Informe de Symantec sobre las amenazas para

la seguridad de los sitios web I 2015

PARTE 3

NDICE
Engaos en las redes sociales

Qu nos depara el futuro?

17

Consejos y prcticas recomendadas

19

Perfil de Symantec

23

I Symantec Website Security Solutions

Engaos en las
redes sociales

Symantec Website Security Solutions I

RESUMEN

Quienes tientan a los usuarios de las redes sociales con falsas

promesas (por ejemplo, ofrecindoles productos para perder peso,
sexo o dinero) lo hacen porque, con los programas de afiliacin,
cada clic y cada inscripcin les reporta un beneficio.

Si, como sucede a menudo, la vctima utiliza la misma contrasea en

varias redes, bastar con conseguir los datos de acceso a una para
enviar mensajes no deseados desde todas ellas.

Los estafadores se han dado cuenta de la importancia de la prueba

social y ahora se sirven de personas reales para difundir sus engaos, en lugar de utilizar redes de bots.

En muchos casos, el phishing explota el temor al hacking y a situaciones de alarma sanitaria, o bien utiliza como seuelo noticias
escandalosas sobre famosos, ya sean verdaderas o falsas.

I Symantec Website Security Solutions

INTRODUCCIN
En 2014, los delincuentes hicieron suya la ley de la prueba social, segn la cual
valoramos ms aquello que otras personas aprueban o comparten. Por poner un
ejemplo, si le damos a elegir a alguien entre un restaurante vaco y otro con una
gran cola, lo normal es que prefiera esperar porque pensar que el que tiene ms
gente es mejor.
Los hackers que se apropian de cuentas en plataformas
como Snapchat lo hacen apoyndose en esta teora,
ya que la gente se fa ms de los enlaces que publican
las personas que conoce o de los productos que
recomiendan, lo que hace que no adviertan el engao del
que estn siendo objeto.

Aunque en 2014 los estafadores mejoraron sus tcticas

y empezaron a utilizar otras plataformas, gran parte
de su xito sigui debindose a la credulidad de sus
vctimas, que cayeron en trampas muy simples y fciles
de evitar.

En 2014, los consumidores tampoco fueron conscientes

del valor de sus datos, y no se molestaron en comprobar
si los sitios web en los que facilitaban su direccin
de correo electrnico y otros datos de acceso eran de
verdad legtimos.

Symantec Website Security Solutions I

LAS REDES SOCIALES, TODO UN FILN PARA

LOS ESTAFADORES
A los delincuentes les gustan las multitudes, as que es lgico que frecuenten las
redes sociales ms conocidas en busca de vctimas a las que engaar. ltimamente,
tambin han advertido el auge de las aplicaciones de citas y mensajera y han
empezado a actuar en estas plataformas.
Facebook, Twitter y Pinterest

Por ejemplo, el fallecimiento de Robin Williams hizo que

mucha gente compartiera un supuesto vdeo de despedida que era, en realidad, una estafa encubierta. Para
ver el vdeo (que nunca llegaba a mostrarse porque en
realidad no exista), los usuarios tenan que compartirlo
con sus amigos y rellenar una encuesta, descargar un
programa o visitar un sitio web de noticias falso.1

En 2014, los usuarios de las redes sociales compartieron

ms contenidos dainos de forma manual sin sospechar
que eran cmplices de los estafadores y que los vdeos,
historias e imgenes publicados contenan enlaces a
sitios web afiliados o infectados. El agravamiento de este
problema fue uno de los grandes cambios del ao.

Cuadro de dilogo de Facebook en el que se invita a

compartir un vdeo. El nmero de comentarios y las veces
que se ha compartido son falsos.

En el sitio web al que conduce el enlace se pide al usuario

que instale un complemento de Facebook falso.

Medios sociales, 2012-2014

Porcentaje

80

2012

81

70

2013

60

2014

50

56

40
30
20

23

10

18
10

0
Ofertas falsas
Fuente: Symantec | Safe Web

70

Secuestro
del botn
me gusta

Secuestro de
comentarios

Aplicaciones
falsas

Contenidos
compartidos de
forma manual

http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams

I Symantec Website Security Solutions

En 2014, el 70 % de
las amenazas que
se propagaron en
las redes sociales lo
hicieron sirvindose de
los propios usuarios.
El ao anterior, este
porcentaje haba sido
de un escaso 2 %.

Cuando se comparten contenidos de forma manual, los

delincuentes tienen el trabajo hecho porque las personas y sus redes se convierten en sus tteres sin saberlo.
En otros casos, hace falta algo ms de esfuerzo y dominar ciertas tcnicas de hacking o secuestro. Por ejemplo, el likejacking y el comment jacking (literalmente,
secuestro de Me gusta y de comentarios) incitan a la
vctima a hacer clic en un botn para ver algo que le interesa. Aunque el texto del botn diga Continuar o Confirmar, en realidad el usuario est comentando una
publicacin o indicando que le gusta, lo que aumenta la
popularidad y el alcance.

