en bolsa. Por ejemplo, el robo de credenciales de

habiualmene, normalmene en orma de robo de usuario /

usuarios de PlaySaion de Sony en 2011, provocó pérdidas en la

conraseña o algún disposiivo que nos permia idenificarnos

compañía superiores a las que le causó el Tsunami de ese mismo

(arjea de claves, arjea chip, disposiivo elecrónico, ec.). En

año en Japón, que le obligó a inerrumpir la producción en 5 planas.

ese caso, quien nos ha robado la idenidad, se puede mover por la Red Inerne como si uéramos nosoros mismos, y será diícil

El robo de credenciales esá relacionado con el acceso ilegal a:

demosrar que lo que haga esa persona (o robo digial) no lo

Documenos gubernamenales (declaraciones de beneficios o

hemos hecho nosoros. Según a que nos dé derecho de acceso o

pago de impuesos) (aprox. 49%), raudes de arjeas de crédio

porque uilizamos en esa idenidad robada, los daños pueden ser

(15%), raude Teleónico o de oros suminisros (10%), Fraude

de varios ipos:

bancario (Ca 6%), Ineno de robo de idenidad (aprox. 3.7%), Fraude de présamos (3.5%), relacionado con empleo (aprox.

a. En una enidad financiera: endrá impaco económico.

3,3%), Oros (aprox. 19%). Curiosamene, las esadísicas son una verificación de la endencia de moneización (precio en el mercado

b. En la Adminisración Pública (Gobierno-elecrónico): endrá

negro) de esas credenciales.

impaco adminisraivo, económico e incluso podría ser mulado.

Hay iniciaivas orienadas a aumenar la concienciación de

c. En las redes sociales: podrá provocar despresigio ane la

usuarios y direcivos, como eSAM y Sop.Think.Connec o la

amilia, amisades o conocidos, si quien nos suplana diunde

versión hispana: Cibervolunarios67

imágenes o inormación alsa (o ciera) sobre nosoros o sobre

65

66

oros, pero que queríamos manener confidencial o secrea. O si 5. Percepción del riesgo de robo de identidad

ponen en palabras nuesras afirmaciones que no guse a nuesros conacos.

En general, los / las ciudadano / as son poco conscienes de la relevancia de su idenidad digial, y las pesadillas que les podría

d. En el correo elecrónico, puede ener las mismas consecuencias

provocar el robo de esa idenidad, más allá del robo o modificación

que en las redes sociales, pero si el correo es proesional o

de los daos personales, que hemos viso en el aparado anerior,

corporaivo, el impaco puede ener consecuencias económicas

y que es una orma “blanda” o parcial de robo de idenidad, pues

y de presigio proesional irreversibles. Recienemene se esá

no llega a permiir la suplanación de idenidad. Una credencial de

uilizando correo elecrónico corporaivo para modificar los

usuario se orece en el mercado negro por una media de 7USD, y el

daos de pago de acuras, provocando la ranserencia de ondos

precio depende del ipo de cuena o plaaorma al que de acceso.

(el impore de la acura) a una cuena corriene que no es el del

65

htps://www.secureideniyalliance.org/index.php/e-securiy-awareness-model

66

htps://sophinkconnec.org/

67

htps://www.cibervolunarios.org/

20

INFORME VIU


proveedor, y en muchos casos, cuando se descubre la engaño, ya

(sólo cambia 1 pixel). Ese aaque es especialmene eecivo en

es demasiado arde para reroceder la ranserencia de ondos

ransacciones comerciales con inerlocuores exranjeros, que

o divisas. Es el llamado “raude al CEO” (Direcor ejecuivo), del

pueden ener dificulades para delerear un nombre corporaivo,

que casi el 90% de las grandes corporaciones han sido objeivo,

sobre odo si la pare aacada normalmene usa un abecedario (o

aunque no hay daos de en cuánas de ellas han enido éxio esos

iconograía) dierene.

aaques. El 75% de los robos de daos son consecuencia de la mala b) Creación de una idenidad nueva con preensión de que sea

proección de las credenciales de acceso. El 90% de los aaques

nuesra. Es equivalene a la suplanación de idenidad ísica con

se perperan en cuesión de segundos/minuos del robo de las

un documeno also, en el que figuran nuesros daos personales y

credenciales, mienras que solo el 25% de ésos son deecados

de idenificación. Es una orma de suplanación de idenidad más

en pocas horas. De hecho, se ha deecado un aumeno de aaques

ácil de deecar que el anerior, pues quien nos conozca de verdad

deecados por policías o por organizaciones independienes,

podría sospechar que algo no es correca. Analicemos algunos

mienras que la deección inerna ha disminuido. Aunque el 92% de

casos:

las empresas Europeas han surido alguna brecha de daos en los úlimos 5 años, solo un 42% de ellas lo considera un riesgo para su

a. En las redes sociales, es un aaque ípico enre adolescenes o

organización, con la consecuene ala de medidas de proección

ex-parejas, para provocar acoso (ciber-bullying) o despresigio.

