Verizon ISTR23-FINAL - ES

ISTR
Informe Sobre las

Amenazas para la
Seguridad en Internet
Volumen
23
EL DOCUMENTO ESTÁ DISPONIBLE “TAL COMO ESTÁ” Y TODAS LAS CONDICIONES, GARANTÍAS EXPLÍCITAS O IMPLÍCITAS, INCLUSO CUALQUIER
GARANTÍA IMPLÍCITA DE COMERCIALIZACIÓN, ADECUACIÓN A UN DETERMINADO FIN O NO VIOLACIÓN, SON RENUNCIADAS, EXCEPTO EN LA MEDIDA
EN QUE TALES EXENCIONES SEAN DETERMINADAS LEGALMENTE INVÁLIDAS.
SYMANTEC CORPORATION NO SE RESPONSABILIZARÁ POR DAÑOS ACCIDENTALES O CONSECUENCIALES RELACIONADAS AL SUMINISTRO,
DESEMPEÑO O USO DE ESTE DOCUMENTO. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO ESTÁ SUJETA A ALTERACIONES SIN AVISO PREVIO. SE
CONSIDERA QUE LA INFORMACIÓN OBTENIDA DE FUENTES DE TERCEROS ES CONFIABLE, SIN EMBARGO, LA MISMAS NO ES GARANTIZADA.
PRODUCTOS DE SEGURIDAD, SERVICIOS TÉCNICOS Y OTROS DATOS TÉCNICOS REFERENCIADOS EN ESTE DOCUMENTO (“ITEMS CONTROLADOS”)
ESTÁN SUJETOS AL CONTROL DE EXPORTACIÓN, LEYES DE SANCIÓN COMERCIAL, REGLAMENTOS Y REQUISITOS DE EE.UU. Y PUEDEN ESTAR SUJETOS
A REGLAMENTOS DE EXPORTACIÓN O IMPORTACIÓN EN OTROS PAÍSES.
USTED ESTÁ DE ACUERDO EN CUMPLIR RIGUROSAMENTE ESTAS LEYES, REGLAMENTOS Y REQUISITOS, Y RECONOCE QUE TIENE LA RESPONSABILIDAD
DE OBTENER CUALQUIER LICENCIA, PERMISO U OTRAS APROBACIONES QUE PUEDAN SER NECESARIAS PARA EXPORTACIÓN, REEXPORTACIÓN,
TRANSFERENCIA DENTRO DEL PAÍS O IMPORTACIÓN DE ÍTEMS CONTROLADOS.
01 Introducción 03 Hechos y Cifras
Resumen Ejecutivo Malware
Grandes Números
Amenazas Web
Metodología
Correo Electrónico
Vulnerabilidades
Ataques Dirigidos
02 Retrospectiva del Año Amenazas Contra Dispositivos Móviles
El Escenario de Internet de las Cosas

Amenazas de Cibercrímenes
Fraude y la Economía Clandestina
Ataques Dirigidos - En Números
Ransomware:
04
Más que Cibercrimen
Predicciones
Infección de la Cadena de
Suministros de Software
El Escenario de Amenazas
Contra Dispositivos Móviles
ÍNDICE
Intro
Sección
01
01 Introducción Página 5 ISTR Marzo 2018
Resumen Ejecutivo
De la propagación repentina de WannaCry y Petya/ Aumento en los ataques a la cadena de
NotPetya al rápido crecimiento de minadores de suministros de software
criptomonedas, 2017 nos proporcionó otra alerta
A pesar de que el exploit EternalBlue causó daños en 2017, la
que las amenazas a la seguridad digital pueden
realidad es que se vuelve cada vez más difícil para los grupos de
provenir de fuentes nuevas e inesperadas. Cada ataque identificar y explotar las vulnerabilidades. En respuesta
año, además del aumento de la cantidad absoluta a este escenario, Symantec ahora observa un aumento en las
de amenazas, el escenario de amenazas se ha situaciones donde los grupos de ataque inyectan implantes
vuelto más diverso, con un mayor trabajo de los de malware en la cadena de suministros para infiltrarse en
grupos de ataque para descubrir nuevos caminos organizaciones desprevenidas, con un aumento del 200% en
de ataques y cubrir las pistas que dejan. esos ataques - uno por mes en 2017 en comparación con cuatro
ataques por año en los años anteriores.
Explosión de ataques a la minería de El secuestro de actualizaciones de software brinda a los grupos
criptomonedas de ataque un punto de entrada para afectar objetivos bien
Los ciberdelincuentes quienes habian estado fuertemente protegidos o para afectar una región o sector específico. El brote
enfocados en ransomware para generar ingresos ahora de Petya/NotPetya (Ransom.Petya) fue el ejemplo más notable:
empiezan a explotar otras oportunidades. Durante el luego de explotar un software de contabilidad ucraniano como
año pasado, el ascenso astronómico en los valores de punto de entrada, Petya/NotPetya usó una variedad de métodos,
criptomonedas inspiró a muchos ciberdelincuentes a alterar propagándose por las redes corporativas para implantar la carga
su objetivo central para minar monedas como una fuente malintencionada de los grupos de ataque.
alternativa de ingresos. Esa corrida del oro de la minería
de criptomonedas produjo un aumento del 8.500% en las Negocios de ransomware enfrentan
detecciones de minadores de monedas en computadoras de corrección de mercado
endpoints en 2017.
Al ser analizado como un negocio, se torna evidente que la
Con una barrera reducida de acceso - al exigir apenas algunas rentabilidad del ransomware en 2016 generó un mercado
líneas de código para operar - los ciberdelincuentes utilizan disputado con demandas de rescate de valores exorbitantes.
minadores de monedas para robar el poder de procesamiento En 2017, el ‘mercado’ de ransomware sufrió una corrección
de la computadora y el uso de la CPU en la nube de con menos familias de ransomware y demandas de rescate
consumidores y compañías para minar criptomonedas. Si bien con valores más bajos - lo que indica que el ransomware se
el impacto inmediato de la minería de monedas es relacionado ha vuelto un commodity. Muchos ciberdelincuentes pueden
con frecuencia al desempeño - lentitud de dispositivos, haber cambiado su enfoque hacia la minería de monedas como
sobrecalentamiento de baterías y, en algunos casos, inutilización una alternativa para aprovechar los altos valores actuales de
de dispositivos - existen consecuencias más amplias, las criptomonedas. Así mismo, también han reaparecido en
especialmente para las organizaciones. Las redes corporativas el mercado algunas amenazas a plataformas de banca online,
están en riesgo de interrupción debido a los minadores de debido al intento de diversificación de los grupos establecidos
monedas propagados de forma agresiva en todo su entorno. de ransomware.
También pueden existir consecuencias financieras para las
El año pasado, el promedio de demanda de rescate bajó para
entidades que acaban siendo impactadas en el rendimineto de
US$ 522, menos de la mitad del promedio del año anterior.
sus equipos a causa de los mineros de la CPU en la nube.
Al tiempo que la cantidad de variantes de ransomware aumentó
A medida que evoluciona la minería malintencionada de 46%, lo que indica que los grupos criminales establecidos se
criptomonedas, los dispositivos de IoT continuarán siendo mantienen bastante productivos, bajó la cantidad de familias
blancos precisos para su explotación. Symantec™ ya identificó un de ransomware. Estas cifras sugieren que los grupos están
aumento de 600% en los ataques globales de IoT en 2017, lo que innovando menos y pueden haber cambiado su atención hacia
significa que los ciberdelincuentes podrían explotar la naturaleza nuevos objetivos de mayor valor.
conectada de esos dispositivos para la minería masiva.
Volver al Índice
La reducción de instancias de día cero no

logra impedir el aumento de los ataques
dirigidos
Symantec identificó que el volumen general de ataques
dirigidos aumentó 10% en 2017, motivado principalmente
por la recopilación de información de inteligencia (90%). No
obstante, un número no tan insignificante de 10% de los grupos
de ataque está involucrado de alguna forma en actividades
disruptivas.
La tendencia de “uso de herramientas del día a día” continúa,
con grupos de ataque que optan por medios conocidos y
seguros para infiltrarse en organizaciones establecidas como
blancos. Spear phishing es el principal vector de infección,
utilizado por el 71% de los grupos organizados en 2017. El uso
de ataques de día cero es cada vez menor. En realidad, apenas
27% de los 140 grupos de ataques dirigidos rastreados por
Symantec poseen historial de utilización de vulnerabilidades de
día cero en algún momento en el pasado.
Aumento de instancias de malware para

dispositivos móviles
Cada año continúan creciendo las amenazas en el segmento
de dispositivos móviles. La cantidad de nuevas variantes de
malware para dispositivos móviles aumentó 54% en 2017, en
comparación con 2016.
Y el año pasado, se bloquearon por día, en promedio, 24.000
aplicaciones malintencionadas para dispositivos móviles.
Además del aumento de las amenazas, el problema se agrava
por el uso continuo de sistemas operativos más antiguos.
Especialmente, apenas 20% de los dispositivos Android™
ejecutan la versión principal más reciente y apenas 2,3% están
en la última versión incremental.
Los usuarios de dispositivos móviles también enfrentan
riesgos de privacidad generados por aplicaciones de grayware,
que no son completamente malintencionadas, pero pueden
ser problemáticas. Symantec identificó que 63% de las
aplicaciones de grayware filtran el número de teléfono del
dispositivo. Con el aumento de grayware en 20% en 2017, este
problema simplemente no desaparecerá.
Volver al Índice
Grandes Números
Amenazas Web
Más de
1.000 millones
de solicitudes Web analizadas por día
5% más que en 2016
1 de cada 13
solicitudes Web con presencia de malware
3% más que en 2016
Malware
92%
Aumento en
nuevas variantes
de descargas 8.500 %
Aumento en
80 % las detecciones
de mineros de
Aumento de
nuevas instancias criptomonedas
de malware en Macs
Correo Electrónico
2017
Porcentaje de
Tasa de Spam
2015
53% 53%
2016
55%
Ransomware
5,4 bi
Ataques WannaCry
bloqueados
46%
Aumento en
nuevas variantes
de ransomware
IoT (Internet de las Cosas)
2017
50K
600%
Aumento
en Ataques
2016
6K
Origen del Ataque
Federación Rusa
6%
Estados Unidos Japón

11% 4%
India
Brasil 5% China
21%
7%
Dispositivos Móviles
Cifra de Aumento en las variantes
nuevas variantes de malware para
2016
17K 54%
2017
27K
Número promedio de aplicaciones
24.000 malintencionadas bloqueadas para
dispositivos móviles cada día
Las categorías de
aplicaciones que poseen las 27% Estilo de Vida
aplicaciones móviles más
malintencionadas son: 20% Música y Audio
Aplicaciones Indiscretas –
63 % Número de
¿cuáles son las informaciones Teléfono
confidenciales que
Ubicación de
normalmente filtran? 37% Dispositivo
Vulnerabilidades
13%
Aumento general
en vulnerabilidades
informadas
29%
vulnerabilidades
relacionadas
a los sistemas
de control
industrial (ICS)
Metodología
Symantec creó la red global de recopilación de amenazas civiles das a través de nuestra alianza con más de 15.000 de las principales
más grande del mundo y una de las más completas colecciones de empresas globales.
inteligencia sobre amenazas a la ciberseguridad a través de Syman-
ID Analytics™ e ID: Labs (nuestro grupo dedicado de investigación
tec Global Intelligence Network™. La Red de Inteligencia Global de
de identidades), proporciona información completa sobre riesgos
Symantec incluye más de 126,5 millones de sensores de ataque, re-
de crédito y fraude y tiene el soporte de ID Network™. ID Network es
gistra miles de eventos de amenazas a cada segundo y contiene más
un repositorio exclusivo de información actualizada de consumido-
de cinco petabytes de datos de amenazas la seguridad. Esa red moni-
res en diversos segmentos, que ofrece una perspectiva única sobre
torea las actividades de amenazas en más de 157 países y territorios
los riesgos relacionados a las identidades y el fraude. ID Network
a través de una combinación de productos, tecnologías y servicios
también recibe datos de comportamiento de resultados de empresas
de Symantec, incluso el software Symantec Endpoint Protection™,
tercerizadas que confirman cuando un solicitante fue identificado
el servicio de inteligencia Symantec DeepSight™, la oferta Symantec
como fraudulento en su portafolio. Esa base de datos actualizada de
Managed Security Services™, productos de consumo Norton™ y otras
forma continua de los datos de comportamiento de consumidores en
fuentes de datos de terceros.
diversos segmentos permite que Symantec identifique el 1% de apli-
Así mismo, Symantec mantiene una de las bases de datos de caciones que presenta los principales riesgos, por ejemplo, incluyen-
vulnerabilidades más amplia del mundo, actualmente compuesta do aplicaciones para tarjetas de crédito, préstamos para automóviles
por más de 95.800 vulnerabilidades registradas (recopiladas du- y servicios de telefonía inalámbrica.
rante más de dos décadas) de 25.000 proveedores que represen- Symantec Endpoint Protection Mobile (SEP Mobile) ofrece un análisis
tan más de 78.700 productos. profundo inigualable de la inteligencia sobre amenazas de dispositi-
El análisis de tendencias de malware de spam, phishing y correo vos móviles, utilizada para predecir, detectar y proteger contra la más
electrónico es recopilada de una variedad de tecnologías de segu- amplia gama de amenazas existentes y desconocidas. La tecnología
ridad de Symantec que procesan más de 2.400 millones de correos predictiva de SEP Mobile utiliza un abordaje en capas que respalda
electrónicos por día, que incluyen: Symantec Messaging Gateway for la inteligencia de amenazas generada de forma colaborativa, además
Service Providers, Symantec Email Security.cloud, Symantec Advan- de análisis basados en dispositivos y servidores, para proteger de
ced Threat Protection for Email, Symantec’s CloudSOC™ Service e manera proactiva los dispositivos móviles de malware, amenazas de
Symantec Probe Network. red y vulnerabilidades de aplicaciones y SO.
Al filtrar más de 338 millones de correos electrónicos y más de 1.800 ISTR también incluye el análisis por segmento industrial, para el cual
millones de solicitudes web por día, la tecnología propietaria de el sistema Standard Industry Classification (SIC) fue utilizado para
Symantec Skeptic™ brinda soporte a los servicios de Symantec Email identificar los segmentos industriales. Los datos relacionados a los
and Web Security.cloud™, con la utilización del aprendizaje de má- clientes y consumidores de Symantec son anonimizados antes del
quina avanzado, análisis de tráfico de red y análisis comportamental análisis y agrupados de acuerdo con los principales atributos, como
para detectar las amenazas más furtivas y persistentes. Así mismo, sector, tamaño de la empresa y ubicación geográfica.
la solución de Symantec Advanced Threat Protection for Email Symantec toma todos los cuidados y precauciones para garantizar
identifica los ataques avanzados por correo electrónico, al adicionar que todos los datos presentados en este informe se produzcan
sandboxing basado en la nube, protección adicional contra spear de acuerdo con las más exigentes normas y presenten una visión
phishing y recursos exclusivos de identificación de ataques dirigidos. imparcial y objetiva del escenario de amenazas. Ocasionalmente,
Symantec también recopila información de phishing por medio de fue necesario filtrar o ajustar los datos para evitar distorsiones o
una amplia comunidad antifraude, compuesta por empresas, provee- desvíos, y eso se indica en el informe, cuando es necesario. Para más
dores de seguridad y partners. información acerca de los productos, servicios y tecnologías mencio-
Más de 1 billón de direcciones URL se procesan y analizan todos los nadas, consulte la sección Información Adicional y Contactos en el
días por las soluciones Secure Web Gateway de Symantec, incluyen- final de este informe.
do ProxySG™, Advanced Secure Gateway (ASG) y Web Security Solu- Estos recursos brindan a los analistas de Symantec fuentes inigua-
tion (WSS), todas soportadas por la tecnología WebPulse Collabora- lables de datos para identificar, analizar y proporcionar comentarios
tive Defense y Sistema de Análisis de Contenido en tiempo real. Esas actualizados sobre las amenazas emergentes de ataques, actividades
soluciones identifican y protegen contra cargas malintencionadas y de códigos malintencionados, phishing y spam. El resultado es el
controlan el contenido confidencial basado en la web. Ese número se Informe sobre las Amenazas para la Seguridad en Internet™, de pe-
extrae de un total de 6.000 millones de solicitudes de análisis web. riodicidad anual, que ofrece a las corporaciones, pequeñas empresas
La tecnología tiene el soporte de nuestra Red de Inteligencia Global, y consumidores información esencial para proteger sus sistemas de
que incluye información de inteligencia web y de amenazas adquiri- forma eficaz, ahora y en el futuro.
Volver al Índice
Retrospectiva
Sección
del Año
02
El Escenario
de Amenazas
y Cibercrímenes
El Escenario de Amenazas de Cibercrímenes Página 15 ISTR Marzo 2018
2017 fue un año interesante en el escenario En los últimos meses de 2017 fue inmenso el crecimiento de la
de amenazas de cibercrímenes. Los ataques minería de criptomonedas. Las actividades generales de mine-
WannaCry y Petya/NotPetya dominaron las ría de criptomonedas aumentaron 34.000% a lo largo del año;
mientras que la detección de archivos de minado de monedas en
principales noticias, pero fueron excepciones y
máquinas de endpoints aumentó 8.500%. Apenas en diciembre
sirvieron para ocultar los primeros indicios de
de 2017, más de 8 millones de eventos de minería de criptomone-
un cambio, especialmente en el escenario de das fueron bloqueados por Symantec. Estas cifras son bastante
ransomware. Si bien el ransomware continúa impresionantes, pero esta explosión en las actividades puede
siendo una gran amenaza, parece que algunos durar poco tiempo. La actividad de minería de monedas está fuer-
criminales de ransomware centraron la atención temente relacionada al aumento del valor de muchas criptomone-
en diversificar su portafolio: en algunos casos, das; una disminución en su valor puede ocasionar un descenso en
mediante la distribución de troyanos financieros estas actividades, tan rápida como fue su crecimiento.
y, en otros casos, al recurrir a la minería de
criptomonedas. Ransomware
Algunas amenazas a las plataformas de banca online sintieron el El escenario de ransomware en 2017 estuvo dominado por las
impacto para combatir grandes acciones que se produjeron en el historias de los ataques WannaCry (Ransom.Wannacry) y Petya/
final de 2016, pero otras lograron éxito en sus actividades. Espe- NotPetya (Ransom.Petya), pero estos no eran ataques “típicos” de
cialmente, el troyano bancario Emotet (Trojan. Emotet) resurgió ransomware y no representan la tendencia general de ransomware
tras un largo intervalo. en 2017. En realidad, Petya/NotPetya no era un ransomware ver-
dadero, era un agente destructivo para eliminar información que
La actividad de Emotet creció en los últimos meses de 2017, se disfrazaba de ransomware. Por esos motivos, en este capítulo
con un aumento de 2.000% en las detecciones en este período. omitimos las detecciones de esas amenazas de nuestras cifras de
Al mismo tiempo, las noticias de crecimiento de los minadores detección de ransomware. El impacto y la importancia de esos ata-
de criptomonedas y su uso por los ciberdelincuentes fueron ques se abordan en otras secciones de este informe, en el artículo
destacados en las principales noticias. sobre Ransomware: Más que Cibercrimen.
Las infecciones de ransomware han aumentado todos los años
“fueEninmenso
desde 2013 y llegaron al récord de 1.271 detecciones por día
los últimos meses de 2017 en 2016. Las detecciones de ransomware no lograron romper
el crecimiento de la ese record en 2017, sin embargo permanecieron en ese nivel

elevado. Con WannaCry y Petya/NotPetya excluidos de las cifras
minería de criptomonedas. Las de detección, se produjeron aproximadamente 1.242 detecciones
comunes de ransomware por día en 2017, básicamente la misma
actividades generales de minería cifra récord identificada en 2016.
de criptomonedas aumentaron Detecciones de ransomware por día 2015-2017

34.000% a lo largo del año; Si excluimos WannaCry y Petya/NotPetya, las detecciones de ransomware son
estables entre 2016 y 2017.
mientras que la detección de 1.500
archivos de minado de monedas 1.200

1.271 1.242
en máquinas de endpoints 900
933
aumentó 8.500%.
” 600
300
2015 2016 2017*
*Las cifras excluyen WannaCry y Petya/NotPetya
Volver al Índice
3,0
Millones
Hubo un
aumento de
1,6 92
en bloqueos
%
de descargadores
en 2017
0,4
2015 2016 2017
“ Detecciones mejoradas La estabilización de las detecciones de ransomware en los en-

dpoints puede no sólo indicar la disminución de las actividades,
en el inicio de la cadena sino también puede señalar el impacto de la mejorada protección
upstream. El filtrado eficiente de correos electrónicos, detección
de ataque por Symantec del Sistema de Prevención de Invasiones (IPS - Intrusion Preven-
tion System) y la tecnología del aprendizaje de máquina demues-
demuestran que esos tran que las actividades de ransomware se están bloqueando
descargadores se están previamente en la cadena de infección. Por ejemplo, en 2017, vi-

mos un aumento de 92% en bloques de descargadores de scripts
detectando y bloqueando y macros, una importante fuente de infecciones por ransomware.
Detecciones mejoradas en el inicio de la cadena de ataque por
antes que distribuyan sus Symantec demuestran que esos descargadores se están detectan-
”
do y bloqueando antes que distribuyan sus cargas útiles finales.
cargas útiles finales.
Al analizarlo como un negocio, se torna evidente que la rentabili-
dad del ransomware en 2016 generó un disputado mercado con
valores exorbitantes de pedidos de rescate realizados por delin-
cuentes ambiciosos. En 2017, el mercado de ransomware sufrió
Volver al Índice
una corrección con menos familias de ransomware y pedidos de Nuevas variantes de ransomware 2015-2017
rescate con valores más bajos. Los responsables de ataques de La cifra de nuevas variantes de ransomware vistas aumentó 46% en 2017
ransomware mejoraron su modelo de negocios en 2017 y encon-
traron el valor ideal que las víctimas están dispuestas a pagar.
El pedido promedio de rescate en 2017 fue de US$ 522, que es
menos de la mitad del valor de US$ 1.070 en 2016 y también
representa una disminución en relación al promedio del primer
semestre del año, que fue de US$ 544.
En 2017, surgieron 28 nuevas familias de ransomware, lo que
acompaña la cifra de 2014 y 2015, sin embargo una disminución
en relación con 2016, cuando se identificó la cifra nunca antes
vista de 98 nuevas familias.
También disminuyó en 2017 el volumen de actividades de
“reducción
También se identificó una
en las actividades
algunas de las grandes familias de ransomware.
Cerber (Ransom.Cerber), Locky (Ransom.Locky) y TorrentLocker
(Ransom.TorrentLocker) prácticamente desaparecieron del
escenario a lo largo del año.
de algunas de las grandes En cambio, el botnet Necurs (Backdoor.Necurs), uno de los
familias de ransomware en 2017. principales distribuidores de Locky, tuvo un gran impacto en el
escenario de amenazas de cibercrimen en 2017. Necurs desapa-
Cerber, Locky, y TorrentLocker reció durante gran parte de los primeros tres meses de 2017 y
reapareció de repente el 20 de marzo, cuando comenzó a enviar
prácticamente desaparecieron automáticamente spam. En esos tres meses, su ausencia fue
del escenario a lo largo del año.
” notada de inmediato, con una gran disminución en las tasas de
malware y de spam de correo electrónico. Las tasas aumentaron
constantemente durante el resto del año, si bien no llegó a los
niveles de 2016.
Nuevas familias de ransomware 2015-2017
Tras un brote de nuevas familias observadas en 2016 esa cifra se estabilizó en
2017 Tasa de malware de correo electrónico 2016-2017 (1 de cada)
El impacto de la ausencia de Necurs a inicios de 2017 es claramente visible
No obstante, el número de variantes generales de ransomware

aumentó 46%, lo que indica que los grupos establecidos de A pesar de su ausencia a inicios del año, Necurs todavía fue uno
ransomware continúan desarrollando y propagando sus produc- de los principales agentes de cibercrimen en 2017. Si analizamos
tos. La cifra estable de nuevas familias emergentes posiblemente la telemetría en el número de campañas ejecutadas de malware
indica la falta de nuevos grupos de ataque, o menos innovación de correo electrónico por Necurs en 2017, podemos observar un
por parte de los grupos establecidos. aumento en la actividad a partir de junio, con un notable aumento
en septiembre y octubre, y algunos aumentos visibles hasta el fin
del año.
Volver al Índice
Necurs envió casi 15 millones de correos electrónicos malinten- desaparecieron en 2017, porque las bandas delictivas que los
cionados en 2017, 80% enviado en el segundo semestre del año. operaban fueron afectadas por acciones de las autoridades legales
El botnet Necurs envió todos los días más de 67.000 correos a fines de 2016. Esos dos troyanos se detectaron en cientos de
electrónicos malintencionados en los últimos seis meses de 2017. miles de máquinas en 2016, por lo que su ausencia tuvo un gran
impacto en las cifras totales de troyanos financieros. Un descenso
Campañas de malware de correo electrónico de Necurs en 2017 en las cifras de troyanos financieros por año es una tendencia
La principal parte de las actividades se produjo en el segundo semestre del año que hemos visto en los últimos dos años. Además de las acciones
de las autoridades legales, parte de ese descenso puede ser
explicado por mejores detecciones implantadas más upstream en
la cadena, similar a la situación con ransomware, lo que significa
que la carga útil final del troyano financiero tal vez no logre llegar
al equipo de la víctima.
Troyanos financieros: cifra por mes en 2017

