Informe Anual de Seguridad Cisco

Sede Central en Amrica Cisco Systems, Inc.
San Jos, CA
Sede Central en Asia-Pacfico Cisco Systems (EE. UU.) Pte. Ltd. Singapur
Sede Central en Europa CiscoSystemsInternational BVmsterdam, Pases Bajos
Cisco cuenta con ms de 200 oficinas en todo el mundo. Las direcciones y los nmeros de telfono y de fax estn disponibles en el sitio web de Cisco: www.cisco.com/go/offices. La totalidad del contenido pertenece a Copyright20112013 CiscoSystems,Inc. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Cisco y el logotipo de Cisco son marcas comerciales de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros pases. Para obtener una lista de las marcas comerciales de Cisco, visite www.cisco.com/go/trademarks. Las marcas registradas de terceros que se mencionan aqu son de propiedad exclusiva de sus respectivos propietarios. El uso de la palabra partner no implica la existencia de una asociacin entre Cisco y cualquier otra empresa. (020813 v2)
Informe anual de seguridad de Cisco de 2013
Vivir en el mundo de cualquiera con cualquiera de hoy.
Los delincuentes informticos aprovechan la superficie de ataque de rpido crecimiento que encuentran en el mundo actual del cualquiera con cualquiera, donde los individuos utilizan cualquier dispositivo para acceder a sus redes empresariales en un entorno de red que usa servicios de nube descentralizados. En el Informe anual de seguridad de Cisco2013, se resaltan las tendencias mundiales de amenazas segn datos de la vida real y se proporciona una idea clara y un anlisis que permite a las empresas y los gobiernos mejorar su estado de seguridad para el futuro. El informe combina investigacin de expertos con inteligencia de seguridad que se agreg de Cisco, centrndose en datos recopilados durante el ao calendario2012.
Contenido
El nexo de dispositivos, nubes y aplicaciones La proliferacin de terminales Los servicios residen en varias nubes Combinacin de uso personal y empresarial
La generacin del milenio y el lugar de trabajo
6 12 18 22
Datos masivos
Un buen negocio para las empresas actuales
28
Estado de la vulnerabilidad de seguridad

El peligro acecha en lugares sorprendentes
32
Amenazas evolutivas
Mtodos nuevos, las mismas vulnerabilidades de seguridad
50
El correo no deseado siempre presente Perspectivas de seguridad para2013 Acerca de Cisco Security Intelligence Operations
58 70 74
El nexo de dispositivos, nubes y aplicaciones
El mundo de cualquiera con cualquiera e Internet de todo son la evolucin de la conectividad y la colaboracin que se est extendiendo con rapidez. Es el nexo de dispositivos, nubes y aplicaciones.
Si bien esta evolucin no es imprevista, las empresas actuales quizs no estn preparadas para la realidad que implica el navegar en un mundo de cualquiera con cualquiera, al menos, en lo que respecta a la seguridad. Lo fundamental del asunto de cualquiera con cualquiera es el siguiente: nos acercamos rpidamente al punto donde es cada vez menos probable que un usuario acceda a una empresa a travs de una red empresarial, comenta Chris Young, vicepresidente ejecutivo del grupo de Seguridad y direccin de Cisco. Cada vez ms, se trata de cualquier dispositivo en cualquier ubicacin que accede a la red y crea instancias en ella. Los dispositivos habilitados para Internet (telfonos inteligentes, tabletas, entre otros) intentan conectarse a aplicaciones que podran ejecutarse en cualquier lugar, incluso en una nube pblica de software como servicio (SaaS), en una nube privada o hbrida. Al mismo tiempo, se est desarrollando otra evolucin: un movimiento constante hacia la formacin del Internet de todo, es decir, la conexin inteligente entre los siguientes elementos: Personas: redes sociales, centros de poblacin, entidades digitales Procesos: sistemas, procesos empresariales Datos: Internet, informacin Cosas: mundo fsico, dispositivos y objetos
Cada vez ms, se trata de cualquier dispositivo en cualquier ubicacin que accede a la red y crea instancias en ella. Los dispositivos habilitados para Internet (telfonos inteligentes, tabletas, entre otros) intentan conectarse a aplicaciones que podran ejecutarse en cualquier lugar.
ChrisYoung, vicepresidente ejecutivo del grupo de Seguridad y direccin de Cisco
A raz del crecimiento y la convergencia de personas, procesos, datos y cosas en Internet, las conexiones en red sern ms relevantes y valiosas que nunca.
Nancy Cam-Winget, ingeniera distinguida, Cisco
convergencia de personas, procesos, datos y cosas en Internet, las conexiones en red sern ms relevantes y valiosas que nunca. En ltima instancia, Internet de todo generar nuevas capacidades, experiencias ms completas y oportunidades econmicas sin precedentes para los pases, las empresas y los individuos.
aproximadamente dos tercios del trfico total de centros de datos. Las soluciones de seguridad segmentadas, por ejemplo, la aplicacin de firewalls en el permetro de una red variable, no protegen los datos que ahora se encuentran en constante movimiento entre dispositivos, redes y nubes. Incluso entre los centros de datos, que ahora albergan las joyas de la corona de las empresas (los datos masivos), la virtualizacin es la regla y no la excepcin. Abordar los desafos de seguridad que generan la virtualizacin y la nube exige el replanteo de los estados de seguridad, a fin de reflejar este nuevo paradigma: es necesario cambiar los controles basados en el permetro y los antiguos modelos de acceso y contencin para proteger el nuevo modelo empresarial.
La nube y la complicacin de la seguridad

El desafo que representa la seguridad de una amplia gama de aplicaciones, dispositivos y usuarios, ya sea en un contexto de cualquiera con cualquiera o de Internet de todo, se torn ms complicado debido a la popularidad de la nube como medio para administracin de los sistemas empresariales. Segn los datos reunidos por Cisco, se prev que el trfico mundial de centros de datos se cuadriplique durante los prximos cinco aos, y el componente de crecimiento ms acelerado son los datos en la nube. Para 2016, el trfico mundial en la nube representar
Otro factor que complica la ecuacin de cualquiera con cualquiera es el grupo de trabajadores jvenes y mviles. Este grupo considera que la posibilidad de hacer negocios debe existir dondequiera que se encuentren y en el dispositivo que tengan a mano.
En el ltimo estudio se aclara an ms el panorama de las actitudes de estos trabajadores hacia la seguridad, con un enfoque especial en la privacidad y en qu medida y con qu frecuencia una empresa puede inmiscuirse en el deseo de un empleado de navegar libremente por Internet mientras se encuentra en el trabajo. En el estudio del informe Cisco Connected World Technology 2012 tambin se analiza si la privacidad en lnea todava es algo que preocupa activamente a todos los usuarios.
Internet de todo se basa en Internet de las cosas1 y se agrega una inteligencia de red que permite la convergencia, organizacin y visibilidad en sistemas que antes eran dispares. Las conexiones en Internet de todo no se tratan simplemente de dispositivos mviles o computadoras porttiles y de escritorio, sino tambin del creciente nmero de conexiones de equipo a equipo (M2M) que tienen lugar a diario. A menudo, estas cosas son objetos que subestimamos o de los que dependemos todos los das y que, tradicionalmente, no se consideran como objetos conectados, por ejemplo, el sistema de calefaccin hogareo, una turbina elica o un automvil. Internet de todo es un estado futuro, seguramente, pero no est tan lejano si se tiene en cuenta el asunto de cualquiera con cualquiera. Y si bien generar desafos de seguridad para las empresas, tambin proporcionar nuevas oportunidades. A medida que Internet de todo crezca, sucedern y se crearn cosas increbles, afirma Nancy Cam-Winget, ingeniera distinguida de Cisco. A raz del crecimiento y la
Trabajadores conectados y privacidad de los datos
Se prev que el trfico mundial de centros de datos se cuadriplique durante los prximos cinco aos, y el componente de crecimiento ms acelerado son los datos en la nube. Para 2016, el trfico mundial en la nube representar aproximadamente dos tercios del trfico total de centros de datos.
Otro factor que complica la ecuacin de cualquiera con cualquiera es el grupo de trabajadores jvenes y mviles. Este grupo considera que la posibilidad de hacer negocios debe existir dondequiera que se encuentren y en el dispositivo que tengan a mano. En el Informe anual de seguridad de Cisco de 2013, se incluyen conclusiones del informe Cisco Connected World Technology 2012 que se basa en investigaciones realizadas en 2011 sobre las actitudes cambiantes que tienen los estudiantes universitarios y los profesionales jvenes del mundo respecto del trabajo, la tecnologa y la seguridad.
En el Informe anual de seguridad de Cisco de 2013, se incluye un anlisis en profundidad de las tendencias de correo no deseado y software malicioso en Internet, segn una investigacin llevada a cabo por Cisco. Mientras que, en los ltimos aos, muchos de quienes operan en la economa sumergida han centrado sus esfuerzos en desarrollar tcnicas cada vez ms sofisticadas, en la investigacin de Cisco queda claro que
Anlisis de datos y tendencias mundiales de seguridad
10
11
Observamos algunos cambios inquietantes en el entorno de amenazas que deben enfrentar los gobiernos, las empresas y las sociedades.
John N. Stewart, vicepresidente ejecutivo y jefe de seguridad de Cisco
los delincuentes informticos utilizan, a menudo, mtodos conocidos y bsicos para poner en peligro a los usuarios. El aumento de los ataques de denegacin de servicio distribuido (DDoS) durante el ltimo ao es solo un ejemplo de la tendencia hacia lo que era viejo ahora es nuevo en lo que respecta a los delitos informticos. Durante varios aos, los ataques de DDoS, que pueden paralizar a los proveedores de servicios de Internet (ISP) e interrumpen el trfico desde y hacia los sitios web objetivo, han ocupado los ltimos lugares en la lista de prioridades de seguridad de TI para numerosas empresas. Sin embargo, las ltimas campaas en contra de un grupo de empresas de alto perfil, entre las que se incluyen instituciones financieras de Estados Unidos,2 sirven a modo de recordatorio de que cualquier amenaza a la seguridad ciberntica tiene el potencial de generar una interrupcin importante e incluso un dao irreparable, si una empresa no se encuentra preparada para afrontarla. Por ello, al elaborar los planes de administracin de continuidad comercial, las empresas deben tener en cuenta cmo responderan ante un evento ciberntico perjudicial y cmo
se recuperaran posteriormente, ya sea que tal evento fuera un ataque de DDoS dirigido a la empresa, una planta crtica de fabricacin con Internet que de repente queda sin conexin, un ataque avanzado de varias etapas a cargo de delincuentes informticos o algo nunca antes visto. Si bien el debate sobre la seguridad de TI ha sufrido ms de lo que corresponde en cuanto a alarmismo durante aos, estamos observando algunos cambios inquietantes en el entorno de amenazas que deben enfrentar los gobiernos, las empresas y las sociedades, comenta John N. Stewart, vicepresidente ejecutivo y jefe de seguridad de Cisco. Los delitos informticos ya no son una molestia u otro costo que se desprende al hacer negocios. Estamos llegando a un punto de inflexin en el que las prdidas econmicas generadas por los delitos informticos amenazan con destruir los beneficios econmicos de la tecnologa de la informacin. Claramente, necesitamos nuevas ideas y enfoques pare reducir el dao que provocan los delitos informticos en el bienestar mundial.
12
13
Proliferacin de terminales
La evolucin del concepto cualquiera con cualquiera ya abarca miles de millones de dispositivos conectados a Internet; en 2012, esta cantidad de dispositivos ascendi a ms de 9000 millones.
3
Si se considera que menos del 1% de las cosas del mundo fsico estn conectadas actualmente, queda un amplio potencial para conectar lo desconectado.4 Se prev que con Internet que ya cuenta con unas 50 mil millones de cosas conectadas, la cantidad de conexiones ascender a 13311666640184600 para el ao 2020. Y si agregamos solo una cosa ms conectada a Internet (50milmillones + 1), la cantidad de conexiones aumentar otros 50milmillones.5 En cuanto a las cosas que, en ltima instancia, formarn parte del todo, pueden incluirse desde telfonos inteligentes hasta sistemas de calefaccin hogareos, turbinas elicas y automviles. Dave Evans, jefe futurista del grupo de soluciones empresariales basadas en Internet de Cisco, explica el concepto de la proliferacin de terminales de la siguiente manera: Cuando un automvil se conecte a Internet de todo en un futuro cercano,
simplemente se sumar una cosa a la cantidad de cosas que ya hay en Internet. Ahora, piense en muchos otros elementos a los que su automvil podra conectarse: otros automviles, semforos, su casa, el personal de servicio, los pronsticos del tiempo, las seales de advertencia e incluso la ruta misma.6
Cuando un automvil se conecte a Internet de todo en un futuro cercano, simplemente se sumar una cosa a la cantidad de cosas que ya hay en Internet. Ahora, piense en muchos otros elementos a los que su automvil podra conectarse: otros automviles, semforos, su casa, el personal de servicio, los pronsticos del tiempo, las seales de advertencia e incluso la ruta misma.
David Evans, jefe futurista, Cisco
14
15
Figura 1: Internet de todo

Internet de todo es la conexin inteligente de personas, procesos, datos y cosas.
De persona a equipo (P2M) Personas Hogar Proceso Cosas Empresa
De persona a persona (P2P)
Mvil
Datos
De equipo a equipo (M2M)
En Internet de todo, las conexiones son lo ms importante. Lo que crea valor entre las personas, los procesos, los datos y las cosas es el tipo de conexiones existentes, y no la cantidad. Y, en ltima instancia, la cantidad de conexiones har que la cantidad de cosas parezca pequea.7 La explosin de conexiones nuevas que conforman Internet de todo est impulsada, principalmente, por el desarrollo de una creciente cantidad de dispositivos compatibles con IP, adems del aumento de la disponibilidad de ancho de banda mundial y la llegada de IPv6. Los riesgos de seguridad que representa Internet de todo no solo estn relacionados con la proliferacin de terminales de cualquiera con cualquiera que nos acerca, da tras da, a un mundo incluso ms conectado, sino tambin a la oportunidad de que personas malintencionadas utilicen cada vez ms intrusiones para poner en peligro a los usuarios, las redes y los datos. Las nuevas conexiones en s mismas presentan riesgos porque generarn incluso ms datos en movimiento que se deben proteger en tiempo real, incluidos volmenes en aumento de datos masivos que las empresas continuarn recopilando, almacenando y analizando.
Internet de todo adquiere forma rpidamente, por lo cual, el profesional de seguridad debe pensar cmo cambiar el enfoque para lograr ms que simplemente asegurar los terminales y el permetro de la red.
Chris Young, vicepresidente ejecutivo del grupo de Seguridad y direccin de Cisco
Internet de todo adquiere forma rpidamente, por lo cual, el profesional de seguridad debe pensar cmo cambiar el enfoque para lograr ms que simplemente asegurar los terminales y el permetro de la red, comenta Chris Young. Habr demasiados dispositivos, demasiadas conexiones y demasiados tipos de contenido y aplicaciones... y la cantidad seguir creciendo. En este nuevo panorama, la red en s misma comienza a formar parte del paradigma de seguridad que permite a las empresas extender sus polticas y controles hacia diferentes entornos.
En Internet de todo, las conexiones son lo ms importante. Lo que crea valor entre las personas, los procesos, los datos y las cosas es el tipo de conexiones existentes, y no la cantidad.
16
17
Actualizacin de la tendencia BYOD de Cisco

