Cisco 2017 ACR Es-Eu

Informe de ciberseguridad anual de Cisco 2017
Índice
RESUMEN EJECUTIVO y CONCLUSIONES MÁS COMPORTAMIENTO DE LOS DEFENSORES..................... 42
RELEVANTES....................................................................... 3 Vulnerabilidades en declive en 2016............................. 42
INTRODUCCIÓN.................................................................. 8 Middleware: los adversarios ven oportunidades en el
LA EXPANSIÓN DE LA SUPERFICIE DE ATAQUE............. 10 software sin parches..................................................... 44
COMPORTAMIENTO DE LOS ATACANTES.......................13 Tiempo para aplicar parches: fin del marco temporal
de recuperación............................................................ 45
La fase de reconocimiento............................................ 13
ESTUDIO COMPARATIVO SOBRE CAPACIDADES DE
Métodos de ataque en la Web: las amenazas de la
SEGURIDAD DE CISCO 2017............................................ 49
"cola corta" ayudan a los adversarios a establecer la
base de las campañas................................................... 13 Percepciones: los profesionales de la seguridad que
confían en las herramientas, menos seguros de
La fase de armamentización......................................... 15 utilizarlas de forma eficaz.............................................. 49
Vectores de ataque en la Web: Flash se desvanece, Limitaciones: el tiempo, el talento y el dinero afectan
pero los usuarios deben permanecer alerta.................. 15 a la capacidad para responder a las amenazas............. 51
Seguridad en aplicaciones: administración del riesgo Impacto: más organizaciones que sufren pérdidas
de las conexiones OAuth en medio de la proliferación debidas a las brechas.................................................... 55
de aplicaciones............................................................. 16
Resultados: un mayor escrutinio público desempeñará
La fase de distribución.................................................. 20 un papel importante en las mejoras en seguridad......... 58
La desaparición de los exploit kits principales Confianza frente a costes: ¿qué fomenta las compras
presenta oportunidades para agentes menores y en materia de seguridad?.............................................. 61
nuevos aspirantes.......................................................... 20
Resumen: revelaciones del estudio comparativo........... 62
Malvertising: los adversarios emplean agentes para
aumentar la velocidad y la agilidad................................ 22 SECTOR............................................................................. 64
La investigación revela que el 75 por ciento de las Seguridad en la cadena de valor: el éxito en el
organizaciones se ven afectadas por infecciones de mundo digital depende de la mitigación del riesgo
adware.......................................................................... 23 de terceros.................................................................... 64
El spam global aumenta, al igual que el porcentaje Actualización geopolítica: cifrado, confianza y una
de archivos adjuntos maliciosos.................................... 25 llamada a la transparencia............................................. 65
Cifrado de alta velocidad: una solución escalable para
La fase de instalación.................................................... 30
a protección de los datos en tránsito............................. 66
Métodos de ataque en la Web: una instantánea de
El rendimiento y la adopción de la red frente a la
la "cola larga" revela las amenazas que los usuarios
madurez de la seguridad............................................... 67
pueden evitar fácilmente............................................... 30
Riesgo de los mercados verticales de encontrarse CONCLUSIÓN................................................................... 71
con malware: los atacantes perciben el valor en Una superficie de ataque de rápida expansión requiere
todos los ámbitos.......................................................... 31 un enfoque interconectado e integrado acerca de la
Descripción general regional sobre la actividad de seguridad...................................................................... 71
bloqueos web................................................................ 32 El objetivo principal: reducción del espacio operativo
Tiempo de detección: una métrica esencial para de los adversarios......................................................... 73
medir el progreso de los defensores............................. 33
INFORMACIÓN ACERCA DE CISCO................................. 74
Tiempo para evolucionar: en algunas amenazas,
Colaboradores del Informe de ciberseguridad anual de
el cambio es constante................................................. 34
Cisco 2017.................................................................... 75
APÉNDICE......................................................................... 78
2 Índice
Resumen ejecutivo
A medida que la superficie de ataque aumenta, los defensores deben centrarse en
su objetivo más importante: la reducción del espacio operativo de sus adversarios.
Los adversarios tienen más herramientas a su disposición intentan aprovechar. Examinamos los datos recopilados por
que nunca. También tienen una idea muy clara de cuándo los investigadores de amenazas de Cisco y otros expertos.
utilizar cada una de ellas para conseguir el máximo efecto. Nuestra investigación y nuestros datos tienen como fin ayudar
El rápido crecimiento de los terminales móviles y del tráfico a las organizaciones a responder eficazmente a las amenazas
online les favorece. Tienen más espacio en el que actuar y actuales sofisticadas y de rápida evolución.
más opciones de objetivos y enfoques.
Los defensores pueden utilizar una serie de estrategias Este informe se divide en las secciones siguientes:
para afrontar los retos de un entorno de amenazas en
constante aumento. Pueden adquirir las mejores soluciones Comportamiento de los atacantes
que funcionen de manera independiente para proporcionar En esta sección, examinamos el modo en que los atacantes
información y protección. Además, pueden competir por reconocen las redes vulnerables y distribuyen el malware.
el personal en un mercado donde el talento escasea y los Explicamos el modo en que herramientas como el correo
presupuestos son ajustados. electrónico, las aplicaciones de terceros en la nube y el
adware son utilizadas como armas. Además, describimos los
Es posible que no se detengan todos los ataques. Sin métodos que los ciberdelincuentes emplean durante la fase de
embargo, puede minimizar el riesgo y el impacto de instalación de un ataque. En esta sección también se presenta
las amenazas limitando el espacio operativo de sus nuestra investigación sobre el "tiempo para evolucionar"
adversarios y, por tanto, su capacidad para poner en riesgo (TTE), que muestra el modo en que los adversarios renuevan
los recursos. Una medida que puede tomar es simplificar sus tácticas y eluden la detección. Asimismo, ofrecemos una
su colección de herramientas de seguridad en una actualización de nuestros esfuerzos para reducir el tiempo
arquitectura de seguridad integrada e interconectada. de detección (TTD) medio. Además, presentamos la última
Las herramientas de seguridad integrada que funcionan investigación de Cisco sobre el riesgo de malware en los
conjuntamente en una arquitectura automatizada pueden distintos sectores y regiones geográficas.
simplificar el proceso de detección y mitigación de las
amenazas. De ese modo dispondrá de tiempo para Comportamiento de los defensores
abordar problemas más complejos y persistentes. Muchas En esta sección ofrecemos actualizaciones de las
organizaciones emplean al menos media docena de vulnerabilidades. El foco se centra en las debilidades
soluciones de otros tantos proveedores (página 53). En emergentes de las bibliotecas de middleware, que
muchos casos, los equipos de seguridad pueden investigar presentan oportunidades para que los adversarios utilicen
solo la mitad de las alertas de seguridad que reciben en un las mismas herramientas en numerosas aplicaciones,
día concreto. con lo que reducen el tiempo y el coste necesario para
poner en riesgo a los usuarios. También compartimos la
El Informe de ciberseguridad anual de Cisco 2017 presenta investigación de Cisco sobre las tendencias en la aplicación
estudios, datos y perspectivas del grupo de investigaciones de parches. Insistimos en la ventaja de ofrecer a los
de seguridad de Cisco. Destacamos la dinámica incesante usuarios actualizaciones de forma periódica para fomentar
de tira y afloja entre los adversarios, que intentan ganar la adopción de versiones más seguras de los navegadores
más tiempo para actuar, y los defensores, que trabajan para web y las soluciones de productividad habituales.
anular los márgenes de oportunidades que los atacantes
3 Resumen ejecutivo y conclusiones más relevantes