En general, la cifra de troyanos financieros en 2017 disminuyó en comparación
con 2016
Si bien los principales grupos responsables de distribución

de ransomware continúan demasiado activos, observamos un
mayor número de campañas de correo electrónico centradas en
la distribución de amenazas para plataformas de banca online
y, en algunos casos, sustituyendo campañas de ransomware. Si
observamos la actividad de Necurs en el segundo semestre del
año, podemos observar que sus cargas útiles finales se alternan
entre ransomware y malware financiero.
A pesar de la disminución general de los números, podemos ver

Cargas Útiles Necurs Segundo Semestre de 2017
la tendencia de crecimiento de las actividades en el segundo
La actividad principal de Necurs fue la distribución de ransomware, pero
también envió algunas campañas de troyanos financieros semestre del año. Principalmente debido al troyano bancario
Emotet, que tuvo un aumento de sus actividades en el último
Ransomware Financiero trimestre de 2017.
Emotet causó un impacto

Emotet es un troyano financiero que surgió por primera vez
en 2014 y, tras un período de tranquilidad, reapareció para
causar daños en el segundo semestre de 2017. Su actividad
aumentó de manera constante, particularmente en los últimos
meses del año, con un aumento de 2.000% en sus actividades
en el último trimestre de 2017. Entregado principalmente a
través de grandes campañas de correo electrónico, el grupo
responsable del Emotet parece que es un grupo “profesional” de
Amenazas contra las plataformas de banca cibercrímenes, con la mayoría de las campañas distribuidas de
online lunes a viernes, y aparentemente el grupo se toma libre el fin de
semana. La amenaza se implanta principalmente por el botnet
A pesar de la atención dirigida a Necurs, la actividad general de
Emotet mediante el envío de campañas de spam. Además de robar
troyanos financieros disminuyó en 2017 en comparación con
información de dispositivos infectados, el malware también es
2016, debido principalmente a las acciones de las autoridades
capaz de adicionar dispositivos infectados al botnet.
legales. Dos troyanos financieros que fueron los principales
jugadores en 2016 - Trojan.Bebloh y Trojan.Snifula - básicamente
Volver al Índice
Detecciones del Emotet software instalado en los dispositivos que infectó. Si detecta un
Las detecciones del Emotet aumentaron bruscamente en los últimos meses de software de contabilidad, permitirá el acceso remoto y tratará de
2017 realizar fraudes mayores, en vez de apenas robar credenciales de
plataformas de banca online. En otro ejemplo de una amenaza
que evolucionó en 2017, Trickybot (Trojan.Trickybot) integró el
exploit EternalBlue para permitir que se propague por las redes.
EternalBlue, lógicamente, se convirtió en el más conocido por su
uso en los ataques WannaCry y Petya/NotPetya, y aparentemente
fue incorporado por Trickybot tras el brote de Petya/NotPetya.
Los 10 principales troyanos financieros en 2017

Ramnit y Zbot dominaron, pero Emotet, el quinto más detectado, ocasionó un
gran impacto en el fin del año
“queEmotet es un troyano financiero

surgió por primera vez
en 2014 y, tras un período de
tranquilidad, reapareció para
causar daños en el segundo
semestre de 2017.
”
En noviembre y diciembre se observó un aumento de actividades
MIentras que algunos grupos de ransomware migraron sus
actividades hacia la distribución de troyanos financieros, también
observamos muchos ciberdelincuentes priorizando los minadores
de criptomonedas en 2017, siendo el crecimiento de la minería
del Emotet. Si bien, de forma general, está apenas en el quinto lu-
de monedas en el último trimestre de 2017, sin duda, una de las
gar en nuestra lista de los diez principales troyanos financieros en
historias más importantes del año.
2017 - es superado por Ramnit (W32. Ramnit) y Zbot (Trojan.Zbot),
que también dominaron la lista de troyanos financieros en 2016
- su resurgimiento y aumento de actividades son interesantes, y Minería de criptomonedas: Una moderna
serán relevantes si continúan en 2018. La actividad del Emotet corrida del oro
disminuyó durante el período festivo de fin de año, pero aparente-
Antes de examinar este crecimiento, primero vamos a explicar que es
mente sus operadores solamente aprovecharon para tomarse unas
un minador de criptomonedas.
vacaciones, ya que sus niveles de actividad en el inicio de 2018
regresaron a los mismos números observados en el fin de año. Los minadores de criptomonedas se utilizan para minar
Si mantiene esos niveles de actividad en el transcurso del año, criptomonedas. Las criptomonedas son monedas digitales:
probablemente mejorará su posición en nuestra lista de los creadas a través del uso de programas de computadora y
principales troyanos financieros en el próximo año. capacidad de procesamiento, registradas en el blockchain.
El bitcoin fue la primera criptomoneda desarrollada en
Mientras que el resurgimiento del Emotet fue el desarrollo más
blockchain, y aún es la criptomoneda más conocida y de más
interesante en esta área en 2017, han evolucionado también
valor que existe. Sin embargo, el minado de bitcoin requiere un
otras amenazas contra plataformas de banca online. Algunos
gran poder de procesamiento, por lo tanto, su minado no es una
troyanos financieros comenzaron a robar no solo información de
opción viable en computadoras comunes. No obstante, otras
acceso a las plataformas de banca online, sino también nombres
criptomonedas pueden ser más fácilmente minadas a través
de acceso de carteras de criptomonedas y otra información de
del uso de la capacidad de procesamiento de computadoras
cuentas que puedan ayudar a maximizar el lucro.
domésticas comunes. Monero es un ejemplo de estas
Dridex (Trojan.Cridex), que está en tercer lugar en nuestra lista de criptomonedas. Monero, al contrario del Bitcoin, ofrece además
los 10 principales troyanos financieros de 2017, ahora verifica el anonimato completo.
Volver al Índice
Detecciones de minería
20K 29K 31K

1,7M
ENE AGO SEP DIC

2017 2017 2017 2017
$12 $81 $104 $321
Precio Promedio
del Monero Volver al Índice
La minería de criptomonedas basada en archivos involucra la des- to es pequeño, tal vez las víctimas no vinculen el problema con
carga y la ejecución de un archivo ejecutable en su computadora. La la minería de monedas. Eso permite que los ciberdelincuentes
minería de criptomonedas basada en navegadores, cuya prevalen- ganen dinero sin que las víctimas adviertan que hay algo inde-
cia presentó gran crecimiento en 2017, se produce en un navegador seado en su máquina o en la página web que están visitando. El
de la Web y se implanta con el uso de lenguajes de script. ransomware no permite que los ciberdelincuentes ejecuten sus
acciones de esta manera tan oculta.
La minería de monedas no es ilegal y en la actualidad muchas
Es acentuado el crecimiento de los eventos de minería de
personas deciden ejecutar archivos o scripts en sus computa-
criptomonedas bloqueados por Symantec en los últimos meses
doras para realizar la minería de monedas. Y, de hecho, muchas
de 2017, con un fuerte aumento en las detecciones en el último
personas no se opondrán al uso de una parte de su poder de
trimestre del año. Más de 8 millones de eventos de minería de
procesamiento para minar criptomonedas cuando visitan una
criptomonedas fueron bloqueados en diciembre - un aumento
determinada página web. Puede ser una alternativa aceptada en
de 34.000% desde el inicio del año. Las detecciones basadas en
lugar de ver anuncios o pagar por el contenido de otras formas.
archivos en los endpoints por los productos de Symantec para
Por ejemplo, la página web de la revista digital Salon.com solicitó
esos minadores aumentaron 8.500% en 2017. Gran parte de
a sus visitantes que utilicen un bloqueador de anuncios para
ese aumento es impulsada por JS.Webcoinminer, que detecta la
inhabilitar o permitir que su computadora se utilice para realizar
actividad asociada a los minadores de criptomonedas con base en
minería de criptomonedas mientras navegan en la página web.
los navegadores.
Los problemas surgen cuando las personas no saben que sus
computadoras se están usando para la minería de criptomone-
“losEnminadores
das, o si los ciberdelincuentes instalan de manera clandestina
minadores en las computadoras de las víctimas o en los dispositi- diciembre de 2017
vos del Internet de las Cosas (IoT) sin su conocimiento.
de monedas
Algunos factores pueden ayudar a explicar el aumento de la
popularidad de los minadores de monedas entre los ciberdelin- representaron 24% de todos
cuentes a fines de 2017: los ataques web bloqueados, y
{{ Se estima que la principal fuerza propulsora seguramente fue el
repentino aumento del valor de muchas criptomonedas en los
16% de los ataques web fueron
últimos meses de 2017. bloqueados en los últimos tres
{{ El lanzamiento de un nuevo servicio de minería basado en
navegadores en septiembre por Coinhive también causó un
meses de 2017, lo que demuestra
interés renovado en el área de minería basada en navegadores. el gran impacto de esos
Analizamos eso en un blog publicado en diciembre de 2017.
Coinhive se comercializa como una alternativa a los anuncios minadores de criptomonedas con
”
de páginas web para generar ingresos. La solución recomienda
que sus usuarios sean transparentes con los visitantes del sitio base en los navegadores.
web sobre su presencia, pero no posee un control integral para
impedir que los operadores inescrupulosos lo usen para realizar
minería secreta con la intención de pasar inadvertidos por los Eventos relacionados a la minería de criptomonedas en 2017
usuarios. El total de actividades de minería de criptomonedas bloqueadas por Symantec
aumentó más de 34.000% durante 2017
{{ Realizar la minería de monedas basada en navegadores no exige
el mismo nivel de habilidad que desarrollar un exploit e instalar-
lo en las computadoras de las víctimas, y también significa que
incluso las personas cuyas máquinas están totalmente actuali-
zadas pueden ser potenciales víctimas.
{{ Es una forma menos disruptiva de ganar dinero. Es posible que

las víctimas no adviertan de inmediato o en algún otro momento
que están infectadas. Pueden notar un desempeño más lento de
su computadora o que la factura de energía eléctrica aumentó
debido a que la computadora usó más energía, pero si el impac-
Volver al Índice
En diciembre de 2017, los minadores de monedas representaron Detecciones de minadores de criptomonedas por mes en
24% de todos los ataques web bloqueados y 16% de los ataques computadoras Mac
web fueron bloqueados en los últimos tres meses de 2017, lo que En los últimos tres meses del año se observa un gran aumento en las
demuestra el gran impacto de esos minadores de criptomonedas detecciones
basados en los navegadores.

Se observó el doble de detecciones de minadores de criptomone-
das en máquinas de individuos en relación a las máquinas corpo-
rativas en diciembre, cuando se observó un gran aumento del uso
de minadores de criptomonedas con base en los navegadores, lo
que indica un impacto de cierto modo, esto tiene sentido, porque
esos funcionan mejor en páginas web donde las personas pasan
mucho tiempo - como los sitios para ver vídeos en streaming –
que se utilizan más en equipos de consumidores individuales que
en equipos corporativos.
No son apenas las computadoras con SO Windows® que se están
afectando: desde octubre hubo también un gran aumento en Así como no están limitados a apenas un sistema operativo, los
las detecciones de minadores en computadoras Mac®, cifra que ciberdelincuentes que distribuyen minadores de criptomonedas
también fue impulsada por JS.Webcoinminer. no parecen limitarse al uso de apenas un vector de distribución.
En el final de 2017, hubo varios relatos de campañas centradas
en la distribución de minadores de criptomonedas.
“a unAsísistema
como no están limitados
operativo, los
{{ El grupo de ataque responsable del ransomware VenusLocker
alteró su actividad de distribución de malware por medio de
campañas de correo electrónico para distribuir un minador
ciberdelincuentes que distribuyen del Monero.
minadores de criptomonedas {{ Los grupos de ataques responsables de la campaña del Zealot

buscaron explotar vulnerabilidades para instalar un minador
no parecen limitarse al uso de del Monero en equipos desactualizados.
{{ Una gran campaña de fuerza bruta centrada en páginas web

apenas un vector de distribución. de WordPress se utilizó en el intento de instalar un minador del
A fines de 2017, hubo varios Monero en páginas web afectadas. Este ataque generó por lo
menos US$ 100.000 hasta el momento de su descubrimiento.
relatos de campañas centradas en {{ También se encontraron ejemplos de minadores de cripto-
monedas intentando propagarse por medio del Facebook
la distribución de minadores de Messenger.
criptomonedas.
” {{ El aumento del predominio de minadores de criptomonedas
está correlacionado con el creciente valor de muchas criptomo-
nedas. La permanencia de esa actividad depende mucho del
valor futuro de esas monedas.
Volver al Índice
e s
q u os s
ta
A rig id ro
i me
D Nú
E n
Ataques Dirigidos - En Números Página 24 ISTR Marzo 2018
¿Qué tan probable es que su organización sea Incluso dentro de esta definición, existen algunos ataques que no
atacada? Y si sufre el ataque, ¿cuáles son los encajan exactamente en el concepto. Por ejemplo, los ataques de
motivos y medios de ataque más probables de los Petya/NotPetya (Ransom.Petya) fueron el trabajo de un grupo de
ataque patrocinado por una nación, pero fueron indiscriminados
atacantes?
(si bien dirigidos principalmente a Ucrania).
Hemos invertido mucho tiempo en la investigación de los ataques
dirigidos y, durante los últimos años, hemos destacado regular-
Grupos
mente a los grupos previamente desconocidos. Con frecuencia,
recibimos solicitudes para proporcionar un resumen del esce- Lo primero que observamos fue cuantos grupos operan en la
nario de ataques dirigidos. Las personas quieren saber el nivel actualidad y si esa cifra presenta un crecimiento en el transcurso
general de actividades, si habrá un aumento o disminución en del tiempo. Actualmente, existen 140 grupos de ataques dirigidos
el volumen de actividades, quiénes son las víctimas y dónde se conocidos por Symantec. Incluso esta cifra exige una explicación.
ubican. Esto es algo que generalmente hacemos con otros tipos ¿Qué es un grupo de ataques dirigidos? Difícilmente dejan su tar-
de amenazas, como ransomware o troyanos financieros. jeta de visita y esto significa que puede llevar algún tiempo para
juntar las evidencias e identificar que herramientas y técnicas
Sin embargo, es bastante difícil presentar un escenario macro de son el trabajo de un grupo específico.
los ataques dirigidos. ¿Por qué? Para empezar, los ataques dirigi-
dos son exactamente lo que el nombre indica, dirigidos. General- En un mundo donde pocas cosas son ciertas, hacer esta distin-
mente, no se producen en grandes cantidades, lo que torna más ción puede ser difícil. Por ejemplo, los grupos afiliados a una
difícil analizar las cifras. Incluso una cifra demasiado pequeña de nación específica a veces son conocidos por compartir infraes-
ataques puede ocasionar grandes variaciones en el porcentaje. tructura y herramientas, lo que puede llevar a algunas preguntas
sobre o más grupos son entidades distintas o parte de la misma
Cuando analizamos con más profundidad, observamos que operación. Los proveedores suelen hacer diferentes evaluaciones
podríamos usar un abordaje alternativo. Mantenemos muchos con base en la información que poseen, lo que significa que la
datos de los propios grupos responsables de los ataques dirigidos. información total de los grupos conocidos, mantenida por dos
Al agregar estos datos, podríamos establecer las premisas de un proveedores distintos, posiblemente será diferente.
grupo común responsable de los ataques dirigidos. Y a partir de
“cibercrímenes,
este punto, podríamos informar a las personas cuáles son los mé-
todos más comunes que utilizan estos grupos para atacar a una Al contrario del mundo de
organización y cuáles son sus principales motivaciones.
donde las bandas
¿Qué clasificamos como un ataque dirigido? desaparecen con frecuencia, para
Antes de continuar, es importante aclarar qué entendemos por
“ataque dirigido”. Si bien el término parece ser autoexplicativo,
dar paso a nuevas amenazas, el
un ataque dirigido a una o a varias víctimas específicas, en lugar mundo del ciberespionaje se está
de campañas indiscriminadas a larga escala, existen ciertas
distinciones a realizar. El trabajo de individuos generalmente tornando un mercado cada vez más
”
no se clasifica como un ataque dirigido. Por ejemplo, si alguien
decide invadir la computadora de otra persona conocida, eso no disputado.
se clasifica como un ataque dirigido.
En los últimos tres años, hemos observado un promedio de 29
En cambio, los ataques dirigidos representan el trabajo de grupos
nuevos grupos por año, si bien el ritmo de nuevos grupos disminuyó
organizados. La mayoría de esos grupos son patrocinados por
un poco durante 2017, cuando registramos un total de 19 nuevos
naciones (si bien existe un pequeño número de operadores priva-
grupos. A pesar de ello, esos números brindan una buena idea del
dos) y generalmente se enfocan en un numero limitado de obje-
ritmo de expansión en este sector. Cuando se compara esa informa-
tivos número limitado de intereses: recopilación de información,
ción con el total de grupos conocidos, la cifra de nuevos jugadores
interrupción de actividades, sabotaje o intereses financieros. En
que aparecen todos los años en el mercado es bastante considera-
términos generales, los “ataques dirigidos” corresponden a actos
ble. Así mismo, la mayoría de los grupos más antiguos no muestra
de espionaje, a pesar de que los límites de estas definiciones
señales de que desaparecerán del mercado. Lo que los grupos de
están comenzando a cambiar y, en los últimos tiempos, hemos
ataques hacen después de infectar una organización, como cuáles
observado a varios grupos propagarse más allá del espionaje.
computadoras son establecidas como víctimas y cuál información
(si es el caso) es robada, lo cual puede ofrecer mayores insights.
Volver al Índice
Symantec
expuso un
promedio
de 3
nuevos
grupos de
ataques
dirigidos
por año.
Grupos de ataques dirigidos conocidos por Symantec Cuando tenemos demasiados datos para crear un perfil útil,
Número total de grupos de ataques dirigidos conocidos por Symantec. En los normalmente publicamos nuestra investigación y, de esos 140
últimos tres años, observamos un promedio de 29 nuevos grupos por año. grupos que conocemos, 28 fueron expuestos inicialmente por
Symantec. En promedio, somos responsables de la exposición de
tres nuevos grupos por año.
Motivos
Si bien raramente tenemos los insights de lo que pasa por la
cabeza de los grupos de ataque, generalmente con el transcurso
del tiempo, llegamos a algunas conclusiones sobre los intereses
de los grupos de ataques dirigidos. Tenemos algunas maneras de
hacerlo. Observar el tipo de organización que esos grupos esta-
blecen como blanco generalmente puede desvelar mucho sobre
lo que tienen interés. El análisis de las capacidades y recursos de
Uno de los trabajos más interesantes, más intensivos, que hace- las herramientas proporciona todavía más insights. Qué hacen
mos es descubrir e investigar nuevos grupos de ataques dirigidos, los grupos de ataque tras invadir a una organización, como cuáles
a fin de proteger a nuestros clientes de estos grupos y alertar de computadoras son establecidas como víctimas y cuál información
forma general al mundo. (si es el caso) es robada, puede proporcionar más insights.
Volver al Índice
HISTORIAS DE ANALISTAS
Conversamos con algunos de nuestros investigadores de Por ejemplo, su estructura de watering hole de Venom es un
amenazas y les pedimos que nos contaran sobre los grupos nivel superior de lo que normalmente observamos. Fueron
que fueron objeto de su trabajo. uno de los primeros grupos en emplear las técnicas de huella
digital de sistema, a través de las cuales analizaban a los
visitantes en busca de watering holes y recopilaban infor-
¿Cuál es el grupo más interesante que ha mación suficiente para determinar si la víctima potencial era
encontrado? de interés para el grupo y, en caso afirmativo, determinar
el mejor exploit que podía suministrar para establecer su
posición dentro de la organización de la víctima. Sin embar-
Gavin O’Gorman go, también existía la capacidad de infectar varios servidores
“Posiblemente, Butterfly es el grupo más interesante con el para alojar su estructura de kit de exploits como una forma
cual trabajé. Era uno de los pocos grupos de ataque dirigidos de afectar a las víctimas. Obviamente poseían una variedad
que no parecía estar afiliado a ningún país y estaba involu- de habilidades a su disposición y eso se demostraba por
crado en espionaje corporativo, tal vez por intereses financie- el nivel diversificado de sofisticación de las herramientas
ros. En pocos años, infectaron a varias grandes corporacio- utilizadas, su capacidad de operar en múltiples entornos y
nes como Twitter™, Facebook™, Apple®, y Microsoft®. el hecho de que permanecieron activos por un largo período,
afectando a múltiples gobiernos. Hasta el día de hoy, Turla
Siempre que voy a una conferencia, las personas me pregun-
sigue sus operaciones y continúa siendo uno de los grupos
tan sobre este grupo, queriendo saber si logramos observar
rastreados más interesantes.”
más ataques. La respuesta es que han desaparecido por
completo. La seguridad operativa del grupo fue una de las
mejores que ya hemos visto. Stephen Doherty
Por ejemplo, ellos ejecutaban servidores de comando y con- “Dragonfly es definitivamente el grupo más interesante con
trol en máquinas virtuales cifradas en servidores afectados. el cual trabajé recientemente, principalmente porque han di-
Eso es algo que no observamos todos los días. rigido sus ataques a infraestructura crítica. Hubo una época
en la que ese tipo de ataque era inimaginable, por lo menos
¿Será que se jubilaron? Lo dudo. Las vulnerabilidades de día
hasta que apareció Stuxnet. Sin embargo, en la actualidad
cero que usaban exigían mucho tiempo y habilidad para ser
varios grupos ejecutan este tipo de ataques. Dragonfly afecta
adquiridas por cuenta propia y, posiblemente, en vez de eso,
a plantas de energía eléctrica desde por lo menos 2011.
fueron compradas. Esas vulnerabilidades de día cero cuestan
mucho, lo que significa que deben estar ganando mucho Con el transcurso del tiempo, comenzaron a utilizar más
dinero. herramientas disponibles en el mercado y tácticas de “Her-
ramientas del día a día”, lo que significa que se volvió más
Si tuviese que adivinar, diría que interrumpieron sus activi-
difícil atribuir ataques al grupo. Es necesario ser muy preciso
dades temporalmente y desarrollaron un conjunto comple-
porque, al considerar sus víctimas, si uno se equivoca, creará
tamente nuevo de herramientas. Estaban ganando mucho
una alarma innecesaria.
dinero para simplemente abandonar sus actividades.”
¿Cuál es el objetivo central de sus actividades? De acuerdo
con nuestro análisis, están centrados en obtener y mantener
Alan Neville el acceso a redes de energía eléctrica y recopilar información
“Turla fue una de las primeras grandes investigaciones en sobre sus operaciones.
la cual trabajé y todavía es una de las más interesantes.
Sabemos que tienen la capacidad de ocasionar graves
Utilizaban muchas herramientas y trucos que nunca había
interrupciones a las redes de energía eléctrica, pero hasta el
visto antes y realmente demostraban el nivel de sofisticación
momento nunca optaron por adoptar esas medidas extre-
de operación de estos grupos. Al rastrear el desarrollo de su
madas. Lo peligroso es que tienen esta capacidad, cuando
kit de herramientas, se tornó evidente que este era un grupo
consideren que es el momento oportuno. De todos los grupos
grande y bien organizado que tenía dinero para respaldar sus
que analizamos, posiblemente Dragonfly es el que más se
operaciones. Obviamente, había mucho trabajo especializado
aproxima a cruzar la frontera entre la recopilación de infor-
que involucraba a diferentes personas en el desarrollo de
mación y algo más hostil, como el sabotaje”.
cada componente.
Volver al Índice
En la mayoría de los casos, logramos establecer por lo menos un Malware destructivo