La proliferacin de terminales es un fenmeno que Cisco conoce bien dentro de su propia empresa que cuenta con 70000 empleados en todo el mundo. Desde la formalizacin de su prctica traiga su propio dispositivo (BYOD) hace dos aos, la empresa ha sido testigo de una tasa de crecimiento del 79% de la cantidad de dispositivos mviles en uso en la empresa. En el Informe anual de seguridad de 2011 de Cisco 8, en primer lugar, se examin el proceso de extensin de la tendencia BYOD de Cisco, que forma parte de la transicin continua y cada ms amplia de la empresa para convertirse en una empresa virtual. Cuando Cisco llegue a la ltima etapa de su proceso planificado, que tendr lugar dentro de varios aos, la empresa ser ms independiente de los servicios y de la ubicacin, y los datos empresariales seguirn contando con proteccin.9 En 2012, Cisco agreg aproximadamente 11000 telfonos inteligentes y tabletas en toda la empresa o unos 1 000 dispositivos nuevos habilitados para Internet por mes. A fines de 2012, haba casi 60000 telfonos inteligentes y tabletas en uso en la empresa (lo que incluye un poco menos de 14000 iPads) y todos pertenecan a la tendencia BYOD, afirma Brett Belding, gerente ejecutivo a cargo de la supervisin de Cisco IT Mobility Services. La movilidad en Cisco ahora es la tendencia BYOD, y eso es todo. El tipo de dispositivo que mayor aumento en el uso ha experimentado dentro de Cisco es el iPad de Apple. Es increble pensar que tres aos atrs, este producto ni siquiera exista, dice Belding. Ahora, nuestros empleados utilizan ms de 14000 iPads todos los das en Cisco para realizar una gran cantidad de actividades, tanto personales como laborales. Y los empleados utilizan los iPads, adems de sus telfonos inteligentes. En cuanto a los telfonos inteligentes, la cantidad de iPhones de Apple en uso en Cisco prcticamente se ha triplicado en dos aos hasta alcanzar casi 28600. Los dispositivos con RIM BlackBerry, Google Android y Microsoft Windows tambin se incluyen en el programa BYOD en Cisco. Los empleados pueden optar por comercializar con acceso a los datos corporativos desde sus dispositivos personales con un acuerdo de controles de seguridad.
Figura2: Implementacin de dispositivos mviles de Cisco
PLATAFORMA
iPhone iPad BlackBerry Android Otros
DIC. 2010
DIC. 2011
DIC. 2012
TOTAL
Por ejemplo, los usuarios que desean revisar sus correos electrnicos y calendarios en sus dispositivos deben tomar el perfil de seguridad de Cisco que impone el uso de contrasea, cifrado y borrado remoto. El apoyo social ha sido un componente clave del programa BYOD en Cisco desde el principio. Dependemos en gran medida de WebExSocial (la plataforma de colaboracin empresarial) como nuestra plataforma de soporte de BYOD, y ha dado grandes dividendos, comenta Belding. Contamos con ms dispositivos compatibles que nunca y, al mismo tiempo, hemos tenido el menor nmero de casos de soporte. Nuestro objetivo es que algn da, un empleado pueda traer cualquier dispositivo y autoabastecerse mediante Cisco Identity Services Engine (ISE) y configurar nuestras herramientas bsicas de colaboracin de WebEx, entre las que se incluyen MeetingCenter, Jabber y WebExSocial. El prximo paso para la BYOD en Cisco, segn Belding, es mejorar an ms la seguridad mediante el aumento de la visibilidad y el control sobre todos los dispositivos y las actividades de los usuarios, tanto en la red fsica como en la infraestructura virtual, y mejorar, simultneamente, la experiencia de los usuarios. Preocuparse por la experiencia de los usuarios es una tendencia principal de la tecnologa orientada al consumidor de TI, afirma Belding. Estamos intentando aplicar este concepto en nuestra empresa. Debemos hacerlo. Creo que lo que estamos viendo ahora es una TIzacin de los usuarios. Vamos ms all de su pregunta inicial: Puedo utilizar este dispositivo en el trabajo?. Ahora, dicen: Entiendo que es necesario que la empresa est segura, pero no interfiera en mi experiencia de usuario.
Contamos con muchos ms dispositivos compatibles que nunca; al mismo tiempo, hemos tenido la menor cantidad de casos de soporte. Nuestro objetivo es que algn da, un empleado pueda traer cualquier dispositivo y autoabastecerse mediante Cisco Identity Services Engine (ISE) y configurar nuestras herramientas bsicas de colaboracin de WebEx, entre las que se incluyen Meeting Center, Jabber y WebEx Social.
Brett Belding, gerente ejecutivo a cargo de la supervisin de Cisco IT Mobility Services
18
19
Los servicios residen en varias nubes
El trfico mundial de centros de datos se encuentra en aumento. De acuerdo con el ndice global de nube de Cisco, se prev que el trfico mundial de centros de datos se cuadriplique durante los prximos cinco aos y aumente a una tasa de crecimiento anual compuesto (CAGR) del 31% entre 2011 y 2016.
10
De este tremendo aumento, el componente de crecimiento ms acelerado son los datos en la nube. El trfico mundial en la nube aumentar seis veces durante los prximos cinco aos, a una tasa del 44% entre 2011 y 2016. De hecho, el trfico mundial en la nube representar casi dos tercios del trfico total de centros de datos para 2016.11 Esta explosin en el trfico en la nube genera dudas acerca de la capacidad de las empresas para administrar esta informacin. En la nube, las lneas de control se desdibujan: las empresas pueden colocar redes de seguridad a los datos en la nube cuando no son propietarios del centro de datos ni lo operan? De qu modo se pueden aplicar incluso las herramientas bsicas de seguridad como firewalls y software
antivirus cuando no es posible definir el permetro de la red? Independientemente de la cantidad de preguntas relacionadas con la seguridad que surjan, queda claro que cada vez son ms las empresas que aprecian los beneficios de las nubes y es probable que aquellas que la tienen no vuelvan al modelo del centro de datos privado. Si bien las oportunidades
El trfico mundial en la nube aumentar seis veces durante los prximos cinco aos, a una tasa del 44% entre 2011 y 2016.
20
21
que brinda la nube a las empresas son muchas, entre ellas, ahorros de costos, mayor colaboracin de la fuerza laboral, productividad y menor huella de carbono, los posibles riesgos de seguridad que enfrentan estas empresas como resultado de la migracin de procesos y datos empresariales a la nube incluyen lo siguiente:
Si la seguridad se ve comprometida, este software que crea y ejecuta equipos virtuales puede provocar ataques informticos a gran escala o poner en peligro datos en varios servidores, ya que aplica la misma facilidad de administracin y acceso que ofrece la virtualizacin a un ataque informtico exitoso. Un hipervisor dudoso (controlado por ataques de hiperpiratera) puede tomar el control total de un servidor.12
Hipervisores
La virtualizacin ha disminuido el costo inicial para proporcionar servicios como servidor virtual privado (VPS). En comparacin con modelos anteriores de centros de datos basados en hardware, se observa un crecimiento en la infraestructura a la que se tiene un acceso fcil, rpido y econmico para actividades delictivas. Por ejemplo, existen numerosos servicios de VPS disponibles para la venta instantnea (con la posibilidad de comprar con Bitcoin u otros tipos de pagos de difcil rastreo) que estn dirigidos a los delincuentes informticos. Gracias a la virtualizacin, la infraestructura es mucho ms econmica y ms fcil de proporcionar, y el control de las actividades es casi nulo.
Menor costo de ingreso
Separacin de aplicaciones virtualizadas
La virtualizacin y la computacin en nube crean problemas al igual que los de la tendencia BYOD, pero de manera contraria, comenta Joe Epstein, ex director ejecutivo de Virtuata, una empresa adquirida por Cisco en 2012 que ofrece capacidades innovadoras para proteger la informacin virtual a nivel de equipos en centros de datos y entornos de la nube. Las aplicaciones y los datos de gran valor ahora se desplazan por el centro de datos. Y la nocin de cargas de trabajo virtuales incomoda a las empresas. En el entorno virtual, cmo saber si se puede confiar en lo que se ejecuta? La respuesta es que todava no es posible hacerlo, y es esa incertidumbre la que ha sido una barrera clave en la adopcin de la nube. Sin embargo, Epstein observa que cada vez a las empresas les resulta ms difcil ignorar la virtualizacin y la nube. El mundo compartir todo, afirma. Todo estar virtualizado, todo se compartir. Ya no tendr sentido continuar con los centros de datos privados nicamente; la TI se dirige hacia las nubes hbridas.
La virtualizacin y la computacin en nube crean problemas al igual que los de la tendencia BYOD, pero de manera contraria... Las aplicaciones y los datos de gran valor ahora se desplazan por el centro de datos.
Joe Epstein, ex director ejecutivo de Virtuata
Un hipervisor dudoso (controlado por ataques de hiperpiratera) puede tomar el control total de un servidor.
Dado que las aplicaciones virtualizadas se separan de los recursos fsicos que utilizan, a las empresas les resulta ms difcil aplicar enfoques de seguridad tradicionales. Los proveedores de TI buscan reducir los costos al mnimo con un producto muy elstico en el que pueden migrar recursos segn sea necesario, en contraste con el grupo de seguridad que busca combinar servicios de tal estado de seguridad y mantenerlos separados de los dems que pueden ser menos seguros.
La respuesta a estos crecientes desafos de virtualizacin y de nube es la seguridad adaptable y receptiva. En este caso, la seguridad debe ser un elemento programable que se integre en forma continua en la estructura subyacente del centro de datos, segn indica Epstein. Adems, es necesario que la seguridad se integre en la fase de diseo, en lugar de adjuntarse despus de la implementacin.
22
23
Combinacin de uso personal y empresarial

La generacin del milenio y el lugar de trabajo
Los trabajadores modernos (en particular los jvenes de la generacin del milenio) desean contar con la libertad de navegar en Internet no solo cuando y como lo deseen, sino tambin con los dispositivos de su preferencia. Sin embargo, no desean que estas libertades sean transgredidas por sus empleadores, una situacin que puede generar tensin para los profesionales de seguridad.
Segn el estudio del informe Cisco Connected World Technology 2012, dos tercios de los encuestados consideran que los empleadores no deben controlar las actividades en lnea que los empleados realizan desde dispositivos de la empresa. En resumen, no creen que los empleadores deban ocuparse de controlar tales conductas. Solo un tercio (34%) de los trabajadores encuestados afirman que no les interesa si el empleador controla sus conductas en lnea. Solo uno de cada cinco encuestados afirma que su empleador rastrea las actividades en lnea realizadas en dispositivos de la empresa, mientras que el 46% afirma que el empleador no controla esas actividades. Las conclusiones del ltimo estudio Connected World tambin demuestran que la generacin del milenio expresa sentimientos intensos acerca del seguimiento que realizan los empleadores de las actividades en lnea de los trabajadores, incluso aquellos que trabajan en empresas donde no se realiza ese tipo de seguimiento.
Solo uno de cada cinco encuestados afirma que su empleador rastrea las actividades en lnea realizadas en dispositivos de la empresa, mientras que el 46% afirma que el empleador no controla esas actividades.
24
25
Si se combinan los desafos que enfrentan los profesionales de seguridad, parece haber una desconexin entre lo que los empleados consideran que pueden hacer con los dispositivos que les facilita la empresa y las polticas que el departamento de TI realmente establece en referencia al uso personal. Cuatro de cada 10 encuestados afirman que deben usar los dispositivos que les facilita la empresa para sus actividades laborales nicamente, mientras que un cuarto declara que pueden utilizarlos para actividades que no se relacionan con el trabajo. Sin embargo, el 90% de los profesionales de TI encuestados expresan que existen polticas que prohben el uso de dispositivos facilitados por la empresa para realizar actividades personales en lnea, aunque el 38% reconoce que los empleados infringen las polticas y utilizan esos dispositivos para actividades personales adems de laborales. (En la pgina 16 encontrar informacin sobre el enfoque de Cisco para los desafos generados por la tendencia BYOD).
La privacidad y la generacin del milenio