Por lo general, las vctimas dan la informacin sin pensrselo dos veces. El 68 % de los encuestados para un
informe sobre aplicaciones mviles realizado por Norton
se declararon dispuestos a facilitar distintos tipos de
informacin personal a cambio de una aplicacin gratis.4
En el caso que se ilustra en la imagen de abajo, hubo
quien accedi a enviar 0,99 USD a cambio de recibir el
dinero que ofrecan los supuestos ganadores de la lotera
(que, desde luego, no llegaba nunca). Una cantidad tan
pequea no despierta sospechas, pero los estafadores
no solo van juntando calderilla, sino que tambin consiguen datos personales.5

Instagram

Estos engaos son muy frecuentes en Instagram, en

parte porque la plataforma no dispone de un sistema de
verificacin de cuentas. En cuanto un usuario cae en la
trampa, sus seguidores ven la imagen publicada y corren
la misma suerte.

La plataforma de publicacin de imgenes Instagram

tiene ms usuarios activos que Twitter y es un importante canal de marketing para las marcas.2, 3 En 2014,
el afn de lucro de los delincuentes les llev a crear
cuentas falsas y a hacerse pasar por empresas para
publicar ofertas en su nombre.
En un caso, se crearon cuentas falsas de personas que,
supuestamente, haban ganado la lotera y estaban
dispuestas a compartir el premio con quien empezara
a seguirlas. En otra ocasin, los estafadores se hicieron
pasar por marcas conocidas que ofrecan vales-regalo a
los usuarios a cambio de seguir la cuenta falsa y facilitar
sus datos personales en los comentarios (p. ej., una
direccin de correo electrnico).

Una vez que una cuenta falsa tiene suficientes seguidores, sus creadores le cambian el nombre, la foto y la
biografa para que, cuando se descubra el engao, la
gente no pueda identificarla y denunciarla. A continuacin, la cuenta modificada con todos sus seguidores se
vende al mejor postor. Lo habitual es que poco despus
aparezca un nuevo perfil similar al primero y el propietario diga que su cuenta original haba sido pirateada
y, de este modo, el proceso vuelve a comenzar.

Cuentas de usuarios de Instagram

que se hacan pasar por ganadores
de la lotera6

http://blog.instagram.com/post/104847837897/141210-300million
https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170
4
Image from: http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
5
http://www.slideshare.net/symantec/norton-mobile-apps-survey-report
6
http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
2
3

Symantec Website Security Solutions I

Plataformas de mensajera
2014 golpe con dureza a Snapchat, la aplicacin social
en la que las imgenes y los vdeos enviados se autodestruyen a los diez segundos de recibirse.
En octubre, varias cuentas fueron pirateadas y algunos
usuarios recibieron un mensaje de amigos suyos que
contena un enlace relacionado con pastillas adelgazantes. Segn Snapchat, los atacantes haban robado los
datos de acceso a otro sitio web, y solo haban logrado
infiltrarse en Snapchat porque los propietarios de las
cuentas afectadas usaban la misma contrasea para
distintos servicios.7

una aplicacin externa no aprobada que result ser la

causa del problema.
Por lo general, las redes sociales ms nuevas cuentan
con polticas de seguridad y confidencialidad imperfectas, y los usuarios empeoran la situacin al usar la
misma contrasea en varias plataformas y al buscar aplicaciones sin verificar que ofrezcan funciones complementarias.
A menos que los usuarios extremen las precauciones,
seguirn siendo vctimas del secuestro de cuentas de las
plataformas ms populares del 2015.

Los servicios de simplificacin de direcciones URL son

muy tiles para los usuarios de las redes sociales, pero
tambin para los spammers, ya que camuflan el nombre
de dominio del sitio web. En el caso de bit.ly, con tan
solo aadir el signo + al final del enlace, tanto los
spammers como sus afiliados tienen acceso a estadsticas sobre clics y otros datos demogrficos.
Los enlaces abreviados no solo se envan por correo
electrnico; tambin es frecuente incluirlos en mensajes
SMS. Y algunos tipos de spam modernos se propagan a
travs de las redes sociales.
En octubre, Symantec fue testigo de un incidente
conocido en Internet como the snappening, a raz del
cual empezaron a publicarse en Internet imgenes de
Snapchat que deberan haberse borrado. Al parecer,
algunos usuarios archivaban sus fotos de Snapchat con

Cuenta de usuario legtima utilizada para enviar spam a los

amigos de la vctima. Snapchat reaccion con rapidez y avis a
los afectados poco despus.

19 enero, 2015

24 enero, 2015 29 enero, 2015

Clics obtenidos con la direccin URL incluida en el mensaje de spam de Snapchat del ejemplo anterior
7

http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam

I Symantec Website Security Solutions

Estafas en sitios web pornogrficos o de contactos

El contenido sexual siempre ha estado muy ligado a la
ciberdelincuencia, y 2014 no fue ninguna excepcin.
En 2014, las estafas relacionadas con material de esta
ndole empezaron a afectar a aplicaciones de citas como
Tinder y servicios de mensajera como Snapchat y Kik
Messenger. En todos estos casos, los estafadores eran
miembros de un programa de afiliacin que les reportaba una comisin cada vez que alguien haca clic en un
enlace y se inscriba en un sitio web externo.8