para eviarlas. Es de esperar que el nuevo reglameno general de

Requiere una labor coninuada y persisene de capación de

proección de daos aprobado por el parlameno Europeo (GDPR),

conacos del mundo real de la persona que se quiere suplanar,

que prevé mulas de hasa el 2% de la acuración mundial del

en el mundo virual. Para ello se uilizan esraegias para engañar

grupo empresarial aecado por incidene, haga cambiar esa

a los demás, diciendo que se ha cambiado de idenidad porque se

percepción.

han perdido las credenciales, para no permiir a algunas personas 68

acceder a las inormaciones publicadas, ec. Una vez conseguida

Según inorme del ITRC (Ideniy The Resource Cener 69 )

una masa críica de conacos, se provocan los daños comenados

la disribución de robos de idenidad reporados en 2016 por

con la idenidad robada.

secores muesra que las empresas (con alrededor del 43%) lideran las esadísicas, seguidos por el Saniario/Médico (36%),

b. Con correos elecrónicos alsos, igualmene enemos los

Educación (9%), Gobierno/Miliar (aproximadamene 7%) y

mismos ipos de aaques que si se ha robado el acceso a la cuena

Banca / Finanzas (Aproximadamene 4%). Es de desacar que,

de correo original, pero con una dirección que puede perenecer

aunque ha aumenado el número de incidenes de brechas de

a un proveedor (dominio) público, ipo Google, Yahoo, Microso

daos el número de idenidades robadas ha disminuido respeco

live , ec. O creando un dominio que sea muy ácil de conundir con

a 2015.

el original, por ejemplo BancSabadeil, en lugar de BancSabadell

68

htp://hosed.vericalresponse.com/358216/ac0a9368d8/1746749985/07bdaadc2/

69

htp://www.idhecener.org/Alers/irc2013breachrepor.hml

21

INFORME VIU


�.�. ACCESO A LA INFORMACIÓN �.�.�. ATAQUES DE DENEGACIÓN DE SERVICIO Esos aaques ienen por objeivo eviar el acceso normal a

generar anchos de banda del orden de 1Tbps (1 millón de Mbps).

servicios web, mediane écnicas que sauran la capacidad de proceso del servidor o de ranserencia de daos de las redes a

2. Un solo o reducido número de ordenadores lanza a oros una

ravés de las que se puede acceder al mismo.

peición en nombre de la vícima (spoofing), usando un proocolo de “amplificación”, de orma que la vícima recibe un volumen de

Eso se puede conseguir de dos ormas:

ráfico decenas o cenenares de veces mayor que el generado por el aacane hacia los servidores “involunarios”. Los proocolos

1. Una o varias bones (red de ordenadores compromeidos con

más usados para ese ipo de aaques son DNS, SSDP, NTP, SNMP,

un malware) con decenas o cenenares de miles de ordenadores

aunque hay más, como CHARGEN, ec.

esclavos se lanzan a soliciar servicios conra un mismo objeivo. Los aaques más poenes regisrados hasa el momeno con

Los DDoS suelen usarse para socavar la repuación de una

ese méodo han sido a OVH y KrebsOnSecuriy, usando el

empresa rival, que pasará largos periodos sin poder orecer sus

malware MIRAI, que consise en usar como elemenos de la

servicios de orma adecuada, al esar bajo un bombardeo que se

bone disposiivos IoT (Inerne de las Cosas) que esán mal

come su ancho de banda.

configurados y ienen un usuario y conraseña muy áciles de adivinar o los que ha asignado el abricane por deeco en el momeno de la insalación. Con esa écnica se han conseguido

Figure 11: Países con más ordenadores vulnerables para aaques DDoS en

LaAm durane 2016.

Figure 12: Países con mayor número de ordenadores vulnerables para

ser usados en aaques DDoS en LaAmCaribe al final de 2016

22

INFORME VIU


En el período que abarca el inorme, la denegación de servicio

número de servidores de red usables en aaques DDoS de

(DoS) ha producido una presencia impresionane: es la amenaza

amplificación según la meodología propuesa por Cybergreen 71

en el puno de inersección de dos objeivos principales

. En ellas vemos que odos los países han mejorado al final del

del ciberespacio: moneizar acividades maliciosas y delio

año (Figure 11), comparado con la media de 2016 (Figure 12). En el

cibernéico como servicio. Juno con las bones, el DoS ha sido

mapa adjuno (Figure 13) se observa la disribución geográfica de

el principal insrumeno que llevó a la exorsión y a inerrumpir

los servidores usables en esos ipos de aaque de amplificación

(ango-downs) servicios e inraesrucuras 70, y finalmene las

en Laino-América y Caribe. Los mapas muesran los índices de

brechas de daos. En la siguienes ablas (Figure 11, Figure 12)

odos los países de LaAmérica, Caribe y España para aaques de

se muesra el índice de peligrosidad de los países con mayor

amplificación (Figure 13) y de IoT (Mirai) (Figure 14).