Segn el informe Cisco Connected World Technology 2012, la generacin del milenio ha aceptado el hecho de que, gracias a Internet, la privacidad personal puede haber quedado en el pasado. El 91% de los consumidores jvenes encuestados expresa que la era de la privacidad ha terminado y cree que no pueden controlar la privacidad de su informacin. Un tercio de los encuestados informa que no les preocupan los datos que se almacenan y capturan sobre ellos. En general, la generacin del milenio tambin cree que su identidad en lnea es diferente de su identidad fuera de lnea. El 45% afirma que, a menudo, estas identidades son diferentes en funcin de la actividad en cuestin, mientras que el 36% cree que estas identidades son completamente distintas. Solo el 8% cree que estas identidades son iguales. Los consumidores jvenes tambin esperan que los sitios web mantengan la privacidad de su informacin y, a menudo, se sienten ms cmodos al compartir datos con grandes medios sociales o sitios comunitarios dada la proteccin del anonimato que ofrecen las multitudes. El 46% afirma que espera que determinados sitios web mantengan la seguridad de su informacin, mientras
que el 17% afirma que confa en que la mayora de los sitios web mantendrn la privacidad de su informacin. Sin embargo, el 29% indica que no solo no confa en que los sitios web mantengan la privacidad de su informacin, sino que les preocupa en gran medida la seguridad y el robo de identidad. Compare esto con la idea de compartir datos con un empleador que posee informacin acerca de quines son y qu hacen. Actualmente, la generacin del milenio ingresa al lugar de trabajo y lleva consigo nuevas prcticas laborales y actitudes hacia la informacin y la seguridad asociada a sta. Cree en la desaparicin de la privacidad, que simplemente ya no existe en la prctica y que las empresas deben funcionar segn este paradigma. Este es un concepto que resultar alarmante para las generaciones ms adultas en el lugar de trabajo, afirma Adam Philpott, director, Ventas de soluciones de seguridad en Europa, Medio Oriente, frica y Rusia, Cisco. Sin embargo, las empresas pueden proporcionar capacitacin sobre seguridad de la informacin a sus empleados para alertarlos sobre los riesgos y guiarlos para que puedan compartir informacin de la mejor manera y aprovechar las herramientas en lnea dentro del mbito de la seguridad de los datos.
Actualmente, la generacin del milenio ingresa al lugar de trabajo y lleva consigo nuevas prcticas laborales y actitudes hacia la informacin y la seguridad asociada a sta. Cree en la desaparicin de la privacidad, que simplemente ya no existe en la prctica y que las empresas deben funcionar segn este paradigma. Este es un concepto que resultar alarmante para las generaciones ms adultas en el lugar de trabajo.
Adam Philpott, director, Ventas de soluciones de seguridad en Europa, Medio Oriente, frica y Rusia, Cisco
Parece haber una desconexin entre lo que los empleados consideran que pueden hacer con los dispositivos que les facilita la empresa y las polticas que el departamento de TI realmente establece en referencia al uso personal.
26
27
Por qu las empresas deben crear conciencia en cuanto a la desinformacin de los medios sociales
por Jean Gordon Kocienda analista de amenazas globales, Cisco
Los medios sociales han representado una explosin para numerosas empresas; la posibilidad de conectarse directamente con los clientes y dems audiencias a travs de Twitter y Facebook ha contribuido para que muchas empresas puedan despertar conciencia de marca a travs de la interaccin social en lnea. La otra cara de esta comunicacin directa y veloz es que los medios sociales pueden permitir la diseminacin de informacin imprecisa o engaosa de manera vertiginosa. No resulta difcil imaginar una situacin en la que un terrorista coordina ataques en tierra por medio de tuits engaosos con la intencin de obstruir caminos o lneas telefnicas, o enviar a las personas a una ruta peligrosa. Un ejemplo: el gobierno de la India bloque cientos de sitios web y fren textos13 este verano en un intento por restaurar la calma en el noreste del pas despus de la publicacin de fotografas y mensajes de texto. A raz de los rumores, miles de trabajadores golondrina entraron en pnico y colmaron las estaciones de trenes y autobuses. Existen campaas similares de desinformacin a travs de los medios sociales que han afectado tambin los precios del mercado. Por medio de una seguidilla de tuits de Reuters secuestrados, se inform que el Ejrcito Libre Sirio haba colapsado en Alepo. Das ms tarde, una seguidilla de tuits se vio comprometida y un supuesto diplomtico ruso importante tuite que el presidente sirio Bashar Al-Assad haba muerto. Antes de que estas afirmaciones pudieran ser desacreditadas, aumentaron los precios del petrleo en los mercados internacionales.14 Los profesionales de seguridad deben estar alertas ante publicaciones tan veloces y potencialmente perjudiciales para los medios sociales, en especial, si estn dirigidas a la empresa. Deben tomarse medidas en forma rpida para defender las redes del software malicioso, alertar a los empleados sobre falsos intentos de suplantacin de identidad, volver a dirigir envos o advertir a los empleados sobre la seguridad. Lo ltimo que desean hacer los ejecutivos de seguridad es alertar a los gerentes sobre informacin de ltimo momento que resulte ser falsa. Lo primero que se debe hacer para evitar creer informacin inventada es confirmarla en varias fuentes. En algn momento, los periodistas se encargaban de hacerlo por nosotros, de modo que cuando leamos o escuchbamos las noticias, estas ya estaban verificadas. En la actualidad, muchos periodistas obtienen sus historias a partir de los mismos tuits que leemos nosotros y, si muchos de nosotros creemos la misma historia, podemos retuitear los mensajes errneamente para confirmarla. Para las noticias de ltimo momento que requieren medidas rpidas, lo mejor es utilizar la antigua prueba de olfato. Si la historia parece inverosmil, pinselo dos veces antes de repetirla o citarla.15
Para las noticias de ltimo momento que requieren medidas rpidas, lo mejor es utilizar la antigua prueba de olfato. Si la historia parece inverosmil, pinselo dos veces antes de repetirla o citarla.
28
29
Datos masivos
Un gran negocio para las empresas actuales
El mundo empresarial est enardecido a raz de los datos masivos, y el potencial de oro analtico que se puede extraer de los enormes volmenes de informacin que las empresas generan, recopilan y almacenan.
En el Informe Cisco Connected World Technology 2012 se analiz el impacto que produce la tendencia de los datos masivos en las empresas y, ms especficamente, en los equipos de TI. Segn las conclusiones del estudio, alrededor de tres cuartos (74%) de las empresas del mundo ya recopilan y almacenan datos, y la gerencia utiliza el anlisis de datos masivos para tomar decisiones comerciales. Asimismo, 7 de cada 10 encuestados de TI informaron que los datos masivos sern una prioridad estratgica para su empresa y el equipo de TI durante el prximo ao. A medida que se desarrollan o emergen la movilidad, la nube, la virtualizacin, la proliferacin de terminales y dems tendencias de red, estas preparan el camino para incluso ms oportunidades analticas y de datos masivos para las empresas. Sin embargo, existen problemas de seguridad en lo que respecta a los datos masivos. Las conclusiones del estudio Connected World de 2012 muestran que un tercio de los encuestados (32%) cree que los datos masivos complican los requisitos de seguridad y la proteccin de datos y redes porque existen demasiados datos y demasiadas maneras de acceder a ellos. En resumen, los datos masivos aumentan los vectores y los ngulos que deben abarcar los equipos de seguridad de las empresas y las soluciones de seguridad.
Aproximadamente el 74% de las empresas del mundo ya recopilan datos y los almacenan, y la gerencia utiliza el anlisis de datos masivos para tomar decisiones comerciales.
30
31
Corea, Alemania, Estados Unidos y Mxico obtuvieron los mayores porcentajes de encuestados de TI que consideran que los datos masivos complican la seguridad.
Corea (45%), Alemania (42%), Estados Unidos (40%) y Mxico (40%) obtuvieron los mayores porcentajes de encuestados de TI que consideran que los datos masivos complican la seguridad. A fin de garantizar la seguridad, la mayora de los encuestados de TI, ms de dos tercios (68%), cree que todo el equipo de TI debe participar en la elaboracin de estrategias y guiar las iniciativas relacionadas con los datos masivos dentro de las empresas donde trabajan. Gavin Reid, director de Investigacin de amenazas para Cisco Security Intelligence Operations, comenta: Los datos masivos no complican la seguridad, la hacen posible. En Cisco, recopilamos y almacenamos 2,6 billones de registros por da; esa es la plataforma sobre la que podemos comenzar a detectar incidentes y controlarlos. En cuanto a las soluciones diseadas para que las empresas puedan administrar mejor los datos masivos y desbloquear su valor, existen obstculos para la adopcin. Los encuestados sealaron la falta de presupuesto, la falta de tiempo para estudiar los datos masivos, la falta de soluciones
adecuadas, la falta de personal de TI y la falta de experiencia en TI. El hecho de que casi uno de cada cuatro encuestados (23%) dijera que la falta de experiencia y personal inhiba la capacidad de utilizar los datos masivos en forma eficaz seala la necesidad de contar con una mayor cantidad de profesionales que ingresen al mercado laboral para recibir capacitacin en esta rea. La nube es tambin un factor del xito de los datos masivos, segn el 50% de los encuestados de TI en el estudio Connected World de 2012. Consideran que sus empresas deben ocuparse de las implementaciones y los planes de la nube para que los datos masivos valgan la pena. Esta sensacin fue prominente en China (78%) y en la India (76%), donde ms de tres de cada cuatro encuestados consideraron que exista una dependencia de la nube
antes de que los datos masivos pudieran realmente tener xito. Como resultado, en algunos casos, el estudio indica que la adopcin de la nube afectar la tasa de adopcin y los beneficios de las iniciativas relacionadas con los datos masivos. Ms de la mitad de la totalidad de los encuestados de TI tambin confirm que los debates sobre los datos masivos que se llevan a cabo en sus empresas no han resultado fructferos todava. Eso no resulta sorprendente si se tiene en cuenta que el mercado est intentando comprender cmo aprovechar sus datos masivos, analizarlos y utilizarlos en forma estratgica. Sin embargo, en algunos pases, los debates en torno a los datos masivos dan lugar a decisiones significativas en cuanto a estrategia, direccin y soluciones. China (82%), Mxico (67%), India (63%) y Argentina (57%) llevan la delantera al respecto, dado que ms de la mitad de los encuestados de estos pases afirman que los debates en torno a los datos masivos que se llevan a cabo en sus empresas estn bien encaminados y generan medidas y resultados slidos. Tres de cada cinco encuestados de TI del Informe Connected World 2012 consideran que los datos masivos pueden permitir que los pases y sus economas sean ms competitivos en el mercado mundial.
En algunos pases, los debates en torno a los datos masivos dan lugar a decisiones significativas en cuanto a estrategia, direccin y soluciones. China, Mxico, India y Argentina llevan la delantera al respecto, dado que ms de la mitad de los encuestados de estos pases afirma que los debates en torno a los datos masivos que se llevan a cabo en sus empresas estn bien encaminados y generan medidas y resultados slidos.
En cuanto a las soluciones diseadas para que las empresas puedan administrar mejor los datos masivos y desbloquear su valor, existen obstculos para la adopcin. Los encuestados sealaron la falta de presupuesto, la falta de tiempo para estudiar los datos masivos, la falta de soluciones adecuadas, la falta de personal de TI y la falta de experiencia en TI.
32
33
Estado de la vulnerabilidad de seguridad

El peligro acecha en lugares sorprendentes
Diversos profesionales de seguridad y, ciertamente, una gran comunidad de usuarios en lnea, tienen ideas infundadas acerca de dnde es ms probable que las personas se topen con software malicioso y peligroso en Internet.
La creencia general es que los sitios que fomentan actividades delictivas, por ejemplo, aquellos que venden productos farmacuticos ilegales o artculos de lujo falsos, son ms propensos a alojar software malicioso. Nuestros datos revelan la verdad de esta nocin obsoleta, ya que los encuentros con software malicioso en Internet no suelen ser el resultado de sitios malos en el amenazante panorama actual. Los encuentros con software malicioso en Internet se producen en todos los sitios que se visitan, incluidos aquellos ms legtimos que se visitan con frecuencia, incluso con fines comerciales, afirma Mary Landesman, investigadora de seguridad snior de Cisco. Ciertamente, los sitios empresariales y de sectores son una de las tres categoras ms visitadas en las que se producen encuentros con software malicioso. Por supuesto que esto no es el resultado de sitios empresariales que se disean con el propsito de causar dao. Sin embargo, los peligros a menudo estn ocultos a simple vista a travs de publicidades en lnea repletas de vulnerabilidades de seguridad o piratas informticos que se dirigen a la comunidad de usuarios en los sitios comunes que ms utilizan. Adems, los sitios web infectados con software malicioso son predominantes en numerosos pases y regiones, no solo en uno o dos pases, lo cual disipa la nocin de que es probable que los sitios web de algunos pases alberguen ms contenido malicioso que otros. Internet es el mecanismo de distribucin de software malicioso ms formidable que se haya visto hasta este momento y supera, incluso, hasta al ms prolfico de los virus o gusanos en su capacidad de llegar a una
A menudo, los peligros estn ocultos a simple vista a travs de publicidades en lnea repletas de vulnerabilidades de seguridad.
34
35
Figura3: Riesgos por tamao de empresa

Existe un riesgo de hasta ms de 2,5veces de encontrarse con software malicioso en Internet para las grandes empresas.
Risk by Company Size

Cantidad de empleados
audiencia masiva e infectarla en forma silenciosa y eficaz, afirma Landesman. Las empresas necesitan contar con proteccin, incluso si bloquean los sitios malos comunes, con una granularidad adicional en la inspeccin y el anlisis.
250 o menos 251500 5011000 10012500 25015000 500110 000 10 00125 000 Ms de 25 000
Encuentros con software malicioso por tamao de empresa
disminuyeron en forma espectacular en 2012, por lo cual este pas pas a ocupar el sexto lugar. Dinamarca y Suecia ahora ocupan el tercer y el cuarto puesto, respectivamente. Estados Unidos conserv el primer lugar en 2012, al igual que en el ao anterior, con un 33% de encuentros con software malicioso en Internet que ocurren en sitios web alojados en ese pas. Los cambios en la ubicacin geogrfica entre 2011 y 2012 posiblemente reflejen cambios en la deteccin y en los hbitos del usuario. Por ejemplo, la publicidad maliciosa o el software malicioso distribuido a travs de publicidades en lnea, desempe un papel mucho ms importante en los encuentros con este tipo de software en 2012 que en 2011. Vale la pena repetir que estos encuentros se producen, con mayor frecuencia, a travs de la navegacin normal de sitios web legtimos que pueden haber sido comprometidos o que, inconscientemente, tienen un propsito de publicidad maliciosa. Cualquier sitio web puede verse afectado por este tipo de publicidad, independientemente del origen del sitio. En general, los datos geogrficos para 2012 demuestran que Internet es un elemento de infeccin de igual oportunidad, lo cual contradice las percepciones que indican que solo uno o dos pases son responsables de alojar software malicioso en Internet o que un pas es ms seguro que otro. As como la distribucin de contenido dinmico de la red 2.0 permite la rentabilizacin de los sitios web en el mundo, tambin puede facilitar la distribucin mundial de software malicioso.
Las empresas de mayor envergadura (ms de 25000 empleados) presentan un riesgo de ms de 2,5 veces de encontrarse con software malicioso en Internet que las empresas que cuentan con menos empleados. Este riesgo mayor puede ser una observacin que indica que las empresas de mayor tamao poseen ms propiedad intelectual de gran valor y, por ello, son objetivos ms frecuentes. Si bien las empresas ms pequeas presentan menos encuentros con software malicioso en Internet por usuario, es importante tener en cuenta que todas las empresas, independientemente de su tamao, enfrentan riesgos significativos de encuentros con este tipo de software malicioso. Cada empresa debe centrarse en los fundamentos de la seguridad de sus redes y propiedad intelectual.
Todas las empresas, independientemente de su tamao, enfrentan un riesgo importante de encontrarse con software malicioso en Internet. Cada empresa debe centrarse en los fundamentos de la seguridad de sus redes y propiedad intelectual.
Encuentros con software malicioso por pas
La investigacin de Cisco muestra un cambio importante en el panorama mundial de encuentros con software malicioso por pas en 2012. En China, que ocupaba el segundo lugar de la lista en 2011, los encuentros de este tipo
36
37
Figura4: Encuentros con software malicioso en Internet por pas

Un tercio de todos los encuentros con software malicioso en Internet provino de dominios alojados en Estados Unidos.
AUMENTO DESDE 2011
DISMINUCIN DESDE 2011
4,07%
Reino Unido
10
Dinamarca
4
9,55%
9,27%
Suecia
1,95% 1
7
9
3
5
Irlanda
2,27%
2
8
Rusia
9,79%
Pases Bajos
6,11%
Alemania
China
2,63% 33,14%
5,65%
Turqua
Estados Unidos
En general, los datos geogrficos para 2012 demuestran que Internet es un elemento de infeccin de igual oportunidad, lo cual contradice las percepciones que indican que solo uno o dos pases son responsables de alojar software malicioso en Internet o que un pas es ms seguro que otro.
38
39
Figura5: Tipos principales de software malicioso en Internet