El contenido sexual suele ser un reclamo eficaz. En

menos de cuatro meses, una campaa relacionada con el
sitio web blamcams.com se tradujo en casi medio milln
de clics en siete direcciones URL, una cifra muy jugosa
que benefici a dos tipos de estafadores: los que cobraban comisiones de programas de afiliacin y los que
usaban enlaces a sitios de webcams falsos para robar
datos de tarjetas de crdito.10

Unos programas de afiliacin remuneran cada clic, mientras que otros exigen que la vctima se inscriba en un
sitio web y facilite los datos de su tarjeta de crdito.
Algunos sitios web pagan seis dlares por cada inscripcin y hasta sesenta si alguien se suscribe a un servicio
premium9, lo que permite a los ciberdelincuentes obtener
pinges beneficios (profundizaremos en este tema ms
adelante, en el apartado Los programas de afiliacin, el
verdadero motor del engao en las redes sociales).
Normalmente, se empieza mostrando un perfil de una
joven atractiva que propone a la vctima un encuentro
sexual, la invita a ver grabaciones ntimas en vivo o se
ofrece a enviarle mensajes de texto o imgenes de naturaleza sexual (lo que se conoce como sexting). En Tinder,
algunas fotos de perfil ofrecan servicios de prostitucin
superponiendo texto a la propia imagen, para as evitar
los filtros de correo no deseado.
Los interesados tenan que hacer clic en las imgenes o
visitar un sitio web afiliado, pero ni una ni otra opcin
serva de nada porque, en realidad, las supuestas chicas
eran bots, y las fotos insinuantes un seuelo para promocionar un servicio inexistente.
Mensajes de falsas cam-girls que aparecen como chats
nuevos en Kik Messenger

Perfiles falsos
de Tinder en los
que se ofrecan
falsos servicios de
prostitucin11

http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
10
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
11
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
8
9

Symantec Website Security Solutions I

Cdigo daino en las redes sociales

Aunque la mayora de las estafas estn relacionadas con
programas de afiliacin que pagan por conseguir clics e
inscripciones, una de las que afect a Facebook en 2014
fue diferente. En este caso, el objetivo de los atacantes
era redirigir a los usuarios al kit Nuclear para hacerse
con el control de los equipos y, seguidamente, utilizarlos
para enviar spam y descargar archivos dainos.12
Por precaucin, todo el mundo debera sospechar de los
enlaces sensacionalistas que publican sus amigos y, en
lugar de hacer clic, informarse directamente en medios
ms fiables.
El avance de las redes antisociales
Hoy en da, muchos ven con malos ojos los programas de
vigilancia gubernamentales o la cantidad de informacin
que se comparte con los proveedores de servicios de
Internet. Quiz por eso haya surgido un nuevo tipo de red
social basado en el secretismo, la confidencialidad y el
anonimato. Aplicaciones como Secret, Cloaq, Whisper,
ind.ie y Post Secret son un hervidero de chismes, confidencias y, a veces, otras manifestaciones de la cara
ms oscura del ser humano. Hay quien piensa que, en
la prxima fase de la evolucin de las redes sociales, el
secretismo desempear un papel fundamental.13, 14 Sin
embargo, para los ms crticos, 4chan y otros foros annimos son un refugio de trolls, acosadores y delincuentes.15

Decididas a salvarse de la quema, las redes sociales

tradicionales, como Twitter y Facebook, se han vuelto
ms transparentes y han pulido sus polticas de confidencialidad. Por ejemplo, Facebook ha empezado a hacer
pblico el nmero de solicitudes de datos gubernamentales que recibe16; Twitter est plantendose introducir
un modo susurro para enviar mensajes privados;17 y
Google ha mejorado el cifrado de Gmail.18
Aunque el anonimato tiene sus atractivos para algunas
personas, no hay que olvidar los riesgos que plantea.
Algunas empresas tienen regulado al milmetro lo que
pueden y no pueden hacer los empleados en Internet,
pero muchas an estn adaptndose a estos nuevos entornos en los que cualquiera puede expresarse como le
plazca con impunidad. La normativa sobre comunicacin
electrnica tiene que cubrir estos usos, y deben adoptarse tecnologas que detecten posibles infracciones. La
solucin no tiene por qu ser prohibir el acceso a estas
redes, pero es importante controlar cmo se utilizan.

http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit
http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/
14
http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/
15
Algunas de estas crticas se analizan en http://es.wikipedia.org/wiki/4chan (y, de forma ms detallada, en la versin en ingls del artculo:
http://en.wikipedia.org/wiki/4chan).
16
https://www.facebook.com/about/government_requests
17
http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/
18
http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/
12
13

10 I Symantec Website Security Solutions

PHISHING
Mensajes de correo electrnico que son intentos de phishing
(sin incluir los casos de spear phishing)

1 de cada

1000

965

750

500
250

414

392

2012

2013

2014

Fuente: Symantec I .cloud

En 2014, uno de cada 965 mensajes de correo electrnico fueron intentos de phishing (aunque la proporcin
fue menor de junio a septiembre). El ao anterior, lo
haban sido uno de cada 392. Hacia finales de ao, el
nmero de ataques de phishing aument tras conocerse
que se haban robado y publicado varias fotos de

famosos desnudos. Los phishers siempre se han

interesado por los ID de Apple, pero justo despus de
este incidente tan meditico enviaron ms mensajes
relacionados con la seguridad de las cuentas de iCloud,
ya que saban que en ese momento se les prestara ms
atencin.