interés para cada uno de los grupos que investigamos. En su gran Porcentaje de grupos conocidos y que utilizan malware destructivo.
mayoría, el interés más predominante es la recopilación de infor-
mación, con 90% de los grupos involucrados de forma integral o
parcial en esta actividad. La recopilación de información puede
incluir el robo de información, espionaje y vigilancia.
“también
Los ataques disruptivos
se consideran mucho
más hostiles y agresivos que
la recopilación de información Si bien apenas un pequeño porcentaje de los grupos está involu-
y cualquier persona que los crado en los ataques disruptivos, un porcentaje aún menor está
involucrado en actividades que pueden clasificarse como destruc-
organice corre el riesgo de tivas, como eliminar la información de discos (limpieza de disco).
”
De los grupos que encontramos, apenas 6% fueron identificados
sufrir represalias. por el uso de malware destructivo en algún momento.
La tercera categoría de intereses que observamos es financiera,
Si bien los ataques disruptivos se han destacado en los últimos observada en poco más de 9% de los grupos. Una vez más, eso no
dos años, como una motivación, la interrupción de actividades es demasiado sorprendente. La mayoría de los grupos de ataques
aún es un distante segundo lugar detrás de la recopilación dirigidos es patrocinada por naciones y esto significa que poseen
de información, con 11% de los grupos involucrados en esta los recursos de todo un país para financiar sus actividades.
actividad. Esto no nos sorprende. A pesar de que hayan ocurrido
Ellos no necesitan dinero o para ser preciso, no necesitan más
algunos ataques disruptivos de alto nivel, todavía son una
dinero.
propuesta arriesgada. Debido a sus propias características, estos
ataques llaman mucho la atención. Existen excepciones. La más notable en los últimos años es
posiblemente el grupo Lazarus, un grupo grande y muy activo,
La exposición dificulta la realización de ataques adicionales por
que se destacó gracias a las operaciones de espionaje en larga
parte de los grupos, ya que sus herramientas y técnicas habrán
escala y algunos ataques disruptivos de gran notoriedad,
sido minuciosamente investigadas y, como resultado, las orga-
principalmente el ataque de Sony Pictures™ en 2014, que
nizaciones probablemente reforzarán sus defensas. Los ataques
ocasionó el robo de grandes cantidades de información, incluso
disruptivos también se consideran mucho más hostiles y agresi-
películas no estrenadas, además de la información eliminada de
vos que la recopilación de información y cualquier persona que
las computadoras por malware.
los organice corre el riesgo de sufrir represalias. En la mayoría de
los casos, especialmente cuando existe sabotaje, se utilizan con Más recientemente, Lazarus también pasó a trabajar en operacio-
moderación y generalmente parecen calibrados para enviar un nes con intereses financieros. El grupo estaba asociado al robo de
mensaje al objetivo destinado. US$ 81 millones del Banco Central de Bangladesh en 2016, junto
con una serie de otros robos virtuales. ¿Por qué Lazarus estaba
robando bancos? El FBI dijo que el gobierno de Corea del Norte
fue responsable del ataque de Sony Pictures mencionado antes.
Sujeta a las sanciones actuales relacionadas a su programa
de armamento nuclear, se sabe que Corea del Norte necesita
moneda extranjera y el cibercrimen puede ser una forma de
levantar estos fondos. Lazarus también estaba asociado al
brote de ransomware WannaCry en mayo de 2017 (para más
información, consulte “Ransomware: Más que Cibercrimen”).
Volver al Índice
Intereses de ataque dirigidos una organización establecida como blanco y, a seguir invadir el
Intereses conocidos de los grupos de ataques dirigidos. La mayoría de los entorno, pasan para las computadoras específicas de interés, al
grupos están centrados en la recopilación de información. mapear y recorrer la red de la organización. Los grupos con una
buena seguridad operativa generalmente eliminan sus pistas a
medida que avanzan, retirando sus herramientas de cualquier
computadora que no necesiten más. Esto significa que los rastros
de la infección inicial fueron eliminados por los invasores cuando
se descubre un ataque.
Los correos electrónicos de spear phishing surgieron como el vector
de infección más utilizado, empleado por 71% de los grupos.
El objetivo de spear phishing es engañar al destinatario para abrir
un adjunto o hacer clic en un enlace malintencionado, y la popula-
ridad de esta estrategia ilustra cuantas veces la persona sentada
detrás de una computadora puede ser el eslabón más débil en la
Si bien Lazarus está involucrado en ataques de diferentes moti- seguridad de una organización. Además de una solución sólida de
vaciones, el grupo es una excepción a la regla. La mayoría de los seguridad de correo electrónico, educar a los funcionarios acerca
grupos de ataques dirigidos que encontramos están mucho más de los peligros de los correos electrónicos de spear phishing y cómo
enfocados, con 85% de los grupos con solo un interés determi- identificarlos ayudará a reducir el riesgo de compromiso.
nado. Apenas 12% de los grupos tienen dos o más intereses co-
nocidos. Para un pequeño número de grupos (3%), aún no hemos
logrado identificar un motivo.
Número de intereses
“dominan
Los correos de spear phishing
el segmento como el
Número de intereses por grupo. La mayoría (85%) tiene apenas un interés
conocido. vector de infección más utilizado,
empleado por 71% de los grupos.
El segundo vector de infección más popular es el uso de watering
”
holes, páginas web que fueron afectadas por el grupo de ataque,
generalmente sin el conocimiento del propietario de la página web.
Los grupos de ataque generalmente infectan una página web que
posiblemente se visitará por las víctimas establecidas. Por ejem-
plo, si su víctima esta en el sector de aviación, pueden afectar a
un foro de aviación.
Los ataques de watering hole tienden a ser métodos de infección
menos eficientes. Los grupos de ataque no pueden garantizar que
Vectores: la víctima establecida visitará la página web afectada. También
¿De qué forma los grupos afectan a sus existe el riesgo de daños colaterales, en la forma de infecciones
víctimas? no intencionales de víctimas fuera de la organización estableci-
da como objetivo. Normalmente, los grupos de ataque intentan
Una de las principales informaciones que buscamos al investigar
reducir el riesgo de esta ocurrencia al emplear un kit de exploit
los ataques dirigidos es el vector de infección, es decir, en primer
que infectará apenas a los usuarios provenientes de un intervalo
lugar de qué forma los grupos de ataque han logrado invadir la
preseleccionado de IPs.
red de la víctima. No es necesario enfatizarlo, pero bloquear los
ataques en el punto de entrada es la manera más eficaz de com- Junto con spear phishing y watering holes, existen algunos vec-
batir los ataques dirigidos. tores específicos de infección de determinados nichos. Es sabido
que 6% de los grupos utilizan actualizaciones de software, en las
Descubrir el vector de infección puede ser demasiado difícil.
que se afectan paquetes legítimos de software, generalmente a
Normalmente, los grupos de ataque intentan afectar a las
través del upload de una versión con troyano del software hacia
organizaciones al infectar alguna computadora disponible en
la página web del desarrollador descuidado.
Volver al Índice
Es sabido que un pequeño número de grupos (3%) utiliza exploits

de servidores web para afectar a las víctimas, lo que implica la
HISTORIAS DE ANALISTAS explotación de vulnerabilidades en aplicaciones basadas en SQL
para enviar comandos malintencionados a una base de datos SQL.
¿Qué grupos tienen la mejor/peor Vectores de infección de ataques dirigidos

seguridad operativa? Vectores de infección conocidos utilizados por los grupos de ataques dirigidos.
Spear phishing es, sin lugar a dudas, el vector más popular.
“Los grupos con la mejor seguridad operativa son posi-
blemente los que no conocemos”, dice Gavin O’Gorman.
“Si se logra identificar un grupo distinto, al combinar
varios incidentes, eso demuestra que los grupos de
ataque cometieron un error e hicieron algo que nos
permite identificarlos. Observamos varios incidentes
individuales. Es difícil atribuir varios incidentes al mismo
grupo porque cada vez mejoran al esconder sus pistas.
El creciente uso de herramientas de mercado demuestra
que los grupos de ataque dejan huellas digitales cada
vez más difíciles de distinguir.”
“Uno de los peores ejemplos de seguridad operativa La mayoría de los grupos que encontramos (60%) depende ape-
que vi fue el de Bachosens”, dice Stephen Doherty, nas de un vector de infección conocido. Del resto, es sabido que
refiriéndose a un invasor solitario que fue descubierto 20% utiliza dos o más vectores de infección. Para 20% de los gru-
al realizar ataques dirigidos contra organizaciones con pos, aún no hemos identificado un vector de infección utilizado.
el objetivo de cometer cibercrímenes. “Cometió algunos
errores demasiado elementales, como registrar dominios Porcentaje de vectores de infección
utilizando su propio nombre. Se observaba que a lo largo Porcentaje de vectores de infección conocidos por grupo
del tiempo estaba aprendiendo y comenzó a mejorar su
estrategia, sin embargo no notaba que todas las pistas
que había dejado antes simplemente no desaparece-
rían.”
“Si piensa que esto es malo, hay un grupo que estaba
siendo investigado recientemente por colegas de Syman-
tec, donde el investigador encontró el currículum del
invasor.”, dice O’Gorman. “El invasor usó alguna infraes-
tructura malintencionada para su uso personal y dejó un
enlace para su currículum, públicamente accesible.”
“Es evidente que a algunas personas no les importa
tanto la seguridad operativa como otras”, dice Doherty. Una táctica que ha sido utilizada de forma frecuente durante
“Considere por ejemplo el grupo Swallowtail [también los años para infectar a las víctimas de ataques dirigidos es la
conocido como APT 28 y Fancy Bear]. Los integrantes de explotación de vulnerabilidades de día cero, vulnerabilidades de
este grupo utilizan las mismas herramientas varias ve- software que eran anteriormente desconocidas y que no poseían
ces. No parece importarles mucho si las personas saben parches de corrección. Sin embargo, en los últimos años, el uso
quienes son los responsables del ataque. de vulnerabilidades de día cero se redujo y eso aparentemente
se confirma por nuestro análisis. Apenas 27% de los grupos que
investigamos poseen historial de utilización de vulnerabilidades
de día cero en algún momento en el pasado.
Volver al Índice
En el pasado, las vulnerabilidades de día cero eran una valiosa y Existen muchas técnicas utilizadas para ejecutar el movimiento
poderosa herramienta para los grupos de ataque dirigidos. Pero lateral y, en la mayoría de los casos, dejan pocas pistas. Hay
los grupos de ataque comenzaron a evitarlas utilizando tácti- registros de algunas técnicas comunes de movimiento lateral.
cas menos renombradas, básicamente, “herramientas del día a
Entre ellas, las credenciales robadas fue la técnica de movimiento
día”, al usar cualquier herramienta que consiga el acceso, como
lateral más observada. Generalmente, los grupos de ataques utili-
software legítimo de administración de red y recursos del sistema
zan herramientas de hackeo de software para obtener las creden-
operativo.
ciales de una computadora afectada y después utilizarlas para
intentar ingresar en otras computadoras de la red. El método
Uso de vulnerabilidades de día cero “pass the hash” - donde los grupos de ataques roban y reutilizan
Aproximadamente 75% de todos los grupos nunca fueron identificados la versión hash subyacente de una contraseña y, sin descodificar-
explotando vulnerabilidades de día cero.
la, es posible utilizarlo para autenticarse en otras computadoras
o servidores - fue usado por poco menos de 6% de los grupos.
Otra técnica común que observamos es la explotación de inter-
cambio de redes abiertas, utilizada por poco más de 4% de los
grupos.
Técnicas de movimiento lateral

El uso de credenciales robadas es la técnica de movimiento lateral más común
que observamos, usada por 7% de los grupos.
“enUna de las principales fases

la mayoría de los ataques
dirigidos es conocida como
movimiento lateral. Los grupos
de ataque difícilmente tienen la
Instrumentos de Trabajo:
posibilidad de lograr afectar de El malware detras de los ataques dirigidos
inmediato las computadoras en Malware continúa siendo una de las herramientas más importan-
”
tes que utilizan los grupos de ataques dirigidos. Si bien muchos
las que están interesados. grupos dependen del malware ahora es menos que anteriormente
(con el uso de herramientas de hackeo y software legítimo para
el recorrido de red, por ejemplo), el malware todavía es utilizado
con frecuencia en el “momento final” de un ataque común, para
Movimiento lateral
llegar al objetivo final del ataque, ya sea para obtener informa-
Una de las principales fases en la mayoría de los ataques diri- ción, robar, espiar, sabotear o cualquier otro tipo de compromiso.
gidos es conocida como el movimiento lateral. Los grupos de
ataque difícilmente tienen la posibilidad de lograr afectar de Para entender el escenario acerca de la utilización de esas herra-
inmediato las computadoras en las que están interesados. En mientas malintencionadas, hemos seleccionado 20 de los grupos
cambio, generalmente encuentran un camino para invadir la red de ataques dirigidos más activos en los últimos años y analizamos
de la víctima al infectar cualquier computadora disponible y uti- con profundidad las cifras (realizar este ejercicio para cada grupo
lizar esas computadoras como una base. A partir de este punto, implicaría muchos datos, asi que seleccionamos una muestra
explotarán la red, identificarán víctimas de interés y se desplaza- representativa).
rán por la red para infectar esas computadoras.
Volver al Índice
En los
últimos
3 años:
18
Principal cifra de
herramientas utilizadas
42 por un grupo
Cifra promedio
de organizaciones
4
Cifra promedio
afectadas por
de herramientas
grupo
malintencionadas
65
utilizadas por grupo
Cifra promedio
de individuos
1
Menor cifra de
afectados por herramientas utilizada
grupo por un grupo
*Con base en la selección de los 20 grupos más activos en los últimos años
Identificamos que, entre esos 20 grupos, la cifra promedio de Cuando se segmenta por ubicación geográfica, no nos sorprendió
herramientas utilizadas por cada grupo era 4. La mayor cifra descubrir que Estados Unidos fue el país más afectado por los
identificada fue 18 y está relacionada al grupo Lazarus, mencio- ataques dirigidos en los últimos tres años. Es un país muy pobla-
nado anteriormente. El número refleja el hecho que representa do, próspero y poderoso, de esta forma, es una región evidente de
una operación que se propaga con muchos intereses. interés para los grupos de ataques dirigidos.
¿Cómo se utilizan estas herramientas? En los últimos tres años, Del mismo modo, grandes países como India, Japón y Rusia son
en promedio, fueron afectadas 42 organizaciones por grupo. inclusiones esperadas en la lista. Otra evidente tendencia es que
Durante el mismo período, los mismos grupos afectaron en los países, centro de tensiones regionales con frecuencia son
promedio a 65 individuos. Si nuestra muestra de 20 grupos es atacados, como Taiwán, Ucrania y Corea del Sur.
representativa, un grupo común de ataques dirigidos afectará, en
promedio, a 14 organizaciones y a 22 individuos por año. Los 10 principales países afectados por los ataques dirigidos
Entre 2015 y 2017, EE.UU. fue el país más afectado por los ataques dirigidos.
¿Dónde están las víctimas?
¿Los ataques dirigidos son eventos comunes? ¿Cuán propagados
son estos ataques? Analizamos nuestros datos de infecciones por
malware exclusivamente asociado a los grupos de ataques dirigi-
dos y descubrimos que anualmente cientos de organizaciones son
afectadas por los ataques dirigidos.
Organizaciones afectadas por los ataques dirigidos

Cifra de organizaciones afectadas por ataques dirigidos por año, de 2015 a
2017.
Tras una disminución en 2016, el número de organizaciones afec-

tadas por ataques dirigidos en 2017 regresó a los mismos niveles
observados en 2015.
Volver al Índice
Si llega a ser víctima de un ataque, la posibilidad es de que el

compromiso inicial, la brecha en la cerca por la cual los res-
HISTORIAS DE ANALISTAS ponsables del ataque logran penetrar, sea creada por medio de
ingeniería social, en vez de algo técnicamente sofisticado, como
un exploit o una vulnerabilidad de día cero. Los correos electróni-
¿Cuáles son los principales grupos cos de spear phishing son el principal medio de ataque utilizado
actuales y de más duración? que observamos, es decir, un correo electrónico bien elaborado,
“Puede ser difícil establecer cuando un grupo inició sus enviado a un funcionario desprevenido, es la fuente más probable
actividades, pero con las pruebas que tenemos, Turla es de compromiso y puede ser la causa de una violación de seguri-
posiblemente uno de los grupos de más duración”, dice dad potencialmente grave.
Alan Neville. “Definitivamente están en operación desde
por lo menos 2005 y existen algunas investigaciones
relacionándolos a ataques en los años 90, lo que definiti-
vamente los ubicaría entre los más antiguos.”
Lectura Adicional
Greenbug cyberespionage group targeting Middle East, possible
“En la actualidad, Lazarus es posiblemente el grupo
links to Shamoon (Blog)
más grande”, dice Gavin O’Gorman. “Es difícil decir si el
grupo es un gran equipo o una combinación de grupos Shamoon: Multi-staged destructive attacks limited to specific
con acceso a las mismas herramientas. Es posible que targets (Blog)
haya muchas personas en su operación que resulta difí-
Longhorn: Tools used by cyberespionage group linked
cil mantener la seguridad operativa. Sabe cómo son los
to Vault 7 (Blog)
grandes equipos. Simplemente, las personas trabajan a
su propia manera, y es más difícil mantener el control WannaCry: Ransomware attacks show strong links to Lazarus
sobre ellas. group (Blog)
Bachosens: Highly-skilled petty cyber criminal with lofty ambi-
tions targeting large organizations (Blog)
Attackers are increasingly living off the land (Blog)
¿Qué podemos aprender con esos datos?
Dragonfly: Western energy sector targeted by sophisticated
Con base en los datos que hemos reunido aquí, ¿qué podemos attack group (Blog)
decir sobre los ataques dirigidos? ¿Corre algún riesgo? Si la res-
puesta es sí, ¿de qué forma está en riesgo? Sowbug: Cyber espionage group targets South American and
Southeast Asian governments (Blog)
Lo primero que podemos afirmar es que, si bien el número total
de organizaciones afectadas por ataques dirigidos es bastante Triton: New Malware Threatens Industrial Safety Systems (Blog)
bajo, el riesgo representado por un ataque es bastante elevado.
Esos grupos de ataques son especializados, poseen varios re-
cursos y son capaces de robar información valiosa o interrumpir
gravemente los negocios.
Por motivos evidentes, los países política y económicamente po-
derosos tienden a atraer más ataques que la mayoría. Sin embar-
go, si se encuentra en un país que es centro de tensiones políticas
regionales, es posible correr un riesgo mayor de ataque.
El interés más probable para un ataque es la recopilación de
información. Eso puede representar el robo de documentos y pro-
piedad intelectual, o puede implicar actos de espionaje contra su
equipo y clientes. Con esto en mente, los grupos de ataques harán
lo que esté a su alcance para evitar que los descubran y a veces
lograrán permanecer en la red de la víctima por varios meses.
Volver al Índice
Ransomware:
Más que
Cibercrimen
Ransomware: Más que Cibercrimen Página 35 ISTR Marzo 2018
Ransomware no es más una exclusividad de los codificada y fue copiada de un pedido de rescate de CryptoWall
ciberdelincuentes. Por varios motivos, los grupos publicada online. Si el ataque no hubiese sido investigado de for-
de ataques dirigidos también se han interesado en ma adecuada, la empresa podría haber asumido simplemente que
había sido afectada por un ataque de ransomware, aceptando sus
este segmento; para levantar fondos en moneda
pérdidas y no realizaría una investigación más detallada.
extranjera o utilizar ransomware falso como
cobertura para otros tipos de ataques. Observamos varios casos en el pasado en los que los grupos de
ataques utilizaron ataques DDoS para disfrazar invasiones. Sin
A fines de 2015, nos enfrentamos con una situación que, en la embargo, en 2015, el uso de ransomware por un grupo de ataques
época, era muy inusual. Una gran empresa en el Sureste Asiático dirigidos como señuelo era algo totalmente nuevo. Todo eso
nos solicitó investigar un ataque de ransomware de gran escala cambió rápidamente y, en 2017, dejó de ser algo inusual. Varios
en su red. Cientos de computadoras fueron afectadas, todas con grupos de ataques dirigidos descubrieron el valor del ransomware.
lo que parecía ser una variante del ransomware CryptoWall Encontraron variedad de usos para el y en la mayoria de los casos,
(Ransom.Cryptowall). Casi de inmediato, observamos que con efectos devastadores.
había algo muy extraño en este ataque.
Cuando analizamos las muestras del malware, descubrimos que,
de hecho, no había cifrado ningún archivo, algo diferente de una
acción normal de ransomware. En cambio, el malware simple-
mente sustituyó los archivos en el disco rígido por datos insig-
“cubrir
... los invasores intentaron
sus pistas, con la
nificantes. El malware era en realidad un agente para eliminar
informaciones (limpiador de disco), camuflado de ransomware. implantación del falso
¿Por qué los responsables del ataque se tomaron el trabajo de
intentar ocultar sus pistas de esa forma?
ransomware para eliminar la
Cuando analizamos el evento con más detalles, comenzamos a información de los discos de las
observar lo que había sucedido. La organización había sido víc-
tima de ataques dirigidos sofisticados y de larga duración. Cinco
meses antes del incidente de “ransomware”, varias computadoras
computadoras infectadas.
”
de la organización fueron afectadas por medio de una combina-
ción de correos electrónicos de spear phishing y páginas web de Ataques que generan ingresos
watering hole. Los grupos de ataques dirigidos generalmente no se involucran
A partir de ese compromiso inicial, los responsables del ataque en ataques con intereses financieros. Esto se debe a que, en la
utilizaron una combinación de malware y herramientas de prueba mayoría de los casos, son subsidiados por una nación y pueden
de penetración para robar credenciales, mapear la red de la orga- pagar por un equipo y herramientas caras (como vulnerabilidades
nización y afectar a varias computadoras, incluso los servidores de día cero).
de archivos, aplicaciones y correo electrónico. Cuando WannaCry (Ransom.Wannacry) apareció por primera
El verdadero objetivo del ataque fue el robo de datos y, durante vez, parecía improbable que un grupo de ataque dirigido fuese el
los cinco meses de invasión, los responsables del ataque lograron responsable. El ataque poseía las características de una opera-
robar miles de archivos de la organización. Cuando terminaron, ción de cibercrimen, algo que la mayoría de los grupos de ataque
los invasores intentaron cubrir sus pistas, con la implantación del dirigidos no adoptarían. Sin embargo, posteriormente descubri-
falso ransomware para eliminar la información de los discos de mos fuertes evidencias que el grupo Lazarus estaba detrás de la
las computadoras infectadas. amenaza.
Disfrazar el limpiador de disco como ransomware fue una acción Apesar de que era posible es posible que el motivo del ataque
inteligente. En la época, los ataques de ransomware comenzaron fuera interrumpir las actividades; si el motivo fuese financiero,
a alcanzar proporciones epidémicas. En una evaluación superfi- no sería la primera vez que Lazarus se involucraría en actividades
cial, el limpiador (que llamamos Trojan.Phonywall) se parecía de- de cibercrímenes, habiendo sido vinculado al asalto del Banco
masiado a CryptoWall, exhibiendo un pedido de rescate idéntico de Bangladesh y a varios otros grandes ataques bancarios. El FBI
al mensaje usado por CryptoWall. La única diferencia era la URL asoció el grupo a Corea del Norte, que está sujeta a sanciones y
de pago. Las URLs de pago de CryptoWall generalmente eran ex- obviamente en falta de reservas en moneda extranjera.
clusivas para cada infección, pero la URL usada por Phonywall era
Volver al Índice
Levantamiento del
ritmo de ataques
Ransomware falso “Phonywall” usado
NOV para ocultar los ataques dirigidos en
2015 el Sureste Asiático
Malware que elimina el contenido de