Estudio comparativo sobre capacidades de seguridad Sector

de Cisco 2017 En esta sección, explicamos la importancia de garantizar
Esta sección incluye los resultados de nuestro tercer la seguridad en la cadena de valor. Examinamos el posible
estudio comparativo sobre capacidades de seguridad, daño de los gobiernos que almacenan información sobre
que se centra en las percepciones de los profesionales las vulnerabilidades y los exploits de día cero en los
de la seguridad sobre el estado de la seguridad en sus productos de proveedores. Además, debatimos el uso del
organizaciones. Este año, los profesionales de la seguridad cifrado rápido como solución para proteger los datos en
parecen confiar en las herramientas que tienen a mano, entornos de alta velocidad. Por último, describimos los
pero no están seguros de si estos recursos pueden retos de la seguridad organizativa a medida que el tráfico
ayudarles a reducir el espacio operativo de los adversarios. global de Internet, y la superficie de posibles ataques,
El estudio también muestra que las violaciones de la aumentan.
seguridad pública están teniendo un impacto cuantificable
en las oportunidades, los ingresos y los clientes. Al Conclusión
mismo tiempo, las brechas están generando mejoras en En la conclusión, sugerimos que los defensores adapten
la tecnología y los procesos de las organizaciones. Para sus prácticas de seguridad para que puedan afrontar mejor
consultar un análisis más detallado sobre el estado de la los retos de seguridad típicos a lo largo de la cadena de
seguridad en las organizaciones, vaya a la página 49. ataque y reduzcan el espacio operativo de los adversarios.
Asimismo, esta sección ofrece orientación específica
acerca del establecimiento de un enfoque de seguridad
integrado y simplificado: uno que conectará el liderazgo
ejecutivo, las políticas, los protocolos y las herramientas
para evitar, detectar y mitigar las amenazas.

Conclusiones más relevantes

●● Tres exploit kits líderes (Angler, Nuclear y Neutrino) ● ● Una investigación de Cisco que incluía
desaparecieron precipitadamente del panorama en 130 organizaciones de todos los mercados verticales
2016 y dejaron espacio para que agentes menores y concluyó que el 75 por ciento de dichas empresas
nuevos aspirantes dejasen su huella. se vio afectada por infecciones de adware. Los
adversarios tienen la posibilidad de utilizar estas
●● Según el estudio comparativo sobre capacidades de
infecciones para facilitar otros ataques de malware.
seguridad de Cisco 2017, la mayoría de las empresas
utilizan más de cinco proveedores de seguridad y ●● Los operadores que se esconden detrás de las
más de cinco productos de seguridad en su entorno. campañas de malvertising emplean cada vez más
El 55 por ciento de los profesionales de la seguridad agentes (también llamados "puertas"). Los agentes
utiliza al menos seis proveedores; el 45 por ciento les permiten avanzar con mayor velocidad, mantener
utiliza entre uno y cinco proveedores, y el 65 por su espacio operativo y eludir la detección. Estos
ciento utiliza seis o más productos. enlaces intermediarios permiten que los adversarios
cambien rápidamente de un servidor malicioso a otro
●● Las restricciones principales para adoptar productos
sin cambiar de redirección inicial.
y soluciones de seguridad avanzada, según el estudio
comparativo, son el presupuesto (mencionado por el ●● El spam representa casi dos tercios (65 por ciento)
35 por ciento de los encuestados), la compatibilidad del volumen total de correos electrónicos; nuestra
de los productos (28 por ciento), la certificación investigación sugiere que el volumen global de spam
(25 por ciento) y el talento (25 por ciento). está aumentando debido a los botnets enormes y
pujantes dedicados al envío de spam. Según los
●● El estudio comparativo sobre capacidades de
investigadores de amenazas de Cisco, en torno
seguridad de Cisco 2017 reveló que, debido a
al 8-10 por ciento del spam global observado en
diversas limitaciones, las organizaciones pueden
2016 podría clasificarse como malicioso. Además,
investigar solo el 56 por ciento de las alertas de
el porcentaje de spam con archivos adjuntos en
seguridad que reciben en un día concreto. La mitad
correos electrónicos malicioso está aumentando y
de las alertas investigadas (28 por ciento) se
los adversarios parecen experimentar con una amplia
considera legítima; menos de la mitad (46 por ciento)
variedad de tipos de archivos para ayudar a que sus
de las alertas legítimas se remedian. Además, el
campañas tengan éxito.
44 por ciento de los directores de operaciones de
seguridad es testigo de más de 5000 alertas de ●● Según el estudio comparativo sobre capacidades de
seguridad al día. seguridad, las organizaciones que aún no han sufrido
una violación de la seguridad pueden creer que sus
●● El 27 por ciento de las aplicaciones de terceros en
redes son seguras. Esta confianza probablemente
la nube conectadas introducidas por los empleados
no está bien fundada, si se tiene en cuenta que el
en entornos empresariales en 2016 planteó un alto
49 por ciento de los profesionales de la seguridad
riesgo de seguridad. Las conexiones de autenticación
encuestados afirmó que sus organizaciones han
abierta (OAuth) tocan la infraestructura corporativa
tenido que afrontar el escrutinio público derivado de
y pueden comunicarse libremente con plataformas
una violación de la seguridad.
corporativas en la nube y de software como servicio
(SaaS) una vez que los usuarios conceden acceso.

●● Además, el estudio comparativo sobre capacidades ●● Las vulnerabilidades en el middleware (software

de seguridad de Cisco 2017 reveló que casi un que sirve de puente o conector entre plataformas o
cuarto de las organizaciones que han sufrido un aplicaciones) son cada vez más evidentes y originan
ataque perdió oportunidades de negocio. Cuatro la preocupación de que el middleware se está
de cada diez afirmaron que dichas pérdidas son convirtiendo en un vector popular de amenazas.
considerables. Una de cada cinco organizaciones Muchas empresas confían en el middleware, por lo
perdió clientes debido a un ataque y casi el 30 por que la amenaza podría afectar a todos los sectores.
ciento perdió ingresos. Durante el proceso de un proyecto de Cisco®,
nuestros investigadores de amenazas descubrieron
●● Cuando se producen brechas, las operaciones y
que una gran parte de las nuevas vulnerabilidades
los asuntos financieros fueron las funciones que
examinadas se atribuían al uso de middleware.
con mayor probabilidad se vieron afectadas (el
36 y 30 por ciento, respectivamente), seguida por ●● La frecuencia de las actualizaciones de software
la reputación de la marca y la retención de clientes puede afectar al comportamiento de los usuarios en lo
(ambas en un 26 por ciento), según los encuestados relativo a la instalación de parches y actualizaciones.
del estudio comparativo. Según nuestros investigadores, las programaciones
de actualizaciones periódicas y predecibles derivan
●● A menudo, las interrupciones en la red causadas por
en que los usuarios actualizan su software antes, lo
violaciones de la seguridad pueden tener un impacto
que reduce el tiempo durante el cual los adversarios
duradero. Según el estudio comparativo, el 45 por
pueden aprovechar las vulnerabilidades.
ciento de las interrupciones duró de 1 a 8 horas;
el 15 por ciento duró de 9 a 16 horas, y el 11 por ●● El estudio comparativo sobre capacidades de
ciento duró de 17 a 24 horas. El 41 por ciento seguridad de 2017 reveló que la mayoría de las
(consulte la página 55) de estas interrupciones organizaciones confían a proveedores externos
afectaron al 11-30 por ciento de los sistemas. al menos el 20 por ciento de su seguridad y que
aquellos que dependen en gran medida de estos
recursos tienen más probabilidades de expandir su
uso en el futuro.