Tasa de phishing, 20122014

200
400
600

1 de cada

800
1000
1200
1400
1600
1800
2000
2200
E
Fuente: Symantec I .cloud

2012

2013

2014
Symantec Website Security Solutions I 11

La botnet Kelihos tambin aprovech la situacin para

enviar mensajes en los que se informaba al destinatario
de una compra realizada con su cuenta de iCloud, pero
desde un dispositivo y una direccin IP inusuales. Acto
seguido, se instaba a la vctima a verificar urgentemente
su ID de Apple haciendo clic en un enlace. La pgina de
destino, que se haca pasar por el sitio web de Apple, era
un clon creado para robar ID de Apple y contraseas que
luego se revendan o utilizaban con fines ilegtimos.19
A lo largo de 2014, los delincuentes emplearon variaciones de esta tcnica para intentar apropiarse de datos
de acceso a las redes sociales, al correo electrnico y a
servicios bancarios.

Los orgenes del sitio web suelen camuflarse para que

los navegadores no muestren advertencias de seguridad.
En 2014 los ciberdelincuentes fueron an ms lejos
y utilizaron el estndar de cifrado avanzado AES, que
dificulta el anlisis del sitio web porque el contenido utilizado para el phishing forma parte del texto cifrado ilegible. As es ms fcil engaar a las vctimas y actuar sin
dejar rastro, ya que es menos probable que el software
de seguridad y los navegadores muestren advertencias
que alerten de la peligrosidad del sitio.21

En la mayora de los casos, se sirvieron de mensajes

de correo electrnico o direcciones URL publicadas en
las redes sociales. En estas ltimas, los enlaces suelen
estar relacionados con noticias de actualidad (el virus
del bola, famosos envueltos en algn escndalo u otros
sucesos llamativos), y se pide al usuario que vuelva a
facilitar sus datos de acceso para leer un artculo o ver
un vdeo.
Las noticias tambin se usan como seuelo en mensajes
de correo electrnico, pero quienes usan este mtodo
tiene un objetivo distinto: obtener los datos de acceso
a cuentas bancarias de empresas, perfiles de LinkedIn,
cuentas de correo empresariales o servicios de almacenamiento de archivos en la nube.20 Algunos correos se
disfrazan de avisos sobre actualizaciones de seguridad y
redirigen al destinatario a un sitio web con un formulario
diseado para robar sus datos y envirselos de inmediato al phisher.

Ejemplo de mensaje que en realidad es un intento de phishing22

Nmero de enlaces de phishing en los medios sociales 20092014

Fuente: Symantec I .cloud

60
50

Miles

40
30
20
10
0

2010

2011

2012

2013

2014

19

http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign

20

http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes

21

Imagen tomada de http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign

22

LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials
Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam
Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox

12 I Symantec Website Security Solutions

LOS PELIGROS DEL CORREO ELECTRNICO:

LAS ESTAFAS Y EL SPAM
No solo ha disminuido el nmero de mensajes de correo que son intentos de
phishing, sino que el porcentaje de spam global tambin es menor.
Este tipo de engao cada vez es ms frecuente porque,
aunque los sistemas de seguridad corporativos podran
filtrar fcilmente los archivos adjuntos, muchas empresas siguen sin tomar esta medida bsica pese al peligro
que corren.

En los ltimos tres aos, el porcentaje de spam enviado

ha ido reducindose hasta llegar al 60 % en 2014 (en
2012 y 2013, fue del 69 % y el 66 %, respectivamente).
Aunque es una buena noticia, las estafas por correo
electrnico an son muy habituales, y los delincuentes
siguen lucrndose gracias a ellas.
En octubre, Symantec advirti un aumento en el nmero
de mensajes enviados a empresas (o ms concretamente,
al departamento financiero) en los que se solicitaba
una transferencia o un pago con tarjeta de crdito. El
remitente utilizaba un nombre falso o se haca pasar
por el director general u otros directivos de la empresa,
y para obtener los datos de pago se peda a la vctima
que abriera un archivo adjunto o que los solicitara
respondiendo al mensaje.23

A finales de ao, los spammers cambiaron de tcticas y

recurrieron ms a la ingeniera social, lo que les llev a
incluir ms enlaces dainos en sus mensajes y menos
archivos adjuntos.