Figure 13: Disribución geográfica de los servidores usables en aaques DDoS de amplificación en LaAm. al final de 2016.

70

htp://meropolian.fi/enry/ddos-atack-hals-heaing-in-finland-amids-winer,

71

htp://cybergreen-sas.herokuapp.com/

23

INFORME VIU


Figure 14: Disribución geográfica de los disposiivos IoT usados en el aaque Mirai en España y LaAm-Caribe.

Ataques con dispositivos IoT

una seria amenaza para odo el Inerne.

Un aaque con un ancho de banda de aprox. 1 TB se ha producido

1. Ataques de amplificación de ancho de banda

en sepiembre de 2016, maerializando las predicciones de 2015 sobre la viabilidad de aaques de ese amaño. Un puno alarmane

Mediane la opimización de la relación paquee-por-ancho de

con respeco a ese aaque ue la eficiencia en la inección de una

banda, reflexión y ouscación, los eecos de DDoS han sido uno de

enorme red de disposiivos IoT simples con el malware MIRAI.

los principales desaíos de seguridad. En odo ipo de sisemas y

El aaque se repiió en un par de ocasiones, y preocupa mucho el

secores hemos viso en 2016 un mayor número de aaques DDoS .72

hecho de que un aaque de esa magniud puede converirse en

72

htps://conen.akamai.com/PG6852-q2-2016-soi-securiy.hml,

24

INFORME VIU


2. Durante 2016 hemos evaluado que:

aprox. 35-50% de odos los aaques. Eso es un aumeno de aprox. 10% en ese año. Esa endencia es una indicación de que

- Los suplanadores de navegadores web han sido los bos DDoS

los aaques bones más eficienes son los llamados híbridos, que

más recuenes (45%). Cabe desacar el nivel de avance en las

pueden crear aaques que van desde vecores únicos a múliples,

capacidades de ouscación de aaques a aplicaciones (web):

en paricular para aaques a gran escala (es decir, más de 300

el 36% de los aaques de aplicaciones se salan la proección

Gbps).

exisene para ciber-aaques convencionales como las cookies o firmas JavaScrips 73, lo cual represena un aumeno de aprox. 6%

- A principios de 2016, hemos viso que los aaques DDoS se uilizan

respeco a 2015.

como inenos de exorsión, es decir, un medio de presión para la moneización. Ese es un cambio en el moivo DDoS, pasando de

- Los aaques de un solo vecor coninúan prevaleciendo con

las inerrupciones acivisas a la moneización direca. Como al,

aprox. 50% de odos los aaques. Eso se debió al aumeno de la

esa endencia sigue el cambio conemporáneo de los moivos

74

reflexión del NTP que ha creado aaques vecoriales únicos.

observados en 2016 con la clasificación de la moneización en la primera posición.

- El ráfico de red generado por aaques DDoS a gran escala puede causar problemas de conecividad en Inerne y / o provocar

- Coninuando la endencia del año pasado, en 2016 el DDoS es un

la ala de servicios imporanes, ano de los proveedores de

elemeno principal en los mercados “underground”. En ese año los

servicios de proección conra DDoS como de los ISP. Aunque los

precios han pasado de unos 25-30 $ por hora a 5 $, conviriendo así

proveedores de servicios de proección DDoS son una solución

DDoS en una mercancía que es asequible para casi odo el mundo.

eficaz, se considera que una serie de medidas de seguridad, incluidos los ISP, son más eficaces. Mediane la implemenación

- Un eveno noable en el negocio DDoS es la publicación del

de conroles relevanes a nivel de ISPs, se puede lograr una

código uene de Mirai, el malware que se ha uilizado para aacar

miigación significaiva de DDoS (ver ambién medidas de

el siio web KrebsOnSecuriy. Se ha evaluado que, si bien ese

miigación a coninuación).

movimieno podría ener como objeivo obsaculizar el rabajo de la aplicación de la ley, abre nuevas vías para la creación de bos

- En 2016, coninúa la endencia al aumeno del número de aaques

DDoS basados en disposiivos simples.

muli-vecoriales. Dependiendo de la muesra reporada y los secores cubieros, los aaques muli-vecoriales represenan

73

htps://www.incapsula.com/blog/banishing-bad-bos.hml,

74

htps://www.incapsula.com/ddos/atack-glossary/np-amplificaion.hml,

25

INFORME VIU


- Siguiendo la endencia de aaque de capa de red, los aaques de

& Travel (que oscila enre el 10% y el 20%) y Servicios Financieros

aplicación aumenaron aprox. 30% según los inormes de Akamai.