DIC discos (limpiador de disco) disfrazado
2015 de ransomware en ataques a Ucrania
WannaCry usa el exploit EternalBlue

MAY que había filtrado para propagarse
2017 globalmente en horas
Brote de Petya/NotPetya, con

JUN impacto principalmente Ukraine
2017 en Ucrania
Brote de BadRabbit, con

OCT impacto principalmente Russia
2017 en Rusia
WannaCry tuvo un enorme impacto y tenía el potencial de ser Ransomware como señuelo
extremadamente rentable. La principal razón para eso fue que
Los ataques para despertar la atención de las víctimas no son
incorporó el exploit EternalBlue que se había filtrado y usó dos vul-
nuevos, pero anteriormente, los grupos de ataque dirigidos
nerabilidades conocidas en Windows (CVE-2017-0144 y CVE-2017-
dependían de otros tipos de señuelo, generalmente los ataques
0145) para convertir el ransomware en un gusano, capaz de propa-
distribuidos de negación de servicio (DDoS). Los ataques DDoS
garse en cualquier computadora de la red de la víctima y también
pueden hacer que una organización quede offline, porque los ad-
hacia otras computadoras vulnerables conectadas a Internet.
ministradores de sistemas estarán ocupados en el intento de im-
Pocas horas después de su lanzamiento, WannaCry había infectado
pedir el ataque DDoS y pueden estar demasiado distraídos para
a cientos de miles de computadoras alrededor del mundo.
observar actividades sospechosas en sus redes, que indiquen que
A pesar de que WannaCry haya llamado la atención del mundo un ataque dirigido está en marcha.
y causado una relevante interrupción de actividades, desde el
Como fue mencionado anteriormente, vimos el primer caso de
punto de vista financiero el ataque fue un fracaso. Sus autores
ransomware usado como señuelo a fines de 2015. Sin embargo,
fracasaron en la implementación del mecanismo de pago. El obje-
hasta el final de 2016, otros grupos de ataques dirigidos adopta-
tivo de WannaCry era generar una dirección de cartera de Bitcoin
ron la táctica. Uno de los ejemplos más destacados, fue el grupo
exclusiva para cada computadora infectada, pero, debido a un
de ciberespionaje Sandworm, que creó una nueva versión de su
bug, presentó una falla y fue dirigida a las tres direcciones codi-
destructivo troyano Disakil (Trojan.Disakil), que fue disfrazado de
ficadas de Bitcoin directo al programa para el pago. Los respon-
ransomware.
sables del ataque no tenían como saber cuáles eran las víctimas
que habían pagado usando las direcciones codificadas, de esta Desarrollado para ser ejecutado en computadoras Linux, básica-
forma, cuando se volvió conocimiento público, las víctimas tenían mente los tornaba inutilizables al cifrar los archivos esenciales
poco incentivo para pagar el rescate. del sistema operativo. Cuando finalizaba el cifrado, se mostraba
un mensaje solicitando un rescate de 222 Bitcoin (aproximada-
Así mismo, los autores incluyeron un “killswitch” en el malware.
mente US$ 250.000 en aquel momento). El pago del rescate no
Esta era la dirección de un dominio inexistente. WannaCry veri-
descodificaba los archivos afectados, pues las claves de cifrado
ficaba si el dominio estaba activo y, si lo estuviese, dejaría de ser
generadas en la computadora infectada no eran guardadas local-
instalado. El recurso obviamente tenía el objetivo de permitir que
mente ni en un servidor de comando y control (C&C).
los responsables del ataque lo interrumpiesen si fuera necesario.
No obstante, este detalle fue rápidamente encontrado por un in- Esta versión de Disakil fue usada en varios ataques contra la
vestigador de seguridad que registró el dominio, limitando de esa compañía eléctrica ucraniana y también en intentos de ataques
forma los daños de WannaCry en el mismo día de su lanzamiento. contra el sector financiero y de transporte en Ucrania. Así como
en los ataques DDoS, el uso del ransomware como señuelo tuvo
Si se hubiera configurado de forma correcta, WannaCry podría
un efecto similar, al causar confusión entre las víctimas y atrasar
haber generado ingresos de decenas de millones de dólares para
una respuesta efectiva.
sus creadores.
En los últimos años, la cantidad de ransomware distribuido se
“unaAtaques
expandió de forma rápida, tornándose una de las amenazas más
DDoS pueden hacer que comunes de cibercrímenes. Su omnipresencia hace que sea una
organización quede offline, cobertura perfecta para los ataques. En la actualidad está tan
difundido que los administradores no pueden sorprenderse con
porque los administradores de un ataque de ransomware o cuestionarse una aparente infección
de ransomware.
sistemas estarán ocupados en
el intento de impedir el ataque
DDoS y pueden estar demasiado
distraídos para observar
actividades sospechosas en sus
redes, que indiquen un ataque
dirigido está en marcha.
”
Volver al Índice
Principales ataques
malware destructivo
Descubrimiento del gusano
JUL Stuxnet, dirigido al programa
2010 nuclear iraní
AGO El troyano Shamoon, que elimina

el contenido de discos, usado
Saudi
2012 contra víctimas en Arabia Saudita Arabia
Ataques a bancos y emisoras de TV

MAR de Corea del Sur para eliminar el
2013 contenido de discos lanzados
Malware usado para eliminar el

DIC contenido de discos en el ataque a
2014 Sony pictures (EE.UU.)
NOV Nuevos ataques a Arabia Saudita Saudi

2016 con el uso de Shamoon Arabia
Malware usado para eliminar el

DIC contenido de discos en ataques al
2016 sector energético de Ucrania
Petya/NotPetya afecta a varias

JUN organizaciones, principalmente Ukraine
2017 en Ucrania
Intentos de infección por malware destructivo se reiniciaba la computadora, cifraba completamente el disco rígido
Intentos mensuales de infección con la participación de malware destructivo y presentaba un pedido de rescate al usuario. Este pedido de rescate
asociado a los grupos de ataques dirigidos. exhibía una “clave de instalación”, que era una cadena de caracteres
generada de forma aleatoria. Una clave Salsa20 generada de forma
aleatoria se utilizaba a continuación para cifrar el disco. El problema
es que no existía relación entre la “clave de instalación” y la clave
Salsa20. Como el disco no podría ser descodificado, Petya/NotPetya
no era realmente un ransomware. Era un limpiador de disco.
Así mismo, al contrario de WannaCry, Petya/NotPetya no fue
desarrollado para propagarse de forma indiscriminada. En cambio, el
ataque fue proyectado para afectar principalmente a organizaciones
en Ucrania. Las infecciones iniciales fueron distribuidas mediante
una versión con troyano de M.E.doc, una solución de software de
contabilidad e impuestos que es ampliamente utilizada en Ucrania.
Los responsables del ataque lograron afectar la página web de
Ransomware como una herramienta M.E.doc y hacer el upload de una versión con troyano de una
disruptiva actualización de software.
La introducción de ransomware como un señuelo, seguida del Los ataques disruptivos son una evolución de los ataques señuelo.
surgimiento del WannaCry, produjo la llegada de un tercer tipo de La inclusión de un mecanismo de autopropagación demuestra que el
ataque, básicamente, el ransomware como una forma de ataque ataque es más amplio. Mientras el ransomware todavía actúa como
disruptivo. señuelo, el objetivo final del ataque no es ocultar, sino interrumpir las
El primer caso y más notable de ese uso fue Petya/NotPetya actividades y generar confusión en las organizaciones afectadas.
(Ransom.Petya). Cuando surgió, inicialmente parecía ser una Al instalarse en una computadora dentro de una organización,
imitación de WannaCry. Petya/NotPetya comenzaba a intentar propagarse hacia otras
computadoras en la red, al construir una lista de direcciones IP y usar
EternalBlue y otras técnicas de distribución SMB para infectarlas. Se
“el Así como en los ataques DDoS,

uso del ransomware como
propagó también a direcciones IP externas, pero apenas a las que
estaban de alguna forma conectadas a la organización infectada.
A pesar de que fueron afectadas algunas organizaciones fuera de
Ucrania, estas básicamente representaron daños colaterales, en
señuelo tuvo un efecto semejante, lugar de intencionales.
al causar confusión entre las El impacto real de Petya/NotPetya fue altamente dirigido contra
Ucrania y extremadamente disruptivo, porque eliminó la información
víctimas y retrasar una respuesta de todas las computadoras infectadas. El momento del ataque
efectiva.
” también parece haber sido proyectado para causar el máximo efecto
disruptivo, pues se produjo el 27 de junio, un día antes del Día de la
Constitución de Ucrania, un feriado nacional.
Como WannaCry, Petya/NotPetya también usó el exploit Eternal-
Blue para propagarse, además de incorporar otras técnicas para ¿Imitación o represalia?
difundirse en la red del Server Message Block (SMB), lo que signi-
Varios meses después del brote de Petya/NotPetya, comenzó
fica que podia propagarse en las organizaciones a las computado-
a propagarse una amenaza muy similar. BadRabbit (Ransom.
ras que recibieron el parche de corrección contra EternalBlue.
BadRabbit) apareció el 24 de octubre de 2017 y fue altamente
Sin embargo, Petya/NotPetya contenía algunas diferencias dirigido contra Rusia (que representó el 86% de los intentos de
esenciales en relación a WannaCry, que revelaron el motivo de infección en las primeras 24 horas). El método inicial de infec-
los responsables del ataque. Inicialmente, los discos cifrados por ción fue por descargas drive-by en páginas web afectadas, con el
Petya/NotPetya no podian ser recuperados. Cuando se ejecutaba, malware disfrazado de una actualización falsa para Adobe Flash
escaneaba el disco rígido por 65 tipos diferentes de archivos y ci- Player™. Al infectar sitios web rusos, los responsables del ataque
fraba todos los que encontraba. La clave era cifrada con una clave garantizaron que las víctimas estaban concentradas principal-
pública integrada y anexada a un archivo README.TXT. Cuando mente en aquel país.
Volver al Índice
¿Por qué los grupos de
ataques dirigidos comenzaron
a usar ransomware?
Decoy
Revenue
Disruption
Señuelo
Ingreso
Disruptivo
Petya/
Disakil NotPetya
{{ Camuflaje perfecto para un
ataque dirigido. Los ataques {{ Tornar el ransomware imposible
de ransomware son bastante de descodificar lo transformó
comunes y pueden no presentar efectivamente en un limpiador
sospechas. de disco.
{{ Cifrar o eliminar datos de {{ El uso de ransomware ocultaba el

computadoras puede ocultar verdadero motivo disruptivo del
evidencias de una invasión. ataque.
WannaCry
{{ Fuente potencial de ingreso en moneda
extranjera para naciones con dificultades
financieras.
{{ El uso del exploit EternalBlue convirtió

el ransomware en un gusano y afectó a
cientos de miles de víctimas en potencial.
Así como Petya/NotPetya, BadRabbit era capaz de autopropa- ¿Fenómeno a corto plazo o tendencia a largo
garse e intentaba difundirse por la red de la víctima vía SMB
plazo?
y Mimikatz (Hacktool.Mimikatz), una herramienta de hackeo
utilizada para robar contraseñas. El malware también utiliza una Los grupos de ataques dirigidos que utilizan ransomware son
lista codificada de credenciales estándar comúnmente usadas un desarrollo muy reciente y todavía no se sabe si esa tendencia
para intentar adivinar contraseñas, junto con EternalRomance, continuará en 2018.
un exploit similar a EternalBlue. WannaCry fue el único caso confirmado de un grupo de ata-
Al contrario de Petya/NotPetya, BadRabbit era un ransomware que dirigido que utilizó ransomware para fines financieros. Sin
verdadero y la descodificación era posible. Tras la reinicialización embargo, desde el punto de vista de generación de ingresos, fue
del sistema, se exhibía un pedido de rescate, con la exigencia un fracaso. Su configuración con error produjo rendimientos
de un rescate de 0,05 bitcoins (aproximadamente US$ 280 en el limitados para los responsables del ataque. Lazarus, el grupo
momento del ataque). responsable de WannaCry, tuvo mucho más éxito con asaltos a
bancos virtuales, por lo tanto, es posible que el grupo abandone
El hecho de ser un ransomware funcional puede significar que los el ransomware como un experimento fracasado.
responsables del ataque vieron el impacto de Petya/NotPetya y
de manera oportuna crearon una versión que era una imitación Por una parte, el ransomware es una forma barata y fácil de
en la esperanza de obtener dinero. Sin embargo, si ese fue real- señuelo o interrupción de actividades. No se necesita un comple-
mente el caso, ¿por qué BadRabbit fue dirigido principalmente jo trabajo de desarrollo y, en muchos casos, las variantes no son
a Rusia? ¿Un grupo de ataque en Ucrania pensó que Rusia fue desarrolladas desde cero, en cambio, se adaptan de amenazas
responsable de Petya/NotPetya? Caso afirmativo, ¿BadRabbit fue preexistentes. Incluso la incorporación del exploit EternalBlue
su represalia? Varias preguntas continúan sin respuestas. en WannaCry era poco sofisticado, básicamente una actividad de
copiar y pegar el código. Por otro lado, realizar un ataque DDoS,
la forma tradicional de señuelo, requiere mucho más tiempo,
“queLosutilizan
esfuerzo e infraestructura.
grupos de ataques dirigidos
El ransomware sigue siendo una de las principales amenazas
ransomware son un online enfrentadas por las organizaciones y los consumidores.
Nuestra propia telemetría sugiere que las infecciones por ranso-
desarrollo muy reciente y todavía mware continuaron su crecimiento en 2017. Su omnipresencia
no se sabe si esa tendencia demuestra que puede continuar siendo un disfraz perfecto para
otras formas de ataque.
continuará en 2018.
” Lectura Adicional
Destructive Disakil malware linked to Ukraine power outages also
used against media organizations (Blog)
What you need to know about the WannaCry Ransomware (Blog)
WannaCry: Ransomware attacks show strong links to Lazarus
group (Blog)
Petya/NotPetya ransomware outbreak: Here’s what you need to
know (Blog)
BadRabbit: New strain of ransomware hits Russia and Ukraine
(Blog)
Ransomware 2017: An ISTR special report (white paper)
Volver al Índice
Infectar la
Cadena de
Suministros
de Software
Infectar la Cadena de Suministros de Software Página 43 ISTR Marzo 2018
Hubo por lo menos un gran ataque contra la 04 Infiltración de víctimas aisladas, como aquellas en ambientes
cadena de suministros de actualización de industriales
software reportado por mes en 2017. 05 Es difícil que las víctimas identifiquen los ataques, porque
los procesos confiables son mal utilizados
Esta es una evidente señal de una creciente tendencia, conside-
rando que un promedio de tres casos similares fueron relatados 06 Puede proporcionar privilegios elevados al responsable del
por año entre 2013 y 2016. El número real puede ser mucho ma- ataque durante la instalación
yor, considerando que algunos casos menores pueden no haber
Los responsables de los ataques normalmente utilizan ataques
sido informados al público. Una extensión de la reciente tenden-
a la cadena de suministros de actualización de software para
cia de “uso de herramientas de día a día”, ese tipo de ataque se
infiltrarse en organizaciones bien protegidas, donde los vecto-
produce cuando los grupos de ataques sofisticados manipulan
res tradicionales de infección no obtienen éxito. Es demasiado
las cadenas de suministros de software para infiltrarse hasta en
frecuente que los grupos de ataques dirigidos busquen el eslabón
las redes más protegidas. Uno de los motivos por los cuales los
más débil en la cadena.
responsables de los ataques optaron por secuestrar las actuali-
zaciones de software es que está quedando cada vez más difícil Al distribuir malware a través de un canal de distribución ya esta-
encontrar vulnerabilidades de día cero explotables que puedan blecido, los grupos de ataques pueden afectar a un gran volumen
utilizarse. Por lo tanto, los ataques a la cadena de suministros de computadoras en un corto período, especialmente si el softwa-
son una alternativa eficiente para lograr sus objetivos y posible- re afectado posee un mecanismo de actualización automatizado
mente seguirán creciendo. es posible alcanzar todo esto, sin la necesidad de un exploit que
pueda utilizarse para propagarse en la red.
Un ataque a la cadena de suministros de actualización de sof-
tware en el segmento de seguridad de TI puede ser definido de la
“normalmente
siguiente forma:
Implantar un malware en un paquete de software legítimo
Los responsables de los ataques
en su ubicación de distribución habitual; esto puede ocurrir utilizan ataques
durante la producción en el proveedor del software, en
un local de almacenamiento de terceros o a través de a la cadena de suministros de
redireccionamiento.
actualización de software para
El escenario típico de ataque involucra la sustitución de una
actualización de software legítima por una versión malintencio- infiltrarse en organizaciones
nada, para distribuirla de forma rápida y oculta a las víctimas
deseadas. Cualquier usuario que aplique automáticamente la bastante protegidas, donde
actualización de software tendrá su computadora infectada y
proporcionará al grupo de ataque una posición segura en su red.
los vectores tradicionales de
Esto no se aplica solamente a equipos de escritorio, lo mismo se
aplica a los dispositivos IoT y a los componentes industriales de
control.
infección no logran éxito.
”
De acuerdo con el paquete de software seleccionado, los ataques
a la cadena de suministros pueden permitir infecciones semidi-
Motivaciones para los grupos de ataques rigidas. Por ejemplo, los responsables del ataque pueden tener
Existen seis motivos principales por los cuales la cadena de sumi- como objetivo un sector específico, al aprovechar el software que
nistros de actualización de software es atractiva para los grupos es utilizado principalmente en ese sector. Las actualizaciones de
de ataques: software con troyano también pueden permitir que los grupos de
01 Infiltración de organizaciones bien protegidas, al aprovechar ataques invadan redes “air-gapped”, ya que los administradores
un canal confiable de sistema generalmente copian la actualización de software
para la red separada o la instalan desde un pendrive.
02 Distribución rápida: el número de infecciones puede crecer
de forma rápida conforme a las actualizaciones automáticas El incidente de Petya/NotPetya en junio de 2017 fue un ejemplo
de los usuarios de cómo la cadena de suministros puede ser violada para implan-
tar de forma rápida malware en una región específica.
03 Enfoque en regiones o sectores específicos
Volver al Índice
Métodos de ataque a la
cadena de suministros de
actualización de software
Afectar directamente al
proveedor de software
Secuestro de DNS, Secuestro de