Introducción
Introducción
Los adversarios tienen una amplia y variada cartera de acceso a los recursos valiosos de la empresa y realizar sus
técnicas para obtener acceso a los recursos organizativos actividades sin ser detectados.
y para conseguir un tiempo ilimitado para actuar. Sus
estrategias cubren todos los aspectos básicos e incluyen: La automatización es fundamental para lograr este
objetivo. Le ayudará a comprender qué actividad normal
●● Aprovechar los lapsos en la aplicación de parches y se desarrolla en el entorno de red, de manera que pueda
actualizaciones centrar los limitados recursos en investigar y resolver
●● Atraer a los usuarios hacia trampas de ingeniería social las auténticas amenazas. Simplificar las operaciones de
●● Inyectar malware en contenido en línea supuestamente
seguridad también le ayuda a ser más eficaz al eliminar
legítimo, como publicidad el espacio operativo ilimitado de los adversarios. Sin
embargo, el estudio comparativo muestra que la mayoría
Hay muchas otras funciones, desde explotar las de las organizaciones utilizan más de cinco soluciones de
vulnerabilidades de middleware a lanzar spam malicioso. más de cinco proveedores diferentes (página 53).
Una vez que han conseguido sus objetivos, pueden acabar
rápidamente y silenciosamente sus operaciones. Esta compleja mezcla de tecnología y la abrumadora
cantidad de alertas de seguridad se convierten en una
Los adversarios trabajan sin descanso para perfeccionar fórmula para estar menos protegido. Sin duda alguna,
sus amenazas, moverse a más velocidad y encontrar agregar más talento en seguridad puede ayudar. Con más
formas para ampliar su espacio operativo. El vertiginoso expertos, lo lógico es que cuanto mejor sea la estabilidad
crecimiento en el tráfico de Internet, impulsado en de una organización para gestionar y ofrecer tecnología,
gran parte por las más rápidas velocidades móviles y la mejor serán los resultados. Sin embargo, el escaso talento
proliferación de dispositivos online, les favorece y les en seguridad y los limitados presupuestos de seguridad
ayuda a ampliar la superficie de ataque. A medida que esto hacen que contratar sin miramientos sea inverosímil. En
sucede, los desafíos de las empresas aumentan. El estudio cambio, la mayoría de las organizaciones deben hacer lo
comparativo de capacidades de seguridad de Cisco 2017 posible con el talento que ya tienen. Dependen de talento
reveló que más de un tercio de las organizaciones que se subcontratado para añadir fortaleza a sus equipos de
han visto afectadas por un ataque han perdido al menos seguridad, sin salirse del presupuesto.
el 20 por ciento de sus ingresos. El 49 por ciento de los
encuestados afirmó que su negocio se había enfrentado al La respuesta real para afrontar estos desafíos, como
escrutinio público debido a una violación de la seguridad. explicaremos más adelante en este informe, es
operacionalizar a las personas, procesos y tecnología de
¿Cuántas empresas pueden sufrir estos daños en sus manera integrada. Para operacionalizar la seguridad se
resultados y mantenerse en un buen estado? Los defensores debe comprender de verdad lo que la empresa necesita
deben centrar los recursos en reducir el espacio operativo de proteger, así como qué medidas se deben utilizar para
los adversarios. Los atacantes encontrarán muy difícil obtener proteger los recursos esenciales.
El Informe de ciberseguridad anual de Cisco 2017 presenta nuestros últimos avances en el sector de la seguridad,
diseñados para ayudar a las organizaciones y los usuarios a defenderse de los ataques. También analizamos
las técnicas y estrategias utilizadas por los adversarios para abrirse paso a través de esas defensas. Además, el
informe resalta las conclusiones principales del estudio comparativo sobre capacidades de seguridad de Cisco
2017, el cual analiza la condición en materia de seguridad de las empresas y sus percepciones en lo concerniente
a su grado de preparación para defenderse frente a ataques.
8 Introducción
La expansión de la
superficie de ataque
La expansión de la
superficie de ataque
Dispositivos móviles. Nube pública. Infraestructura de IP global y ha analizado los factores dinámicos que facilitan
nube. Comportamiento del usuario. Los profesionales de el crecimiento en la red. Tenga en cuenta las estadísticas
la seguridad que participaron en el estudio comparativo del informe más reciente, La era zettabyte: tendencias y
de capacidades de seguridad anual citaron todos estos análisis:²
elementos como fuentes principales de preocupación
●● El tráfico IP global anual pasará el umbral del zettabyte (ZB)
cuando piensan en el riesgo que corren sus organizaciones
a finales de 2016 y alcanzará los 2,3 ZB anuales para el año
a exponerse a ciberataques (figura 1). Esto es comprensible:
2020. (Un zettabyte son 1000 exabytes, o mil millones de
la proliferación de dispositivos móviles crea más terminales terabytes). Esto representa un aumento del umbral del tráfico
a los que hay que proteger. La nube está ampliando el IP global en los próximos 5 años.
perímetro de seguridad. Los usuarios son, y siempre serán,
●● El tráfico de dispositivos inalámbricos y dispositivos móviles
un punto débil en la cadena de seguridad.
supondrá las dos terceras partes (66 por ciento) del tráfico
A medida que se adopta la digitalización, e Internet of IP total en 2020. Los dispositivos por cable supondrán solo
el 34 por ciento.
Everything (IoE)¹ comienza a tener forma, los defensores
tendrán aún más de lo que preocuparse. La superficie de ●● A partir del año 2015 hasta el 2020, las velocidades de
ataque se ampliará, dando a los adversarios más espacio banda ancha medias casi se doblarán.
para actuar. ●● En el 2020, el 82 por ciento de todo el tráfico de Internet del
consumidor global será de tráfico de vídeo IP, hasta alcanzar
Durante más de una década, el Visual Networking Index el 70 por ciento en 2015.
de Cisco® (VNI) ha proporcionado estimaciones del tráfico
Figura 1 Mayores fuentes de preocupación de los profesionales de la seguridad en relación con los ciberataques
Figure 1 Security Professionals’ Biggest Sources of Concern Related to Cyber Attacks
Comportamiento de los usuarios (por

Dispositivos móviles Datos en la nube pública Infraestructura de nube ejemplo, hacer clic en enlaces maliciosos
de correos electrónicos o sitios web)
58% 57% 57% 57%

Porcentaje de profesionales de la seguridad que consideran estas categorías muy o extremadamente desafiantes
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
¹ "Preguntas frecuentes sobre el Internet of Everything", Cisco: http://ioeassessment.cisco.com/learn/ioe-faq.

² La era zettabyte: tendencias y análisis, Cisco VNI, 2016: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html.
10 La expansión de la superficie de ataque

Además, el informe técnico³ Metodología y previsión de Las organizaciones deben:

Cisco VNI™, 2015-2020 estima que el volumen de tráfico
●● Integrar su tecnología de seguridad
de Internet de 2020 será 95 veces mayor que el de 2005.
●● Simplificar las operaciones de seguridad
Por supuesto, los ciberdelincuentes oportunistas prestarán
●● Confiar más en la automatización
más atención a estas tendencias. Estamos observando a
los operadores en la sombra, dando los pasos necesarios Este enfoque ayudará a reducir los costes operativos, a
para ser más ágiles en este cambiante entorno. Crean reducir la carga a la que tiene que hacer frente el personal
ataques variados y con objetivos muy específicos, de seguridad y a ofrecer mejores resultados de seguridad.
diseñados para tener éxito en la cada vez mayor superficie Y lo que es más importante, proporcionará a los defensores
de ataque. Mientras tanto, los equipos de seguridad la capacidad de centrarse la mayor parte del tiempo en la
están en modo de lucha constante, sobrepasados por las eliminación del espacio ilimitado en el que los adversarios
alertas. Dependen de una gama de productos de seguridad actúan actualmente.
en el entorno de red que solo agrega más complejidad
y que puede incluso aumentar la susceptibilidad de la
organización a las amenazas.
³ Metodología y previsión de Cisco VNI, 2015–2020, Cisco VNI, 2016:

http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.html.
11 La expansión de la superficie de ataque