(alrededor del 12%) 103. En general, se ha evaluado114 que el 73%

Los vecores de aaque más populares son Local File Inclusion

de odas las organizaciones han surido un aaque DDoS, de las

(LFI) y SQL-injecion (SQLi), ya que represenan un 88% de odo

cuales el 85% han surgido múliples aaques.

el ráfico. Aprox un ercio del ráfico pasa a ravés del servicio de anonimao (Proxy/VPN). Además, se ha evaluado un aumeno en la

- En muchos casos, los aaques DDoS son “corinas de humo” para

recuencia de aaques repeidos a las vícimas (desde el 25% de

oros ipos de aaques. Un esudio114 ha indicado que la inección

los objeivos del año pasado hasa el 30% en el primer rimesre

por virus (alrededor del 46%), la acivación de malware (alrededor

de 2016). Del mismo modo, la duración de los aaques ambién

del 37%), el compromiso de la red (alrededor del 25%), la pérdida

aumena respeco al año pasado.

de confianza del cliene (aproximadamene 23%) y el robo de daos del cliene %) Son los cinco principales objeivos derás del

- La geograía de DDoS es ineresane. En primer lugar, varía

aaque DDoS.

para los aaques de capa de red y aplicación: mienras que China (alrededor del 50%), EE.UU. (alrededor del 17%) y Taiwán

- Dado el nivel de aención que los aaques DDoS han alcanzado

(alrededor del 5%) aacan la capa de red, Brasil (aproximadamene

en el ooño de 2016, ano el gobierno de los EE.UU.115 como el

25%), .23%) y Alemania (alrededor del 9%) son las res principales

EU116 han anunciado / canalizado acividades relacionadas con

uenes de aaque de aplicaciones. Respecivamene, las vícimas

niveles mínimos de seguridad para disposiivos / disposiivos IoT

de los aaques de red son la indusria del juego (aproximadamene

que pueden esar conecados a Inerne. Dado el impaco de esos

el 55%), el soware y la ecnología (aproximadamene el 25%) y

aaques DDoS, se espera que el ema araiga la aención de más

los servicios financieros (aproximadamene el 5%); (43%), Hoel

acores gubernamenales / públicos.

26

INFORME VIU


�.�.�. SECUESTRO DE LOS DATOS: RANSOMWARE

El ransomware ha vivido una explosión en 2016, conviriéndose en

En España en 2016 se denunciaron 1.700 casos de ransomware.

la principal amenaza de ciberseguridad para usuarios y empresas.

Si se hubiesen pagado odos los rescaes, habrían represenado

Es ya el malware más renable de la hisoria, con beneficios que se

unos beneficios de 740.000 euros para los criminales. Pero

doblan año ras año. Es ambién el malware que más evoluciona

el número real de casos es mucho más elevado de los que se

en odos los aspecos: número de campañas, de vícimas, precio

denuncian, pudiendo muliplicarse ranquilamene por diez.78

del rescae, méodos de inección usados, imporancia del daño causado y beneficios para los cibercriminales.

La impunidad con la que acúan los criminales del ransomware surió un revés en ebrero de 2016 cuando la jusicia española

Un ransomware es, dice la Wikipedia 75, “un ipo de programa

condenó a seis años de cárcel al auor del primer ipo de

inormáico malinencionado que resringe el acceso a

ransomware que empezó a acuar en España, conocido como

deerminadas pares o archivos del sisema inecado, y pide

el “Virus de la Policía”. El reso de su banda uvo penas de enre

un rescae a cambio de quiar esa resricción”. La mayoría de

seis meses y res años de cárcel. El “Virus de la Policía” acuaba

ransomware en la acualidad ciran los archivos del sisema

en España desde 2012 y pedía un rescae, para desbloquear el

operaivo para dejar el disposiivo inoperaivo.

ordenador, de 100 euros.79

Ese aaque ha vivido un incremeno del 267%, con la aparición de

A nivel mundial, los principales países vícimas del ransomware

76

400 nuevas varianes en 2016 y 62 nuevas amilias. Un abricane

ueron Esados Unidos (28%), Canadá (16%), Ausralia (11%)

an bregado en el mundo del malware como Kaspersky, no ha

y la India (9%) (ENISA Threa Landscape Repor 2016). En

dudado en calificar de “inquieane” el raio de aparición de nuevos

Lainoamérica, Brasil, México y Perú son los países que regisraron

especímenes.77

más aaques.80

75

78

htp://www.elmundo.es/economia/2017/01/08/586c1d222601d64b8b4584.hml

79

htp://www.elmundo.es/espana/2016/02/29/56d48bc22601d6c58b4581.hml

80

htps://www.symanec.com/es/mx/securiy_response/publicaions/hrearepor.jsp

htps://es.wikipedia.org/wiki/Ransomware

76 htps://blog.malwarebyes.com/malwarebyes-news/2017/02/2016-sae-o-malwarerepor 77 htps://securelis.com/analysis/kaspersky-securiy-bullein/76858/kasperskysecuriy-bullein-2016-execuive-summary

27

INFORME VIU


Figure 14: Disribución geográfica de los disposiivos IoT usados en el aaque Mirai en España y LaAm-Caribe.