Los encuentros con software malicioso de Android crecieron un 2577% durante 2012, aunque el software malicioso mvil solo representa un pequeo porcentaje del total de los encuentros con software malicioso en Internet.
Vulnerabilidad de seguridad 9,8%
Robo de informacin 3,4% Programa para descarga 1,1% Script malicioso/iFrame 83,4% Gusanos 0,89% Virus 0,48% Mvil 0,42% Scareware 0,16% Ransomware 0,058% Kit para software malicioso/ ataque informtico 0,057% Android Growth
Por supuesto que existe una marcada diferencia entre el lugar en el que se producen los encuentros con software malicioso y el lugar donde este se encuentra alojado realmente. En el caso de la publicidad maliciosa, por ejemplo, el encuentro se produce, por lo general, al visitar un sitio web legtimo y respetable que incluye publicidad de terceros. Sin embargo, el software malicioso real que se desea distribuir est alojado en un dominio completamente diferente. Dado que los datos de Cisco se encuentran donde se produjo el encuentro, no estn relacionados con el origen real del software malicioso. Por ejemplo, el aumento de la popularidad de los sitios de entretenimiento y medios sociales en Dinamarca y Suecia, junto con los riesgos de publicidad maliciosa, es en gran parte responsable de una mayor cantidad de encuentros de sitios alojados en esas regiones, lo cual no indica el origen real del software malicioso.
botnet documentada para Android en estado natural, lo cual indica que se deben vigilar los desarrollos de software malicioso mvil durante 2013. Mientras que algunos expertos afirman que Android es la mayor amenaza o que debe ser un punto principal de enfoque para los equipos de seguridad de las empresas en 2013, los datos reales demuestran lo contrario. Como se mencion anteriormente, el software malicioso mvil en general representa menos del 1% de los encuentros totales, que est muy alejado de la situacin apocalptica sobre la cual muchos comentan. No es posible exagerar en cuanto al impacto de la tendencia BYOD y la proliferacin de dispositivos, pero las empresas deben preocuparse ms por amenazas como prdidas accidentales de datos y asegurarse de que los empleados no adquieran control privilegiado de sus dispositivos o los liberen, e instalen nicamente aplicaciones provenientes de canales de distribucin oficiales y confiables. Si los usuarios optan por obtener aplicaciones fuera de las tiendas de aplicaciones mviles oficiales, antes de descargar una aplicacin, deben asegurarse de conocer al autor de la aplicacin en cuestin, confiar en l, adems de poder comprobar que el cdigo no haya sido manipulado indebidamente. Si se observa el panorama ms general del software malicioso, no resulta sorprendente que los scripts maliciosos e iFrames abarcaran el 83% de los encuentros en 2012. Si bien esto es relativamente coherente con los porcentajes de aos anteriores, es una conclusin sobre la que vale la pena
Tipos ms importantes de software malicioso en Internet en 2012
Crecimiento de Android: 2577%

ENE. FEB. MAR. ABR. MAY. JUN. JUL. AGO. SEP. OCT. NOV. DIC.
El software malicioso de Android creci considerablemente ms rpido que cualquier otra forma de software malicioso distribuido por Internet, lo cual es una tendencia importante dado que Android abarca la mayor parte del mercado de dispositivos mviles en el mundo. Es importante tener en cuenta que los encuentros con software malicioso mvil representaron solo el 0,5% de la totalidad de los encuentros con software malicioso en Internet en 2012; de todos estos encuentros, el 95% fueron de Android. Adems, en 2012 se evidenci el surgimiento de la primera
40
41
reflexionar. Estos tipos de ataques a menudo representan cdigo malicioso en pginas web confiables que quizs los usuarios visiten a diario, lo cual significa que el atacante puede poner en peligro a esos usuarios sin siquiera despertar sospechas. Las vulnerabilidades de seguridad ocupan el segundo lugar, con un 10% de la cantidad total de encuentros con software malicioso en Internet durante el ltimo ao. Sin embargo, estas cifras son, en gran parte, resultado de dnde ocurrieron los bloqueos en comparacin con la concentracin real de vulnerabilidades de seguridad en la red. Por ejemplo, el 83% de los scripts maliciosos e iFrames ocultos son bloqueos que se producen en una etapa anterior, antes de la representacin de la vulnerabilidad de seguridad; por lo tanto, es posible que disminuya artificialmente la cantidad de vulnerabilidades de seguridad observadas. Las vulnerabilidades de seguridad siguen siendo una causa importante de infecciones a travs de Internet y su presencia continua destaca la necesidad de que los proveedores adopten las mejores prcticas de seguridad en los ciclos de vida de los productos. Las empresas deben centrarse en la seguridad como parte del diseo de un producto y el proceso de desarrollo, con divulgaciones oportunas de vulnerabilidad, y ciclos de correccin rpidos y regulares. Asimismo, las empresas y los usuarios deben estar al tanto de los riesgos de seguridad relacionados con el uso de productos que no gozan del respaldo de los proveedores. Tambin es fundamental
que las empresas dispongan de un proceso de administracin bsico de vulnerabilidades y que los usuarios mantengan actualizados el hardware y el software que utilizan. Entre los cinco principales se encuentran los ladrones de informacin, con un 3,5% del total de encuentros con software malicioso en Internet en 2012, los programas para descarga (1,1%) y los gusanos (0,8%). Una vez ms, estas cifras reflejan el lugar donde se producen los bloqueos, por lo general, en el punto en el que se encuentra por primera vez el script malicioso o iFrame. Como resultado, estas cifras no representan la cantidad real de ladrones de informacin, programas para descarga o gusanos que se distribuyen a travs de Internet.
Figura6: Tipos principales de contenido de software malicioso para 2012

Las vulnerabilidades de seguridad de Java abarcaron el 87% del total de vulnerabilidades de seguridad en Internet.
Tipos de contenido prominentes por mes

100% 80% 60% 40% 20% 0%
E F M A M J J A S O N D
Aplicacin Texto Imagen Video Audio Mensaje
Tipos de contenido de vulnerabilidad de seguridad

100% 80% 60%
Tipos de contenido principales del software malicioso
40% 20% 0%
E F M A M J J A S O N D
Java PDF Flash Active X
Los creadores de software malicioso buscan constantemente maximizar el retorno de la inversin (ROI); para ello, buscan maneras llegar al grupo ms grande de posibles vctimas con el menor esfuerzo y, a menudo, aprovechan las tecnologas entre plataformas cuando es posible. Si se tienen en cuenta estos fines, los juegos de herramientas para las vulnerabilidades de seguridad en general distribuyen las vulnerabilidades de seguridad en un orden especfico; una vez distribuida una vulnerabilidad de seguridad exitosa, no se realizan otros intentos. La gran concentracin de vulnerabilidades de seguridad de Java (87% del total en Internet) muestra que
Cantidad total de tipos de contenido prominentes

Aplicacin Texto Imagen Video Audio Mensaje
65,05%
33,81%
1,09% 0,05% 0,01%
0,00%
La gran concentracin de vulnerabilidades de seguridad de Java muestra que se las pone en prctica antes que otros tipos de vulnerabilidades de seguridad y tambin demuestra que los atacantes logran buenos resultados con ellas.
42
43
Figura7: Categora de sitios principales

Los sitios de compras en lnea tienen 21veces mayores probabilidades de distribuir contenido malicioso que los sitios de software falsos. Nota: La categora Contenido dinmico se encuentra en el primer lugar de la lista de Cisco de Top Siteprincipales Category con for Web Malware Encounter de software malicioso. Esta categora ubicaciones probabilidad de infecciones incluye sistemas de distribucin de contenido, como estadsticas de Internet, anlisis del sitio y otro contenido de terceros que no est relacionado con publicidad.
Publicidades 16,81% Contenido dinmico y CDN 18,30%
se las pone en prctica antes que otros tipos de vulnerabilidades de seguridad y tambin demuestra que los atacantes logran buenos resultados con las vulnerabilidades de seguridad de Java. Adems, con ms de 3000 millones de dispositivos en los que se ejecuta Java, 16 la tecnologa representa una manera perfecta para que los piratas informticos remitan sus ataques a varias plataformas. Otras dos tecnologas entre plataformas (PDF y Flash) ocuparon el segundo y el tercer puesto en el anlisis de Cisco sobre los tipos de contenido principales para la distribucin de software malicioso. Si bien Active X todava se utiliza, los investigadores de Cisco han observado un menor uso constante de la tecnologa como vehculo de distribucin de software malicioso. Sin embargo, segn se coment anteriormente en referencia a Java, una menor cantidad de determinados tipos de vulnerabilidades de seguridad refleja, en gran medida, el orden en el que se presentan esas vulnerabilidades. Al analizar el contenido de medios, los datos de Cisco revelan casi el doble de software malicioso basado en imgenes que de videos no compatibles con Flash. Sin embargo, esto se debe, en parte, a la manera en que los buscadores manejan los tipos de contenido declarados y las iniciativas de los atacantes para manipular estos controles mediante la declaracin de tipos de contenido errneos. Adems, los sistemas de comando y control de software malicioso a menudo distribuyen informacin sobre servidores a travs de comentarios ocultos en archivos de imgenes comunes.
Categora de sitios principales

Segn se desprende de datos de Cisco, la nocin de que las infecciones por software malicioso provienen, ms comnmente, de sitios riesgosos como software falso es un concepto errneo. El anlisis de Cisco indica que la gran mayora de encuentros con software malicioso en realidad ocurren a travs de la navegacin legtima de sitios web convencionales. Es decir, la mayora de los encuentros se producen en los lugares que los usuarios en lnea visitan ms a menudo y consideran seguros. Las publicidades en lnea ocupan el segundo puesto en la lista y representan un 16% del total de encuentros con software malicioso en Internet. La publicidad sindicada es un medio comn para rentabilizar sitios web, por lo cual, un solo aviso malicioso que se distribuya de esta manera puede tener un gran efecto adverso.
Empresas e industria 8,15%
Juegos 6,51%
Alojamiento web 4,98% Motores de bsqueda y portales 4,53% Computadoras e Internet 3,57% Compras 3,57% Viajes 3,00%
Comunidades en lnea 2,66% Entretenimiento 2,57% Copia de seguridad y almacenamiento en lnea 2,27% Noticias 2,18% Deportes y actividades recreativas 2,10% Servicios de transferencia de archivos 1,50%
Salud y nutricin 0,97%
Transporte 1,11%
Educacin 1,17%
Software como servicio Correo (SaaS) y de empresa a electrnico empresa (B2B) 1,40% basado en Internet 1,37%
La gran mayora de encuentros con software malicioso en realidad se producen a travs de la navegacin legtima en sitios web convencionales. Es decir, la mayora de los encuentros se producen en los lugares que los usuarios en lnea visitan ms a menudo y consideran seguros.
44
45
Los delincuentes informticos han prestado especial atencin a los hbitos modernos de navegacin a fin de exponer a la mayor cantidad posible de usuarios al software malicioso en Internet.
En la lista de categoras de sitios a travs de los cuales se produjeron encuentros con software malicioso, en el tercer lugar se encuentran los sitios empresariales y de sectores, que incluyen desde sitios corporativos hasta recursos humanos y servicios de transporte. Los juegos en lnea ocupan el cuarto puesto, seguidos de los sitios de alojamiento web y los motores de bsqueda en el quinto y sexto puesto, respectivamente. En las 20 categoras principales de sitios web no se incluyen aquellos sitios que, por lo general, se consideran maliciosos. Existe una combinacin saludable de tipos de sitios populares y legtimos, tales como compras en lnea (n. 8), noticias (n.13) y aplicaciones SaaS/entre empresas (n.16). Los delincuentes informticos han prestado especial atencin a los hbitos modernos de navegacin a fin de exponer a la mayor cantidad posible de usuarios al software malicioso en Internet. Dondequiera que se encuentren los usuarios en lnea, all estarn los creadores de software malicioso, quienes aprovecharn los sitios web confiables a travs de un compromiso directo o redes de distribucin de terceros.
Aplicaciones populares por resultados

Los cambios en el modo en que las personas pasan su tiempo en lnea amplan el campo en el que los delincuentes informticos atacan la vulnerabilidad de seguridad. Las empresas de todos los tamaos aprecian los medios sociales y el video en lnea; la mayora de las marcas estn presentes en Facebook y Twitter, y muchas de ellas integran los medios sociales en sus productos reales. Dado que estos destinos web captan audiencias masivas y son aceptados en las configuraciones empresariales, tambin se generan ms oportunidades para la distribucin de software malicioso. Segn los datos que surgen de Cisco Application Visibility and Control (AVC), la amplia mayora (91%) de solicitudes web se dividieron en motores de bsqueda (36%); sitios de video en lnea (22%); redes publicitarias (13%); y redes sociales (20%).
Figura8: Aplicaciones populares por resultados

Los medios sociales y el video en lnea cambian la manera en que los empleados pasan su tiempo en el trabajo, y exponen nuevas vulnerabilidades.
Top Web Applications by Hits

Otros Red social
20% 13%
Anuncios
9% 36% 22%
Video en lnea
Motor de bsqueda
Si los datos de los principales sitios web visitados en Internet se correlacionan con la categora de sitio web ms peligrosa, los mismos lugares en los que se presenta la mayor exposicin a software malicioso, tales como motores de bsqueda, se encuentran entre las reas principales que impulsan los encuentros con software malicioso en Internet.
Si los datos de los principales sitios web visitados en Internet se correlacionan con la categora de sitio web ms peligrosa, los mismos lugares en los que se presenta la mayor exposicin a software malicioso, tales como motores de bsqueda, se encuentran entre las reas principales que impulsan los encuentros con software malicioso en Internet. Esta correlacin muestra, una vez ms, que los creadores de este tipo de software se centran en maximizar su ROI y, por ello, concentrarn sus esfuerzos en los lugares donde haya la mayor cantidad de usuarios y facilidad de exposicin.
Las empresas de todos los tamaos aprecian los medios sociales y el video en lnea; la mayora de las marcas estn presentes en Facebook y Twitter, y muchas de ellas integran los medios sociales en sus productos reales.
46
47
Cuando el terror gtico da origen al software malicioso