Comportamiento de
los atacantes
Comportamiento de los atacantes

Reconocimiento Armamentización Entrega Instalación
Los atacantes investigan, identifican y seleccionan a sus objetivos.
Métodos de ataque en la Web: las Figura 22 Malware

Figure más frecuente
Most Commonly Observed Malware
amenazas de la "cola corta" ayudan a los
adversarios a fijar la base de las campañas Recuento
de muestra
El reconocimiento es, por supuesto, un paso fundamental

87 329 PUA y archivos binarios sospechosos
para lanzar un ciberataque. En esta fase, los adversarios
buscan infraestructuras de Internet vulnerables o
debilidades en la red que les permitan obtener acceso
a los ordenadores de los usuarios y, en última instancia, 50 081 Instaladores de troyanos (VBS)
infiltrarse en las organizaciones.
Los archivos binarios sospechosos de Windows y 35 887 Enlaces de estafas de Facebook

las aplicaciones potencialmente indeseadas (PUA)
encabezaron la lista de métodos de ataque en la Web en 27 627 Descargadores de troyanos (scripts)
2016 por un margen considerable (consulte la figura 2).

24 737 Redirección de navegador (JS)
Los archivos binarios sospechosos de Windows contienen
amenazas, como spyware y adware. Las extensiones
18 505 Descargas y redirecciones de navegador
maliciosas de navegador son un ejemplo de PUA.
15 933 Suplantación de identidad (enlaces)
Las estafas de Facebook, que incluyen ofertas y contenido
multimedia falsos, junto con estafas de encuestas, ocupan 14 020 Troyanos de Android (Iop)
el tercer puesto de la lista. La continua importancia de
las estafas de Facebook en nuestras listas anuales y 12 848 Redirección de navegador
semestrales del malware observado con más frecuencia
pone de relieve el papel fundamental que tiene la 11 600 Secuestro de Facebook
ingeniería social en los ciberataques. Facebook cuenta
con casi 1,8 mil millones de usuarios activos en todo el 11 506 Bloques heurísticos (scripts)
mundo.⁴ Es un territorio lógico para los ciberdelincuentes 7712 Binarios empaquetados

y otros agentes que buscan engañar a los usuarios. Un 5995 Descargadores de troyanos (JS)
avance positivo es el anuncio reciente de la empresa, que
5510 Troyanos, heurísticos (Win32)
está dando pasos para eliminar las noticias falsas y los
5467 Ataques de navegador iFrame
engaños. Los críticos sugieren que este tipo de contenidos
pudo haber influido en los votantes de las elecciones a la 4970 Android (Axent)
presidencia de EE. UU. de 2016⁵ 4584 Troyanos de Android (Loki)

4398 Malware (FakeAvCn)
⁴ Estadísticas de Facebook, septiembre de 2016: http://newsroom.fb.com/company-info/.
⁵ "Zuckerberg Vows to Weed Out Facebook 'Fake News'" ("Zuckerberg promete eliminar 3646 Troyanos (HideLink)
las 'noticias falsas' de Facebook"), por Jessica Guynn y Kevin McCoy, USA Today, 14
3006 Malware (HappJS)
de noviembre de 2016:
http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed-out-
facebook-fake-news/93770512/. Fuente: Grupo de investigación de seguridad de Cisco
13 Comportamiento de los atacantes

El malware de redirección de navegador rondó los cinco Se han clasificado entre los 10 tipos de malware más
primeros puestos del tipo de malware que se observó con frecuentes de 2016. El malware Loki, que aparece al final de
más frecuencia en 2016. Como se debatió en el Informe de la lista de amenazas de la cola corta de la figura 2 (consulte la
ciberseguridad semestral de Cisco de 2016,⁶ las infecciones página anterior), es especialmente problemático porque puede
del navegador pueden exponer a los usuarios a publicidad replicar e infectar otros archivos y programas.
maliciosa (malvertising), que los adversarios utilizan para
configurar el ransomware y otras campañas de malware. Los La figura 3 ayuda a ilustrar las tendencias de malware que
investigadores de amenazas de Cisco advierten que el adware los investigadores de amenazas de Cisco han observado
malicioso, que incluye inyectores de anuncios, secuestradores desde finales de 2015. Muestra que los adversarios han
de las configuraciones del navegador, utilidades y hecho un cambio definitivo en la fase de reconocimiento
descargadores, es un problema cada vez mayor. De hecho, de ataques basados en la Web. Cada vez más amenazas
hemos identificado infecciones de adware en el 75 por ciento buscan específicamente los navegadores y los plug-
de las empresas que hemos investigado recientemente como ins vulnerables. Este cambio se corresponde con la
parte de nuestra investigación sobre el problema de adware. dependencia cada vez mayor de los adversarios en el
(Para obtener más información sobre este tema, consulte malware, ya que cada vez es más difícil abarcar un número
"Las investigaciones concluyen que el 75 por ciento de las de usuarios a través de los vectores de ataque en la Web
organizaciones se ven afectadas por infecciones de adware", tradicionales. (Consulte la siguiente sección, "Vectores de
página 23.) ataque en la Web: Flash se desvanece, pero los usuarios
deben permanecer alerta" página 15.)
Otros tipos de malware enumerados en la figura 3, como
el malware de abuso iFrame y JavaScript en el navegador, El mensaje para los usuarios individuales, los profesionales
también se han diseñado para facilitar las infecciones en los de la seguridad y las empresas está claro: asegurarse
navegadores. Los troyanos (instaladores y descargadores) de que los navegadores estén protegidos y desactivar o
también aparecen entre los cinco tipos de malware principales eliminar los plug-ins de navegador innecesarios puede
observados con más frecuencia, lo que indica que siguen ser un gran paso para la prevención de infecciones por
siendo herramientas populares para obtener un acceso inicial malware. Estas infecciones pueden derivar en ataques más
a los ordenadores de los usuarios y a las redes organizativas. significativos, complejos y costosos, como las campañas
de ransomware. Estos sencillos pasos pueden reducir
Otra tendencia que se debe vigilar: el alto uso del malware que considerablemente la exposición a las amenazas basadas en
tiene como objetivo a los usuarios de la plataforma operativa la Web más comunes, así como evitar que los adversarios
Android. Los troyanos de Android han avanzado sin parar en la encuentren espacio operativo para llevar a cabo la siguiente
lista de amenazas de la cola corta durante los últimos 2 años. fase de la cadena de ataque: la militarización.
Figure 3 Most Commonly Observed Malware, Q4 2015–Q3 2016

Figura 3 Malware más frecuente, desde el cuarto trimestre de 2015 al tercer trimestre de 2016
50K
40K
Recuento de muestra
30K
20K
10K
0K
Troyanos
iFrame
Troyanos de
Android (lop)
Descargas
y redirecciones
de navegador
Enlaces de
suplantación
de identidad
Redirección de
navegador (JS)
Bloques
heurísticos
(Win32)
Descargadores
de troyanos
(JS)
Secuestro de
Facebook
PUA y archivos
binarios
sospechosos
Empaquetado
(multi-
empaquetado)
Redirección
de navegador
Instaladores
de troyanos
(VBS)
Descargadores
de troyanos
(scripts)
Enlaces de
estafas de
Facebook
Descargadores
de iFrame
Cuarto trimestre de 2015 Primer trimestre de 2016 Segundo trimestre de 2016 Tercer trimestre de 2016
Fuente: Grupo de investigación de seguridad de Cisco
⁶ Informe de ciberseguridad semestral de Cisco 2016: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