Las vícimas siguen siendo mayoriariamene usuarios

El viraje del ransomware hacia el secor corporaivo se ha

domésicos pero en 2016 ha habido un incremeno imporane de

raducido en la aparición de nuevas ácicas, como la usada por

81

las inecciones en empresas, que pagan mayores rescaes . Las

el ransomware Rakhni, que manda un documeno .docx adjuno

ciras varían según quien las presene. Kaspersky Labs asegura

a deparamenos de Relaciones Humanas de corporaciones

que sólo perenecían al secor empresarial el 22,6% de usuarios

en países de habla rusa. El documeno simula ser una demanda

82

vícimas de ranwomare en 2016 . En cambio, ENISA asegura las

de rabajo84. Algunas bones grandes han empezado a mandar

empresas coparían ya el 40% de inecciones, siendo las más

emails de phishing con documenos Office adjunos, como Word o

aecadas las del secor servicios, seguidas a disancia por la

Excel, con Macros; scrips que simulan ser acuras y oro maerial

manuacura, adminisración pública y el secor financiero y de

habiual en los ámbios empresariales85.

seguros.83

81

htps://www.fireeye.com/curren-hreas/wha-is-cyber-securiy/ransomware.hml

82 htps://securelis.com/analysis/kaspersky-securiy-bullein/76858/kasperskysecuriy-bullein-2016-execuive-summary 83

ENISA Threa Landscape Repor 2016

84 htps://securelis.com/analysis/kaspersky-securiy-bullein/76858/kasperskysecuriy-bullein-2016-execuive-summary 85 htps://blog.malwarebyes.com/malwarebyes-news/2017/02/2016-sae-o-malwarerepor

28

INFORME VIU


Las principales pueras de enrada del ransomware son el phishing

media exigida en 2016 ha sido de 600-700 dólares, lo que supone

mandado desde bones dedicadas al spam y la publicidad

un incremeno del 100% respeco al año anerior. Se esima que

maliciosa, aunque algunos han empezado a usar kis de exploi

sólo en Esados Unidos las pérdidas ese año rondan los mil

para aprovechar vulnerabilidades de los servidores y redes.

millones de dólares92. La evolución del ransomware ha incluido

Se espera que prono cojan caracerísicas de “gusanos”, para

ambién aplicar nuevos méodos para incremenar el rescae

auopropagarse cara a aacar a más empresas 86.

si el usuario arda en pagar. También han cambiado los méodos de comunicación con las vícimas para mejorar la negociación

El ransomware más acivo en 2016 ha sido el veerano CTB-Locker,

del rescae, por ejemplo, usando comunicación por mail y no por

seguido de Locky y TeslaCryp 87. Aunque la mayoría de nuevas

venanas.

versiones de ransomware son experimenos poco cualificados, oros como Locky, Cerber y CrypXXX se han converido en

Por úlimo, una endencia que ha empezado a verse en 2016 y que

imporanes amenazas que conviven con los más veeranos.

conlleva peligros imporanes es la aparición del “ransomwarecomo-servicio”. Ese ipo de oera iene mucha acepación,

La aparición de especímenes de poca calidad, incluso con errores

especialmene por los precios: 40 dólares por una licencia de

gramaicales en las noas de rescae, es una muesra de que

ransomware 93.

el éxio del ransomware no ha pasado desapercibido enre la criminalidad inormáica y esá arayendo a nuevos acores


deseosos de dinero ácil que hasa ahora se dedicaban a oros ipos de raude.

• Hacer copias de seguridad en disposiivos que no esén conecados a la red porque, si así uera, correrían el riesgo de que

En cuano al ransomware de calidad, su evolución ha sido

su inormación ambién ura cirada en un aaque de ransomware.

ulgurane por los rédios económicos que apora. Los criminales han iniciado una búsqueda más ineligene de vícimas que se

• Usar anivirus y corauegos y enerlos acualizados y bien

ha raducido en el aumeno de aaques a usuarios proesionales

configurados.

y empresas. Eso ha conllevado a su vez el uso de écnicas que hasa ahora sólo se usaban para cibercrimen de alo nivel, como el

• Usar un programa específico conra el ransomware, como Ani

phishing ocalizado o “spear phishing”, el cirado uere, la gesión

Ransom 94.

de claves, las ormas de evadir la deección y oros .88 Sehaevolucionadoambiénenécnicasde inección,queusanodo ipo de inraesrucuras para la propagación, desde bones de spam y exploi kis (aprovechando básicamene vulnerabilidades de Adobe Flash) 89 hasa descargas inducidas o USBs inecados 90 . Muchos ransomware han implemenado mejoras uncionales desinadas a provocar más daño, como cirar ambién las copias de seguridad, o aacar a ipos concreos de archivos (de bases de daos, fiscales, páginas web)91.