Mensajes de correo electrnico que son spam

60 %
2014

66 %
-6 %

2013

69 %
-3 %

2012

Fuente: Symantec I Brightmail

Volumen estimado de spam diario en todo el mundo

2014
2013

2012

28 millones
29 millones
30 millones

-1 %
-1 %

Fuente: Symantec I Brightmail

http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wiretransfer-spam-campaign

23

Symantec Website Security Solutions I 13

LOS PROGRAMAS DE AFILIACIN, EL

VERDADERO MOTOR DEL ENGAO EN LAS
REDES SOCIALES
Satnam Narang

Si ha usado alguna red social en la ltima dcada, seguro que alguna vez se habr
encontrado con contenido de este tipo:
promociones en las que se regalan smartphones,
billetes de avin o vales de compra;
noticias inusuales sobre personajes famosos (p ej.,
vdeos sexuales o falsos fallecimientos);
noticias impactantes, a menudo relacionadas con
catstrofes naturales;
proposiciones de supuestos profesionales del sexo o
invitaciones a desnudarse frente a una webcam.
En cuanto una red gana adeptos, los estafadores empiezan a tenerla en el punto de mira. Y aunque las estafas
se adaptan a las peculiaridades de cada plataforma, las
redes de afiliacin siempre estn detrs.
El marketing de afiliacin permite a las empresas aumentar sus beneficios en Internet, ya que los afiliados
les ayudan a promocionar y vender sus productos.
Se trata de una prctica muy habitual. Por ejemplo,
un afiliado que promocione un libro en su sitio web e
incluya un enlace a la pgina de compra de otra empresa
recibir una pequea comisin por cada venta.
Entre quienes usan las redes de afiliados hay empresas
legtimas e ilegtimas, y a veces son los propios afiliados
los que usan mtodos reprobables para lucrarse.
Las empresas saben de dnde viene cada clic y pueden
ir calculando las comisiones porque, cuando alguien
hace clic en el anuncio de un afiliado, los enlaces
terminan con un cdigo que lo identifica.

14 I Symantec Website Security Solutions

En las redes sociales, los estafadores han sabido

convertir los programas de afiliacin en una fuente de
ingresos. Cada vez que un usuario rellena una encuesta
o se inscribe en un servicio premium detrs del cual hay
un programa de este tipo, quien publica el enlace recibe
dinero.

Aunque haya empresas y redes de afiliacin que condenen estas prcticas y traten de evitarlas, seguirn
dndose mientras los delincuentes puedan sacarles
provecho. Si su empresa utiliza estos programas, es
importante que conozca a sus afiliados y se asegure de
que actan dentro de la legalidad.

La legitimidad de estos afiliados no est clara, y tampoco es fcil saber cunto cobran porque muchos prefieren
mantenerlo en secreto. Sin embargo, la mayora de las
redes de afiliados utilizan un sistema de pujas en el que
se especifica qu accin constituye una conversin.
En el ejemplo de la imagen (un anuncio de una tarjetaregalo Visa por valor de 1500 USD), se considera que
se ha realizado una conversin si la persona referida
facilita su direccin de correo electrnico. En este caso,
los afiliados reciben 1,40 USD por conversin.

Los usuarios de las redes sociales, por su parte, deberan desconfiar de los regalos que se ofrecen en estas
plataformas (billetes de avin, aparatos electrnicos
o vales) y de las invitaciones a visitar sitios web de
contactos sexuales o webcams. Si alguien nos pide que
rellenemos una cuesta o nos suscribamos a un servicio
con tarjeta de crdito, lo ms probable es que nos est
estafando. Lo que parece demasiado bueno para ser
verdad normalmente no lo es.

En Tinder, la conocida aplicacin de citas, Symantec

encontr enlaces afiliados a servicios de contactos
sexuales y sitios de webcams cuyas comisiones no son
ningn secreto. Un sitio web paga a los afiliados hasta
seis dlares por cada cuenta abierta, y sesenta por el
pago de una suscripcin a un servicio premium con
tarjeta de crditoun poderoso aliciente para buscar
suscriptores, por los medios que sean.
Sin embargo, los estafadores son capaces de generar
tanto trfico que los seis dlares que reciben por cada
cuenta abierta les bastan para obtener un sustancioso
beneficio. Las suscripciones al servicio premium son
solo la guinda del pastel.

Symantec Website Security Solutions I 15

EL PHISHING, UN FENMENO QUE EXISTE

HASTA EN LOS PASES MENOS PENSADOS
Nicholas Johnston

Gran parte del trfico de correo electrnico pasa por manos de Symantec.
Recientemente, nos han sorprendido los ataques a instituciones de lugares en
los que el phishing no haba sido un problema hasta ahora.
Angola y Mozambique, dos pases en lados opuestos del
frica Austral, no son lugares en los que uno se imagine
que el robo de informacin confidencial sea un negocio.
Mozambique, cuya renta per cpita es de unos 600USD,
est en vas de desarrollo y, pese a la abundancia de
recursos naturales, depende en gran medida de la ayuda
internacional. Angola, con una renta per cpita prxima
a los 6000 USD, est en una situacin mejor, pero ambos
pases son estadsticamente pobres. A ttulo comparativo, la renta media por cpita en todo el mundo es de
10 400 USD.

Todo parece indicar que los ataques de phishing sufridos

en Angola y Mozambique tuvieron su origen dentro de
sus propias fronteras o en los pases vecinos. Robar
datos de cuentas de Angola o Mozambique no tiene sentido para los phishers de pases desarrollados porque los
beneficios son ms bajos que los obtenidos en el mundo
occidental. Sin embargo, para alguien que viva en
Angola, Mozambique u otros pases con rentas similares, el atractivo econmico es mayor. Adems, para los
phishers angoleos o mozambiqueos es ms fcil usar
los datos robados sin tener que venderlos.