Los atacantes combinan malware de acceso remoto con exploits en contenidos distribuibles.
Vectores de ataque en la web: Flash se desvanece, pero los usuarios deben permanecer
alerta
Adobe Flash ha sido durante mucho tiempo un vector de Los usuarios deben seguir siendo cautelosos y deben
ataque en la Web atractivo para los ciberdelincuentes que desinstalar Flash a menos que lo necesiten por motivos
querían explotar y comprometer los sistemas. Sin embargo, a empresariales. Si necesitan usarlo obligatoriamente, deben
medida que continúa disminuyendo la cantidad de contenido estar al tanto de las actualizaciones. Utilizar navegadores
web que dispongan de capacidades de parcheado puede
en Adobe Flash en la Web, y el conocimiento sobre las
ayudar. Como se muestra en "Métodos de ataque en la Web:
vulnerabilidades de Flash aumenta, cada vez resulta más
las amenazas de la "cola corta" ayudan a los adversarios a
complicado para los ciberdelincuentes explotar a los usuarios establecer la base de las campañas" en la página 13, utilizar
de la misma forma en la que lo hacían anteriormente. navegadores seguros, así como desactivar o eliminar plug-
ins de navegador innecesarios, reducirá significativamente la
Adobe está abandonando el desarrollo y el soporte de la
exposición a las amenazas derivadas de la Web.
plataforma de software y ha animado a los desarrolladores
a adoptar nuevos estándares, como HTML5.⁷ Los
Java, PDF y Silverlight
proveedores de navegadores web más importantes
Tanto el tráfico de Internet de Java como de archivos PDF
también se están posicionando fuertemente en Flash. Por
ha experimentado descensos notables en 2016. El tráfico
ejemplo, Google anunció en 2016 que sustituirá el soporte
de Silverlight ha alcanzado un nivel que los investigadores
completo para Adobe Flash en su navegador de Chrome.⁸ de amenazas consideran que no merece la pena seguir con
Firefox sigue respaldando el contenido Flash, pero bloquea regularidad.
"cierto contenido Flash que no es fundamental para la
experiencia del usuario."⁹ Java, que una vez fue el vector de ataque dominante en
la Web, ha visto su condición en materia de seguridad
Flash puede desvanecerse, pero los desarrolladores mejorada de manera significativa en los últimos años. La
de exploit kits ayudan a que resista como vector de elección de Oracle de principios de 2016 de eliminar el
ataque. Sin embargo, hay signos de que esto puede estar plug-in de navegador Java ha contribuido a hacer que Java
cambiando. Después de que los tres exploit kits más sea un vector de ataque en la Web menos atractivo. Los
importantes (Angler, Nuclear y Neutrino) desaparecieran ataques de archivos PDF también son cada vez menos
habituales. Por ese motivo, pueden ser más fáciles de
repentinamente del panorama de amenazas en 2016,
detectar, motivo por el cual muchos adversarios utilizan
nuestros investigadores observaron un descenso
ahora esta estrategia con menos frecuencia.
significativo en el tráfico de Internet relacionado con Flash.
(Consulte "La desaparición de los principales exploit kits Sin embargo, como con Flash, los ciberdelincuentes siguen
ofrece oportunidades para agentes menores y nuevos utilizando Java, PDF y Silverlight para atacar a los usuarios.
aspirantes", página 20.) Los actores detrás del exploit kit Los usuarios individuales, las empresas y los profesionales
Angler tienen como objetivo las vulnerabilidades de Flash de la seguridad deben ser conscientes de estos posibles
para poner en riesgo a los usuarios. El exploit kit Nuclear procesos de exposición a riesgos. Para reducir el riesgo de
sufrir a estas amenazas, deberían:
también afectaba de manera similar a Flash. Y Neutrino
confió en los archivos Flash para distribuir exploits. ●● Descargar parches
●● Utilizar tecnología web actualizada
●● Evitar contenido web que pueda suponer un riesgo
⁷ "Flash, HTML5 and Open Web Standards" ("Estándares de Flash, HTML5 y Open Web"), Adobe News, noviembre de 2015:
https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html.
⁸ "Flash and Chrome" ("Flash y Chrome"), por Anthony LaForge, blog The Keyword, Google, 9 de agosto de 2016: https://blog.google/products/chrome/flash-and-chrome/.
⁹ "Reducing Adobe Flash Usage in Firefox" ("Reducción del uso de Adobe Flash en Firefox"), por Benjamin Smedberg, blog Future Release, Mozilla, 20 de julio de 2016:
https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/.

Seguridad en aplicaciones: gestión del riesgo de las conexiones OAuth en medio de la

proliferación de aplicaciones
Cuando las empresas cambian a la nube, el perímetro ●● Clasificación de confianza de la comunidad: para esta
de seguridad se extiende al ámbito virtual. Sin embargo, evaluación se utilizan las evaluaciones que tienen a la
comunidad como fuente y aquellas que realizan los homólogos.
el perímetro de seguridad se disipa rápidamente con
cualquier aplicación en la nube de terceros conectada que ●● Inteligencia de amenazas de la aplicación: esta completa
comprobación en segundo plano realizada por expertos en
los empleados introducen en el entorno. ciberseguridad se basa en diversos atributos de seguridad
de la aplicación, como certificaciones de seguridad, historial
Los trabajadores quieren mejorar su productividad y
mantenerse conectados mientras están en el trabajo. Pero
Figure 4 Explosive
de brechas Growth
y revisiones of Connected
de analistas.
estas aplicaciones de TI en la sombra suponen un riesgo Third-Party Cloud Applications, 2016

para las empresas. Tocan la infraestructura corporativa Figura 4 Crecimiento explosivo de aplicaciones en la
y pueden comunicarse libremente con plataformas nube conectadas de terceros, 2016
corporativas en la nube y de software como servicio (SaaS)
tan pronto como los usuarios conceden acceso a través
de la autenticación abierta (OAuth). Estas aplicaciones
pueden tener extensos y, en ocasiones excesivos, ámbitos
de acceso. Deben de gestionarse detenidamente porque
pueden ver, eliminar, externalizar y almacenar datos
corporativos e, incluso, actuar en nombre de los usuarios. 222 000
Octubre
El proveedor de seguridad para la nube CloudLock, que
ahora forma parte de Cisco, ha realizado un seguimiento 129 000
del crecimiento de las aplicaciones en la nube de terceros Enero
conectadas en un grupo de muestra de 900 organizaciones
que representaban una amplia gama de sectores.
Número de aplicaciones únicas
Como se muestra en la figura 4, había alrededor de
129 000 aplicaciones exclusivas a comienzos de 2016.
A finales de octubre, el número había llegado a 222 000.
Figure 5 Growth of Third-Party Cloud
Fuente: Cisco CloudLock
El número de aplicaciones ha aumentado aproximadamente Applications, Year-Over-Year

Figura 5 Crecimiento Comparison
de aplicaciones en la nube de
11 veces desde 2014. (Consulte la figura 5.) terceros, comparativa año tras año
Clasificación de las aplicaciones más peligrosas