por Kevin W. Hamlen profesor asociado, Departamento de Informtica, Universidad de Texas en Dallas
El camuflaje para software malicioso constituye una amenaza emergente a la que se enfrentan cada vez ms los profesionales de seguridad. Mientras que la mayor parte del software malicioso ya utiliza la confusin o la mutacin simples para diversificar y dificultar medidas de ingeniera inversa, el autocamuflaje de software malicioso es incluso ms sigiloso, dado que se combina con el software especfico que ya se encuentra en cada sistema al que infecta. Esto puede sortear las defensas que buscan anormalidades de software como el cdigo cifrado o el desempaquetado del tiempo de ejecucin, que a menudo exhibe el software malicioso ms convencional. La tecnologa de autocamuflaje de software malicioso ms nueva, correctamente denominada Frankenstein17, es el producto de nuestra investigacin de este ao realizada en el Centro educativo y de investigacin sobre seguridad ciberntica (Cyber Security Research and Education Center) de la Universidad de Texas en Dallas. Al igual que el cientfico loco protagonista de la novela de terror de Mary Shelley, escrita en 1818, el software malicioso Frankenstein crea mutantes mediante el robo de partes del cuerpo (es decir, cdigo) de otro software que encuentra y las une para crear variantes nicas de s mismo. Por esta razn, cada mutante Frankenstein est compuesto en su totalidad por software que es aparentemente benigno y normal, no realiza cifrados ni desempaquetados del tiempo de ejecucin sospechosos y tiene acceso a un grupo creciente de transformaciones de cdigo obtenidas de los numerosos programas con los que se encuentra. En la sombra, Frankenstein da vida a sus creaciones con una variedad de tcnicas extradas de la teora de compilacin y el anlisis de programas. En primer lugar, se escanean los binarios vctimas para conocer sus secuencias de bytes cortas que decodifican secuencias de instruccin tiles, llamadas gadgets. Luego, un pequeo intrprete abstracto infiere los posibles efectos semnticos de cada gadget descubierto. Posteriormente, se aplica una bsqueda inversa para descubrir secuencias de gadgets que, si se ejecutan en orden, implementan la conducta maliciosa de la carga del software malicioso.
En general, nuestra investigacin sugiere que el software malicioso de la prxima generacin puede evitar cada vez ms las mutaciones simples basadas en cifrado y empaquetado a favor de confusiones de binarios metamrficos como los utilizados por Frankenstein.
Por ltimo, se ensambla cada una de las secuencias descubiertas, lo cual da forma a un mutante nuevo. En la prctica, Frankenstein descubre ms de 2000 gadgets por segundo, lo cual suma ms de 100000 provenientes de dos o tres binarios vctimas en menos de cinco segundos. Con un grupo de gadgets tan grandes a su disposicin, los mutantes resultantes raramente comparten secuencias de instrucciones comunes; por esta razn, cada uno de ellos es nico. En general, nuestra investigacin sugiere que el software malicioso de la prxima generacin puede evitar cada vez ms las mutaciones simples basadas en cifrado y empaquetado a favor de confusiones de binarios metamrficos como los utilizados por Frankenstein. La implementacin de tales confusiones es viable, las confusiones son de rpida propagacin y resultan eficaces para ocultar el software malicioso en las fases de anlisis esttico de la mayora de los motores de deteccin de software malicioso. Para contrarrestar esta tendencia, los defensores debern implementar algunas de las tecnologas utilizadas para desarrollar a Frankenstein, incluidos los anlisis estticos basados en la semntica, en lugar de la sintaxis, extraccin de caractersticas y firmas semnticas derivadas del aprendizaje del equipo18 en lugar de un anlisis exclusivamente manual. En este artculo se informa sobre las investigaciones que cuentan con el apoyo parcial de la adjudicacin n. 1054629 de la Fundacin Nacional de Ciencia (NSF, National Science Foundation) y la adjudicacin n. FA9550-10-1-0088 de la Oficina de Investigacin Cientfica de la Fuerza Area (AFOSR, Air Force Office of Scientific Research) de los Estados Unidos. Las opiniones, los resultados, las conclusiones o las recomendaciones expresados pertenecen al autor y no reflejan necesariamente aquellos de la NSF o la AFOSR.
Al igual que el cientfico loco protagonista de la novela de terror de Mary Shelley, escrita en 1818, el software malicioso Frankenstein crea mutantes mediante el robo de partes del cuerpo (es decir, cdigo) de otro software que encuentra y las une para crear variantes nicas de s mismo.
17
Vishwath Mohan y Kevin W. Hamlen. Frankenstein: Stitching Malware from Benign Binaries. In Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), pgs. 77-84, agosto de 2012. Mohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han y Bhavani Thuraisingham. Cloud-based Malware Detection for Evolving Data Streams. ACM Transactions on Management Information Systems (TMIS), 2(3), octubre de 2011.
18
48

Cantidad de alertas por mes de 2010 Cantidad de alertas por mes de 2011 Cantidad de alertas por mes de 2010
Nuevo
49
Anlisis de 2012 Total amenazas Reaparicin Nuevo y vulnerabilidad Total Reaparicin Nuevo de Total Reaparicin
En la tabla titulada Categoras de amenazas y vulnerabilidades, se aprecia un importante 552 344 208 552 Enero 417 259 158 417 403 237 166 403 aumento en el total de amenazas: en 2012, las amenazas crecieron un 19,8% con respecto a 430 253 177 847 551 317 1103 Febrero 176 224 803 2011. Este aumento significativo de las 400 amenazas es una gran exigencia en234 lo que respecta a la capacidad de las empresas para mantener actualizados sistemas 324 194 1364 487 238 los 249 1590 de Marzo 518 501 276 225 1304 y corregidos administracin de vulnerabilidades, cambio 524 a los 306 entornos 167 208 1740 en especial, 218 virtuales. 2114 Abril 375 475 229 dado 246 el 1779
Figura10: Categoras de amenazas y vulnerabilidades

Cantidad de alertas por mes de 2010
Total Reaparicin Nuevo


174 intentan 148 2062 586 de 343 243 2700 Mayo 322 404 185 219 2183 Las empresas tambin abordar el creciente uso de software cdigo abierto y de terceros incluyen en sus productos entornos. Apenas una en las 534 294 240 2596 647 vulnerabilidad 389 258 3347 Junio que 472 y 221 251 2655 soluciones de cdigo abierto o de terceros puede afectar a una amplia variedad de sistemas 514 277 237 3861 Julio 422 210 212 3018 453 213 240 3108 en el entorno, lo cual dificulta su identificacin y correccin o actualizacin, afirma Jeff 541 255 3559 591 306 285 4452 Agosto 474 226 sobre 248 3582 Shipley, gerente de286 Operaciones e investigacin seguridad de Cisco. 572 330 242 5024 Septiembre 357 167 190 3916 441 234 207 4023 En cuanto al tipo de amenazas, el grupo ms grande abarca aquellas que componen las 517 280 237 5541 Octubre 418 191 227 4334 558 314 244 4581 amenazas de administracin de recursos; generalmente incluye las vulnerabilidades de 476 252 224 4810 de validacin 375 175 200 5916 Noviembre de 357 195 de 162 4938 tales denegacin servicio, amenazas entrada como inyeccin SQL yDiciembre errores de script sitios, adems 363 de desbordamiento una 400 entre 203 197 5210 376 que 183provoca 193 6292 178 185 5301de bfer denegacin de servicio. La preponderancia de amenazas similares de aos anteriores, junto 5210 2780 2430de amenazas, 5301indica 2684 que 2617 la industria 6292 3488 2804 con el aumento significativo de la seguridad debe equiparse mejor para poder detectar y controlar estas vulnerabilidades.
Las calificaciones de urgencia de alertas Cisco IntelliShield reflejan el nivel de actividad de amenaza relacionado con vulnerabilidades especficas. El considerable aumento en las 2010 2011 2012 8000 calificaciones de urgencia de nivel 3 indica que realmente se explotan ms vulnerabilidades. 7000 Probablemente, esto se debe al aumento de las vulnerabilidades de seguridad pblicas lanzadas 6000 por investigadores o herramientas de prueba y la incorporacin de esas vulnerabilidades en los 5000 juegos de herramientas para ataques. A raz de estos dos factores, existen ms vulnerabilidades 4000 de seguridad, que son utilizadas en forma global por piratas informticos y grupos delictivos.
3000 2000 Las calificaciones de gravedad de alertas Cisco IntelliShield reflejan el nivel de impacto 1000 de las vulnerabilidades de seguridad exitosas. Las calificaciones de gravedad tambin 0 muestran un notable aumento en las amenazas de nivel 3, por las mismas razones indicadas E F M A M J J A S O N D anteriormente sobre la disponibilidad de herramientas de vulnerabilidad de seguridad.
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
417 259 158 417 430 253 177 847 518 324 194 1364 375 167 208 1740 322 174 148 2062 534 294 240 2596 422 210 212 3018 541 286 255 3559 357 167 190 3916 418 191 227 4334 476 252 224 4810 400 203 197 5210
5210 2780 2430
403 237 166 403 400 176 224 803 501 276 225 1304 475 229 246 1779 404 185 219 2183 472 221 251 2655 453 213 240 3108 474 226 248 3582 441 234 207 4023 558 314 244 4581 357 195 162 4938 363 178 185 5301
5301 2684 2617
552 344 208 552 551 317 234 1103 487 238 249 1590 524 306 218 2114 586 343 243 2700 647 389 258 3347 514 277 237 3861 591 306 285 4452 572 330 242 5024 517 280 237 5541 375 175 200 5916 376 183 193 6292
6292 3488 2804
Figura9: Clasificaciones de gravedad y urgencia

2010 Calificacin Calificacin 2011 2012
8000 7000 6000 5000 4000 3000 2000 1000 0 E F M A M J J A S
2010
2011
2012
Urgencia 3 Urgencia 4 Urgencia 5

0 10 20 30 40 50 60
Gravedad 3 Gravedad 4 Gravedad 5

0 500 1000 1500 2000
Apenas una vulnerabilidad en las soluciones de cdigo abierto o 2010 2011 de terceros puede afectar a una amplia variedad de sistemas en 2012 el Calificacin Calificacin entorno, lo cual dificulta su identificacin y correccin o actualizacin. Gravedad 3 Urgencia 3
Jeff Shipley, gerente de Operaciones e investigacin sobre seguridad de Cisco
Urgencia 4 Urgencia 5
0 10 20 30 40 50 60
Gravedad 4 Gravedad 5
0 500 1000 1500 2000
50
51
Amenazas evolutivas
Mtodos nuevos, las mismas vulnerabilidades de seguridad
En la actualidad, todo vale en lo que respecta a vulnerabilidades de seguridad, siempre que el mtodo seleccionado funcione correctamente.
Esto no significa que los actores en la economa sumergida no continan comprometidos para crear herramientas y tcnicas cada vez ms sofisticadas para poner en peligro a los usuarios, infectar redes y robar informacin confidencial, entre muchos otros objetivos. Sin embargo, en 2012, hubo una tendencia hacia lo viejo pero bueno para encontrar nuevas maneras de generar interrupciones o evadir las protecciones de seguridad de las empresas. Los ataques de DDoS son un ejemplo importante: varias instituciones financieras prominentes de Estados Unidos fueron los objetivos de alto perfil de dos campaas importantes y relacionadas lanzadas por grupos activistas de piratas informticos extranjeros en los ltimos seis meses de 2012 (si desea leer un anlisis detallado, consulte la seccin titulada Tendencias de denegacin de servicio distribuido de 2012). Algunos expertos en seguridad advierten que estos eventos son solo el comienzo y que los grupos activistas de piratas informticos, crculos de asociaciones ilcitas e incluso nacionesestado sern los perpetradores19 de estos ataques en el futuro, y trabajarn en conjunto y en forma independiente. Se observa una tendencia en DDoS, en la cual los atacantes agregan ms contexto sobre sus sitios objetivo para que las interrupciones sean ms importantes, afirma Gavin Reid, director de Investigacin sobre amenazas para Cisco Security Intelligence Operations. En lugar de producir inundacin SYN, DDoS ahora intenta manipular una aplicacin especfica de la empresa, lo cual posiblemente provoque un conjunto de daos en cascada si se produce una falla.
En 2012, hubo una tendencia hacia lo viejo pero bueno para encontrar nuevas maneras de generar interrupciones o evadir las protecciones de seguridad de las empresas.
52
53
Incluso contra un adversario sofisticado, pero promedio, lo ms avanzado actualmente en lo que respecta a la seguridad de la red est, a menudo, muy por detrs.
Gregory Neal Akers, vicepresidente ejecutivo del grupo de Iniciativas de seguridad avanzada de Cisco
Si bien las empresas pueden creer que estn protegidas adecuadamente contra la amenaza de DDoS, es ms probable que sus redes no puedan defenderse del tipo de ataques de DDoS implacables y de gran volumen que se observaron en 2012. Incluso contra un adversario sofisticado, pero promedio, lo ms avanzado actualmente en lo que respecta a la seguridad de la red est, a menudo, muy por detrs, afirma Gregory Neal Akers, vicepresidente ejecutivo del grupo de Iniciativas de seguridad avanzada de Cisco.
Otra tendencia que se presenta en la comunidad de delitos informticos se relaciona con la democratizacin de las amenazas. Vemos en mayor medida que las herramientas y las tcnicas (y la inteligencia para explotar vulnerabilidades) se comparten ampliamente en la economa sumergida actual. Las capacidades de competencia tcnica han evolucionado muchsimo, afirma Akers. Ahora se observa una mayor especializacin y colaboracin entre los actores maliciosos. Es una lnea de montaje de amenazas: una persona desarrolla un error, otra escribe el software malicioso, otra disea el componente de ingeniera social y as sucesivamente. La creacin de amenazas potentes que les permitir acceder a los grandes volmenes de recursos de gran valor que recorren la red es la razn por la cual los delincuentes informticos combinan sus conocimientos con mayor frecuencia. Pero como cualquier empresa del mundo real que terceriza tareas, la eficacia y el ahorro de costos se encuentran entre los factores principales para el enfoque de crear amenazas en la comunidad de delitos informticos. El personal calificado independiente que se contrata para estas tareas, en general, publicita sus habilidades y paga los honorarios a la comunidad de delitos informticos ms amplia, a travs de mercados en lnea secretos.
Ataques de reflejo y amplificacin

Los ataques de reflejo y amplificacin de DNS20 utilizan sistemas de nombre de dominio (DNS), resoluciones recursivas abiertas o servidores DNS dominantes para aumentar el volumen del trfico de ataques que se enva a una vctima. Al suplantar 21 los mensajes de solicitud de DNS, estos ataques ocultan la fuente real del ataque y envan consultas de DNS que devuelven mensajes de respuesta de DNS un 1000 a un 10000% ms grandes que el mensaje de solicitud de DNS. Estos tipos de perfiles de ataque se observan comnmente durante los ataques de DDoS22. Al dejar resoluciones recursivas abiertas en Internet, las empresas participan en estos ataques sin saberlo. Pueden detectar los ataques con diversas herramientas23 y tecnologas de telemetra de flujo24 y pueden evitarlos mediante la proteccin25 de sus servidores DNS, o bien, mediante los lmites de velocidad26 de los mensajes de respuesta de DNS.
Tendencias de denegacin de servicio distribuido de 2012

El siguiente anlisis deriva del repositorio de Arbor Networks ATLAS, que consta de datos mundiales recopilados de varias fuentes, de 240 ISP, mediante la supervisin del trfico mximo de 37,8 Tbps.27 El tamao de los ataques contina aumentando En general, se ha producido un aumento en el tamao promedio de los ataques durante el ao pasado. Hubo un aumento del 27% en el rendimiento de los ataques (de 1,23 Gbps en 2011 a 1,57 Gbps en 2012) y un aumento del 15% de los paquetes por segundo utilizados en los ataques (de 1,33 Mpps en 2011 a 1,54 Mpps en 2012). Datos demogrficos de los ataques Las tres fuentes de ataque principales que se supervisaron, despus de eliminar el 41% de las fuentes para las que no existen atribuciones dada la anonimizacin de los datos, son China (17,8%), Corea del Sur (12,7%) y Estados Unidos (8%). Los ataques de mayor envergadura El ataque de mayor envergadura supervisado se midi a 100,84 Gbps y dur aproximadamente 20 minutos (se desconoce la fuente del ataque dada la anonimizacin de los datos). El ataque correspondiente de mayor envergadura supervisado en (pps) se midi a 82,36 Mpps y dur aproximadamente 24 minutos (se desconoce la fuente del ataque dada la anonimizacin de los datos).
54
55
Figura11: Evasiones de Intrusion Prevention System (IPS) en vivo
Armamentizacin de las tcnicas de evasin modernas