dominios, ruteo IP o servicios de
tráfico de red hosting de terceros
En el caso de Petya/NotPetya (Ransom.Petya), un software de hasta haber sido puesto en la whitelist de la organización de la
contabilidad ucraniano fue violado para distribuir la carga útil. víctima. Así mismo, la descarga inicia a partir de una aplicación
Por lo tanto, no nos sorprende que más del 96% de las empresas segura que posee el permiso necesario para realizar conexiones
que realizaron la descarga de la actualización malintencionada de red y ejecutar binarios descargados. En algunos casos, incluso
estaban ubicadas en Ucrania. Esta cifra incluye apenas organi- el binario descargado posee un certificado digital válido. Particu-
zaciones que fueron infectadas directamente por la descarga del larmente, eso puede tornar difícil la interrupción de los tipos de
software infectado; no considera a las empresas que fueron pos- ataques.
teriormente infectadas a través del exploit EternalBlue o debido
al uso de credenciales robadas.
Si bien los grupos de ataques no pueden controlar totalmente
quien es infectado en un ataque a la cadena de suministros de
actualización de software, también pueden usar el malware de
“directo
El camino de ataque más
es cuando un grupo de
la primera fase para analizar la víctima y, enseguida, implantar
solamente la carga de segunda fase para las víctimas de interés.
ataque logra afectar al proveedor
Este fue el caso durante el incidente de CCleaner. de un paquete de software
Los ataques a la cadena de suministros bien orquestados son
difíciles de detectar para el usuario común. La actualización con
troyano se descarga de un dominio legítimo y seguro que puede
directamente.
”
Volver al Índice
Afectar directamente al proveedor de software A veces, ninguna actividad de hackeo está involucrada, si el
El camino de ataque más directo es cuando un grupo de ataque ataque se produce en el momento oportuno. De manera sorpren-
logra afectar al proveedor de un paquete de software directamen- dente, no es difícil que las organizaciones se olviden de renovar
te. Este método fue utilizado con gran eficacia en la campaña de los dominios que adquirieron hace algún tiempo para diversos
ataque Petya/NotPetya en junio de 2017. usos, como por ejemplo promociones por un período limitado. Un
grupo de ataque entonces puede registrar uno de esos dominios y
En un escenario de compromiso directo, el grupo de ataque potencialmente utilizarlo para controlar todos los datos retor-
altera el paquete de actualización con una versión malintencionados a los visitantes del dominio. Existen cientos de casos de
nada modificada. La manera más fácil de lograrlo es infectar el subdominios secuestrados de grandes empresas que apuntaban
servidor web donde están alojados los paquetes de actualización, hacia dominios caducados.
por ejemplo, a través de una vulnerabilidad en la herramienta de
gestión de contenido. El grupo de ataque logra éxito absoluto si Border Gateway Protocol (BGP) administra como se rutean los
consigue el acceso total al entorno de desarrollo. Esto se puede paquetes en Internet y, por lo tanto, es responsable de definir el
lograr a través de un ataque exitoso de spear phishing contra un camino por el cual un recurso, como una dirección IP, puede ser
desarrollador, o mediante el uso de cualquier vector común, como alcanzada. A través de la modificación del ruteo de BGP, se puede
sitios web infectados o robo de credenciales. redireccionar direcciones IP que pertenecen a otras entidades
hacia un nuevo destino. Un caso de secuestro de BGP en diciem-
De acuerdo con el acceso obtenido, el grupo de ataque también bre de 2017 produjo que algunas direcciones IP que pertenecen a
puede adquirir certificados digitales, permitiendo que se suscri- Microsoft y Apple, entre otros, fuesen redireccionados por Rusia.
ban con el código de la actualización con un troyano. Eso produce Eso permite que los grupos de ataques intercepten solicitudes
una actualización malintencionada con una suscripción digital de actualizaciones de esas direcciones IP y, a su vez, envíen una
legítima y segura que no puede ser distinguida por el usuario. Es actualización con un troyano. Por supuesto, no siempre es tan
evidente que los grupos de ataques con un acceso tan profundo fácil. Por ejemplo, se necesita suscribir a las actualizaciones de
también pueden modificar cualquier información publicada en el Windows para que se ejecuten por Microsoft, pero, como vimos
sitio web de descarga, como el tamaño del archivo, el número de en el pasado con la amenaza Flamer, pueden haber vulnerabilida-
la versión o el valor de hash de la actualización modificada. Por des que permitan que los grupos de ataques eviten esa medida de
lo tanto, esos atributos no son la garantía de una actualización seguridad.
legítima.
Si el grupo de ataque tiene el control sobre una red establecida
Generalmente, ese tipo de ataque es el más difícil de ser condu- como blanco, tal vez porque creó un punto falso de acceso WiFi o
cido, sin embargo también el más difícil de ser detectado por el porque tienen acceso al ISP usado por la víctima, pueden buscar
usuario. Por ese motivo, es altamente eficaz. la alteración de cualquier actualización solicitada de archivo
a través del uso de un ataque man-in-the-middle (MitM). En
Secuestro de DNS, dominios, ruteo IP o tráfico de red
septiembre de 2017, algunas variantes del malware FinFisher
Algunas veces, incluso la víctima de la cadena de suministros es parecen haber usado ese vector de ataque para afectar a las
atacado indirectamente - un ataque de la cadena de suministros computadoras de sus víctimas.
contra la propia cadena de suministros, por así decirlo. En el
actual mundo interconectado de TI existen muchas interdepen- Secuestro de servicios de alojamiento de terceros
dencias entre empresas que pueden ser utilizadas de manera No todos los proveedores alojan software en su propia infraes-
indebida. Por ejemplo, los grupos de ataques pueden intentar tructura. Algunos utilizan almacenamiento en la nube distribuido
atacar al registrador de dominios para alterar los servidores alrededor del mundo, y otros, especialmente los proyectos de
de nombres registrados de un determinado dominio o incluso código abierto, generalmente están alojados en proveedores de
transferir por completo el dominio. Otro método implica invadir servicios como GitHub. Los grupos de ataques pueden realizar al-
un servidor DNS para alterar la resolución del dominio hacia una teraciones sutiles en el código fuente que pueden ser explotados
dirección IP diferente bajo el control del grupo de ataque. Ambos en campañas futuras. En muchos proyectos, esas modificaciones
ataques redireccionarán a los visitantes del dominio al servidor son revisadas y pueden ser identificadas. Un método más común
del grupo de ataque. Ya hemos observado la presencia de la pla- es robar las credenciales de alguien que posea autorización
taforma online de un banco ser completamente tomada de esta para cargar nuevos binarios. Por lo tanto, no nos sorprende ver
forma. Si bien, en ese caso, el objetivo principal parece haber sido muchos ataques de phishing contra cuentas de desarrolladores,
redireccionar a los visitantes hacia sitios web de phishing, es una lo que puede facilitar futuros ataques a la cadena de suministros
técnica que podría ser fácilmente utilizada para enviar actualiza- de actualización de software.
ciones con troyanos.
Volver al Índice
Ataques a la Cadena
de Suministros
2017
• Versión con troyano de Yeecall Pro para Android usada como RAT
FEB • Campaña Kingslayer secuestra actualizaciones de software del
administrador de sistemas
MAR Instalador de Adobe Reader incorpora malware
• Herramienta de vídeo HandBrake utilizada para instalar malware
2015 2016
MAY • Operación WilySupply afecta a las actualizaciones de herramientas
de edición
Software de seguridad
Actualización del EvLog afectada Herramienta de actualización del M.E.Doc utilizada para distribuir
ABR con malware SEP de Corea del Sur utilizado JUN Petya/NotPetya
para instalar malware
Herramienta de procesador
Grupo de ataque secuestra por
MAY de texto japonés utilizada para OCT completo DNS de banco brasileño JUL Software ePrica Pharmacy instala un troyano backdoor
instalar malware
XcodeGhost: Malware Barra de herramientas Ask • Herramienta CCleaner inyectada con malware
JUN encontrado en el entorno
de desarrollo de Apple
NOV Network utilizada para AGO • Backdoor encontrado en el servidor de gestión del software
NetSarang software
instalar malware
Herramienta de actualización
Backdoor encontrado en el • Módulos Python modificados encontrados en el repositorio oficial
DIC firewall de Juniper Networks DIC de Ask Partner Network utilizada SEP • Malware “ExpensiveWall” encontrado en Android SDK
para instalar malware
OCT Elmedia Player para Mac OS X incorpora malware
NOV Cartera Bitcoin Gold sustituida por malware
Plugins de WordPress utilizados para

DIC instalar backdoors
Otros métodos de ataque a la cadena de suministros el grupo de ataque, antes de llegar al destino establecido como
Existen otros métodos de ataque a la cadena de suministros de objetivo. También observamos grupos de ataque que robaron da-
software que no implantan un backdoor en una actualización de tos de clientes de un proveedor, porque era más fácil afectarlo en
software, pero utilizan de forma indebida la conexión y las rela- lugar del objetivo principal. Para las grandes empresas, es difícil
ciones entre las compañías. A continuación, ejemplos de cómo la controlar muchas veces lo que sucede con los datos confidencia-
cadena de suministros puede ser explotada más allá del secues- les luego que abandonan su propia red.
tro de actualizaciones.
Aplicaciones deliberadamente malintencionadas
Uso indebido de cuentas Incluso hubo algunos ataques en los que, en vez de afectar al
Esos ataques usan de forma indebida el permiso de acceso de proveedor de software, el responsable del ataque simplemente
proveedores de servicios. Si bien son llamados, de manera fre- compró los derechos del paquete de software y envió una actua-
cuente, ataques de la cadena de suministros, presentan algunas lización malintencionada a la base existente de usuarios. No es
diferencias. Uno de los casos más discutidos es un ataque repor- necesario afectar al proveedor del software si es el propietario
tado contra Target™ en 2013 que ocasionó una gran violación de del software. En otros casos, un insider malintencionado o un
datos. Los responsables del ataque supuestamente lograron usar ex-funcionario que aún tenía el acceso alteró de forma deliberada
de forma indebida las credenciales robadas de un proveedor de la actualización de software.
sistemas AVAC para obtener el acceso inicial a la red de la víctima. Un escenario similar ocurre cuando se envían enlaces en correos
Se produjeron innumerables incidentes similares en los cuales los electrónicos de spam que llevan a falsas páginas web con paque-
invasores robaron las credenciales de VPN y SSH de los funciona- tes de software clonados.
rios de prestadores de servicios que tenían el acceso remoto a las
computadoras de interés en las organizaciones establecidas como Del mismo modo, los ataques oportunistas pueden ocurrir si un
objetivos finales. Hubo incluso casos en los que un proveedor de usuario consulta una herramienta, por ejemplo, para edición de
correo electrónico de redefinición de contraseña fue afectado para vídeo, pero es dirigido a una página web falsa que ofrece una
asumir el control de las cuentas. El control del servicio de rede- versión infectada. Tales casos pueden detectarse por medidas
finición permitió que el responsable del ataque definiese nuevas de protección bastante conocidas y el software solamente debe
contraseñas para cualquier cuenta, sin exigir acceso a la misma. descargarse de fuentes seguras. La misma medida debe aplicarse
al comprar equipos de hardware.
“
Infecciones colaterales
No es necesario afectar al Naturalmente, también existen infecciones por daños colaterales
proveedor del software si es el que pueden producirse en un proveedor de software. Por ejemplo,
es posible que la computadora de un desarrollador sea infectado
propietario del software.
” por un archivo con malware que infecta el paquete de software pú-
blico antes de la distribución. Otro ejemplo son los pendrives que
se infectan en el local de fabricación, porque una de las máquinas
Ataques de Watering hole estaba infectada con un gusano que se copió a todos los pendri-
Los ataques a la cadena de suministros de actualización de software ves conectados. Esas infecciones también pueden propagarse de
son diferentes de los ataques clásicos de watering hole, en los que forma rápida, pero generalmente no son intencionales ni dirigidas.
un grupo de ataque afecta a una página web de interés al grupo de
víctimas e implanta un exploit que afectará a las computadoras de
Estudios de caso
las víctimas. Esos ataques de watering hole, que generalmente se
observan durante los ataques dirigidos, intentan explotar una vulne- CCleaner
rabilidad en lugar de secuestrar el proceso de actualización segura. En agosto de 2017, una herramienta popular de limpieza de datos
de sistemas, llamada CCleaner, fue víctima de grupos de ataques
Ataques de Proceso
a la cadena de suministros. Un grupo desconocido de ataque
Una alternativa de ataque similar también existe para los ataques obtuvo el acceso al entorno de desarrollo de la empresa, lo que
disruptivos y los ataques de hardware. Los responsables del ata- les permitió crear y distribuir una versión malintencionada de la
que pueden bloquear a los proveedores de suministrar las piezas herramienta durante el proceso de actualización. El éxito de la
adecuadas para líneas de producción en el tiempo correcto, o campaña fue auxiliado por el hecho de que los responsables del
peor, alterar el orden de algunas piezas, ocasionando la interrup- ataque lograron suscribir la actualización con un troyano con la
ción del proceso de producción. También existe la posibilidad de firma digital oficial del fabricante.
que el hardware recién comprado fue infectado o manipulado por
Volver al Índice
Entre el 15 de agosto y el 12 de septiembre, la versión infectada, Petya/NotPetya y M.E.doc

CCleaner v5.33.6162, y la versión de la nube fueron distribuidas En junio de 2017, el troyano de eliminación de datos Petya/
a los clientes. Según datos de Avast, la versión modificada fue NotPetya se propagó de forma rápida y afectó a miles de compu-
descargada 2,27 millones de veces. Nuestra telemetría muestra tadoras. El análisis mostró que M.E.Doc, un paquete de software
que la mayoría de las descargas se produjo en EE.UU., seguida de contabilidad e impuestos, fue utilizado para la introducción
por Alemania. inicial de Petya/NotPetya en las redes corporativas. Tras estable-
cer una posición inicial, Petya/NotPetya utilizó varios métodos
Infecciones de CCleaner por país para propagarse por las redes corporativas.
Estados Unidos fue la principal víctima, en segundo lugar Alemania
El análisis en el local indica que los responsables del ataque
utilizaron credenciales robadas para alterar la configuración del
servidor web del M.E.doc. Eso permitió que los invasores redirec-
cionasen cualquier solicitud al servidor de actualización hacia un
servidor malintencionado bajo su control. El análisis también mos-
tró que el proceso de actualización ya había sido afectado en abril
de 2017. Hasta junio, se enviaron por lo menos tres actualizacio-
nes malintencionadas. A continuación, el backdoor accionaba de
forma periódica el mismo servidor de actualización para cualquier
comando adicional a ser ejecutado y retornaba alguna informa-
ción del sistema dentro de un cookie HTTP, incluyendo configura-
ciones de proxy local con contraseñas, para evitar la detección.
Ese backdoor de primera fase, detectado como Trojan.Sibakdi, Este mecanismo de backdoor fue finalmente utilizado para des-
es una herramienta típica de reconocimiento y recopilación de cargar y ejecutar el malware de eliminación de datos de Petya/
información del sistema, como el nombre de la computadora, los NotPetya.
paquetes de softwares instalados, la lista de procesos en ejecu-
ción y otra información, y las envia de vuelta al atacante con una
solicitud HTTPS POST. Conclusión
Con el aumento de los ataques a la cadena de suministros en
El malware utiliza trucos clásicos para evitar la detección automa-
2017 y el éxito de varias campañas, es posible que los grupos de
tizada. Por ejemplo, el malware intenta conectar a una dirección IP
ataques continúen usando ese método de ataque. Ya en 2018,
multicast local y utiliza un tiempo límite definido como 601 segun-
vimos algunos ataques en los que se utilizó ese método: uno diri-
dos. Por consiguiente, el malware queda en reposo por 10 minutos
gido a un software de foro y otro dirigido a los usuarios Mac.
en un intento de evitar la detección automatizada de sandbox.
SI bien es difícil protegerse contra los ataques a la cadena de
La información recopilada de la primera carga útil entonces es
suministros, se pueden seguir algunos pasos, inclusive la prueba
utilizada para restringir la lista de víctimas interesantes a algunas
previa de nuevas actualizaciones, aparentemente legítimas,
empresas de tecnología. Esas computadoras afectadas recibieron
en pequeños entornos de prueba o sandboxes, para detectar
una segunda carga útil (Trojan.Famberp). El análisis de los archi-
cualquier comportamiento sospechoso. Sin embargo, los grupos
vos de log en el servidor de comando y control (C&C) reveló que
de ataques pueden aplicar trucos demasiado conocidos para
aproximadamente 20 víctimas seleccionadas en todo el mundo
retrasar el comportamiento malintencionado, para no atraer la
recibieron una segunda carga útil entregada por el backdoor
atención durante ese tipo de análisis.
descartado.
El monitoreo de comportamiento de todas las actividades en un
El grupo de ataque utilizó de forma indebida DLLs de versiones
sistema también puede ayudar a identificar normas indeseadas
anteriores del software y las modificó con códigos malintencio-
y permitir que bloquee una aplicación sospechosa antes que
nados. En sistemas de 32 bits, VirtCDRDrv32.dll, que formaba
ocasione algún daño. Esto es posible porque el comportamiento
parte de una versión más antigua de WinZip, y en sistemas de 64
de una actualización malicioso será diferente de lo esperado en
bits, EFACli64.dll, que formaba parte de un paquete más antiguo
un software auténtico.
de Symantec Endpoint Protection, era usado como modelo. Esas
DLLs fueron modificadas, recibieron troyanos y no fueron más Para finalizar, los responsables de los paquetes de software deben
firmadas digitalmente. El código malintencionado simplemente garantizar que sean capaces de detectar alteraciones indeseadas
fue inyectado en las mismas. en el proceso de actualización de software y en su página web.
Volver al Índice
Escenario
de Amenazas
Contra
Dispositivos
Móviles
Escenario de Amenazas Contra Dispositivos Móviles Página 50 ISTR Marzo 2018
Cada año continúan creciendo las amenazas en el Cifra de nuevas familias de malware móviles identificadas
segmento de dispositivos móviles. En 2017, hubo La cifra de nuevas familias de malware para dispositivos móviles creció 12% en
2017, en comparación con 2016.
un aumento de 54% en la cifra de nuevas variantes
de malware y no es apenas el volumen que presenta 2016 2017 Variación
crecimiento. Los grupos de ataques desarrollaron Nuevas Familias de Malware
nuevos métodos de infección y trucos para permanecer 361 405 12%
para Dispositivos Móviles
en los dispositivos afectados por el mayor tiempo
posible. También establecen una variedad de formas
para generar ingresos con los dispositivos, desde
ransomware a la minería de criptomonedas.
Sin embargo, mientras los ataques continúan evolucionando y
“facilitando
Muchos usuarios continúan
la actividad de los
perfeccionándose, no siempre se puede decir lo mismo acerca
de los usuarios de los dispositivos. Muchos usuarios continúan grupos de ataques al utilizar
facilitando la actividad de los grupos de ataques al utilizar siste-
mas operativos más antiguos. Especialmente, apenas 20% de los sistemas operativos más
dispositivos Android ejecuta la versión principal más reciente.
antiguos. Especialmente, apenas
Las amenazas a los dispositivos móviles 20% de los dispositivos Android
continúan aumentando
La cantidad de nuevas variantes de malware para dispositivos
ejecuta la versión principal más
móviles creció un 54% en 2017, en comparación con 2016.
Variantes de malware para dispositivos móviles por año

reciente.
”
La cantidad de nuevas variantes de malware para dispositivos móviles creció
54% en 2017, en comparación con 2016. Las 10 principales categorías de aplicaciones para malware
En 2017, 27% de las aplicaciones malintencionadas fueron encontradas en la
2016 2017 Variación categoría Estilo de Vida, seguidas por Música y Audio, con 20%.
Variantes de Malware para

17.214 26.579 54% Categoría % Malware
Estilo de Vida 27%
Cifra de instancias de malware bloqueadas por día en Música y Audio 20%

dispositivos móviles Libros y Referencia 10%
Un promedio de 23.795 aplicaciones malintencionadas para dispositivos
móviles bloqueadas por día. Entretenimiento 6%
Herramientas 6%
2016 2017
Total de Instancias Bloqueadas de Casa 5%

7.193.927 8.684.993
Malware para Dispositivos Móviles
Educación 4%
Promedio por Día 19.709 23.795
Arte y Diseño 4%
Fotografía 3%
Cifra promedio de instancias de ransomware bloqueadas por mes Juegos Informales 2%
Un promedio de 3.510 instancias de ransomware para dispositivos móviles
fueron bloqueadas por mes en 2017.
2017
Instancias de Ransomware Bloqueadas

42.118
Promedio Mensual 3.510
Volver al Índice
2017 Eventos relevantes en el
escenario de amenazas contra
ENE FEB
{{ Ransomware adoptó las tácticas de ingeniería {{ Ransomware utilizó el reconocimiento de voz, forzando a
social de malware bancario para contornear las víctimas a decir el código de desbloqueo en lugar de
el nuevo modelo de permisos introducido en digitar la clave.
Android Marshmallow (6.0).
{{ Ransomware utilizó aplicaciones integradas de
mensajería social con SDKs de pago para facilitar pagos
con código de barras.
MAR ABR
{{ Familia MobileSpy de amenazas utilizó herramientas {{ Aumento de los troyanos de facturación WAP originan
reactivas para conectarse a eventos, como SMS de textos las próxima estafas de sucripción de servicio premium al
recibidos, para disparar otras acciones y comandos de visitar de forma oculta páginas de suscripción de servicios
forma remota. WAP y automatizar el proceso de suscripción, inscribiendo
a la víctima en los servicios pagos sin su consentimiento.
{{ Amplia disponibilidad de kits de herramientas de
malware para dispositivos móviles ayuda a automatizar
la creación de nuevas variantes de aplicaciones móviles
malintencionadas en grandes volúmenes.
JUL AGO
{{ La familia Rootnik comienza a utilizar el {{ Los dispositivos infectados por Adclicker fueron
mecanismo de código abierto VirtualApp para transformados en bots de negación de servicio
crear un espacio virtual dentro del dispositivo distribuida (DDoS), dirigidos a visitar de forma
Android que se usa para instalar y ejecutar repetida específicas URLs.
APKs sin restricciones.
SEP OCT
{{ Variantes de malware bancario encontradas {{ Aumento de la cifra de falsas aplicaciones móviles
usando la API de StackTraceElements para con minadores integrados de criptomonedas,
derivar claves de descodificación en tiempo basados en JavaScript.
de ejecución.
NOV
{{ La variante Android.Fakeapp robó credenciales de proveedores agregados de servicios online, ocultando las
pistas al lanzar aplicaciones legítimas con el uso de deep-linking URIs para aplicaciones móviles.
Particularmente, con 99,9%, la gran mayoría de las instancias o descargar el contenido. Infostealers permitieron a los grupos
descubiertas de malware para dispositivos móviles estaban aloja- de ataques recopilar datos personales de teléfonos móviles que
das en tiendas de aplicaciones de terceros. podrían negociarse en mercados clandestinos.
Grayware está compuesto por programas que no contienen En los últimos años, los grupos de ataques recurrieron al ran-
malware y no son directamente malintencionados, pero pueden somware en celulares, donde los lucros se obtienen al bloquear
ser irritantes o perjudiciales para los usuarios. Ejemplos incluyen dispositivos o cifrar los datos personales y extorsionar un pago
herramientas de hackeo, accessware, spyware, adware, disca- de rescate de la víctima para permitir que recuperen el acceso.
dores y programas de bromas. Así como el malware, grayware En 2017, surgieron varias aplicaciones móviles que permitían
también continuó aumentando en volumen en 2017. que los grupos de ataques generasen su propio ransomware de
manera automatizada, disminuyendo la barrera de entrada para
Cifra de variantes identificadas de grayware para dispositivos los ciberdelincuentes. Otra innovación fue el uso de ransomware
móviles activado por voz. En lugar de establecer la clave del usuario en un
código de desbloqueo, este ransomware contiene un módulo de
2016 2017 Variación reconocimiento de voz que permite que la víctima diga el código
Nuevas Variantes de Grayware de desbloqueo. Los métodos de pago también han evolucionado,
3.055 3.655 20% con algunas variantes de ransomware que aceptan el pago de
códigos de barras de aplicaciones de media social.
“la Particularmente, con 99,9%,

Cifra de familias identificadas de grayware para dispositivos
móviles
La cifra de nuevas familias de grayware para dispositivos móviles creció 5%, de
188 en 2016 para 198 en 2017.
gran mayoría de las instancias
2016 2017 Variación descubiertas de malware
Nuevas Familias de Grayware
188 198 5% para dispositivos móviles
estaban alojadas en tiendas de
Porcentaje de aplicaciones que filtra información confidencial
Si bien no es considerado malintencionado, el grayware presenta posibles
problemas de privacidad para los usuarios. Identificamos que 63% de las
aplicaciones de terceros.
”
Los dispositivos móviles también no quedaron inmunes a la
aplicaciones grayware en 2017 filtraron el número de teléfono y 37% revelaron
la ubicación física del teléfono. explosión de la minería de criptomonedas en 2017. A pesar de
que la minería de Bitcoin no sea lucrativa en dispositivos móviles,
Clase de información filtrada Porcentaje Monero ofrece un medio alternativo y más liviano de minería de
Número de Teléfono 63% monedas. Identificamos una serie de aplicaciones falsas en 2017
con recursos para la minería de Monero.
Información de ubicación 37%
Información de aplicaciones instaladas 35% Comportamiento del usuario y perfil de seguridad