Para ayudar a los equipos de seguridad a comprender
qué aplicaciones en la nube de terceros conectadas en
el entorno suponen el mayor riesgo para la seguridad de
la red, CloudLock ha desarrollado el índice de riesgos de 222 000
aplicaciones en la nube (CARI). El proceso implica varias 108 000
evaluaciones:
20 400
●● Requisitos de acceso a los datos: las organizaciones
responden, entre otras, a las siguientes cuestiones:
¿Qué permisos se necesitan para autorizar la aplicación?
¿Conceder acceso significa que la aplicación tiene acceso Octubre de 2014 Octubre de 2015 Octubre de 2016
de programación (API) a las plataformas de software como
servicio a través de conexiones OAuth? ¿La aplicación (y
por extensión, el proveedor) puede actuar en nombre de los Fuente: Cisco CloudLock
usuarios y actuar con los datos corporativos, así como verlos
y eliminarlos?
Descargue los gráficos de 2017 en:
www.cisco.com/go/acr2017graphics

Puntuaciones de riesgo y ejemplos
Tras categorizar aplicaciones en la nube de terceros mediante el CARI, CloudLock asigna una puntuación de
riesgo a cada aplicación en una escala del 1 (el riesgo más bajo) al 5 (el riesgo más alto).
Una aplicación que obtenga una puntación de 1 en la escala podría disponer de, por ejemplo, ámbitos de
acceso mínimos (solo puede ver correo electrónico), una tasa de confianza de la comunidad del 100 % y un
historial sin brechas.
Una aplicación que obtenga una puntuación de 5 en la escala podría ser una que disponga de acceso total a las
cuentas (puede ver correos electrónicos, documentos, el historial de navegación, el calendario y mucho más),
de una tasa de confianza del 8 por ciento (lo que implica que solo el 8 por ciento de los administradores confían
en ella) y que no disponga de una certificación de seguridad.
CloudLock utilizó el CARI para categorizar las Figure

Figura 66 Aplicaciones
Third-Partyde
Applications Classified
terceros clasificadas as
como
222 000 aplicaciones identificadas en las 900 organizaciones High
de altoRisk
riesgo
de la muestra. De esas aplicaciones totales, el 27 por
ciento se consideraron de alto riesgo, mientras que la
mayoría se encontraban en la categoría de riesgo medio.
(Consulte la figura 6.) La mitad de las organizaciones tenían
27%
Riesgo alto
conexiones Oauth relacionadas con una popular aplicación
de juego que se lanzó el verano de 2016.
15%
Riesgo bajo
222 000
aplicaciones
de terceros
58%
Riesgo medio
Compartir

Gracias a nuestro análisis, observamos que todas las

organizaciones, independientemente de su tamaño, sector
o región, tienen una distribución relativamente uniforme de
aplicaciones de riesgo bajo, medio y alto (figuras 7 y 8).
Figure 7 Distribution of Low-, Medium-, and High-Risk Applications, by Region

Figura 7 Distribución de aplicaciones de bajo, medio y alto riesgo, por región
12 10 11
15
31 30 32 30
América
del Norte LATINOAMÉRICA EMEA APAC
54 58 58 59
Riesgo bajo Riesgo medio Riesgo alto
Figure 8 Distribution of Low-, Medium-, and High-Risk Applications, by Industry

Figura 8 Distribución de aplicaciones de bajo, medio y alto riesgo, por sector
8 10 16 16 17 8
35 33 28 31 31 31
57 57 56 53 52 61
Servicios financieros Gobierno Proveedores de Formación superior K-12 Fabricación

atención sanitaria
16 10 14 12 16
28 32 30 30 32
56 58 56 58 52
Medios de comunicación Comercio minorista Tecnología Viajes, hostelería Otros

y entretenimiento y transporte
Riesgo bajo Riesgo medio Riesgo alto

Supresión del ruido

Para identificar usuarios y comportamientos de entidad sesión en esa aplicación desde 68 países en el transcurso
sospechosos en las plataformas de software como servicio de la semana, un equipo de seguridad se interesará por
corporativas, incluidas aplicaciones en la nube de terceros, investigar esa actividad para confirmar que sea legítima.
los equipos de seguridad deben cribar miles de millones de
actividades de usuario para definir patrones normales de Según nuestro análisis, solo 1 de cada 5000 actividades
comportamiento de usuario en el entorno de la organización. de usuario (0,02 por ciento) que están asociadas con
Deben buscar anomalías que queden fuera de estos aplicaciones de terceros en la nube conectadas es
patrones esperados. A continuación, deben correlacionar sospechosa. El reto para nuestros equipos de seguridad,
las actividades sospechosas para determinar aquellas que por supuesto, es identificar esa instancia.
suponen una amenaza real y que necesitan investigarse. Los equipos de seguridad pueden cortar el "ruido" de las
Un ejemplo de actividad sospechosa es aquella con alertas de seguridad y centrar sus recursos en investigar
un inicio de sesión excesivo desde numerosos países las verdaderas amenazas haciendo uso únicamente de la
durante un periodo breve de tiempo. Digamos que el automatización. El proceso, que consta de varias etapas
comportamiento del usuario habitual de una organización para identificar las actividades de usuario normales y
determinada se basa en que los empleados solo inician aquellas potencialmente sospechosas que se ha descrito
sesión en una aplicación específica desde uno o dos países anteriormente (ilustrado en la figura 9), destaca el uso de
diferentes a la semana. Si un usuario comienza a iniciar la automatización, con algoritmos aplicados en cada una de
las etapas.
Figura 9 Identificación de patrones de comportamiento del usuario con automatización (proceso)

Figure 9 Identifying User Behavior Patterns with Automation (Process)
Todo el comportamiento de los usuarios
Anomalías
Actividades sospechosas
0,02% de todas las actividades
113 Amenaza real

veces más que
58% de comportamiento
los fallos de inicio
227 anormal
de sesión medios
veces más que
Mil millones de actividades la descarga de 31% de actividades de
del usuario por mes archivos media inicio de sesión
141
veces más que la 11% de acciones de
eliminación de administrador
activos de datos
media
das extu
al
traliza cont
líticas cen lisis
Po Aná
n ad
gació munid
iberinvesti la co
C
ia de
azas genc
de amen Inteli
encia nube
Intelig en la
ilidad
vulnerab
e
iva d
pect
Pers
Compartir

A través del uso malicioso del correo electrónico, los archivos adjuntos, las páginas web y otras herramientas, los
atacantes dirigen sus ciberarmas a sus objetivos.
Figure 10 Exploit Kit Landing Page Blocks,

January—November 2016
La desaparición de los principales exploit Figura 10 Bloques de página de inicio del exploit kit,
enero-noviembre de 2016
kits principales ofrece oportunidades para
agentes menores y nuevos aspirantes 7407
7K
En 2016 se han producido cambios drásticos en el entorno
de los exploit kits. A comienzos de año, Angler, Nuclear, 6K
Neutrino y RIG se posicionaban como claros líderes entre
Número de bloques
5K
los exploit kits. En noviembre, RIG era el único de ese
grupo que seguía estando activo. Como se muestra en la 4K
figura 10, la actividad de exploit kits disminuyó de manera
3K
significativa alrededor de junio.
2K
Nuclear fue el primero en desaparecer, ya que detuvo
1051
repentinamente sus operaciones en mayo. El motivo 1K
de su abandono por parte de sus autores es todo un 0

misterio. El exploit kit Neutrino, que también abandonó
Ene
Feb
Mar
Abr
Jul
Ago
Sep
Oct
Nov
Mayo
Jun
la escena en 2016, dependía de archivos Flash para
distribuir las vulnerabilidades. (Consulte la figura 11 de la
página siguiente para obtener una lista de las principales
vulnerabilidades en los exploit kits conocidos de 2016).
Flash continúa siendo un vector de ataque web atractivo

para los ciberdelincuentes, pero es probable que disminuya Descargue los gráficos de 2017 en:
su interés con el paso del tiempo. Cada vez menos sitios
o navegadores son completamente compatibles con Flash
o ni siquiera lo admiten y, generalmente, cada vez hay
mayor concienciación sobre las vulnerabilidades de Flash.
(Para obtener más información sobre este tema, consulte
"Vectores de ataque en la Web: Flash se desvanece, pero
los usuarios deben permanecer alerta" de la página 15).