Continuamente, los delincuentes informticos desarrollan nuevas tcnicas para sortear los dispositivos de seguridad. Los investigadores de Cisco observan atentamente en busca de nuevas tcnicas y la armamentizacin de tcnicas conocidas. El departamento de Operaciones e investigacin sobre seguridad de Cisco dirige varios laboratorios de software malicioso para observar el trfico malicioso. En los laboratorios, se lanza software malicioso intencionalmente a fin de garantizar que los dispositivos de seguridad sean eficaces; tambin se dejan computadoras en estado vulnerable y se las expone a Internet. Durante una prueba de este tipo, la tecnologa de Cisco Intrusion Prevention System (IPS) detect un ataque conocido de llamada a procedimiento remoto de Microsoft (MSRPC, Microsoft Remote Procedure Call). Tras un minucioso anlisis, se determin que el ataque utiliz una tctica de evasin de software malicioso nunca antes vista en un intento por sortear los dispositivos de seguridad.28 La evasin envi varias ID de contexto de enlace dentro de la solicitud de enlace inicial. Este tipo de ataque puede evadir las protecciones a menos que IPS supervise y determine qu ID fueron satisfactorias.
Transmission Control Protocol, Src Port: 32883 (32883), Dst DCE RPC Bind, Fragment: Single, FragLen: 820, Call: 0 Version: 5 Version (minor): 0 Packet type: Bind (11) Packet Flags: 0x03 Data Representation: 10000000 Frag Length: 820 Auth Length: 0 Call ID: 0 Max Xmit Frag: 5840 Max Recv Frag: 5840 Assoc Group: 0x00000000 Num Ctx Items: 18 Context ID: 0 Num Trans Itms: 1 Interface UUID: c681d4c7-7f36-33aa-6cb8-535560c3f0e9 Context ID: 1 Num Trans Items: 1 Interface UUID: 2ec29c7e-6d49-5e67-9d6f-4c4a37a87355
Continuamente, los delincuentes cibernticos desarrollan nuevas tcnicas para sortear los dispositivos de seguridad. Los investigadores de Cisco observan atentamente en busca de nuevas tcnicas y la armamentizacin de tcnicas conocidas.
El departamento de Operaciones e investigacin sobre seguridad de Cisco dirige varios laboratorios de software malicioso para observar el trfico malicioso. En los laboratorios, se lanza software malicioso intencionalmente a fin de garantizar que los dispositivos de seguridad sean eficaces; tambin se dejan computadoras en estado vulnerable y se las expone a Internet.
56
57
Estudio de caso
Operacin Ababil
Durante septiembre y octubre de 2012, Cisco y Arbor Networks supervisaron una campaa de ataque de DDoS muy seria y con un objetivo especfico conocida como Operacin Ababil, que estaba dirigida a las instituciones financieras con sede en Estados Unidos. Los ataques de DDoS eran premeditados, enfocados y publicitados antes de que ocurrieran, y se ejecutaban al pie de la letra. Los atacantes lograron que varios sitios financieros importantes no estuvieran disponibles para los clientes legtimos durante algunos minutos y, en los casos ms graves, durante horas. Durante el transcurso de los acontecimientos, varios grupos reconocieron su responsabilidad por los ataques; al menos uno de ellos afirm protestar contra la legislacin de propiedad intelectual y derechos de autor en Estados Unidos. Otros difunden su participacin como una respuesta a un video de YouTube que result agresiva para algunos musulmanes. Desde la perspectiva de la seguridad ciberntica, la operacin Ababil es notable porque aprovech algunas aplicaciones web comunes y servidores de alojamiento que son tan populares como vulnerables. El otro factor obvio y poco comn utilizado en esta serie de ataques fue que los ataques simultneos, en un ancho de banda alto, se lanzaron contra varias empresas del mismo sector (financiero). Como a menudo se ve en el sector de la seguridad, lo que es viejo vuelve a ser nuevo. El 18 de septiembre de 2012, los luchadores cibernticos de Izz ad-Din al-Qassam realizaron una publicacin en Pastebin29 en la cual instaban a la comunidad musulmana a que tomaran como objetivo instituciones financieras importantes y plataformas de comercializacin de productos. Las amenazas y los objetivos especficos fueron publicados para que el mundo pudiera verlos durante cuatro semanas consecutivas. Cada semana, nuevas amenazas y objetivos eran seguidos de acciones en las fechas y los horarios establecidos. Para la quinta semana, el grupo no public objetivos pero dej en claro que las campaas continuaran. Segn lo prometido, las campaas se renovaron seriamente en diciembre de 2012 y, una vez ms, estuvieron dirigidas a grandes entidades financieras. La fase 2 de la operacin Ababil tambin se anunci en Pastebin.30 En lugar de equipos infectados, una variedad de aplicaciones web PHP, incluido el sistema de administracin de contenido Joomla, sirvieron como los bots principales en la campaa. Adems, varios sitios de WordPress, que a menudo utilizaban el complemento desactualizado TimThumb, se encontraban en peligro al mismo tiempo. A menudo, los atacantes se dirigan a servidores sin mantenimiento que alojaban estas aplicaciones y cargaban webshells para implementar ms herramientas de ataque. El concepto de comando y control no se aplic en la manera habitual; sin embargo, los atacantes se conectaron a las herramientas directamente o a travs de servidores intermedios, scripts y proxies. Durante los eventos cibernticos ocurridos entre septiembre y octubre de 2012, se utiliz una gran variedad de archivos y herramientas basadas en PHP, no solo tsoknoproblembro (tambin conocido como Brobot). Para la segunda ronda de actividades tambin se utilizaron herramientas de ataque actualizadas tales como Brobot v2. Durante la operacin Ababil, se implement una combinacin de herramientas con vectores que cruzaban los ataques en la capa de aplicacin en HTTP, HTTPS y DNS con un trfico de ataques volumtricos en una variedad de TCP, UDP, ICMP y otros protocolos IP. El anlisis de Cisco demostr que la mayora de los paquetes se enviaron al puerto TCP/ UDP 53 (DNS) u 80 (HTTP). Mientras que el trfico en el puerto UDP 53 y el puerto TCP 53 y 80 representan normalmente trfico vlido, los paquetes destinados al puerto UDP 80 representan una anomala que no es utilizada comnmente por las aplicaciones. En el artculo Event Response: Distributed Denial of Service Attacks on Financial Institutions31 se incluye un informe detallado de los patrones y las cargas de la campaa de la operacin Ababil.
Lecciones aprendidas
Si bien constituyen una parte fundamental de cualquier cartera de productos de seguridad de red, los dispositivos de firewall e IPS dependen de una inspeccin activa de trfico. Las tcnicas de capa de aplicacin utilizadas en la campaa de la operacin Ababil sobrepasaron fcilmente a esas tablas de estado y, en varios casos, las hicieron fallar. La nica contramedida eficaz fue la tecnologa de mitigacin de DDoS inteligente. Los servicios de seguridad administrada e IPS tienen sus limitaciones. En un ataque de DDoS tpico, el buen criterio que prevalece indica ocuparse de los ataques volumtricos en la red. En el caso de las campaas de capa de aplicacin que se implementan ms cerca de la vctima, estos deben dirigirse al centro de datos o al permetro del cliente. Dado que varias empresas fueron tomadas como objetivo simultneamente, los centros de limpieza de red fueron forzados. Es fundamental mantener actualizados el hardware y el software en las aplicaciones de mitigacin de DDoS. Las implementaciones ms antiguas no siempre pueden ocuparse de las amenazas ms recientes. Tambin es importante contar con la capacidad adecuada en las ubicaciones correctas. Poder mitigar un ataque grande es intil si no es posible canalizar el trfico a la ubicacin donde se ha implementado la tecnologa correspondiente. Si bien la mitigacin de DDoS de red o de la nube por lo general posee una mayor capacidad de ancho de banda, las soluciones en las instalaciones ofrecen un mejor tiempo de reaccin ante ataques, un mejor control y una mejor visibilidad. Si se combinan ambas opciones, se obtiene una solucin ms completa. Junto con las tecnologas de DDoS de red y de la nube, y como parte de la documentacin elaborada a partir de los acontecimientos de la operacin Ababil, Cisco desarroll tcnicas de deteccin y mitigacin en el boletn titulado Identifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin.32 Estas tcnicas incluyen el uso de los filtros de la lista de control de acceso de trnsito (TACL), el anlisis de datos NetFlow y el reenvo por ruta inversa en modo de unidifusin (uRPF). Adems, existe un conjunto de mejores prcticas que se deben revisar, someter a pruebas e implementar con regularidad. Estas prcticas permitirn a las empresas prepararse para los eventos de red y reaccionar ante estos. En los artculos titulados Cisco SIO Tactical Resources33 y Service Provider Security Best Practices34 encontrar una biblioteca de estas mejores prcticas.
58
59
El correo no deseado siempre presente
Los volmenes de correo no deseado continan disminuyendo a nivel mundial, segn demuestran las investigaciones de Cisco. Sin embargo, este tipo de correo sigue siendo una herramienta de acceso para muchos delincuentes informticos, quienes la consideran una manera eficaz y conveniente para exponer a los usuarios al software malicioso y facilitar una gran variedad de estafas.
Sin embargo, a pesar de la percepcin que indica que, por lo general, el software malicioso se implementa a travs de archivos adjuntos de correo electrnico no deseado, las investigaciones de Cisco demuestran que, en la actualidad, son muy pocos los emisores de correo no deseado que utilizan este mtodo. En su lugar, utilizan enlaces maliciosos que incluyen en el mensaje de correo electrnico y que consideran un mecanismo de distribucin mucho ms eficaz. El correo no deseado tambin es menos amplio que en el pasado, ya que muchos emisores de este tipo de correo prefieren tener como objetivo a grupos especficos de usuarios con la esperanza de generar mayores ganancias. Los productos farmacuticos de marca, las marcas de relojes de lujo y eventos como las temporadas tributarias ocupan los primeros lugares en la lista de cosas que ms promueven los emisores de correo no deseado en sus campaas. Con el tiempo, los emisores de correo no deseado han aprendido que la manera ms rpida de atraer clics y compras (y de generar beneficios) es aprovechar las marcas falsificadas y los acontecimientos actuales que gozan de la atencin de grandes grupos de usuarios.
Tendencias mundiales en materia de correo no deseado
Desde los ataques de botnets a gran escala ocurridos en 2010, el correo no deseado en grandes cantidades no es tan eficaz como lo fue alguna vez, y
60
61
Figura12: Tendencias mundiales en materia de correo no deseado

Los volmenes mundiales de correo no deseado disminuyen un 18%, dado que la mayora de los emisores de correo no deseado trabajan menos horas durante los fines de semana.
AUMENTO DESDE 2011
DISMINUCIN DESDE 2011
4,19%
China
4,60%
Corea
Rusia
2
3,88% 6
10
Polonia Arabia Saudita

3,60% 8
2,72%
9 1 5 12,3%
11,38%
India
Estados Unidos Brasil

3,60%
4,00%
Vietnam
2,94%
Taiwn
Ingls 79%
Rusia 5%
Cataln 3%
Japons 3%
Dans 2%
Alemn 1%
Francs 1%
Rumano 1%
Espaol 1%
Chino 1%
Spam Language
Es ms probable que los proveedores de correo noten la presencia de una mayor cantidad de correo no deseado, y que lo desactiven antes de que cumpla con su propsito.
62
63
CISCO ASR / JAN 28, 2013 200 pm

semana permiten que los emisores de correo no deseado vivan normalmente. Tambin les brinda tiempo para dedicarse a disear campaas personalizadas basadas en acontecimientos mundiales que ocurren al iniciarse la semana, que les permitir generar una mayor tasa de respuesta a sus campaas. En 2012, hubo varios ejemplos de emisores de correo no deseado que utilizaron noticias sobre acontecimientos mundiales (incluso tragedias humanas) para aprovecharse de los usuarios. Por ejemplo, durante la supertormenta Sandy, los investigadores de Cisco identificaron un fraude masivo de compraventa de acciones basado en una campaa de correo no deseado. Mediante un mensaje de correo electrnico que ya exista, en el cual se instaba a invertir en acciones muy baratas dirigidas a la exploracin de recursos naturales, los emisores de correo no deseado comenzaron a adjuntar titulares sensacionalistas sobre la supertormenta Sandy. Un aspecto poco comn de esta campaa es que los emisores de correo no deseado utilizaron direcciones IP nicas para enviar un lote de mensajes y no han vuelto a activarlas desde entonces.
En 2012, hubo varios ejemplos de emisores de correo no deseado que utilizaron noticias sobre acontecimientos mundiales (incluso tragedias humanas) para aprovecharse de los usuarios.
los emisores de este tipo de correo han aprendido y modificado sus tcticas. Existe una marcada evolucin hacia campaas de menor envergadura y ms enfocadas, que se basan en acontecimientos mundiales y subconjuntos de usuarios en particular. Es ms probable que los proveedores de correo noten la presencia de una mayor cantidad de correo no deseado, y que lo desactiven antes de que cumpla con su propsito. En 2011, los volmenes mundiales totales de correo no deseado disminuyeron un 18%. Esto dista de la significativa disminucin en el volumen observada en 2010 despus de los ataques de botnet; no obstante, la tendencia en baja continua es un avance positivo. Los emisores de correo no deseado continan centrndose en reducir al mnimo los esfuerzos y maximizar el impacto que provocan. Segn las investigaciones de Cisco, los volmenes de correo no deseado disminuyen un 25% los fines de semana, cuando los usuarios a menudo no controlan sus cuentas de correo electrnico. Los volmenes de correo no deseado alcanzan los niveles mximos los martes y mircoles, un promedio del 10% ms que otros das de semana. Esta actividad intensificada a mitad de semana y los menores volmenes durante el fin de
Figura13: Origen del correo no deseado

La India conserva la corona de correo no deseado y Estados Unidos se dispara al segundo lugar.
VOLMENES DE CORREO NO DESEADO
-18%
LUNES MARTES MIRCOLES JUEVES VIERNES SBADO DOMINGO
DISMINUCIN DESDE 2011 HASTA 2012
+10%
DE AUMENTO PARA MEDIADOS DE SEMANA
-25%
DE DISMINUCIN PARA FINES DE SEMANA
Origen del correo no deseado

En el mundo del correo no deseado, algunos pases conservan sus puestos mientras que otros cambian en forma espectacular. En 2012, la India conserv el primer puesto como fuente de correo no deseado a nivel mundial, mientras que Estados Unidos pas del sexto puesto en 2011 al segundo en 2012. Entre los cinco pases principales en donde se origina el correo no deseado se encuentran Corea (tercero), China (cuarto) y Vietnam (quinto).
En general, la mayora de los emisores de correo no deseado centran sus esfuerzos en crear mensajes no deseados que incluyen el idioma hablado por las audiencias ms numerosas que utilizan el correo electrnico con regularidad. Segn las investigaciones de Cisco, el ingls fue el idioma principal de los mensajes de correo no deseado en 2012, seguido del ruso, el cataln, el japons y el dans. Cabe destacar que
existen brechas entre el lugar desde donde se enva el correo no deseado y los idiomas que se utilizan en el mensaje; por ejemplo, mientras que la India fue el primer pas de origen de correo no deseado en 2012, los dialectos locales no lograron estar entre los 10 principales en lo que respecta a los idiomas utilizados en el correo no deseado procedente de la India. Lo mismo se aplica a Corea, Vietnam y China.
64
65
Figura14: Archivos adjuntos de correo electrnico