Recientemente, una importante institucin financiera

africana fue vctima de una campaa de phishing. Los
mensajes, que simulaban proceder de un banco mozambiqueo, tenan el siguiente asunto: Mensagens & alertas: 1 nova mensagem! (Mensajes y alertas: 1 nuevo
mensaje!) y el cuerpo del mensaje contena una direccin URL que conduca a una versin falsa del sitio web
de la entidad. En cuanto la vctima facilitaba sus datos
bancarios, el atacante se adueaba de su cuenta.

Los consumidores cada vez usan ms Internet para interactuar con las empresas y utilizar sus servicios. Por lo
tanto, es de esperar que los casos de phishing sigan aumentando y que, con el tiempo, los delincuentes tengan
an ms facilidades para atacar. Hasta las instituciones
de un pas tan pequeo y aislado como Butn, enclavado
en pleno Himalaya, han sufrido ataques de phishing, lo
que demuestra que nadie est a salvo.

Por qu se est atacando a las instituciones financieras

de estos pases? No podemos saberlo a ciencia cierta,
pero una de las razones por las que el phishing es tan
peligroso es lo fcil que es crear sitios web falsos para
robar los datos de los visitantes. En 2014, Symantec encontr un buen nmero de phish kits (archivos comprimidos que contienen sitios web de phishing, listos para
descomprimirse en un servidor web recin atacado).
Alguien que adquiera uno de estos kits no necesitar
conocimientos especializados y, si solo ataca a instituciones pequeas o de un tipo determinado, ni siquiera
tendr que competir con otros phishers. Por otro lado,
es probable que los pases en vas de desarrollo no sean
tan conscientes de la peligrosidad del phishing como
Estados Unidos o Europa.

16 I Symantec Website Security Solutions

Qu nos depara
el futuro?

Analizar el pasado y entender el presente

es la clave para afrontar el futuro

17 I Symantec Website Security Solutions

QU NOS DEPARA EL FUTURO?

La ludificacin de la seguridad
En el siglo XV, Nicols Maquiavelo, todo un experto en
seguridad, observ lo siguiente: Los hombres son tan
simples y se someten hasta tal punto a las necesidades
presentes, que quien engaa encontrar siempre quien
se deje engaar.
En Internet, la seguridad no solo depende de la tecnologa, sino tambin de las personas, que correran menos
riesgos si tuvieran ms cuidado. Los consumidores
deben estar siempre alerta, y los funcionarios del Estado
tienen que saber cmo evitar las tcnicas de ingeniera
social que se utilizan en los ataques dirigidos.
En este contexto, la llamada ludificacin puede servir
para convertir las necesidades del momento en hbitos
de conducta, ya que proporciona la misma gratificacin
instantnea que los juegos sencillos de ordenador. 24 Por
ejemplo, podran usarse mecnicas de juego que ayuden
a distinguir si un mensaje es un intento de phishing o
enseen a crear, recordar y utilizar contraseas seguras.
En nuestra opinin, esta formacin ser muy necesaria
en los prximos aos y representa una gran oportunidad
comercial.
Uso de las simulaciones de seguridad
Las simulaciones y los llamados juegos de guerra son
un buen ejercicio para que una empresa se prepare ante
posibles incidentes de seguridad y comprenda qu defensas necesita. Si, tras las pruebas de intrusin convencionales, se simulan las fases de respuesta y solucin
de problemas, los empleados estarn ms formados y
sabrn que hacer en caso de ataque. Esto es algo que ya
saben los gobiernos. En enero de 2015, el primer ministro
britnico David Cameron y Barack Obama, presidente de
los Estados Unidos, acordaron la puesta en marcha de
un programa de ejercicios de guerra ciberntica en el
que ambos pases llevarn a cabo ataques simulados entre s.25 En 2015, las empresas deberan hacer lo mismo.
Quien prepara un ataque casi siempre lo consuma
En la batalla frente a los ciberdelincuentes, los departamentos de seguridad informtica empresariales llevan
siempre las de perder. Mientras que ellos no pueden
fallar nunca, los atacantes solo necesitan tener suerte
una vez, as que tanto los responsables informticos
como los usuarios tienen que estar preparados para lo
peor. No hay tecnologas milagrosas que garanticen una
proteccin total frente a la ciberdelincuencia, sobre todo
si alguien prepara un ataque dirigido a una vctima en
concreto. Lo ms sensato es pensar que, tarde o temprano, su empresa sucumbir al hacking, si es que no lo ha
hecho ya. Hay que adoptar un enfoque clnico y ms
Opinin sobre la ludificacin sacada de la entrevista a Efran Ortiz
http://www.bbc.co.uk/news/uk-politics-30842669
Extracto de la entrevista a Efran Ortiz
27
Efrain Ortiz
28
http://www.informationweek.com/software/operating-systems/
windows-xp-stayin-alive/d/d-id/1279065
29
Entrevista a Candid Wueest
30
Entrevista a Vaughn Eisler
24
25
26