Un gigante se desvanece
Angler, el mayor y más avanzado entre los exploit kits Ahora que tres de los exploit kits dominantes han dejado
conocidos, también tenía como objetivo las vulnerabilidades la escena, los agentes menores y nuevos aspirantes
de Flash y estaba vinculado a diversas campañas pueden ampliar su cuota de mercado. De hecho, se están
destacadas de malvertising y ransomware. Sin embargo, volviendo más sofisticados y ágiles. Los exploit kits que
a diferencia de la desaparición de Nuclear y Neutrino, la aparecían estar preparados para el crecimiento a finales
desaparición de Angler en 2016 no es ningún misterio. de 2016 eran Sundown, Sweet Orange y Magnitude. Estos
kits, al igual que RIG, eran conocidos por centrarse en las
La pasada primavera, aproximadamente 50 hackers y
vulnerabilidades de Flash, Siverlight y Microsoft Internet
ciberdelincuentes fueron arrestados en Rusia. El grupo
Explorer. (Consulte la figura 11.) La desinstalación de Flash
estaba vinculado con el malware Lurk, un troyano bancario
y la inhabilitación o eliminación de los plug-ins innecesarios
que tenía como objetivo principal los bancos rusos.¹⁰ Los
de los navegadores, ayudará a los usuarios a reducir el
investigadores de amenazas de Cisco identificaron las
riesgo que implican estas amenazas.
claras conexiones entre Lurk y Angler, incluido el hecho de
que Lurk se estaba suministrando en gran medida a través
de Angler a las víctimas de Rusia. Tras las detenciones,
Angler desapareció del mercado de exploit kits.¹¹
Figure 11 Vulnerabilidades
Figura 11 Top Vulnerabilities in Exploit
principales Kitsexploit kits
en los
Angler
Neutrino (1,2)
Magnitud
RIG
Nuclear
Sundown
Hunter
CVE- 2015- 2015- 2015- 2016- 2016- 2016- 2016- 2016- 2015- 2015- 2015- 2015- 2015- 2015-
7645 8446 8651 0034 1019 1001 4117 0189 5119 5122 3043 0318 3113 2419
Flash Silverlight IE 9-11 IE 10-11
Compartir
¹⁰ "Russian Hacker Gang Arrested Over $25M Theft" ("Grupo de hackers rusos arrestados por robo de más de 25 millones de USD"), BBC News, 2 de junio de 2016:
http://www.bbc.com/news/technology-36434104.
¹¹ Para obtener más información sobre este tema, consulte la publicación del blog de Cisco Talos de julio de 2016, Siguiendo el rastro se revela la reorganización del software malicioso.

Malvertising: los adversarios emplean agentes para aumentar la velocidad y la agilidad
Los usuarios son dirigidos a los exploit kits de dos usuarios de Norteamérica, Europa, Asia-Pacífico y
formas principales: a través de sitios web no seguros Oriente Medio. El alcance global de la campaña y el
y a través de malvertising. Los adversarios colocarán uso de diversas lenguas son considerables.
un enlace en la página de inicio de un exploit kit en
un anuncio malicioso o una página web no segura, o ShadowGate, que utilizaba el sombreado de
bien empleará un enlace intermedio, conocido como dominios, se observó por primera vez a principios
agente. (Estos enlaces, que se posicionan entre de 2015. En ocasiones se mantenía sin actividad
páginas web no seguras y servidores de exploit kits, y después se volvía a iniciar de forma aleatoria
también se conocen como "puertas"). El agente para dirigir el tráfico a las páginas de inicio de los
actúa como intermediario entre la redirección inicial exploit kits. Inicialmente, ShadowGate se utilizaba
y el exploit kit real que propaga el contenido del únicamente para dirigir a los usuarios al exploit kit
malware a los usuarios. Angler. Pero después, cuando Angler desapareció
en verano de 2016, dirigía a los usuarios al exploit kit
La táctica más reciente está ganando popularidad ya Neutrino, hasta que este se desvaneció también, unos
que los atacantes se han dado cuenta de que deben meses después. (Para obtener más información sobre
moverse con más rapidez para mantener su espacio esta historia, consulte "La desaparición de los exploit
operacional y evitar ser detectados. Los agentes kits principales presenta oportunidades para agentes
permiten que los adversarios cambien rápidamente menores y nuevos aspirantes", en la página 20.)
de un servidor malicioso a otro sin cambiar de
redirección inicial. Puesto que no necesitan modificar A pesar de que ShadowGate experimentó un alto
constantemente las páginas web o los anuncios volumen de tráfico web, solo una fracción minúscula
maliciosos para desencadenar la infección, los de las interacciones consiguió dirigir a un usuario
operadores de los exploit kit pueden llevar a cabo a un exploit kit. Los anuncios maliciosos solían ser
campañas más largas. principalmente impresiones (anuncios que aparecen
en la página y que no requieren ninguna interacción
por parte del usuario). Este modelo de publicidad
ShadowGate: una campaña rentable
en línea permitía que los actores responsables de
A medida que se vuelven más difícil comprometer ShadowGate pudieran poner en marcha su campaña
la seguridad de grandes cantidades de usuarios a de un modo más rentable.
través únicamente de los vectores de ataque web
tradicionales (consulte la página 15), los adversarios Nuestra investigación de ShadowGate condujo a un
confían más en el malvertising para exponer a los esfuerzo conjunto con una empresa de alojamiento
usuarios a los exploit kits. Nuestros investigadores web principal. Trabajamos conjuntamente para
de amenazas doblaron una reciente campaña global mitigar la amenaza reclamando cuentas de usuarios
"ShadowGate" de malvertising. Esta campaña registrados que los adversarios habían utilizado para
ilustra cómo los anuncios maliciosos ofrecen a los alojar la actividad. A continuación, desmantelamos
adversarios más flexibilidad y oportunidades de todos los subdominios aplicables.
atacar a usuarios de distintas regiones geográficas a
escala. Para obtener más detalles sobre la campaña
de ShadowGate, consulte la publicación del
ShadowGate implicaba páginas web cuyo contenido blog de Cisco Talos de septiembre de 2016,
abarcaba desde cultura popular, retail y pornografía Desmantelamiento de ShadowGate: boicot a la
hasta noticias. Afectó potencialmente a millones de campaña global de malvertising.