Solo el 3% del correo no deseado tiene un adjunto, en comparacin con el 25% del correo electrnico vlido, pero los archivos adjuntos de correo no deseado son un 18% mayores.
Email Attachments
Archivos adjuntos de correo electrnico
Only 3% of Spam has an Attachment, versus 25% of Valid Email Correo electrnico no deseado
Correo electrnico vlido
3%
25%
Hace tiempo que el correo no deseado se considera un mecanismo de distribucin de software malicioso, en especial cuando incluye archivos adjuntos. Sin embargo, la ltima investigacin de Cisco sobre el uso de archivos adjuntos de correo electrnico en campaas de correo no deseado demuestra que es posible que esta percepcin sea solo un mito. Solo el 3% del total del correo no deseado tiene un archivo adjunto, en comparacin con el 25% del correo electrnico vlido. Y en los casos poco comunes en los que el correo no deseado incluye un archivo adjunto, es un promedio del 18% mayor que un archivo adjunto tpico que se incluira en un mensaje vlido. Como resultado, estos archivos adjuntos tienden a destacarse. En el correo electrnico moderno, los enlaces llevan la delantera. Los emisores de correo no deseado disean sus campaas con el fin de convencer a los usuarios para que visiten sitios web en los que pueden adquirir productos o servicios (a menudo, de origen dudoso). Una vez all, se recopila la informacin personal de los usuarios, a menudo sin que ellos lo sepan, o se los compromete de alguna otra manera.
Segn se desprende del anlisis de Marcas falsificadas que se incluye ms adelante en esta seccin, la mayor parte del correo no deseado proviene de grupos que buscan vender un conjunto muy especfico de artculos de marca, desde relojes de lujo hasta productos farmacuticos, que son, en la gran mayora de los casos, falsos.
Correo no deseado de IPv6

Si bien el correo electrnico basado en IPv6 contina representando un porcentaje muy reducido del trfico total, crece dado que aumenta la cantidad de usuarios que adoptan infraestructuras compatibles con IPv6.
Los archivos adjuntos de correo no deseado son un 18% mayores.
18%
Figura15: Correo no deseado de IPv6
reducido del trfico total, crece dado que aumenta la cantidad de usuarios que adoptan IPv6 Spam infraestructuras compatibles con IPv6. Si bien el correo electrnico basado en IPv6 contina representando un porcentaje muy
Crecimiento de correo electrnico de IPv6: 862% Crecimiento de correo no deseado de IPv6: 171%
Sin embargo, mientras que los volmenes generales de correo electrnico aumentan rpidamente, este no es el caso del correo no deseado de IPv6. Esta tendencia indica que los emisores de correo no deseado se protegen del tiempo y los gastos que acarrea migrar al nuevo estndar de Internet. No existe una necesidad impulsora para los emisores de correo no deseado (ni beneficios materiales, ya que son casi nulos) para realizar tal cambio en el presente. Dado que se han agotado las direcciones de IPv4 y los dispositivos mviles y la comunicacin M2M impulsan el crecimiento explosivo de IPv6, se prev que los emisores de correo no deseado actualicen su infraestructura y aceleren sus iniciativas.
JUN.
JUL.
AGO.
SEP.
OCT.
NOV.
DIC.
En el correo electrnico moderno, los enlaces llevan la delantera. Los emisores de correo no deseado disean sus campaas con el fin de convencer a los usuarios para que visiten sitios web en los que pueden adquirir productos o servicios. Una vez all, se recopila la informacin personal de los usuarios, a menudo sin que ellos lo sepan, o se los compromete de alguna otra manera.
66
67
Figura16: Marcas falsificadas

Los emisores de correo no deseado apuntan a los productos farmacuticos, los relojes Spoofed Brands for Spam lujosos y la temporada tributaria.
Marcas falsificadas
5% 50% 100%
ENE. FEB. MAR. ABR. MAY.JUN. JUL. AGO. SEP. OCT.NOV. DIC. Medicamentos recetados Relojes de lujo Tarjeta de crdito Revisiones empresariales Red profesional Transferencia electrnica de dinero Software contable Red social Asociaciones profesionales Aerolneas Correo electrnico Prdida de peso Organizacin gubernamental Software de Windows Empresa de telefona celular Avisos clasificados en lnea Impuestos Hormona del crecimiento humano Noticias Servicios de pago electrnico Tarjetas de felicitaciones Automviles lujosos Servicios de nmina Correo no deseado relacionado Versin Consumer con telefona celular que coincide Preview de Windows 8 con el lanzamiento de iPhone 5 Software contable durante la Correo no deseado relacionado con temporada tributaria en EE. UU. redes sociales profesionales
Mediante mensajes de correo electrnico no deseado de marcas falsificadas, los emisores de correo no deseado utilizan empresas y productos para enviar sus mensajes con la esperanza de que los usuarios en lnea hagan clic en un enlace o realicen una compra. La mayora de las marcas falsificadas son de medicamentos recetados, tales como ansiolticos y analgsicos. Adems, las marcas de relojes de lujo forman una constante capa de ruido que conserva la coherencia durante todo el ao. Del anlisis de Cisco tambin se desprende que los emisores de correo no deseado pueden relacionar correctamente sus campaas con noticias. Entre enero y marzo de 2012, los datos de Cisco muestran un alza en el correo no deseado relacionado con software de Windows, lo cual coincidi con el lanzamiento del sistema operativo Windows 8. Entre febrero y abril de 2012, durante la temporada tributaria de Estados Unidos, el anlisis muestra un aumento abrupto en el correo no deseado de software impositivo. Entre enero y marzo de 2012, y luego entre septiembre y diciembre del mismo ao, es decir, al inicio y al final del ao, el correo no deseado relacionado con redes profesionales fue masivo, quizs porque los emisores de este tipo de mensajes saben que, a menudo, las personas comienzan a buscar trabajo durante esas pocas del ao.
La conclusin es que los emisores de correo no deseado participan en este tipo de actividades por el dinero que implican y, con los aos, han aprendido las maneras ms rpidas de atraer clics y compras mediante la oferta de productos farmacuticos y artculos de lujo y con la adaptacin de sus ataques segn los eventos que gozan de atencin mundial.
Entre septiembre y noviembre de 2012, los emisores de correo no deseado realizaron una serie de campaas aparentando ser empresas de telefona celular, lo cual coincidi con el lanzamiento del iPhone 5. La conclusin: los emisores de correo no deseado participan en este tipo de actividades por el dinero que implican y, con los aos, han aprendido las maneras ms rpidas de atraer clics y compras ofreciendo productos farmacuticos y artculos de lujo y adaptando sus ataques segn eventos que gozan de atencin mundial.
68
69
Administracin de vulnerabilidades: un proveedor debe hacer algo ms que solo enumerar en forma ambivalente
35
El modo que utiliza un proveedor para divulgar los problemas de seguridad de un producto es el aspecto ms visible de sus prcticas de administracin de vulnerabilidades. En Cisco, el equipo de respuesta ante incidentes de seguridad de productos (PSIRT) investiga y publica sugerencias de seguridad36. Este equipo est compuesto por expertos en seguridad que entienden que la proteccin de los clientes de Cisco debe ir a la par de la corporacin. En las recomendaciones de seguridad se anuncian los problemas ms graves de seguridad de los productos y, por lo general, estos consejos son la primera evidencia pblica de una vulnerabilidad de producto de Cisco, afirma Russell Smoak, director ejecutivo de Operaciones e investigacin sobre seguridad de Cisco. Como tal, es fundamental que sean un vehculo de comunicacin eficaz con el que los clientes puedan tomar decisiones informadas y administrar sus riesgos. Combinadas con las avanzadas tcnicas de mitigacin37 que ofrecemos a nuestros clientes para que aprovechen las capacidades de sus equipos Cisco, podemos brindarles tantos detalles como sea posible para responder con rapidez y confianza. Sin embargo, la administracin de vulnerabilidades comienza mucho antes en el ciclo de vida de una vulnerabilidad y puede extenderse ms all de la primera divulgacin. La mejora continua de las prcticas de administracin de vulnerabilidades es fundamental para mantenerse a tono con el cambiante entorno de seguridad como resultado de amenazas en desarrollo y nuevos productos y tecnologas, comenta Smoak. Es decir, un proveedor que no evoluciona con las tecnologas de amenazas y que no divulga las amenazas, corre el riesgo de quedarse atrs. Por ejemplo, la innovacin de las herramientas de administracin de vulnerabilidades internas en Cisco se ha realizado en el rea del software agrupado de terceros. Este software es cualquier cdigo incluido en el producto de un proveedor que no est escrito por ese mismo proveedor. Por lo general, esto incluye el software comercial de terceros o de cdigo abierto. Cisco aprovecha las herramientas elaboradas a medida que utilizan los datos sobre vulnerabilidad de Cisco IntelliShield38 para notificar a los equipos de desarrollo de productos cuando exista un problema de seguridad originado en el software de terceros que pueda afectar a un producto de Cisco. Esta herramienta, llamada Cisco Internal Alert Manager, ha aumentado en gran medida la capacidad de administracin de problemas de seguridad que se originan en un cdigo que no es de Cisco.
Asimismo, la mejora de las prcticas de divulgaciones de seguridad debe ser un proceso constante. A principios de 2013, Cisco comenzar a utilizar un nuevo tipo de documento, los Avisos de seguridad de Cisco, para divulgar problemas de seguridad de productos de gravedad baja a media. Este documento mejorar la eficacia de la comunicacin de problemas de seguridad que no se consideran tan graves como para emitir un Consejo de seguridad de Cisco. Estar a disposicin del pblico y se lo indexar con un identificador de exposicin y vulnerabilidad comn (CVE, Common Vulnerability and Exposure) para mejorar la visibilidad. A fin de fortalecer la mejor manera de asimilacin de los informes continuos sobre problemas de seguridad, los proveedores (incluido Cisco) han comenzado a incluir los formatos del Estndar para informar de vulnerabilidades (CVRF, Common Vulnerability Reporting Framework)39 y el Lenguaje abierto de evaluacin de vulnerabilidades (OVAL, Open Vulnerability Assessment Language)40 en las divulgaciones. Mediante estos estndares emergentes, los usuarios finales pueden evaluar con confianza las vulnerabilidades en funcin de mltiples plataformas y tecnologas. Adems, estos estndares pueden escalarse dado los beneficios de formato legible para equipos. Smoak afirma: Garantizar que nuestros clientes tengan las herramientas necesarias para evaluar las amenazas en forma adecuada reduce el riesgo y les permite priorizar las tareas que se requieren para asegurar sus infraestructuras.
Durante el ao que se inicia, si necesita actualizaciones adicionales y anlisis en profundidad sobre las tendencias de seguridad, y si desea obtener informacin sobre las ltimas publicaciones de Cisco relacionadas con la seguridad empresarial, visite el sitio web de los Informes de seguridad de Cisco. http://www.cisco.com/go/securityreport Si desea recibir informacin en forma permanente por parte de los expertos de Cisco sobre una amplia variedad de temas relacionados con la seguridad, visite el blog sobre seguridad de Cisco. blogs.cisco.com/security
Un proveedor que no evoluciona con las tecnologas de amenazas y que no divulga las amenazas, corre el riesgo de quedarse atrs.
70
71
Perspectivas de seguridad para 2013
El panorama actual en lo que respecta a amenazas no es un problema causado por usuarios ignorantes que visitan sitios maliciosos ni se resuelve mediante el bloqueo de las ubicaciones malas en la red.
Con este informe, qued demostrado cmo han hecho los atacantes para ser cada vez ms sofisticados, dado que persiguen a los sitios, las herramientas y las aplicaciones de las que menos puede sospecharse y que los usuarios visitan con mayor frecuencia. Las amenazas modernas pueden infectar audiencias masivas en silencio y con eficacia, sin discriminar por el sector, el tamao de la empresa ni el pas. Los delincuentes informticos aprovechan la superficie de ataque de rpido crecimiento que encuentran en el mundo actual del cualquiera con cualquiera, donde los individuos utilizan cualquier dispositivo para acceder a sus redes empresariales. A medida que la infraestructura nacional, las empresas y los mercados financieros mundiales continan la transicin hacia servicios basados en la nube y conectividad mvil, se necesita un enfoque de seguridad integrado por niveles a fin de proteger Internet de todo pujante. Los piratas informticos y los delincuentes cibernticos aprovechan el hecho de que cada empresa del sector pblico o privado cuenta con su propio programa de seguridad de TI, comenta John Stewart. S, asistimos a conferencias y nos mantenemos en contacto, pero realmente necesitamos pasar de la seguridad de TI individualizada a una respuesta colectiva en tiempo real, con uso compartido de la inteligencia. Construir una mejor infraestructura de seguridad no significa crear una arquitectura ms compleja; de hecho, es todo lo opuesto. Se trata de que la infraestructura y los elementos que contiene funcionen juntos, con ms inteligencia para detectar y mitigar las amenazas. Con la rpida adopcin de
Las amenazas modernas pueden infectar audiencias masivas en silencio y con eficacia, sin discriminar por el sector, el tamao de la empresa ni el pas.
72
73
la tendencia BYOD, la realidad de los dispositivos mltiples por usuario y el crecimiento de los servicios basados en la nube, ha finalizado la era en la que se administraban las capacidades de seguridad en cada terminal. Debemos adoptar un enfoque holstico hacia la seguridad que garantice la supervisin de las amenazas en todos los vectores, desde el correo electrnico hasta la red y los usuarios, afirma Michael Covington, gerente de productos de Cisco SIO. Es necesario elevar la inteligencia de amenazas por encima de las plataformas individuales a fin de obtener una perspectiva de la red. Dado que las amenazas se dirigen cada vez ms a usuarios y empresas a travs de mltiples vectores, las empresas deben recopilar, almacenar y procesar la actividad de red relacionada con la seguridad para comprender mejor el alcance y el mbito de los ataques. Posteriormente, puede ampliarse este nivel de anlisis con el contexto de la actividad de red, a fin de
tomar decisiones relacionadas con la seguridad en forma precisa y oportuna. A medida que los atacantes son ms sofisticados, las empresas deben disear capacidades de seguridad de la red desde el principio, con soluciones que renan inteligencia, polticas de seguridad y controles ejecutables en todos los puntos de contacto en la red. A medida que los atacantes son ms sofisticados, las herramientas utilizadas para frustrar sus iniciativas tambin deben evolucionar. Al contar con una red que proporciona una estructura comn para la comunicacin entre plataformas, tambin servir como medio de proteccin de dispositivos, servicios y usuarios que la utilizan para intercambiar contenido confidencial. La red del maana es una red inteligente que debe proporcionar mayor seguridad a travs de una estructura de colaboracin que aquella lograda anteriormente a travs de la suma de sus componentes individuales.
La red del maana es una red inteligente que debe proporcionar mayor seguridad a travs de una estructura de colaboracin que aquella lograda anteriormente a travs de la suma de sus componentes individuales.
74
75
Acerca de Cisco Security Intelligence Operations
Administrar y asegurar las redes giles y distribuidas en la actualidad se ha convertido en un desafo creciente.
Los delincuentes informticos continan explotando la confianza que tienen los usuarios en las aplicaciones y los dispositivos para consumidores, lo cual incrementa el riesgo para las empresas y los empleados. La seguridad tradicional, que depende de la disposicin en capas de los productos y del uso de varios filtros, no es suficiente para defenderse de la ltima generacin de software malicioso, que se disemina rpidamente, tiene objetivos mundiales y utiliza mltiples vectores para propagarse. Cisco se adelanta a las ltimas amenazas por medio de la inteligencia de amenazas en tiempo real de Cisco Security Intelligence Operations (SIO). Cisco SIO es el ecosistema de seguridad basado en la nube ms grande del mundo, en el que cada da se analizan ms de 75 terabits de fuentes de datos en vivo provenientes de soluciones IPS, firewall, Internet y correo electrnico de Cisco. Cisco SIO agrega datos de vectores de amenazas y los analiza mediante algoritmos automatizados y procesamiento manual con el fin de comprender cmo se propagan las amenazas. Luego, SIO ordena las amenazas por categoras y crea reglas con ms de 200 parmetros. Los investigadores abocados a la seguridad tambin analizan informacin sobre eventos de seguridad que tienen el potencial de afectar en gran medida las redes, las aplicaciones y los dispositivos. Las reglas se distribuyen en forma dinmica en los dispositivos de seguridad de Cisco implementados cada tres a cinco minutos.
Cisco SIO es el ecosistema de seguridad basado en la nube ms grande del mundo, en el que cada da se analizan ms de 75 terabits de fuentes de datos en vivo provenientes de soluciones IPS, firewall, Internet y correo electrnico de Cisco.
76
77
El equipo de Cisco SIO tambin publica recomendaciones sobre las mejores prcticas de seguridad y pautas tcticas para frustrar las amenazas. Cisco se compromete a ofrecer soluciones de seguridad completas que se integren, que sean oportunas, integrales y eficaces, para habilitar la seguridad holstica para las empresas en todo el mundo. Gracias a Cisco, las empresas pueden ahorrar tiempo de investigacin de amenazas y vulnerabilidades y centrarse ms en adoptar un enfoque proactivo hacia la seguridad. Si desea obtener informacin sobre la inteligencia de aviso temprano, anlisis de amenazas y vulnerabilidades y soluciones de mitigacin de Cisco comprobadas, visite: http://www.cisco.com/security.
anonimizados, incluidas las soluciones de seguridad de correo electrnico, Internet, firewall y sistema de prevencin de intrusiones (IPS) de Cisco; estas plataformas ocupan un lugar prominente en la proteccin de las redes de los clientes contra intrusos y contenido malicioso. Adems de los mecanismos de proteccin del cliente en las instalaciones, Cisco tambin recopila datos de una implementacin mundial de sensores que realizan funciones como captar correo no deseado y recorrer la red en busca de nuevas instancias de software malicioso. Mediante estas herramientas y los datos recopilados, la superficie de red masiva de Cisco proporciona a los sistemas de SIO y a los investigadores un muestreo amplsimo de actividades legtimas y maliciosas que se llevan a cabo en Internet. Ningn proveedor de seguridad tiene una total visibilidad de todos los encuentros maliciosos. Los datos presentados en este informe representan la perspectiva de Cisco sobre el actual estado del panorama de amenazas y nuestro mejor intento por normalizar los datos y reflejar tendencias y patrones mundiales basados en los datos disponibles en ese momento.
Cisco Security IntelliShield Alert Manager Service