• Eviar abrir mensajes de desconocidos, aunque parezcan de una persona conocida con una dirección nueva. • No pinchar enlaces en mensajes sino eclearlos a mano en el navegador. • Eviar visiar páginas web desconocidas. • En caso de inección, no pagar el rescae. Nadie nos asegura la recuperación de los archivos perdidos.

En cuano a la razón úlima del ransomware, el rescae, la canidad 90 htp://www.rendmicro.com/cloud-conen/us/pds/securiy-inelligence/repors/rphe-reign-o-ransomware.pd 86 htp://www.cisco.com/c/m/es_es/offers/sc04/2016-midyear-cybersecuriy-repor/ index.hml

91 htp://www.symanec.com/conen/en/us/enerprise/media/securiy_response/ whiepapers/ISTR2016_Ransomware_and_Businesses.pd

87 htps://securelis.com/analysis/kaspersky-securiy-bullein/76858/kasperskysecuriy-bullein-2016-execuive-summary

92


93 hml

htp://securiyaffairs.co/wordpress/49362/breaking-news/sampado-ransomware.

94

htp://www.securiybydeaul.com/2016/06/ani-ransom-v3.hml

88


89 htp://www.cisco.com/c/m/es_es/offers/sc04/2016-midyear-cybersecuriy-repor/ index.hml

29

INFORME VIU


�.�.�. HACKTIVISMO

El hackivismo se conviere, años ras año, en un peligro mayor

ellos el siio oficial del gobierno ederal para los Juegos del 2016,

para las organizaciones. El hackivismo ya es la principal amenaza

el poral del Gobierno Esaal de Río de Janeiro, el Miniserio de

exerna en ciberseguridad para las organizaciones (17%),

Depores, el Comié Olímpico de Brasil y el siio oficial de los

sólo superada por los cibercriminales (44%). Derás vienen el

Juegos Olímpicos de Río 2016.97

cibererrorismo (15%), los aaques gubernamenales (12%) y la compeencia (11%) 95. Prueba del creciene proagonismo del

En la segunda ase de aquella operación, bauizada como

hackivismo son las múliples veces que ha copado las poradas de

#OpOlympicHacking,

los medios de comunicación en 2016, básicamene por filraciones

documenos con dealles personales del alcalde y el gobernador

de daos y aaques DdoS, sus principales armas.

de Río de Janeiro, el Minisro de Depores, el Presidene del Comié

Anonymous

Brasil

filró

diversos

Olímpico Brasileño y res hombres de negocios involucrados La celebración de los Juegos Olímpicos en Brasil ue el eveno de

en casos de corrupción. Diez días después el mismo grupo filró

2016 que congregó más aaques hackivisas en Lainoamérica,

bases de daos de los Servicios Olímpicos de Radiodiusión98.

buscando la nooriedad que les orecía ser un país que esaba siendo mirado por odo el mundo. El hacker argelino conocido

Anonymous Brasil ue especialmene acivo en 2016,

como “Red Hell Soyan” modificó en junio la porada del siio web

proagonizando ambién aaques que no uvieron que ver con

oficial de la compañía de elecomunicaciones brasileña Oi y buena

los Juegos Olímpicos: el 20 de julio lanzaron un bombardeo DDoS

pare de sus subdominios. El hackivisa dejó un mensaje de apoyo

conra el siio web de la core judicial de Río que prohibió el uso del

a Palesina.96

sisema de mensajería WhasApp en odo el país, decisión que ue ampliamene comenada en el mundo enero.99

Pero la mayoría de aaques se concenraron durane los Juegos Olímpicos de Brasil y ueron orquesados por la organización

Ora operación de Anonymous que ocó a países hispanohablanes

hackivisa Anonymous, en proesa conra el eveno. El 5 de

ue la #OpIcarus, orquesada para aacar los bancos de odo

agoso, día en que se inauguraban los Juegos, Anonymous Brasil

el planea. Fueron aecados el Banco Cenral de la República

iró mediane un imporane aaque de Denegación de Servicio

Dominicana, el Banco Cenral de las Maldivas, el Banco Nacional

(DDoS) diversos siios web del gobierno de aquel país, enre

de Panamá y el Banco Cenral de México.100

95

htp://dr.halesesecuriy.com/

96

htps://www.hackread.com/brazilian-elecom-gian-oi-websies-hacked

98 htps://www.hackread.com/anonymous-ddos-brazilian-governmen-websie96 htps://www.hackread.com/brazilian-elecom-gian-oi-websies-hacked