rico en matices que, en lugar de limitarse a determinar

si algo es seguro o no, analice sntomas y tendencias,
prevenga comportamientos y permita hacer diagnsticos
y determinar los mejores tratamientos.
Desde el punto de vista tcnico, se necesitan programas
que protejan todos los terminales, la pasarela y el
servidor de correo electrnico para evitar filtraciones.
Tambin habr que optimizar los sistemas copia de
seguridad y recuperacin en caso de desastre, as como
los mtodos de deteccin y planificacin de respuestas.
Aunque los ataques sean inevitables, la clave es no
resignarse y poner a los atacantes el mayor nmero de
trabas posible, ya que es mejor prevenir que lamentar.26
Las empresas deben abandonar el secretismo y
compartir informacin entre s
Aunque intercambiar informacin entre empresas es
esencial para la seguridad,27 hasta ahora era algo infrecuente. Por miedo a exponerse demasiado, cada empresa
acababa librando su propia batalla y se limitaba a utilizar
sus recursos internos. En nuestra opinin, todo sera ms
fcil si las empresas compartieran entre s informacin
sobre las amenazas y los mtodos para combatir la
ciberdelincuencia. Las herramientas que hagan posible
este cambio sin poner en peligro la propiedad intelectual
sern cada vez ms importantes. Por ejemplo, el intercambio electrnico de datos podra usarse para compartir funciones hash, atributos binarios, sntomas y otros
elementos sin necesidad de divulgar secretos comerciales o informacin que pueda ser til a los atacantes.
Uso de sistemas operativos que no son seguros
En julio de 2014, un cuarto de los usuarios de PC seguan
usando Windows XP y Office 2003,28 pese a que Microsoft
ya no ofreca asistencia ni actualizaciones para estas
versiones. Mucha gente sigue resistindose a aceptar este
cambio29 sin darse cuenta del riesgo que supone carecer
de proteccin frente a las amenazas que surgen constantemente. El ao prximo, el peligro ir en aumento, y las
empresas que utilicen dispositivos con sistemas operativos obsoletos tendrn que encontrar formas de protegerlos hasta que decidan reemplazarlos o actualizarlos.
La Internet de las cosas
En el futuro, los consumidores comprarn cada vez ms
accesorios tecnolgicos: relojes inteligentes, monitores de
actividad, cascos hologrficos y todo tipo de dispositivos
ponibles ideados en Silicon Valley y Shenzn. Aunque
mejorar la seguridad de estos dispositivos es fundamental, todo cambia tan rpidamente que muchas veces se
descuida la confidencialidad en aras de la innovacin. A
menos que los gobiernos decidan legislar estas cuestiones, que se produzca algn incidente de gran repercusin
meditica o que los consumidores se den cuenta del peligro que corren, es poco probable que se preste la debida
atencin a la seguridad y la confidencialidad.30
Symantec Website Security Solutions I 18

Consejos y prcticas
recomendadas

19 I Symantec Website Security Solutions

Pese a las vulnerabilidades detectadas este ao, los protocolos SSL y TLS siguen siendo la
mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los
datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas
han empezado a contratar a desarrolladores especializados en SSL para mejorar el cdigo
y solucionar posibles errores. As que ahora las bibliotecas SSL estn ms controladas que
nunca y, adems, se han establecido prcticas recomendadas comunes para utilizarlas.
En 2014, los algoritmos de los certificados SSL se volvieron ms seguros porque Symantec y
otras autoridades de certificacin abandonaron las claves de 1024 bits y empezaron a utilizar
certificados SHA-2 de forma predeterminada.i

La impor
tancia de
utilizar
tecnologas
SSL ms
seguras

Microsoft y Google anunciaron que pronto dejaran de aceptar certificados SHA-1 que caducaran
despus del 31 de diciembre de 2015.ii Si an no ha migrado a SHA-2, Chrome mostrar una
advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarn de funcionar
en Internet Explorer a partir del 1 de enero de 2017.
Symantec tambin est potenciando el uso del algoritmo ECC, mucho ms seguro que el
cifrado RSA. En este momento, los navegadores ms importantes para equipos de escritorio y
dispositivos mviles ya admiten los certificados ECC, que ofrecen tres ventajas principales:
1. Mayor seguridad. Las claves ECC de 256 bits son 10 000 veces ms difciles de descifrar que
las claves RSA de 2048 bits de uso estndar en el sector.iii Para descifrar el algoritmo mediante
un ataque de fuerza bruta, se necesitara mucho ms tiempo y una potencia de procesamiento
mucho mayor.
2. Mejor rendimiento. Anteriormente, muchas empresas tenan miedo a que los certificados
SSL ralentizaran el funcionamiento del sitio web y optaban por una adopcin parcial que ofreca
una proteccin muy deficiente. Un sitio web protegido con un certificado ECC requiere menos
potencia de procesamiento que otro que utilice un certificado RSA, lo que permite atender ms
conexiones y usuarios al mismo tiempo. En este momento, adoptar la tecnologa Always-On SSL
no solo es recomendable, sino que est al alcance de cualquier empresa
3. Perfect Forward Secrecy (PFS). Aunque la tecnologa PFS es compatible con certificados
basados en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos
ltimos. Pero qu importancia tiene esto? Si un sitio web carece de proteccin PFS, un hacker
que se apropie de sus claves privadas podra descifrar todos los datos intercambiados en el
pasado. Esto es lo que permita la vulnerabilidad Heartbleed en los sitios web afectados, lo que
dej clara la gravedad de este problema. Con la tecnologa PFS, alguien que robe o descifre las
claves privadas de los certificados SSL solo podr descifrar la informacin protegida con ellas
desde el momento del ataque, pero no la intercambiada con anterioridad.
En 2014 qued claro que la tecnologa SSL solo es segura si se adopta y mantiene como es debido.
Por tanto, es necesario:
Utilizar la tecnologa Always-On SSL. Proteja con certificados SSL todas las pginas de su sitio
web para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen.