Cisco Security IntelliShield Alert Manager Service brinda una solucin integral y rentable para distribuir la inteligencia de seguridad neutral para proveedores que las empresas necesitan para identificar, prevenir y mitigar los ataques de TI. Este servicio de alertas de vulnerabilidad y amenaza personalizable basadas en Internet permite al personal de seguridad acceder a informacin oportuna, fiable y precisa sobre amenazas y vulnerabilidades que pueden afectar sus entornos. IntelliShield Alert Manager permite a las empresas gastar menos esfuerzos en investigar las amenazas y vulnerabilidades, y concentrarse ms en un enfoque proactivo hacia la seguridad. Cisco ofrece una prueba gratuita de 90 das de Cisco Security IntelliShield Alert Manager Service. Al registrarse para esta prueba, obtendr acceso total al servicio, incluidas las herramientas y las alertas de amenazas y vulnerabilidades. Para ms informacin sobre Cisco Security IntelliShield Alert Manager Services, visite: https://intellishield.cisco.com/security/alertmanager/trialdo?dispatch=4.
Ms informacin
Cisco Security Intelligence Operations www.cisco.com/security Blog sobre seguridad de Cisco blogs.cisco.com/security Cisco Remote Management Services www.cisco.com/en/US/products/ ps6192/serv_category_home Productos de seguridad de Cisco www.cisco.com/go/security Cisco Corporate Security Programs Organization www.cisco.com/go/cspo
Metodologa
El anlisis que se presenta en este informe se basa en datos recopilados de diversos recursos mundiales
Cisco recopila datos de una implementacin mundial de sensores que realizan funciones como captar correo no deseado y recorrer la red en busca de nuevas instancias de software malicioso.
78
79
The Internet of Things, de Michael Chui, Markus Lffler y Roger Roberts, McKinsey Quarterly, marzo de 2010: http://www.mckinseyquarterly.com/The_Internet_of_Things_2538. Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions, 1 de octubre de 2012: http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html. Cisco Internet Business Solutions Group.
20
Maliciously Abusing Implementation Flaws in DNS, DNS Best Practices, Network Protections, and Attack Identification, Cisco.com: http://www.cisco.com/web/about/security/intelligence/dns-bcp.html#3.
21
IP Spoofing, de Farha Ali, Lander University, disponible en Cisco.com: http://www.cisco.com/web/about/ ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html. Distributed Denial of Service Attacks, de Charalampos Patrikakis, Michalis Masikos y Olga Zouraraki, National Technical University of Athens, The Internet Protocol Journal - volumen 7, nmero 4. Disponible en: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html. DNS Tools, The Measurement Factory: http://dns.measurement-factory.com/tools.
3 4
22
The World Market for Internet Connected Devices2012 Edition, comunicado de prensa, IMS Research, 4 de octubre de 2012: http://imsresearch.com/press-release/Internet_Connected_Devices_Approaching_10_ Billion_to_exceed_28_Billion_by_2020&cat_id=210&type=LatestResearch. Cisco Internet Business Solutions Group.
23 24
5 6
Internet of Everything: Its the Connections That Matter, de Dave Evans, blog de Cisco, 29 de noviembre de 2012: http://blogs.cisco.com/news/internet-of-everything-its-the-connections-that-matter/.
Para ms informacin sobre herramientas DNS, consulte DNS-OARC (https://www.dns-oarc.net/oarc/tools) y The Measurement Factory (http://dns.measurement-factory.com/tools/index.html). Secure BIND Template Version 7.3 07 Aug 2012, de TEAM CYMRU, cymru.com: http://www.cymru.com/ Documents/secure-bind-template.html. Response Rate Limiting in the Domain Name System (DNS RRL), RedBarn.org: http://www.redbarn.org/dns/ ratelimits.
25
Cisco Internet Business Solutions Group. I nforme anual de seguridad de 2011 de Cisco, diciembre de 2011: http://www.cisco.com/en/US/prod/ collateral/vpndevc/security_annual_report_2011.pdf.
26
27
Remote Access and BYOD: Enterprises Working to Find Common Ground with Employees, Informe anual de seguridad de 2011 de Cisco, diciembre de 2011, pg. 10: http://www.cisco.com/en/US/prod/collateral/ vpndevc/security_annual_report_2011.pdf. Cisco Global Cloud Index: Forecast and Methodology, 20112016: http://www.cisco.com/en/US/solutions/ collateral/ns341/ns525/ns537/ns705/ns1175/Cloud_Index_White_Paper.html.
10
Los datos de Arbor Networks ATLAS derivan de potes de miel implementados dentro de las redes de los proveedores de servicios en todo el mundo; investigacin sobre software malicioso de ASERT; y una fuente de datos anonimizados basados en NetFlow, BGP y en la correlacin SNMP. Los datos anonimizados provistos por clientes de ArborPeakflowSP se recopilan y se traducen en tendencias dentro de ATLAS para proporcionar una vista detallada de las amenazas y los patrones de trfico en Internet. IPS Testing, Cisco.com: http://www.cisco.com/web/about/security/intelligence/cwilliams-ips.html. Bank of America and New York Stock Exchange under attack unt [sic], Pastebin.com, 18deseptiembrede2012: http://pastebin.com/mCHia4W5. Phase 2 Operation Ababil, Pastebin.com, 18deseptiembrede2012: http://pastebin.com/E4f7fmB5.
28
11
Ibdem A Deep Dive Into Hyperjacking, de Dimitri McKay, SecurityWeek, 3 de febrero de 2011: http://www.securityweek. com/deep-dive-hyperjacking. India Asks Pakistan to Investigate Root of Panic, de Jim Yardley, The New York Times, 19 de agosto de 2012: http://www.nytimes.com/2012/08/20/world/asia/india-asks-pakistan-to-help-investigate-root-of-panic. html?_r=1&.
29
12
30 31
13
Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions: http://www.cisco.com/ web/about/security/intelligence/ERP-financial-DDoS.html. I dentifying and Mitigating the Distributed Denial of Service Attacks Targeting Financial Institutions Applied Mitigation Bulletin: http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27115. Security Intelligence Operations Tactical Resources, Cisco.com: http://tools.cisco.com/security/center/ intelliPapers.x?i=55.
32
14
Twitter Rumor Sparked Oil-Price Spike, de Nicole Friedman, WSJ.com, 6 de agosto de 2012: http://online. wsj.com/article/SB10000872396390444246904577573661207457898.html. E sto apareci originalmente en el blog sobre seguridad de Cisco: http://blogs.cisco.com/security/sniffingout-social-media-disinformation/ J ava.com: http://www.java.com/en/about/.
33
15
34
16 17
Service Provider Security Best Practices, Cisco.com: http://tools.cisco.com/security/center/ serviceProviders.x?i=76. Anagrama cortesa de anagramgenius.com.
V ishwath Mohan y Kevin W. Hamlen. Frankenstein: Stitching Malware from Benign Binaries. In Proceedings of the USENIX Workshop on Offensive Technologies (WOOT), pgs. 77-84, agosto de 2012. M ohammad M. Masud, Tahseen M. Al-Khateeb, Kevin W. Hamlen, Jing Gao, Latifur Khan, Jiawei Han y Bhavani Thuraisingham. Cloud-based Malware Detection for Evolving Data Streams. ACM Transactions on Management Information Systems (TMIS), 2(3), octubre de 2011.
35 36 37
18
Sugerencias de seguridad de Cisco: http://cisco.com/go/psirt.
Cisco Applied Mitigation Bulletins, Cisco.com: http://tools.cisco.com/security/center/searchAIR.x. Cisco Intellishield Alert Manager Service: http://www.cisco.com/web/services/portfolio/product-technicalsupport/intellishield/index.html.
38
19
DDoS Attacks: 2013 Forecast, Experts Say Recent Hits Only the Beginning, de Tracy Kitten, BankInfoSecurity.com, 30 de diciembre de 2012: http://ffiec.bankinfosecurity.com/ddos-attacks-2013forecast-a-5396.
39 40
CVRF, ICASI.com: http://www.icasi.org/cvrf.
OVAL, Oval International: http://oval.mitre.org/.

Informe Anual de Seguridad Cisco

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Informe Anual de Seguridad Cisco

Încărcat de

Drepturi de autor:

Formate disponibile

Sede Central en Amrica Cisco Systems, Inc.

Sede Central en Europa CiscoSystemsInternational BVmsterdam, Pases Bajos

Informe anual de seguridad de Cisco de 2013

Informe anual de seguridad de Cisco de 2013

Vivir en el mundo de cualquiera con cualquiera de hoy.

Informe anual de seguridad de Cisco de 2013

Estado de la vulnerabilidad de seguridad

Informe anual de seguridad de Cisco de 2013

El nexo de dispositivos, nubes y aplicaciones

Informe anual de seguridad de Cisco de 2013

La nube y la complicacin de la seguridad

Trabajadores conectados y privacidad de los datos

Anlisis de datos y tendencias mundiales de seguridad

Informe anual de seguridad de Cisco de 2013

Informe anual de seguridad de Cisco de 2013

Informe anual de seguridad de Cisco de 2013

Figura 1: Internet de todo

De persona a equipo (P2M) Personas Hogar Proceso Cosas Empresa

De persona a persona (P2P)

De equipo a equipo (M2M)

Informe anual de seguridad de Cisco de 2013

Actualizacin de la tendencia BYOD de Cisco

Figura2: Implementacin de dispositivos mviles de Cisco

Informe anual de seguridad de Cisco de 2013

Los servicios residen en varias nubes

Informe anual de seguridad de Cisco de 2013

Menor costo de ingreso

Separacin de aplicaciones virtualizadas

Informe anual de seguridad de Cisco de 2013

Combinacin de uso personal y empresarial

Informe anual de seguridad de Cisco de 2013

La privacidad y la generacin del milenio

Informe anual de seguridad de Cisco de 2013

Informe anual de seguridad de Cisco de 2013

Informe anual de seguridad de Cisco de 2013

Informe anual de seguridad de Cisco de 2013

Estado de la vulnerabilidad de seguridad

Informe anual de seguridad de Cisco de 2013

Figura3: Riesgos por tamao de empresa

Risk by Company Size

Encuentros con software malicioso por tamao de empresa

Encuentros con software malicioso por pas

Informe anual de seguridad de Cisco de 2013

Figura4: Encuentros con software malicioso en Internet por pas

AUMENTO DESDE 2011

DISMINUCIN DESDE 2011

Informe anual de seguridad de Cisco de 2013

Figura5: Tipos principales de software malicioso en Internet

Vulnerabilidad de seguridad 9,8%

Tipos ms importantes de software malicioso en Internet en 2012

Crecimiento de Android: 2577%

Informe anual de seguridad de Cisco de 2013

Figura6: Tipos principales de contenido de software malicioso para 2012

Tipos de contenido prominentes por mes

Aplicacin Texto Imagen Video Audio Mensaje

Tipos de contenido de vulnerabilidad de seguridad

Tipos de contenido principales del software malicioso

Java PDF Flash Active X

Cantidad total de tipos de contenido prominentes

1,09% 0,05% 0,01%

Informe anual de seguridad de Cisco de 2013

Figura7: Categora de sitios principales

Categora de sitios principales

Empresas e industria 8,15%

Sugerencias de seguridad de Cisco: http://cisco.com/go/psirt.

CVRF, ICASI.com: http://www.icasi.org/cvrf.

OVAL, Oval International: http://oval.mitre.org/.