Mantenerse actualizado
Criptomonedas y nuevos vectores adicionales El análisis de los dispositivos móviles Android que están en la
versión principal más reciente, por ejemplo, 7.x u 8.x para 2017,
para monetización
revela que 20% de los dispositivos están en la versión principal
El objetivo de la gran mayoría de las instancias de malware para más reciente, y apenas 2,3% están en la última versión incremen-
dispositivos móviles es la generación de ingresos. Los métodos tal. Si bien apenas 1 de cada 5 dispositivos móviles Android se
tradicionales de generación de ingresos incluyeron los ataques mantiene actualizado con la versión principal más reciente, esto
por SMS de tarifa premium, donde los grupos de ataques utilizan es un aumento si comparamos con el 15% (1 de cada 7) en 2016.
dispositivos móviles de las víctimas para enviar mensajes de texto No obstante, es un desfase difícil de combatir ya que muchos dis-
pagos y recopilar el ingreso, o adware, donde los responsables del positivos más antiguos nunca serán demasiado poderosos para
ataque recopilan ingresos de impresiones de anuncios y descar- ejecutar la versión más reciente y, actualmente, 80% de los dis-
gas de aplicaciones, al forzar al usuario a visualizar páginas web positivos Android no ejecutan la versión principal más reciente.
Volver al Índice
Exposición acumulativa
a las amenazas de red

44 %
38 %
31%
21%
Meses +1 +2 +3 +4
Porcentaje de dispositivos móviles Android que ejecutan la Porcentaje de dispositivos móviles iOS que ejecutan la versión
versión más reciente del sistema operativo más reciente del sistema operativo
2016 2017 2016 2017
Dispositivos Android en la versión Dispositivos iOS en la versión

15,0% 20,0% 79,4% 77,3%
principal más reciente principal más reciente
Dispositivos Android en la versión Dispositivos iOS en la versión

11,8% 2,3% 24,0% 26,5%
incremental más reciente incremental más reciente
El escenario es un poco diferente para iOS™, ya que observamos

Exposición acumulativa a las amenazas de red a lo largo
aproximadamente 77,3% de los dispositivos iOS que utilizan la
versión principal más reciente y 26,5% que utilizan la última del tiempo
versión incremental. Las actualizaciones de iOS se lanzan con Analizamos la escala da amenaza potencial de los dispositivos ex-
mucho más rapidez, porque no dependen de una operadora que puestos a redes inseguras durante un largo período. Como puede
ponga a disposición las actualizaciones para sus dispositivos ser visto, el efecto se torna acumulativo durante un período más
en sus redes, generalmente con alteraciones personalizadas largo. Por ejemplo, normalmente, 21,2% de los nuevos disposi-
necesarias antes de realizarla. Curiosamente, si bien esta cifra tivos fueron expuestos a las amenazas de red en el primer mes
es mayor en iOS que en Android, la cifra está en descenso desde de uso. Esta cifra sube para 43,7% después de cuatro meses. En
2016, cuando 79,4% de los dispositivos iOS aplicaron el parche ese modelo, una amenaza de red puede ser algo como un ataque
de actualización hacia la versión más reciente, y 24% utilizaban malintencionado man-in-the-middle (MitM).
la última versión incremental.
Volver al Índice
Un ataque de este tipo puede utilizarse para interceptar y desco-

dificar el tráfico SSL o para manipular el contenido en tránsito de
o hacia un dispositivo. Algunas veces, eso puede estar relaciona-
do a un ruteador mal configurado que puede exponer determina-
“ Más allá de la intención, los
individuos y las organizaciones
dos datos. Más allá de la intención, los individuos y las organiza-
ciones deben evitar cualquier red que no ejecute con precisión y deben evitar cualquier red que no
seguridad los servicios de conexión originalmente solicitados por
el usuario y por el dispositivo. ejecute con precisión y seguridad
Dispositivos con acceso root y desbloqueados los servicios de conexión
El acto de liberar el acceso “root” de un dispositivo Android, o originalmente solicitados por el
”
“desbloquear” un dispositivo iOS, es un medio por el cual el usua-
rio puede obtener mayor control sobre el dispositivo e ignorar usuario y por el dispositivo.
determinados controles de seguridad, al permitir el acceso a más
opciones de personalización y funciones bloqueadas por modelo
estándar por el sistema operativo. Esa actividad presentó dismi-
Porcentaje de dispositivos con cifrado activado por el sistema
nución en los últimos años, porque las versiones más recientes de
operativo
los sistemas operativos ahora ofrecen más funcionalidades. Sin
En relación al cifrado, podemos ver que la proporción de dispositivos Android no
embargo, debido al poder que ese acto puede ofrecer a un grupo cifrados está en descenso, sin embargo aún está en un nivel considerado alto.
de ataque, desbloquear o liberar el acceso “root” en un dispositi-
vo afectado todavía es una meta, y el monitoreo de tal actividad Apenas Android 2016 2017
generalmente puede revelar una señal de compromiso. Corporativo 57,8% 43,1%
Individuo o Consumidor 57,7% 45,5%

Relación de dispositivos desbloqueados o con acceso “root”
liberado, por año y por sistema operativo
En los últimos años, el iOS proporciona cifrado por modelo es-
2016 2017 tándar así como Android. No obstante, aún es un riesgo potencial
para las versiones más antiguas de los sistemas operativos, si
iOS Android iOS Android
se encuentran en uso y permanecen sin cifrado. El cifrado es
1 de cada 1 de cada 1 de cada 1 de cada esencial para garantizar que los datos de un dispositivo no se
Corporativo
10.839 254 14.351 1.589 expongan en caso de robo o pérdida.
Individuo o 1 de cada 1 de cada 1 de cada 1 de cada Recomendaciones
Consumidor 694 92 1.658 281
Como el comportamiento del usuario es un factor muy impor-
tante en la seguridad de dispositivos móviles, la educación del
Así mismo, en 2017, 1 de cada 107 dispositivos fueron identifica- usuario es una de las cosas más importantes que una organi-
dos como de alto riesgo, incluyendo los dispositivos con acceso zación puede hacer para reducir la amenaza representada por
root o desbloqueados y dispositivos que seguramente poseen los dispositivos móviles. Los usuarios deben saber que pueden
aplicaciones instaladas de malware, en comparación con 1 de instalar apenas aplicaciones de las principales tiendas de aplica-
cada 65 en 2016. ciones y no hacer clic en enlaces no seguros o aprobar permisos y
accesos de dispositivos sin un buen motivo.
Porcentaje de dispositivos con protección de contraseña
activada por el sistema operativo
En 2017, aproximadamente 1 de cada 20 dispositivos corporativos no estaba
protegido por una contraseña, y ese número aumenta a 1 de cada 10 para
dispositivos de consumidores.
2016 2017
Corporativo 84,1% 95,2%
Individuo o Consumidor 70,0% 90,5%
Volver al Índice
Hechos
Sección
03
y
Cifras
03 Hechos y Cifras
Malware
Amenazas Web
Correo Electrónico
Vulnerabilidades
Ataques Dirigidos
Amenazas Contra Dispositivos Móviles
Internet de las Cosas
Fraude y la Economía Clandestina
HECHOS Y
CIFRAS
ÍNDICE
03 Hechos y Cifras Página 57 ISTR Marzo 2018
Malware Nuevas variantes de malware por mes

El inicio de 2017 estuvo dominado por varias nuevas variantes relacionadas al
troyano Kotver.
Principales Hallazgos
{{ La minería de criptomonedas fue el área de principal crecimien-
to en cibercrímenes en 2017, con incremento de las detecciones
de antivirus de 8.500%.
{{ Las infecciones por ransomware aumentaron 40% en 2017,

impulsadas principalmente por WannaCry (Ransom.Wannacry).
{{ El número de variantes de ransomware aumentó 46%, a pesar

del surgimiento de pocas nuevas familias, lo que indica la inten-
sificación de las actividades de los grupos establecidos.
{{ Emotet (Trojan. Emotet), un nuevo jugador en el segmento de

amenazas bancarias, resurgió a fines de 2017; las detecciones Principales nuevas variantes de malware por mes
aumentaron 2.000% en el último trimestre. Las variantes del troyano Kotver fueron responsables de la mayoría de las
nuevas variantes de malware en 2017.
{{ Script y macro downloaders aumentaron 92%, porque conti-
núan siendo agresivamente propagados, para instalar ranso-
mware y amenazas bancarias.
{{ Las variantes globales de malware aumentaron 88%; sin embar-

go, esos números amplían debido a un único tipo de amenaza.
Nuevas variantes de malware

El crecimiento en las variantes de malware se debió en gran parte al troyano
Kotver (Trojan. Kotver), que representó 78% de las nuevas variantes en 2017.
Año Nuevas Variantes Variación Porcentual
2015 355.419.881 -
2016 357.019.453 0,5
2017 669.947.865 87,7
Nuevas variantes de malware en Mac

El número de variantes de malware en dispositivos Mac estuvo dominado por
las variantes de JS.Webcoinminer, que representaron 60% de esa cifra en 2017.
Año Nuevas Variantes Variación Porcentual
2016 772.018 -
2017 1.390.261 80,1
Volver al Índice
10 principales detecciones de malware Detecciones de malware por mes

Heurísticas avanzadas de aprendizaje de máquina y JavaScript downloaders En abril y mayo el aumento estuvo relacionado al crecimiento de descargadores
representan las 3 principales instancias en esta lista y suelen ser usadas para y malware genéricos.
eliminar otras formas de códigos malintencionados, malware y ransomware.
Clasificación Malware Ataques Bloqueados Porcentaje
1 Heur.AdvML.C 23.335.068 27,5
2 Heur.AdvML.B 10.408.782 12,3
3 JS.Downloader 2.645.965 3,1
4 Hacktool.Kms 2.318.729 2,7
5 Packed.Dromedan!lnk 1.995.429 2,4
6 W97M.Downloader 1.763.143 2,1
7 Hacktool 1.615.555 1,9

Detecciones de Descargadores
8 ER.Heur!gen1 799.479 0,9 El número de descargadores aumentó 91,7% en 2017.
9 VBS.Downloader.B 772.080 0,9 Año Ataques Bloqueados
10 Trojan.Mdropper 763.328 0,9 2015 399.386
2016 1.602.335
2017 3.072.126
Las 10 principales detecciones de malware por mes
La lista de las 10 principales detecciones estuvo dominada por heurísticas
avanzadas de aprendizaje de máquina utilizadas para detectar nuevas formas
de malware genérico.
Detecciones de descargadores de macros de Office® por mes
W97M.Downloader - Se observó un gran aumento en abril y mayo,
estabilizándose en niveles más altos que los anteriormente vistos.
Volver al Índice
Detecciones de descargador de JavaScript por mes Distribución de malware para Mac por mes
JS.Downloader - Se observó un aumento significativo en agosto. La frecuencia Hubo un aumento considerable en los ataques contra Macs que comenzaron a
de detecciones del JS.Downloader es mayor que para W97M.Downloader. fines de 2016 y aceleraron en 2017.
Detecciones de downloader VBScript por mes Nuevas variantes de malware en endpoints del Mac por mes
VBS.Downloader - Comenzó un aumento considerable en septiembre y continuó Los ataques a los Macs estuvieron dominados por el crecimiento de las
hasta octubre y en el resto del año, con un aumento en diciembre. variantes JS.Webcoinminer durante el último trimestre del año.
Distribución de malware por sistema operativo Principales nuevas variantes de malware en endpoints de Mac
Los ataques de malware a Macs aumentaron 64% en 2017, impulsados por mes
por JS.Webcoinminer. Los ataques de malware a los dispositivos Windows Las variantes de JS.Webcoinminer en Mac aumentaron en septiembre y
aumentaron 2,5%. continuaron creciendo.
Año Mac Windows
2015 1.824.685 300.966.231
2016 2.445.414 161.707.491
2017 4.011.252 165.638.707
Volver al Índice
Principales instancias bloqueadas de malware en los endpoints Porcentaje de malware que utiliza SSL
de Mac Malware con uso de SSL para cifrar sus comunicaciones aumentó de 2,8% a
A pesar de que la actividad de JS.Webcoinminer haya sido significativa apenas 4,5% en 2017.
durante el último trimestre del año, fue suficiente para garantizar el tercer lugar
en el ranking anual de las 10 principales instancias. Año Porcentaje
Clasificación Malware Ataques Bloqueados Porcentaje 2016 2,8
1 W97M.Downloader 268.497 6,7 2017 4,5
2 Heur.AdvML.B 241.832 6,0
3 JS.Webcoinminer 184.944 4,6 Ransomware

4 OSX.Malcol.2 148.872 3,7
Nuevas variantes de ransomware
5 OSX.Malcol 145.886 3,6 El número de nuevas variantes de ransomware aumentó 45% en 2017
6 JS.Downloader 130.854 3,3 Año Nuevas Variantes
7 Trojan.Mdropper 79.438 2,0 2016 241.021

8 VBS.Downloader.B 82.216 2,0 2017 350.496
9 JS.Downloader.D 61.149 1,5
10 W97M.Downloader.M 51.432 1,3

Detecciones de ransomware por año
El número de ataques de ransomware bloqueados en 2017 creció 41%.
Principales instancias bloqueadas de malware en los endpoints Año Ataques Bloqueados

de Mac por mes 2016 482.833
Las actividades de W97M.Downloader y de JS.Webcoinminer dominaron el
escenario de amenazas de Mac en 2017. 2017 678.497
Detecciones de ransomware - Corporativo x Consumidores

59% de los ataques de ransomware fueron contra empresas en 2017. Eso
ocurrió principalmente porque los ataques de WannaCry (Ransom.Wannacry)
afectaron más a las empresas que a los consumidores.
Año Consumidores Corporativo
2017 281.325 396.764
Volver al Índice
Detecciones de ransomware por país Detecciones de ransomware por mes

Tras el aumento en mayo, los ataques de ransomware continuaron creciendo en
Normalmente, los eventos de ransomware han sido más dominantes en países una cifra constante durante el resto del año.
con mayor número de personas conectadas a Internet.
Clasificación País Porcentaje
1 Estados Unidos 18,2
2 China 12,2
3 Japón 10,7
4 India 8,9
5 Italia 4,1
6 Alemania 3,4
7 Brasil 3,1
Nuevas variantes de ransomware por mes
8 México 2,5 La tendencia general del número de variantes de ransomware descubiertas
cada mes indica un aumento general a medida que el año prosiguió.
9 Reino Unido 2,3
10 Canadá 2,1
Detecciones de ransomware por país por mes

Los ataques de ransomware contra Japón tuvieron un aumento entre mayo y
junio, mientras que los ataques en China crecieron durante el mismo período,
pero permanecieron más altos en el resto del año.
Detecciones de ransomware
Corporativo x Consumidores - por mes
Si bien los ataques de ransomware contra los consumidores dominaron el inicio
de 2017, los ataques contra empresas dominaron tras el brote de WannaCry en
mayo.
Consumidores Corporativo
Volver al Índice
Nuevas familias de ransomware Minadores de Criptomonedas

Tras un año muy activo en 2016, el número de nuevas familias de ransomware
regresó a los niveles anteriores.
Nuevas variantes de minadores de criptomonedas
JS.Webcoinminer produjo el mayor número de variantes de malware de minería
de criptomonedas en esta lista, en el fin del año.
Promedio de pedido de rescate

El valor promedio de una demanda de ransomware bajó a US$ 522 en 2017,
tras un aumento de US$ 1.071 en 2016. En parte, esto puede ser afectado por la
volatilidad en los valores de criptomonedas en el final de 2017. Las demandas
de ransomware eran anunciadas con frecuencia en dólares, con pago solicitado
en el valor equivalente en Bitcoin o Monero, por ejemplo.
Detecciones de minadores de criptomonedas por mes

Antes del brote que comenzó en septiembre, el impacto de malware de minería
de criptomonedas no fue particularmente significativo, con decenas de miles de
detecciones que aumentaron de forma rápida para cientos de miles y llegaron a
1,6 millones en diciembre.
Volver al Índice
Principales detecciones de minadores de criptomonedas por mes Variantes de minadores de criptomonedas en Mac por mes
JS.Webcoinminer fue responsable del mayor número de detecciones de El rápido crecimiento en el número de variantes de JS.Webcoinminer también
malware de minería de criptomonedas en 2017, principalmente después de se observó en los dispositivos Mac, principalmente a fines del año.
septiembre.
Detecciones de minadores de criptomonedas

Corporativo x Consumidores - por mes
Ataques de malware de minería de criptomonedas en los dispositivos Mac
Principales detecciones de minadores de criptomonedas fueron identificados con más frecuencia en hardware de consumidores,
JS.Webcoinminer fue el malware de minería de criptomonedas bloqueado con especialmente relacionado a JS.Webcoinminer.
más frecuencia en 2017.
Clasificación Malware de minería de criptomonedas Porcentaje
1 JS.Webcoinminer 82,6
2 PUA.Bitcoinminer 6,9
3 Trojan.Coinbitminer 5,7
4 PUA.WASMcoinminer 4,6
5 PUA.Gyplyraminer 0,2
Principales detecciones de minadores de criptomonedas en Troyanos Financieros

Mac por mes
JS.Webcoinminer también dominó las ocurrencias en la plataforma Mac
Troyanos financieros por mes
después de septiembre.
Una nueva variante de Emotet surgió en noviembre, con el uso de determinados
recursos de la API del Windows que buscan evitar la detección y técnicas anti-
sandbox.
Volver al Índice
Principales troyanos financieros por mes

Ramnit (W32.Ramnit) y Zbot (Trojan.Zbot) fueron las instancias más comunes
Amenazas Web
de malware financiero en 2017.
{{ 1 de cada 13 URLs analizadas en el gateway fueron considera-
das malintencionadas. En 2016 esa cifra fue 1 de cada 20.
{{ Hubo un aumento de 62% en la actividad general de botnets

identificada en el gateway.
{{ Con el transcurso del año, los ataques web bloqueados en los

endpoints presentaron tendencia de crecimiento, impulsados
por las actividades de minería de criptomonedas.
{{ Hubo un aumento de 448% en las actividades de kit de exploit

bloqueadas en los endpoints.
Ataques web bloqueados

Eso muestra el número total de ataques web bloqueados en 2017 y el número
promedio correspondiente por día.
Total de Ataques Web Promedio de Ataques Web

Principales troyanos financieros Año
Bloqueados Bloqueados por Día
A pesar de haber surgido apenas en noviembre, Emotet logró obtener el quinto
lugar en la lista de los principales troyanos del año en 2017. 2017 223.066.372 611.141
Clasificación Nombre de la Amenaza Porcentaje
1 Ramnit 53,0 Ataques web bloqueados por día

2 Zbot 25,8 En el fin del año, el número de ataques web bloqueados por día representaba
más del doble del número a inicios del año.
3 Cridex 4,6
4 Trickybot 4,3
5 Emotet 4,0
6 Shylock 2,1
7 Bebloh 1,7
8 Snifula 1,3
9 Pandex 1,2
10 Retefe 0,7
Volver al Índice
Ataques Web bloqueados por mes Direcciones URLs analizadas por día
El aumento de actividades malintencionadas se produjo en octubre, cuando se El servicio de análisis de clasificación y reputación de URLs de Symantec
bloquearon más de 27,7 millones de ataques web. WebPulse analizó 1.070 millones de direcciones URLs por día en 2017.
Año Total Variación Porcentual
2016 1.020.000.000 -
2017 1.076.000.000 5,5
* De un total de 6.000 millones de solicitudes de análisis web. El número usado

para el análisis tiene origen en WebPulse URL Reputation Service y no incluye
solicitudes de Symantec Web Security Service y de otras fuentes
Porcentaje de tráfico malintencionado en el tráfico web

En 2017, el número de direcciones URLs malintencionadas creció 2,8%,
con 7,8% (1 de cada 13) de todas las direcciones URLs identificadas como
malintencionadas.
Clasificación de los sitios web explotados con más frecuencia
Porcentaje Diferencia
La clasificación “Malware” identifica páginas web conocidas por acoger Año Total Relación
del Total Porcentual
malware y fue responsable de 15,9% de las instancias bloqueadas de malware
en la web. La clasificación “Dinámico” se refiere a los dominios que utilizan
2016 50.675.406 5 1 de cada 20 -
servicios de DNS dinámicos y fueron responsables de 13,2% de las páginas web
malintencionadas en 2017.
2017 83.351.181 7,8 1 de cada 13 2,8
Categorías de Diferencia de
Clasificación 2016 (%) 2017 (%)
Dominio Porcentaje
1 Malware 1,4 15,9 14,5
2 Dinámico < 0,1 13,2 13,2
3 Tecnología 20,7 11,5 -9,2
4 Negocios 11,3 7,5 -3,7
5 Alojamiento 7,2 6,9 -0,3

Juegos de
6 2,8 6,7 3,9
azar
7 Salud 5,7 4,8 -0,9
8 Compras 4,2 3,8 -0,3
9 Educativo 4,1 3,1 -1,0
10 Viajes 3,6 2,8 -0,8
Volver al Índice
Porcentaje de tráfico de botnets en el tráfico web

El número de direcciones URLs que corresponde al tráfico relacionado a los
bots, como los usados para comando y control, creció 62,3%, representando
14,7% (1 de cada 88) de todas las direcciones URLs malintencionadas en 2017.
Porcentaje de todas
Porcentaje de URL Variación Diferencia
Año Por día las direcciones Relación Relación
Malintencionadas Porcentual Porcentual
URLs/Día
2016 7.567.271 0,7 1 de cada 135 14,9 1 de cada 7 - -
2017 12.281.279 1,1 1 de cada 88 14,7 1 de cada 7 62,3 -0,2
Porcentaje de tráfico URL de phishing en el tráfico web

El número de URLs relacionado a las actividades de phishing aumentó 182,6%,
lo que representó 5,8% (1 de cada 224) de todas las URLs malintencionadas en
2017.
Porcentaje de todas
Porcentaje de URL Variación Diferencia
Año Por día las direcciones Relación Relación
Malintencionadas Porcentual Porcentual
URLs/Día
2016 1.699.214 0,2 1 de cada 600 3,4 1 de cada 30 - -
2017 4.802.409 0,5 1 de cada 224 5,8 1 de cada 17 182,6 2,4
Amenazas de Correo Electrónico

Principales Hallazgos Tasa de malware de URL
En 2017, la relación de instancias de malware transmitidas por correo
{{ La desaparición de Necurs (Backdoor.Necurs) en el primer tri- electrónico que contenían una URL malintencionada, en vez de un adjunto,
creció 10,7%, para 12,3%.
mestre del año llevó a un descenso en el malware de correo elec-
trónico de 1 de cada 131 en 2016 para 1 de cada 412 en 2017. Año Porcentaje de Malware de Correo Electrónico
{{ El botnet Necurs envió casi 15 millones de correos electrónicos
2016 2,8
malintencionados en 2017, de los cuales 82,5% fueron envia-
dos en el segundo semestre del año. 2017 4,5
{{ Todos los meses son afectadas 7.710 organizaciones por una

estafa BEC.
Tasa Mensual de Malware de Correo Electrónico
Este gráfico muestra el descenso gradual en las instancias de malware
Malware de Correo Electrónico transmitidas por correo electrónico en 2017.
Tasa General de Malware de Correo Electrónico