97

htps://www.hackread.com/anonymous-ddos-brazilian-governmen-websies/

99 htp://news.sopedia.com/news/anonymous-launches-ddos-atack-agains-rio-courha-blocked-whasapp-in-brazil-506468.shml 100 htp://www.ibimes.co.uk/op-icarus-anonymous-launches-ddos-atacks-8inernaional-banks-1558987

30

INFORME VIU


Figura 16: Deacemen de la Cámara

de Comercio de Madrid

A dierencia de Lainoamérica, donde los aaques DDoS han sido

provocado graves daños en la red de Vodaone Ono y pueso en

los proagonisas, en España lo han sido las filraciones de bases

peligro las conexiones del archipiélago canario con la península105 .

de dados. De especial imporancia ue ese año la publicación en Inerne de gran canidad de daos personales de miembros

En cuano a las filraciones de bases de daos en Lainoamérica

de las uerzas de la ley: el hacker Phineas Fisher, acuando por

por pare de grupos hackivisas, desacaron inernacionalmene

primera vez en España, hizo públicos daos de 5.540 policías de

algunas de ellas: en enero de 2016, en nombre de la operación

Caalunya (Mossos d’Esquadra) . Dos semanas después, el grupo

101

#OpPuraVida conra el Traado de Libre Comercio enre Esados

@FkPoliceAnonOps hizo lo mismo con daos de 5.446 miembros

Unidos, Cenroamérica y República Dominicana, alguien bajo el

de la Policía Nacional 102 .

apodo Hanom1960 filró bases de daos de los miniserios de educación e inormación de Colombia.106

La acción española de Anonymous ambién se prodigó en el asalo a bases de daos: en ebrero filraron lisados de

En ebrero, en Bolivia, un grupo de hackers enró en los servidores

parocinadores y donaciones realizadas por el Core Inglés a

de correo del ejércio, descargó emails y filró algunos de ellos en

enidades públicas y privadas , y en diciembre accedieron a daos

103

Inerne107. También en ebrero, un grupo de hackivisas chilenos

de la Cámara de Comercio de Madrid104 . Anonymous se declaró

enró en las bases de daos de la Corporación Nacional de

ambién responsable de aaques DDoS en ebrero conra el grupo

Desarrollo Indígena y robó daos personales de más de 300.000

de aracciones urísicas Loro Parque, an ueres que habrían

ciudadanos a la espera de ayudas del gobierno 108 .

101

htps://www.helpnesecuriy.com/2016/05/20/phineas-fisher-records-laes-atack/

102

htps://www.hackread.com/anonymous-hacks-spanish-police-agains-gag-law/

105 htp://www.laopinion.es/canarias/2016/02/12/aaque-anonymous-loro-parquepuso/655546.hml

103 ingl

htp://www.naciodigial.ca/noicia/102592/anonymous/filra/oes/despeses/core/

104 htp://www.elconfidencial.com/ecnologia/2016-12-21/anonymous-hackers-camaracomercio-madrid_1307801/

106

htps://ghosbin.com/pase/mbjqa

107 htp://news.sopedia.com/news/hackers-breach-bolivian-army-emailservers-500233.shml 108 htp://news.sopedia.com/news/hackiviss-leak-deails-or-300-000-chileanciizens-looking-or-sae-benefis-500232.shml

31

INFORME VIU


�. CONCLUSIONES

Si las principales explosiones de ese año han sido el “ransomware”

inraesrucuras críicas puede dar lugar a un cócel explosivo

y el aaque al CEO, odos los experos dan por seguro que la del año

de dimensiones desconocidas, que es acualmene una de las

que viene será la “Inerne de las Cosas”, o lo que es peor “sisemas

principales preocupaciones de los experos en ciberseguridad. Al

de conrol indusrial”, que no dejan de ser “cosas” con las que se

haber cada vez más sisemas conecados e inerconecados, se

conrolan servicios esenciales para la Sociedad. Lo hemos viso

muliplican exponencialmene los aaques y las vulnerabilidades,

ya en 2016 pero se afianzará en 2017, con un incremeno del 100%,

creadas por abricanes no bregados en ciberseguridad.

a medida que la cibercriminalidad dé con nuevas herramienas y usos, además de los aaques de DDoS, para esos millones de