Uso
adecuado
de la
tecnologa
SSL

Mantener actualizados los servidores. No basta con mantener al da las bibliotecas SSL del
servidor; toda actualizacin o revisin debe instalarse cuanto antes para reducir o eliminar las
vulnerabilidades que pretende corregir.
Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien
visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad.

Hacer anlisis peridicos. Vigile sus servidores web para detectar posibles vulnerabilidades o
infecciones con malware.

Asegurarse de que la configuracin del servidor est actualizada. Las versiones antiguas del
protocolo SSL (SSL2 y SSL3) no son seguras. Cercirese de que el sitio web no las admita y d
prioridad a las versiones ms recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el
servidor est bien configurado con herramientas como SSL Toolbox de Symantec.iv

http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/es/es/page.jsp?id=sha2-transition
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i

ii

iii

Symantec Website Security Solutions I 20

Para que sus sitios web y servidores estn ms protegidos este ao, guese por el sentido comn
y adopte los hbitos de seguridad que le recomendamos a continuacin.
Asegrese de que los empleados no abran archivos adjuntos de gente que no conozcan.

Conciencie
a sus
empleados

Aydeles a reconocer los peligros que acechan en las redes sociales. Explqueles que, si una
oferta parece falsa, seguramente lo sea; que la mayora de las estafas estn relacionadas
con noticias de actualidad; y que las pginas de inicio de sesin a las que conducen algunos
enlaces pueden ser una trampa.
Si un sitio web o aplicacin ofrecen autenticacin de dos factores, dgales que elijan siempre
esta opcin.
Pdales que usen contraseas distintas para cada cuenta de correo electrnico, aplicacin,
sitio web o servicio (sobre todo si estn relacionados con el trabajo).
Recurdeles que usen el sentido comn. No por tener un antivirus es menos grave visitar sitios
web dainos o de naturaleza dudosa.

Los atacantes utilizan tcnicas cada vez ms agresivas, avanzadas e implacables para lucrarse
en Internet, pero las empresas y los particulares tienen muchsimas maneras de protegerse.

Tiene dos
opciones:
laseguri
dad o la
vergenza

Hoy en da, una empresa que no utilice la tecnologa SSL o descuide la seguridad de su sitio web
se expone al escarnio pblico. Incluso puede acabar saliendo en HTTP Shaming, una pgina
creada por el ingeniero de software Tony Webster en la que se seala a los culpables.v
Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para evitar
el descrdito y la ruina financiera. Tome nota y, en 2015, protjase con Symantec.

http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/

21 I Symantec Website Security Solutions

PRXIMAMENTE
EL WSTR 2015 DE SYMANTEC COMPLETO
Y UNA INFOGRAFA CON LOS DATOS MS
IMPORTANTES

Una referencia en materia de seguridad

que podr usar a lo largo del ao y
compartir con sus compaeros

Symantec Website Security Solutions I 22

PERFIL DE SYMANTEC
Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en proteccin
de la informacin cuyo objetivo es ayudar a particulares, empresas e instituciones
gubernamentales a aprovechar libremente las oportunidades que les brinda la
tecnologa, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura
en la lista Fortune 500, controla una de las mayores redes de inteligencia de datos del
mundo y comercializa soluciones lderes en materia de seguridad, copia de seguridad y
disponibilidad que facilitan el almacenamiento de informacin, su consulta y su uso
compartido. Cuenta con ms de 20 000 empleados en ms de 50 pases, y el 99 % de las
empresas de la lista Fortune 500 son clientes suyos. En el ejercicio fiscal de 2013, registr
una facturacin de 6 900 millones de dlares estadounidenses.
Visite www.symantec.es para obtener ms informacin o go.symantec.com/socialmedia
para conectarse con nosotros en las redes sociales.

Ms informacin
Sitio web global de Symantec: http://www.symantec.com/
Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos tiles de Symantec:
http://www.symantec.com/de/de/threatreport/
Symantec Security Response: http://www.symantec.com/de/de/security_response/
Buscador de amenazas de Norton: http://de.norton.com/security_response/threatexplorer/
ndice de cibercrimen de Norton: http://de.norton.com/cybercrimeindex/

23 I Symantec Website Security Solutions

Si desea los nmeros de telfono de algn pas en concreto, consulte nuestro

sitio web. Para obtener informacin sobre productos, llame al
900 931 298 o al (+41) 26 429 77 27

Symantec Espaa
Symantec Spain S.L.
Parque Empresarial La Finca Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcn, Madrid, Espaa
www.symantec.es/ssl

2015 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de
comprobacin, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en
los Estados Unidos y en otros pases por Symantec Corporation o sus filiales. Los dems nombres pueden ser marcas comerciales de sus respectivos propietarios.