En 2017, la tasa de instancias de malware transmitidas por correo electrónico
bajó a 1 de cada 412 (0,2%), en relación a 1 de cada 131 (0,8%) en 2016.
Año 1 de cada
2015 220
2016 131
2017 412
Volver al Índice
Tasa Mensual de Malware de Correo Electrónico Tasa de Malware de Correo Electrónico por Sector
Este gráfico muestra la relación de instancias de malware transmitidas por La mayor tasa de instancias de malware transmitidas por correo electrónico
correo electrónico que usan un enlace malintencionado en vez de un adjunto. fue para organizaciones del sector de Administración Pública. Muchas
organizaciones sufrieron potencialmente tasas mucho más altas que el
promedio anual global.
Clasificación Sector 1 de cada
1 Administración Pública 120
2 Agricultura, Forestal y Pesca 211
3 Minería 273
4 Comercio Mayorista 364
5 Manufactura 384
6 Servicios 400
Correos electrónicos malintencionados por usuario
7 Establecimientos No Clasificables 437
Si bien la tasa general ha disminuido levemente en 2017, el número de correos
electrónicos malintencionados enviados al usuario común a cada mes aumentó 8 Construcción 472
de 9 en enero para 16 en el final del año.
9 Transporte & Servicios Públicos 486
10 Comercio Minorista 489
11 Finanzas, Seguros y Mercado Inmobiliario 612
Tasa de Malware de URL por Sector

El malware destinado a las organizaciones en el sector de Construcción tuvo la
mayor tasa de incidencia en enlaces en comparación con adjuntos, con 27,2%
de malware con un enlace en vez de un adjunto.
Porcentaje
de Malware
Clasificación Sector
de Correo
Electrónico
1 Construcción 27,2
2 Agricultura, Forestal y Pesca 21,5
3 Comercio Minorista 19,4
4 Finanzas, Seguros y Mercado Inmobiliario 16,6
5 Minería 13,3
6 Administración Pública 11,6
7 Transporte & Servicios Públicos 11,5
8 Servicios 10,6
9 Manufactura 9,5
10 Establecimientos No Clasificables 9,5
11 Comercio Mayorista 9,1
Volver al Índice
Malware de correo electrónico por usuario por sector Tasa de malware de URL por tamaño de empresa
En 2017, se enviaron aproximadamente 53 virus de correo electrónico a un Las grandes y pequeñas empresas fueron igualmente afectadas por la
usuario común en el sector de la Administración Pública. proporción de instancias de malware transmitidas por correo electrónico que
contenían un enlace malintencionado.
Malware
de correo Porcentaje de Malware de
Clasificación Sector Tamaño de la Empresa
electrónico Correo Electrónico
por usuario
1-250 12,8
251-500 8,1
501-1000 15,0
3 Minería 30,0
1001-1500 11,4
1501-2500 10,9
5 Manufactura 25,5
2501+ 12,9

Malware de correo electrónico por usuario por tamaño de la
8 Construcción 18,1 empresa
El usuario común, tanto en grandes como en pequeñas empresas, fue víctima de
9 Servicios 12,1
un número similar de virus durante 2017 (10 y 9, respectivamente).
Tamaño de la Empresa 1 de cada
1-250 9
251-500 6
Tasa de Malware de Correo Electrónico por Tamaño de Empresa 501-1000 5

Algunas de las menores tasas de malware de correo electrónico se produjeron
en organizaciones en la categoría de grandes empresas (más de 2.500 1001-1500 3
funcionarios).
1501-2500 4
2501+ 10
1-250 376
251-500 306
501-1000 425
1001-1500 244
1501-2500 355
2501+ 512
Volver al Índice
Tasa de malware de correo electrónico por país Principales temas malintencionados de correo electrónico
Austria fue el país que presentó la mayor tasa de malware de correo electrónico Esta tabla muestra los temas más comunes utilizados en líneas de asunto de
en 2017, con 1 de cada 102 correos electrónicos recibidos en el país bloqueado malware de correo electrónico.
como malintencionado.
Clasificación Tema del Asunto Porcentaje
Clasificación País 1 de cada
1 Cuenta 15,9
1 Austria 102
Falla de entrega de correo
2 15.3
2 Hungría 108 electrónico
3 Indonesia 140 Autoridades Legales/

3 13,2
Jurídicas
4 Omán 156
4 Documento Digitalizado 11,5
5 Arabia Saudita 175
5 Entrega de Paquete 3,9
6 Antillas Holandesas 184
7 Malasia 216
Palabras clave utilizadas en campañas de spam de malware
8 Kuwait 217 Las palabras utilizadas con más frecuencia en correos electrónicos
malintencionados incluyen, “delivery,” “mail,” “message,” y “sender.”
9 África del Sur 233
Clasificación Palabras Porcentaje
10 Taiwán 234
1 delivery (entrega) 12,1
2 mail 11,8
Tasa de malware de URL por país
Irlanda, Australia y Nueva Zelandia tuvieron la mayor relación de enlaces 3 message (mensaje) 11,3
malintencionados enviados por correo electrónico en 2017.
4 sender (remitente) 11,2
Porcentaje de Malware de
Clasificación País 5 your (su) 11,2
Correo Electrónico
1 Irlanda 32,4 6 returning (devolución) 7,6
2 Australia 26,7 7 failed: (falló:) 7,6
3 Nueva Zelandia 26,3 8 invoice (factura) 6,9
4 Brasil 23,1 9 images (imágenes) 6,6
5 Noruega 18,0 10 scanned (digitalizado) 6.5
6 Reino Unido 16,8
7 México 16,4
8 Suecia 16,1
9 Finlandia 11,5
10 Canadá 11,4
Volver al Índice
Cargas útiles utilizadas en campañas de spam de malware Clases de cargas útiles utilizadas en campañas de spam de
Visual Basic Script y JavaScript estuvieron entre los ejemplos más frecuentes de malware
adjuntos malintencionados en 2017. Los scripts malintencionados fueron responsables de 61,4% de los adjuntos
malintencionados. Generalmente, los ejecutables son más fáciles de bloquear
Clasificación Clase de Archivo Porcentaje y, por norma estándar, son desactivados para muchas aplicaciones de correo
electrónico.
1 .vbs 27,7
Clasificación Clase de Archivo Porcentaje
2 .js 21,4
1 Scripts 61,4
3 .exe 18,6
2 Ejecutables 29,6
4 .jar 9,8
3 Otros 7,6
5 .docx, .doc, .dot 3,9
6 .html, htm 3,5

Phishing
7 .wsf 3,4
8 .pdf 3,3 Número promedio de empresas que fueron víctimas de estafas

BEC
9 .xml 1,7
Las estafas BEC (Business Email Compromise) podrían haber afectado
10 .rtf 1,5 potencialmente a 7.700 organizaciones en 2017 si esos ataques no hubiesen
sido bloqueados.
Año Promedio
Cargas útiles utilizadas en campañas de spam de malware por 2017 7.710

mes
Este gráfico muestra el crecimiento de diferentes tipos de adjuntos de malware
a lo largo del tiempo, además del aumento del uso de ataques basados en VBS
en el segundo semestre de 2017. Correos electrónicos BEC recibidos por organización
Cada una de esas organizaciones fue atacada en promedio 4,9 veces en 2017.
Año Promedio
2017 4,9
Volver al Índice
Principales líneas de asunto en correos electrónicos de Usuarios de correo electrónico, víctimas de intentos de phishing
scam BECxxx por mes
El análisis de los correos electrónicos BEC muestra que las palabras Con el transcurso del año, el número promedio de usuarios por ataque de
que aparecen con más frecuencia incluyen “payment”, “urgent”, phishing aumentó, tras un descenso en marzo. En enero, 1 de cada 53 usuarios
“request” , y “attention”. recibió un ataque de phishing, en comparación con 1 de cada 33 en el final del
año.
Clasificación Asunto Porcentaje
1 payment (pago) 13,8
2 urgent (urgente) 9,1
3 request (solicitud) 6,7
4 attention (atención) 6,1
5 important (importante) 4,8
6 confidential (confidencial) 2,0
immediate response
7 1,9
(respuesta inmediata)
8 transfer (transferir) 1,8 Tasa de Phishing por Sector

Muchos sectores tuvieron tasas de phishing mucho más altas que el promedio
important update global, con la tasa más alta para las organizaciones del sector de agricultura,
9 1,7
(actualización importante) forestal y pesca.
10 attn (atención) 1,5 Clasificación Sector 1 de cada
1 Agricultura, Forestal y Pesca 2.212
Tasa General de Phishing 2 Establecimientos No Clasificables 2.240

El indicador de phishing disminuyó de 1 de cada 2.596 en 2016 para 1 de cada
2.995 en 2017. 3 Administración Pública 2.418
Año Promedio 4 Minería 2.453
2015 1.846 5 Servicios 2.737
2016 2.596 6 Finanzas, Seguros y Mercado Inmobiliario 3.013
2017 2.995 7 Manufactura 3.998
8 Comercio Minorista 4.353
9 Comercio Mayorista 4.406

Tasa Mensual de Phishing
La tasa de phishing aumentó durante 2017, recuperándose de un rápido 10 Construcción 4.667
descenso en el inicio del año.
11 Transporte & Servicios Públicos 5.567
Volver al Índice
Usuarios de correo electrónico, víctimas de intentos de phishing Usuarios de correo electrónico, víctimas de intentos de phishing
por sector por tamaño de empresa
Establecimientos No Clasificables, Minería y Comercio Mayorista tuvieron la La relación de usuarios por ataque de phishing fue más alta en organizaciones
mayor relación de usuarios por ataque de phishing en 2017. con 501 a 1.000 y 1.500 a 2.500 empleados, donde 1 de cada 41 y 1 de cada 42
usuarios de correo electrónico fueron víctimas, respectivamente.
Clasificación Sector 1 de cada
1 Establecimientos No Clasificables 24
1-250 72
2 Minería 30
251-500 64
3 Comercio Mayorista 35
501-1000 41
4 Administración Pública 38
1001-1500 75
5 Agricultura, Forestal y Pesca 39
1501-2500 42
6 Manufactura 41
2501+ 58
7 Comercio Minorista 45
8 Finanzas, Seguros y Mercado Inmobiliario 54
9 Construcción 55 Tasa de phishing por país

La tasa de phishing en África del Sur fue la más alta en el ranking mundial de
10 Servicios 57 2017, donde 1 de cada 785 correos electrónicos fue un ataque de phishing.
11 Transporte & Servicios Públicos 131 Clasificación País 1 de cada
1 África del Sur 785
Tasa de Phishing por Tamaño de Empresa 2 Holanda 1.298

Para las organizaciones que pueden clasificarse por tamaño, la tasa de phishing
parece ser mucho inferior al promedio global. 3 Malasia 1.359
Tamaño de la Empresa 1 de cada 4 Hungría 1.569
1-250 3.111 5 Portugal 1.671
251-500 3.539 6 Austria 1.675
501-1000 3.844 7 Taiwán 1.906
1001-1500 7.173 8 Brasil 2.117
1501-2500 3.854 9 Indonesia 2.380
2501+ 3.019 10 Singapur 2.422
Volver al Índice
Spam Tasa de Spam por Sector

El sector de minería tuvo la principal tasa de spam en 2017, con 58,8% de los
correos electrónicos identificados como spam.
Tasa General de Spam
El porcentaje de correos electrónicos determinados como spam aumentó 1,2% Clasificación Sector Porcentaje
en 2017.
1 Minería 58,8
Año Porcentaje
2015 52,7
3 Manufactura 55,9
2016 53,4
2017 54,6

Tasa Mensual de Spam
Los niveles de spam fueron mucho mayores en el segundo semestre de 2017,
con un aumento de 55,5% en noviembre.
8 Servicios 53,7
Cantidad de spam por usuario por sector

Por otro lado, los destinatarios del sector de Comercio Mayorista tuvieron el
mayor número promedio de correos electrónicos de spam por usuario por
mes. Del mismo modo, para el sector Manufactura y Minorista, el número
de funcionarios que poseen una cuenta de correo electrónico activa en esos
sectores es comparativamente bajo, con cifra más alta de trabajadores en las
fábricas y tiendas sin acceso al correo electrónico.
Cantidad de spam por usuario
En 2017, el número promedio de correos electrónicos de spam por usuario por Spam por
mes aumentó de 63 en enero a 67 en diciembre. Clasificación Sector
Usuario
2 Manufactura 103,5
6 Minería 91,0
10 Servicios 49,1
Volver al Índice
Tasa de Spam por Tamaño de Empresa

Muchas organizaciones mayores tuvieron tasas de spam más altas en 2017.
Vulnerabilidades
Tamaño de la Empresa Porcentaje Principales Hallazgos
1-250 54,9
{{ Si bien las principales vulnerabilidades, como EternalBlue, Melt-
251-500 52,8 down y Specter, dominaron las principales noticias, en general
las divulgaciones de vulnerabilidades aumentaron en 2017.
501-1000 53,9 Esto no necesariamente representa un aumento de exploits y
puede indicar la popularidad de los programas de recompensas
1001-1500 56,4
para identificar bugs.
1501-2500 52,9
Número total de vulnerabilidades
2501+ 54,7
Eso muestra un aumento de 13% en el número de vulnerabilidades relatadas
en 2017.
Cantidad de spam por usuario por tamaño de la empresa

Destinatarios de correo electrónico en pequeñas empresas potencialmente
recibieron menos correos electrónicos de spam que sus pares que trabajan en
organizaciones mayores.
Tamaño de la Empresa Spam por Usuario
1-250 45,2
251-500 55,4
501-1000 95,2
1001-1500 101,8
1501-2500 92,2
Vulnerabilidades de día cero
Hubo un aumento de 7% en el número de vulnerabilidades de día cero
2501+ 54,0 registradas en 2017.
Tasa de spam por país

Esta lista muestra los países con las principales tasas de spam en 2017.
Clasificación País Porcentaje
1 Arabia Saudita 69,9
2 China 68,6
3 Brasil 64,7
4 Sri Lanka 64,6
5 Hungría 60,4
6 Kuwait 59,8
7 Omán 58,9
8 África del Sur 57,1
9 Noruega 56,9
10 Emiratos Árabes Unidos 56,3
Volver al Índice
Vulnerabilidades divulgadas en sistemas de control industrial

Hubo un aumento de 29% en el número de vulnerabilidades registradas que
Ataques Dirigidos
afectaron tecnologías de sistemas de control industrial (ICS) en 2017.
{{ 90% de los grupos de ataques dirigidos son motivados por la
recopilación de información.
{{ En los últimos tres años, los grupos más activos afectaron a un

promedio de 42 organizaciones.
{{ 71% de los grupos utilizan correos electrónicos de spear phish-

ing como el principal vector de infección.
{{ EE.UU. fue el país más valorado en los últimos tres años, repre-
sentando 27% de todas las actividades de ataques dirigidos.
{{ El número de organizaciones afectadas por ataques dirigidos

Vulnerabilidades del navegador aumentó 10% en 2017.
El número de vulnerabilidades registradas que afectaron Safari aumentó 14%
en 2017. El número relacionado a Firefox disminuyó 29%. Las vulnerabilidades
Número de nuevos grupos de ataques dirigidos descubiertos
de Edge e Internet Explorer disminuyeron 23% y las que afectaron Chrome
bajaron 9%. por año
Se identificaron 140 grupos diferentes que conducían ataques dirigidos en
2017, un aumento de 15,7% desde 2016.
Grupos de ataques dirigidos expuestos por Symantec

Desde 2009, Symantec identificó un total de 28 diferentes grupos de ataques
dirigidos.
Volver al Índice
Motivos de grupos de ataques dirigidos Vectores de infección utilizados por grupo

La gran mayoría de los ataques (90%) parece haber sido planificada para Apenas un vector de infección fue utilizado en 60% de los ataques dirigidos en
recopilar información de las organizaciones establecidas como víctimas. 2017.
Número de intereses por grupo Países más afectados por grupos de ataques dirigidos
Un análisis más profundo reveló que, para 85% de los ataques, apenas Esta tabla muestra las ubicaciones geográficas que fueron el objetivo central
involucraba un interés. más frecuente de los ataques dirigidos en 2017.
Clasificación País Total
1 Estados Unidos 303
2 India 133
3 Japón 87
4 Taiwán 59
5 Ucrania 49
6 Corea del Sur 45
7 Brunéi 34
Vectores de infección
8 Rusia 32
En 2017, 71,4% de los ataques dirigidos involucraron el uso de correos
electrónicos de spear phishing. 9 Vietnán 29
10 Paquistán 22
Volver al Índice
Técnicas de movimiento lateral Otros números relacionados a los grupos de ataques

En 2017, 7,1% de los ataques dirigidos utilizaban credenciales robadas como El menor número de herramientas utilizadas por los grupos de ataque fue 1, en
una técnica de movimiento lateral. El movimiento lateral corresponde a las contraste con el mayor número, 18, utilizadas por el grupo Lazarus.
técnicas utilizadas para desplazarse en una red afectada, buscando otros
exploits y datos valiosos para utilizar y robar.
Número promedio de herramientas utilizadas por grupos 3,6
Número promedio de organizaciones

42
pretendidas por grupo (durante tres años)
Número promedio de individuos

65
pretendidos por grupo (durante tres años)
Porcentaje de grupos conocidos por

27%
el uso de vulnerabilidades de día cero
Porcentaje de grupos conocidos por

6%
el uso de malware destructivo
Técnicas de movimiento lateral por grupo Amenazas Contra

En relación a los movimientos laterales, 12,9% de los ataques emplearon
apenas una técnica de movimiento lateral en 2017.
{{ La cantidad de nuevas variantes de malware para dispositivos
móviles creció 54% en 2017, en comparación con 2016.
{{ En 2017, fue bloqueado un promedio de 24.000 aplicaciones

malintencionadas para dispositivos móviles por día
{{ 27% de las aplicaciones malintencionadas fueron encontradas

en la categoría Estilo de Vida, seguidas por Música y Audio, con
20%.
{{ 63% de las aplicaciones grayware en 2017 filtraron el número

de teléfono y 37% revelaron la ubicación física del teléfono.
Número de organizaciones afectadas por ataques dirigidos
por año {{ 77,3% de los dispositivos iOS tenían instalada la versión princi-
El número de organizaciones establecidas como objetivo aumentó 11,1% en
pal más reciente en 2017, una disminución de 2,1% en relación
2017, para 532. a 2016. Con Android, apenas 20% de los dispositivos ejecuta-
ban la versión principal más reciente, pero hubo un aumento en
este número de 5% en relación a 2016.
Nuevas variantes de malware para dispositivos móviles

En 2017, el número de nuevas variantes de malware para dispositivos móviles
aumentó 54%.
Año Nuevas Variantes
2016 17.214
2017 26.579
Volver al Índice
Número de aplicaciones bloqueadas Mantener los dispositivos actualizados

Aproximadamente 23.795 aplicaciones malintencionadas fueron bloqueadas 77,3% de los dispositivos iOS tenían instalada la versión principal más
por día en 2017. reciente en 2017, una disminución de 2,1%. Con Android, apenas 20% de los
dispositivos ejecutaban la versión principal más reciente, un aumento en este
Año Instancias de malware bloqueadas por día número de 5% en relación a 2016.
2017 23.795 Dispositivos iOS en la versión Dispositivos Android en la

Año principal más reciente versión principal más reciente
(Porcentaje) (Porcentaje)
2016 79,4 15,0

Categorías de aplicaciones más frecuentes para malware
27,3% de las aplicaciones malintencionadas fueron clasificadas como 2017 77,3 20,0
aplicaciones de estilo de vida, seguidas por 19,7% clasificadas como
aplicaciones de música y audio.
Porcentaje de
Clasificación Sector
Malware Nuevas familias de malware para dispositivos móviles
El número de nuevas familias de malware para dispositivos móviles aumentó
1 Estilo de Vida 27,3 12,2% entre 2016 y 201.
2 Música y Audio 19,7
3 Libros y Referencia 9,9
4 Entretenimiento 6,2
5 Herramientas 5,5
6 Casa 4,5
7 Educación 3,9
8 Arte y Diseño 3,7
9 Fotografía 2,7
10 Juegos Informales 2,2 Nuevas familias de grayware para dispositivos móviles

El número de nuevas familias de grayware para dispositivos móviles creció
5,3% en 2017.
Información confidencial filtrada por aplicaciones

63% de las aplicaciones móviles filtraron números de teléfono de los usuarios y
37% revelaron la ubicación física de los dispositivos.
Clase de información filtrada Porcentaje
Número de Teléfono 63,0
Información de ubicación 37,0
Información de aplicaciones instaladas 35,0
Volver al Índice
Nuevas variantes de grayware para dispositivos móviles Principales países con malware para dispositivos móviles
El número de nuevas variantes de grayware para dispositivos móviles aumentó Lista de los 10 principales países en que el malware para dispositivos móviles
19,6% en 2017. fue bloqueado con más frecuencia en 2017
Ransomware para dispositivos móviles

El número de aplicaciones de ransomware bloqueadas por mes en 2017.
Número promedio de instancias de

Año
ransomware bloqueadas por mes Dispositivos con acceso root o desbloqueados
Esto muestra que la relación de dispositivos desbloqueados o que poseen
2017 3.510 acceso root está reduciendo de forma gradual, pero continúa siendo un
importante indicador de compromiso.
Año SO Corporativo Consumidores

Principal fuente de malware para dispositivos móviles
La gran mayoria de las instancias de malware para dispositivos móviles fueron iOS 1 de cada 10.839 1 de cada 694
encontradas en tiendas de aplicaciones de terceros. 2016
Android 1 de cada 254 1 de cada 92
Malware encontrado en tiendas de
Año iOS 1 de cada 14.351 1 de cada 1.658
aplicaciones de terceros (porcentaje)
2017
2017 99,9 Android 1 de cada 1.589 1 de cada 281
Principales amenazas a Android Dispositivos protegidos por contraseñas

Lista de las 10 principales instancias bloqueadas de malware para Android en 2017. Aproximadamente 5% de los dispositivos corporativos no estaban protegidos
por contraseña, en comparación con casi 10% de los dispositivos de los
consumidores.
Corporativo Consumidores
1 Malapp 20,2 Año
(Porcentaje) (Porcentaje)
2 FakeInst 16,4 2016 84,1 70,0
3 Premiumtext 11,2 2017 95,2 90,5
4 MalDownloader 10,0
5 Simplocker 8,8 Exposición a las amenazas de red

Esta tabla muestra la exposición acumulativa a las amenazas de la red a lo largo
6 Fakeapp 8,5 del tiempo. En 2017, 1 de cada 5 dispositivos fue expuesto a ataques en su primer
mes de uso. Este número subió para 3 de cada 7 después de cuatro meses.
7 SmsBlocker 7,1
8 Mobilespy 4,8 Dispositivos expuestos a

1 mes 2 meses 3 meses 4 meses
ataques de red tras
9 Smsstealer 2,0
2016 21,6 31,2 38,6 44,3
10 Opfake 1,9
2017 21,2 30,7 37,7 43,7
Volver al Índice
Internet de las Cosas Nombres de usuarios más utilizados por los ataques de IoT
Esta tabla muestra los nombres de usuario utilizados con más frecuencia para
los ataques contra dispositivos IoT.
2017 2016
2017 2016
{{ Hubo un aumento de 600% en los ataques de IoT de 2016 a Clasificación Nombre de Nombre de
Porcentaje Porcentaje
usuario usuario
2017.
1 root 40 root 33,5
{{ Más de la mitad de los intentos de ataques contra dispositivos
IoT se dirigieron al servicio Telnet. 2 admin 17,3 admin 14,1
3 enable 10,3 DUP root 6