El resulado son siuaciones muy complicadas, como las vividas

disposiivos. Insiuciones y empresas esán mejorando mucho en

en 2016 cuando la delincuencia ha unido dos “rending opics”

su proección inormáica, pero seguirá habiendo un cabo suelo:

en ciberseguridad como son las inraesrucuras críicas y el

el usuario, vícima pereca del “phising”, un aaque para el que no “ransomware”, dando lugar a más de un hospial obligado a dejar de operar durane 24 horas, porque un virus había cirado pasan los años. sus principales archivos. La cada vez mayor complejidad de la El gobierno de Alemania prohibía recienemene la vena de

ciberseguridad se muesra en aaques como esos, donde una

una muñeca conecada a Inerne, por el poencial peligro de

delincuencia inormáica muy a la vanguardia enrelaza amenazas,

que pueda espiar lo que dicen los niños y mandarlo a erceros.

dispuesa a aunar las armas más peligrosas para robar cada vez

Días después, se descubría que alguien había hackeado la base

más daos y dinero. Una delincuencia oalmene por delane de

de daos de unos muñecos llamados CloudPes: padres y niños

las medidas de deensa del empresariado medio y la ciudadanía

podían grabar mensajes y guardarlos en esa base de daos, oalmene insegura. Esos muñecos son la avanzadilla de los

Conociendo eso, el nuevo año se nos presena imprevisible,

peligros nada pueriles de la Inerne de las Cosas. Peligros que

al como lo ha sido 2016 a parir de que uimos conronados

empezamos a inuir en 2016 pero marcarán definiivamene la

con especaculares aaques como la Denegación de Servicio

agenda en ciberseguridad de 2017.

que umbó al mega-proveedor esadounidense Dyn, aecando la esabilidad de clienes como Twiter, Spoiy y Reddi. Lo

La unión de una muy insegura Inerne de las Cosas con unos a

imprevisible de ese bombardeo ueron las armas con que se

veces más inseguros sisemas de ciberseguridad indusrial e

realizó, que muliplicaron su poder: disposiivos de la Inerne de

32

INFORME VIU


las Cosas con conraseñas por deeco.

de daos, ineligencia arificial y oros usos dirigidos a mejorar la manipulación de las masas. Las bases de daos, donde se guardan

En 2016 hemos viso ambién el recrudecimieno de aaques que

los daos como en los bancos se guarda el dinero, han seguido

arrasramos ya desde 2015, 2014 e incluso anes. Aaques que

siendo en 2016 objeo de robos, la mayoría desconocidos porque

no paran de aumenar y así seguirán, muy posiblemene, en 2017.

enre el 80 y el 90% de esos robos no se declaran.

Un buen ejemplo es el phishing, que aumenó en 2016 un 25%. El phishing, veerano engaño donde los haya y base de cada vez más

Eso nos lleva al gran reo para 2017: la creación de legislaciones

aaques, se nure de nuesra ignorancia e inocencia para “colarnos”

que pongan un poco de orden y permian a la ciudadanía esar

mensajes de correo alsos que inecan nuesros ordenadores,

inormada si sus proveedores de servicios suren algún daño que

nos roban las conraseñas e incluso ordenan a nuesro conable

les aece. España rabaja siguiendo básicamene las direcrices

una ranserencia millonaria a la cuena de las “ciber-mafias”.

europeas. En Lainoamérica, solo seis países (Brasil, Jamaica, Uruguay, Panamá, Trinidad y Tobago, Colombia y Panamá) ienen

Las empresas se han viso en 2016 más rodeadas que nunca. Por

algún ipo de legislación relacionada con seguridad cibernéica.

aaques como el mencionado, llamado “Fraude al CEO”, que obliga con engaños al conable a hacer ranserencias raudulenas, que

Es imporane resalar que el “Inorme sobre Ciberseguridad

provocan pérdidas de 600.000€ de media anual a las empresas

en América Laina y el Caribe” consaa que cuaro de cada

aacadas. También el “ransomware”, esos virus que ciran odo

cinco países de la zona no presenan esraegias en maeria de

lo que haya en nuesro disco duro para pedirnos un rescae por

ciberseguridad, como planes de seguridad online y de proección

recuperarlo, han empezado ese año a cebarse en las empresas

de las inraesrucuras críicas, dos de cada res países no ienen

(PyME), que ienen más dinero y cuya producción depende de

ningún cenro de comando y conrol de seguridad cibernéica y

que uncionen los ordenadores. 2017 será definiivamene el año

la gran mayoría de miniserios carece de capacidad para hacer

en que el “ransomware” omará por asalo a las organizaciones,

rene a los delios cibernéicos. 2017 deberá ser el año en que los

desde corporaciones hasa la empresa más pequeña.

gobiernos aborden de orma más seria y exhausiva esa realidad que se nos viene encima.

Ora endencia que seguirá al alza en 2017 será el robo de ese nuevo “oro líquido” que son los daos y su comercio para la minería

33

Informe-Ciberseguridad

Recommend Documents