Ataques de IoT por país de origen
Esta tabla muestra el país de origen, con base en la dirección IP, de los 4 shell 10,2 DUP admin 2,1
dispositivos responsables de los ataques.
5 guest 1,5 ubnt 1,3
2017 2016
Clasificación País País
Porcentaje Porcentaje 6 support 1,3 test 1,1
1 China 21 China 22,2 7 user 1,1 oracle 1,1
2 Estados Unidos 10,6 Estados Unidos 18,7 8 ubnt 0,9 postgres 0,7
3 Brasil 6,9 Vietnán 6 9 DUP root 0,6 0,7
4 Federación Rusa 6,4 Federación Rusa 5,5 10 supervisor 0,5 123321 0,6
5 India 5,4 Alemania 4,2
6 Japón 4,1 Holanda 3

Contraseñas más utilizadas por los ataques de IoT
7 Turquía 4,1 Reino Unido 2,7 Esta tabla muestra las contraseñas utilizadas con más frecuencia para los
ataques contra dispositivos IoT.
8 Argentina 3,7 Francia 2,6
2017 2017 2016 2016
9 Corea del Sur 3,6 Ucrania 2,6 Clasificación
Contraseña Porcentaje Contraseña Porcentaje
10 México 3,5 Argentina 2,5

1 system 10,3 admin 9,5
2 sh 10,2 root 5,8
3 123456 9,1 12345 5
4 admin 3,7 123456 3,7
5 1234 3,1 password 3,2
6 password 2,5 1234 2,4
7 12345 2,5 ubnt 1,7
8 2,3 admin123 1
9 root 2,1 abc123 0,9
10 support 1,2 pass 0,7
Volver al Índice
Principales amenazas detectadas por honeypot IoT en 2017 Los 10 principales puertos atacados en el honeypot IoT en el
Esta tabla muestra las instancias de malware bloqueadas con más frecuencia, 4 trimestre de 2017
dirigidas a los dispositivos IoT en 2017. Los puertos IoT explorados con más frecuencia en los ataques basados en la red
en el último trimestre de 2017.
Clasificación Puerto Porcentaje
1 Linux.Lightaidra 57,5
1 23/tcp (Telnet) 43,1
2 Trojan.Gen.NPE 10,2
2 80/tcp (HTTP) 31,6
3 Linux.Mirai 8,7
3 443/tcp (HTTPS) 7,7
4 Trojan.Gen.NPE.2 4
4 2323/tcp (Telnet) 7,2
5 Linux.Kaiten 3,6
5 445/tcp (SMB) 5,8
6 Downloader.Trojan 3
6 22/tcp (SSH) 1,9
7 Linux.Gafgyt 2,7
7 1900/udp (UPnP) 0,9
8 Trojan.Gen.8!cloud 2,2
8 8080/tcp (HTTP) 0,8
9 SecurityRisk.gen1 1,9
9 2222/tcp (SSH) 0,2
10 Trojan.Gen.6 1,7
10 21/tcp (FTP) 0,2
Los 10 principales servicios atacados en honeypot IoT en el

4 trimestre de 2017 Principales tipos de dispositivos que ejecutan ataques contra
Telnet y HTTP fueron los servicios de IoT explorados con más frecuencia. honeypot IoT
Esta tabla identifica los tipos de dispositivos involucrados en los ataques de IoT
Clasificación Servicio Porcentaje contra el honeypot de Symantec en 2017, siendo que los ruteadores son el tipo
de dispositivo explorado con más frecuencia.
1 Telnet 50,5
Clasificación Tipo de Dispositivo Porcentaje
2 HTTP 32,4
1 Ruteador 33,6
3 HTTPS 7,7
2 DVR (Digital Video Recorder) 23,2
4 SMB 5,8
3 Red 9,3
5 SSH 2,1
4 Antena Parabólica 7,3
6 UPnP 0,9
5 Modem DSL/Cable 7
7 FTP 0,2
6 Ruteador SOHO 4,7
8 CWMP 0,1
7 NAS (Network Attached Storage) 3,6
9 SNMP 0,1
8 Cámara 3,5
10 Modbus 0,1
9 PLC (Programmable Logic Controller) 3,4
10 Sistema de Alarma 1,9
Volver al Índice
Principal reputación del dispositivo que atacó el honeypot IoT Intentos de fraude
Un análisis más profundo de las direcciones IP de los ataques revela que 1,2% de las solicitudes de crédito en EE.UU. realizadas en 2017 fueron
casi la mitad no estaba anteriormente en la blacklist, o involucrada con otras consideradas fraudulentas.
actividades malintencionadas.
Clasificación Categoría Porcentaje
1 No está en la blacklist 48,9
2 Bot 17
3 Spam 16,1
4 Ataques 9,8
5 Malware 8,1
Lista de precios de los productos

Fraude y la Economía Clandestina Si bien los precios se establecen en dólares, con frecuencia los pagos son
efectuados con el uso de criptomonedas, como Bitcoin o Monero, a los valores
equivalentes a la tasa de cambio del día.
Esos precios se obtienen de foros clandestinos públicamente accesibles
y páginas web TOR de la web oscura. Foros cerrados y privados tienden a
{{ Las tasas de fraude para tarjetas bancarias, tarjetas del sector
tener precios aún más bajos. No logramos verificar si las mercaderías se
minorista y transacciones inalámbricas están 1,8 veces mayores venden realmente por el precio pedido, algunas de las cuales pueden ser
que en 2014. ofertas falsas.
{{ El precio de un toolkit de ransomware premium (US$ 450) Tarjetas de Crédito

actualmente es menor que el valor promedio de rescate (US$
522). Los precios de los datos de las tarjetas de crédito varían mucho de acuerdo
con el país de origen (tarjetas de EE.UU son más baratas, porque existe
{{ Los toolkits de minería de criptomonedas están disponibles en más disponibilidad, las tarjetas de la UE son más caras), la bandera (Visa®,
la web oscura por apenas US$ 30. Mastercard®, American Express®), el nivel (gold, platinum, business) y la
información adicional suministrada, como la fecha de nacimiento (DoB),
Verified by Visa®, Mastercard SecureCode™, etc. Generalmente, cuanto más
Tasa de fraudes confirmados compra, más barato se torna (precios por mayor volumen)
Las tasas de fraudes confirmados en los sectores de tarjetas bancarias, tarjetas
del sector minorista y transacciones inalámbricas son 1,8 veces mayores que Tarjeta única de crédito US$0,50-25
en 2014.
Tarjeta única de crédito con
US$1-40
detalles completos (Fullz)
Datos de la banda magnética 1/2
US$ 20-60
(ej.: a través de skimming)
500 tarjetas de crédito ya utilizadas para

US$ 1
fraudes en la última semana
Malware
Toolkit común de troyano bancario con soporte US$40-1500
Spyware US$15-50
Troyano para Android banking US$2-500
Generador de descargador de macro del Office US$5
Minador y Robo de Criptomonedas (Monero) US$30-300
Toolkit de Ransomware US$5-450
Software de bot DDoS US$1-15
Volver al Índice
Servicios Identidades
Servicio DDoS, corta duración <1 hora, Identidad: Nombre, Seg.Social/D.I. y

US$ 5-20 US$ 0,1-1,5
víctimas de protección media Fecha de nacimiento
Servicio DDoS, duración >24 horas, Documentos digitalizados

US$ 10-1000 US$ 1-3
víctimas de protección media y fuerte (factura de energía eléctrica, etc.)
Contratación de hacker US$ 100+ Identidad, carnet de conducir, pasaporte falso US$ 10-600
Alteración de la puntuación de crédito US$ 500 Identidad/pasaporte digitalizado US$ 1-25
Perjudicar la presencia online de individuos US$ 500 Cuenta bancaria IBAN anónima US$ 7
Pasajes de avión y reservas de hotel 10% del valor
Servicios de Transferencia de Dinero
Servicio de redireccionamiento de dinero

hacia plataformas online (pague US$ 100
1-20% del valor
en Bitcoin y reciba una transferencia de
US$ 1.000,00 en su cuenta)
Servicio de redireccionamiento de
2,5-15% del valor
dinero hacia cuentas bancarias
Cuentas (Nombre de Usuario y Contraseña)
Cuentas de streaming de vídeo y audio US$ 0,10-10
Varios servicios, más de 120 disponibles

US$ 0,5-10
(juegos, alimentación, compras, etc.)
Cuentas bancarias online 0,5-10% del valor
Cuentas de dinero online

US$ 10-100
(dependiendo del valor y verificación)
Cuenta de página web de compras US$ 5-50
Cuentas de servicios en la nube US$ 5-10
Cuentas Gmail hackeadas US$ 0,1-5
500.000 cuentas de correo electrónico con

US$ 90
contraseñas de violaciones de datos
Cuentas de programa de fidelidad/recompensa

US$ 10-20
de hoteles con 100.000 puntos
Cuentas de programa de fidelidad

US$ 2-7
de compras con puntos
Servicios de VPN US$ 1-10
15-50% del valor de

Tarjetas de presente de minoristas online
la tarjeta
15-40% del valor de

Tarjeta de regalo de restaurantes
la tarjeta
Volver al Índice
Predicciones
04
Sección
Predicciones para 2018 Los grupos de ataques, sin duda, observaron la eficacia de
las dos amenazas. EternalBlue puede no ser más útil en este
momento, ya que la mayoría de las organizaciones aplicó
Los proveedores de servicios maduros en los parches de corrección, pero existen otras técnicas que
la nube de nivel intermedio posiblemente pueden emplearse. Petya/NotPetya utilizó otras técnicas de
sentirán el impacto de las vulnerabilidades diseminación SMB con el uso de herramientas legítimas, como
Meltdown y Specter PsExec y Windows Management Instrumentation Command-
line (WMIC), para ser distribuido al uso compartido de red con
En el inicio de enero de 2018, se descubrieron dos
el uso de credenciales robadas. El empleo de estas técnicas de
vulnerabilidades graves que afectaron a casi todos los chips
“uso de herramientas del día a día” permite que los ataques
de procesadores modernos. Conocidas como Meltdown y
pasen inadvertidos, por lo tanto, son más atractivos para los
Spectre, las vulnerabilidades pueden permitir que los grupos de
grupos de ataques. Es posible que se observe un aumento en
ataques obtengan el acceso no autorizado a la memoria de una
las amenazas que se autopropagan con el uso de esas técnicas.
computadora.
Meltdown y Spectre pueden afectar a todas las clases de Los ataques de IoT posiblemente se
computadoras, pero el impacto potencial más alarmante está
diversificarán a medida que los grupos de
en la nube, porque un ataque en un único servidor puede
afectar a varias máquinas virtuales en ejecución en ese
ataques busquen nuevos tipos de dispositivos
servidor. para adicionar a los botnets
En 2016, oímos mucho acerca de los ataques de IoT, pues el
Fabricantes de chips, proveedores de software y proveedores
botnet Mirai apareció y causó interrupciones considerables de
de servicios en la nube han trabajado de forma ardua, antes
actividades con ataques DDoS de gran porte. A pesar de que los
y después de la divulgación de las vulnerabilidades, para
ataques de IoT no fueron destacados en las principales portadas
garantizar que se instalen los parches de actualización. Si
en 2017, seguramente no han desaparecido. En realidad, los
bien los principales proveedores de servicios en la nube
ataques contra dispositivos IoT aumentaron 600% el año
poseen los recursos para garantizar que las mitigaciones
pasado.
estén disponibles, las empresas menores de servicios en la
nube y menos preparadas, como los proveedores menores Nuestra investigación actual muestra que los grupos de ataques
de alojamientos, pueden presentar dificultad de respuesta, aún están enfocados principalmente en ruteadores y modems,
dejando a sus clientes expuestos. y utilizan dispositivos infectados para alimentar los botnets.
Ahora, los ataques son tan frecuentes que los operadores
WannaCry y Petya/NotPetya pueden inspirar de botnets se disputan por el mismo grupo de dispositivos y
necesitan configurar su malware para identificar y remover
la nueva generación de amenazas de
malware que pertenece a otros botnets.
autopropagación
Gusanos—malware de autopropagación—presentaron su IoT continúa siendo afectada por la falta de seguridad, con el
auge en el cambio del siglo XX. Por ejemplo, en 2003, el virus uso común de contraseñas estándar y vulnerabilidades sin
Slammer logró infectar la mayoría de sus víctimas en una hora. parches de corrección. Algunos grupos de ataques de IoT ya
Hasta mayo de 2017, parecía improbable que otra amenaza comenzaron a buscar opciones, más allá de los ruteadores
pudiese ocasionar un impacto disruptivo global de la misma y comenzaron a establecer seriamente como víctimas otros
forma. dispositivos conectados.
Esa percepción cambió con la llegada de WannaCry y Petya/

NotPetya. Las dos amenazas fueron capaces de autopropagarse
en gran parte porque utilizaron el exploit EternalBlue. Si bien
la vulnerabilidad fue corregida varios meses antes, había
muchas computadoras online sin la corrección para que ambas
amenazas causaran interrupciones relevantes de actividades.
Volver al Índice
Las actividades de minadores de criptomonedas posiblemente No obstante, si el valor de todas las criptomonedas retrocede,
continuarán creciendo, pero el objetivo central en las los grupos de ataques posiblemente perderán rápidamente el
organizaciones aumentará 2017 fue un año lucrativo para interés en la minería de criptomonedas. En la actualidad, la
los ciberdelincuentes con la minería de criptomonedas. Las minería de criptomonedas es más lucrativa que el ransomware,
detecciones de minadores de criptomonedas tuvieron un pero si las criptomonedas pierden su valor, es posible que los
extraordinario aumento de 8.500%. Eso no es sorprendente, grupos de ataques escojan algo más lucrativo.
considerando que los precios del Bitcoin en el inicio del año
estaban un poco por debajo de US$ 1.000 y terminaron por Los ataques en infraestructura crítica deben
encima de US$ 14.000 en el final de 2017.
intensificarse en 2018
Los ataques de minería de criptomonedas deben continuar En los últimos años, los grupos de ataques han demostrado
en 2018 y los responsables de los ataques invertirán tiempo un creciente interés en infraestructura crítica y la escala y la
y energía para identificar formas más creativas y eficaces de persistencia de esos ataques están alcanzando proporciones
ataques. De forma general, sus estrategias probablemente alarmantes. Nuestras investigaciones más recientes sobre el
seguirán tres direcciones: grupo Dragonfly descubrieron que continuará como objetivo
01 Minería distribuida, ya sea por medio de botnets conven- central el sector energético en Europa y en América del Norte.
cionales de dispositivos IoT y computadoras infectadas Por el momento, Dragonfly parece estar centrado en obtener
por malware o minadores de criptomonedas basados en acceso a sistemas operativos y recopilar la máxima inteligencia
navegadores, alojados en páginas web. posible sobre cómo operan esas plantas.
02 La segunda ruta de ataque posiblemente será establecer Esos ataques posiblemente proporcionarían a Dragonfly la
como objetivo las redes corporativas u organizativas para capacidad de sabotear u obtener el control de esos sistemas
aprovechar el poder de servidores o súpercomputadoras. en caso de decidirse hacerlo. No obstante, parece improbable
que cualquier grupo llegue a esos límites, a menos que
03 Finalmente, los servicios en la nube ofrecen la posibilidad esté preparado para lanzar ataques disruptivos. A pesar de
de minería de alta capacidad de procesamiento. Eso tiene ello, existe un riesgo real de que, en algún momento, los
un posible impacto financiero para los clientes de servi- responsables del Dragonfly decidan utilizar esa estrategia.
cios en la nube que pagan con base en el uso de la CPU.
A pesar de que las recompensas inmediatas puedan parecer
menores, la minería de criptomonedas ofrece un flujo de
ingresos pasivos y de largo plazo, si los minadores logran
permanecer ocultos por más tiempo. Creemos que la actividad
de minería de criptomonedas aumentará en el segmento de
dispositivos móviles en 2018 y en el futuro. Vimos un aumento
en el fin de 2017 y, si la actividad es lucrativa, el volumen puede
crecer.
Esas predicciones probablemente dependerán de algo: si los
valores de criptomonedas permanecen elevados. Los precios
del Bitcoin comenzaron a disminuir en los últimos meses. Sin
embargo, eso tal vez se vea como un ajuste de mercado. El
Bitcoin no es la única criptomoneda, por lo tanto los eventos
también dependen de cómo otras criptomonedas se comporten,
especialmente el Monero. Acreditamos en un cambio de la
lengua franca de cibercrimen del Bitcoin a alternativas como
Ethereum, Monero y Zcash, que obtendrán popularidad debido
a sus características más fuertes de anonimato. La volatilidad
continua en el mercado de Bitcoin se tornará un gran obstáculo,
particularmente para las transacciones menores.
Volver al Índice
Página 87 ISTR Marzo 2018
Créditos
Equipo Colaboradores
Gillian Cleary Shaun Aimoto
Mayee Corpin Pravin Bange
Orla Cox Albert Cooley
Hon Lau Stephen Doherty
Benjamin Nahorney Brian Duckering
Dick O’Brien James Duff
Brigid O’Gorman Daniel Grady
John-Paul Power Sara Groves
Scott Wallace Kevin Haley
Paul Wood Dermot Harnett
Candid Wueest Robert Keith
Sean Kiernan
Anudeep Kumar
Chris Larsen
Carmel Maher
Matt Nagel
Alan Neville
Gavin O’Gorman
Hitesh Patel
Yun Shen
Dennis Tan
Tor Skaar
Parveen Vashishtha
Pierre-Antoine Vervier
William Wright
Volver al Índice
Acerca de Symantec
Symantec Corporation (NASDAQ: SYMC) es líder mundial en
soluciones de ciberseguridad y ayuda a las compañías, gobiernos
e individuos a proteger sus datos más importantes en cualquier
lugar. Compañías en todo el mundo buscan a Symantec para
soluciones estratégicas e integradas para defenderse contra
ataques sofisticados en endpoints, en la nube e infraestructura.
Del mismo modo, una comunidad global de más de 50 millones
de personas y familias dependen de la suite de productos Norton
de Symantec para protección en casa y en todos sus dispositivos.
Symantec opera una de las redes civiles de ciberinteligencia más
grande del mundo, lo que le permite ver y proteger contra las
amenazas más avanzadas.
Más información
Symantec Managed Security Services: https://www.symantec.com/services/cyber-security-services
DeepSight Intelligence Service: https://www.symantec.com/services/cyber-security-services/deepsight-intelligence
Symantec Messaging Gateway: https://www.symantec.com/products/messaging-gateway
Symantec Email.cloud: https://www.symantec.com/products/email-security-cloud
Symantec’s Advanced Threat Protection for Email: https://www.symantec.com/products/advanced-threat-protection-for-email
Symantec Web Security.cloud: https://www.symantec.com/products/cloud-delivered-web-security-services
Symantec On-Premise Secure Web Gateway: https://www.symantec.com/products/secure-web-gateway-proxy-sg-and-asg
Symantec CloudSOC: https://www.symantec.com/products/cloud-application-security-cloudsoc
Symantec Endpoint Protection (SEP): https://www.symantec.com/products/endpoint-protection
SEP Mobile: https://www.symantec.com/products/endpoint-protection-mobile
Norton: https://www.norton.com
ID Analytics: https://www.idanalytics.com/
Sede Mundial de Para escritorios regionales y
Symantec números de contacto específico, por
350 Ellis Street favor acceda a nuestra página web.
Mountain View, CA 94043 Para obtener más información sobre
USA los productos en los Estados Unidos,
llame al número de teléfono gratuito
+1 650 527–8000 (800) 745 6054.
+1 800 721–3934
Symantec.com
03/18
Copyright © 2018 Symantec
Corporation.
Todos los derechos reservados.

Symantec, el logo de Symantec
y el logo de Checkmark son
marcas registradas o marcas
comerciales registradas de
Symantec Corporation o de sus
subsidiarias en EE.UU. e
outros países. Otros nombres
pueden ser marcas registradas
de sus respectivos propietarios.
ISTR

Verizon ISTR23-FINAL - ES

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Verizon ISTR23-FINAL - ES

Încărcat de

Drepturi de autor:

Formate disponibile

ISTR

Informe Sobre las

02 Retrospectiva del Año Amenazas Contra Dispositivos Móviles

El Escenario de Internet de las Cosas

La reducción de instancias de día cero no

Aumento de instancias de malware para

Estados Unidos Japón

el crecimiento de la ese record en 2017, sin embargo permanecieron en ese nivel

de criptomonedas aumentaron Detecciones de ransomware por día 2015-2017

mientras que la detección de 1.500

archivos de minado de monedas 1.200

2015 2016 2017*

*Las cifras excluyen WannaCry y Petya/NotPetya

“ Detecciones mejoradas La estabilización de las detecciones de ransomware en los en-

descargadores se están previamente en la cadena de infección. Por ejemplo, en 2017, vi-

También disminuyó en 2017 el volumen de actividades de

No obstante, el número de variantes generales de ransomware

Troyanos financieros: cifra por mes en 2017

Si bien los principales grupos responsables de distribución

A pesar de la disminución general de los números, podemos ver

Emotet causó un impacto

Los 10 principales troyanos financieros en 2017

“queEmotet es un troyano financiero

20K 29K 31K

ENE AGO SEP DIC

$12 $81 $104 $321

{{ Es una forma menos disruptiva de ganar dinero. Es posible que

basados en los navegadores.

minadores de criptomonedas {{ Los grupos de ataques responsables de la campaña del Zealot

{{ Una gran campaña de fuerza bruta centrada en páginas web

En la mayoría de los casos, logramos establecer por lo menos un Malware destructivo

Es sabido que un pequeño número de grupos (3%) utiliza exploits

¿Qué grupos tienen la mejor/peor Vectores de infección de ataques dirigidos

Técnicas de movimiento lateral

“enUna de las principales fases

Organizaciones afectadas por los ataques dirigidos

Tras una disminución en 2016, el número de organizaciones afec-

Si llega a ser víctima de un ataque, la posibilidad es de que el

Malware que elimina el contenido de

WannaCry usa el exploit EternalBlue

Brote de Petya/NotPetya, con

Brote de BadRabbit, con

AGO El troyano Shamoon, que elimina

Ataques a bancos y emisoras de TV

Malware usado para eliminar el

NOV Nuevos ataques a Arabia Saudita Saudi

Malware usado para eliminar el

Petya/NotPetya afecta a varias

“el Así como en los ataques DDoS,

{{ Cifrar o eliminar datos de {{ El uso de ransomware ocultaba el

{{ El uso del exploit EternalBlue convirtió

Secuestro de DNS, Secuestro de

MAR Instalador de Adobe Reader incorpora malware

• Herramienta de vídeo HandBrake utilizada para instalar malware

OCT Elmedia Player para Mac OS X incorpora malware

NOV Cartera Bitcoin Gold sustituida por malware

Plugins de WordPress utilizados para

Entre el 15 de agosto y el 12 de septiembre, la versión infectada, Petya/NotPetya y M.E.doc

Variantes de malware para dispositivos móviles por año

Variantes de Malware para

Cifra de instancias de malware bloqueadas por día en Música y Audio 20%

Total de Instancias Bloqueadas de Casa 5%

Instancias de Ransomware Bloqueadas