La investigación revela que el 75 por ciento de las organizaciones se ven afectadas por
infecciones de adware
El adware, cuando se utiliza con fines legítimos, es un Hemos categorizado el adware en cuatro grupos, en
software que descarga o muestra publicidad a través función del comportamiento principal de cada componente:
de redirecciones, ventanas emergentes e inyectores
●● Inyectores de anuncios: este adware normalmente reside
de anuncios y genera ingresos para sus creadores. Sin en el navegador y puede afectar a todos los sistemas
embargo, los ciberdelincuentes también usan el adware operativos.
como una herramienta que les ayude a aumentar su flujo ●● Secuestradores de las configuraciones del navegador:
de ingresos. Hacen uso del adware malicioso no solo para este componente de adware puede cambiar la configuración
beneficiarse de la publicidad de inyección, sino también del ordenador para hacer que el navegador sea menos
como un primer paso para facilitar la implementación seguro.
de otras campañas de malware, como el malware ●● Utilidades: se trata de una gran categoría de adware en
DNSChanger. El adware malicioso se suministra a través de pleno crecimiento. Las utilidades son aplicaciones web que
paquetes de software; los publicadores crean un instalador ofrecen un servicio útil a los usuarios, como optimización
del PC. Estas aplicaciones pueden inyectar publicidad, pero
con una aplicación legítima vinculada a decenas de su objetivo principal es convencer a los usuarios para que
aplicaciones de adware malicioso. paguen por el servicio. Sin embargo, en muchos casos, las
utilidades son simplemente estafas y no ofrecen ningún
Los ciberdelincuentes utilizan el adware para: beneficio a los usuarios.
●● Inyectar publicidad, lo que puede provocar infecciones o una ●● Descargadores: este adware puede suministrar otro
mayor exposición a los exploit kits software, como una barra de herramientas.
●● Cambiar la configuración del navegador y el sistema Hemos determinado que el 75 por ciento de las
operativo para debilitar la seguridad
organizaciones de nuestro estudio se vieron afectadas por
●● Fracturar el antivirus u otros productos de seguridad infecciones de adware.
●● Obtener el control completo del host para poder instalar otro
software malicioso
●● Realizar un seguimiento de los usuarios según su
ubicación, identidad, servicios utilizados y lugares visitados Figure 12 Porcentaje
Figura 12 Percentagede of Organizations
organizaciones with
con
habitualmente infecciones
Adware de adware
Infections
●● Exfiltrar información como datos personales, credenciales e
información de infraestructura (por ejemplo, las páginas de
ventas internas de una empresa)
En los últimos 12 meses
Para evaluar el alcance del problema que supone el adware
para las empresas, los investigadores de amenazas de
>75%
Cisco examinaron 80 variantes diferentes de adware.
Alrededor de 130 organizaciones de mercados verticales
participaron en nuestra investigación, que tuvo lugar de
noviembre de 2015 a noviembre de 2016.
de las organizaciones investigadas

han sufrido infecciones de adware
Compartir

La figura 13 muestra los tipos de incidentes que Todos los componentes de adware que hemos identificado
hemos observado en las organizaciones incluidas en durante nuestra investigación pueden suponer un riesgo de
nuestra investigación. Los inyectores de anuncios son la actividad maliciosa para los usuarios y las organizaciones.
principal fuente de infección. Esta conclusión indica que Los equipos de seguridad deben reconocer la amenaza
la mayoría de esas aplicaciones no deseadas centran que suponen las infecciones de adware y asegurarse de
su objetivo en los navegadores web. También hemos que los usuarios de la organización son completamente
observado un aumento de las infecciones basadas en el conscientes de los riesgos.
navegador durante los últimos años, lo que indica que
Para obtener información adicional sobre este tema,
los ciberdelincuentes están alcanzando el éxito con esta
consulte la publicación del blog de seguridad de Cisco de
estrategia de comprometer a los usuarios.
febrero de 2016 Brote de DNSChanger relacionado con la
base de instalación de adware.
Figure 13 Desglose
Figura 13 Breakdown of Total Incidents
de incidentes bycomponente
totales por Adware Component
de adware
2,0%
Porcentaje de usuarios infectados
1,5%
1,0%
0,5%
0
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Porcentaje de usuarios infectados por adware
60%
50%
40%
30%
20%
10%
0%
2015 2016
Empresas de servicios públicos Secuestradores de las configuraciones del navegador Descargadores Inyectores de anuncios

El spam global aumenta, al igual que el porcentaje de archivos adjuntos maliciosos

Los investigadores de amenazas de Cisco han dirigido través de nuestro análisis que entre aproximadamente
dos estudios en 2016 haciendo uso de la telemetría de el 8 y el 10 por ciento del spam global observado en
cliente opcional para estimar qué porcentaje del volumen 2016 podría categorizarse como malicioso.
total de correo electrónico es spam. Hemos descubierto
Desde agosto a octubre de 2016, se produjo un aumento
que el spam representa aproximadamente dos tercios
significativo en el número de bloqueos de conexiones IP
(65 por ciento) del volumen total de correos electrónicos.
(figura 14).¹² Esta tendencia puede atribuirse al aumento
Nuestra investigación también sugiere que el volumen
general del volumen de spam, del mismo modo que a los
global de spam está aumentando, lo que se debe
sistemas de reputación que se adaptan a la información de
principalmente a las grandes y exitosas botnets de envío
los remitentes de spam.
de spam como Necurs. Además, hemos determinado a
Figure 14 IP Blocks by Country, December 2015—November 2016

Figura 14 Bloqueos de IP por país, de diciembre de 2015 a noviembre de 2016
Alemania
414K | 548K Rusia
343K | 352K
Francia
Estados Unidos 222K | 467K
1351K | 2046K Japón
China 194K | 286K
903K | 760K
Vietnam
México 990K | 1684K
214K | 495K
Brasil India
252K | 587K 254K | 1662K
Dic. 2015 Octubre de 2016
Compartir
¹² Los bloques de conexión IP son mensajes de spam que se bloquean inmediatamente a través de una tecnología de detección de spam, puesto que el emisor de spam tiene una
puntuación de mala reputación. Los ejemplos incluyen mensajes que se han originado desde botnets de envío de spam o desde redes no seguras que son conocidas por participar en
ataques de spam.

El gráfico que representa un período de cinco años de spam observado en 2016. Este gráfico muestra el tamaño
Composite Blocking List (CBL), una "lista negra" basada en general de la lista SpamCop Block List (SCBL) desde
DNS de las infecciones informáticas sospechosas de envío noviembre de 2015 a noviembre de 2016. Cada fila de
de spam,¹³ también muestra un notable aumento en el SCBL representa una dirección IP distinta.
volumen total de spam a lo largo de 2016 (figura 15).
Entre noviembre de 2015 y febrero de 2016, el tamaño
Una revisión de datos de diez años de CBL (no mostrada) de SCBL estaba por debajo de las 200 000 direcciones IP.
sugiere que en 2016 el volumen de spam se ha aproximado En septiembre y octubre, el tamaño de SCBL superó las
a los niveles récord observados en 2010. Las nuevas 400 000 direcciones IP antes de su disminución en octubre,
tecnologías antispam y los desmantelamientos destacados lo que nuestros investigadores de amenazas atribuyen a un
de botnets relacionadas con spam han ayudado a mantener descanso de los operadores de Necurs. También se aprecia
unos niveles bajos de spam durante estos años. Nuestros una disminución significativa en junio. A finales de mayo, se
investigadores de amenazas atribuyen el reciente aumento en produjeron arrestos en Rusia relacionados con el troyano
el volumen de spam global a la botnet Necurs. Necurs es uno bancario Lurk (consulte la página 21). Posteriormente,
de los principales vectores del ransomware Locky. También numerosas amenazas destacadas, incluida Necurs,
distribuye amenazas como el troyano bancario Dridex. desaparecieron. Sin embargo, 3 semanas más tarde, Necurs
volvió a la acción añadiendo más de 200 000 direcciones IP
La figura 16 es un gráfico interno generado por el servicio a SCBL en menos de 2 horas.
SpamCop de Cisco que ilustra el cambio en el volumen de
Figure 15 Total Spam Volume

Figura 15 Volumen total de spam
Correos electrónicos/segundo
3,5K
3K
2,5K
2K
1,5K
1K
0,5K
0
2012 2013 2014 2015 2016
Fuente: CBL
Figure 16 Tamaño
Figura 16 Overalltotal
SizedeofSCBL
SCBL
500k
400k
Filas
300k
200k
100k
0
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov
2015 2016
Fuente: SpamCop
Compartir
¹³ Para obtener más información sobre CBL, visite http://www.abuseat.org/.

Muchas de las IP de host que enviaban spam de Necurs Los patrones con archivos .wsf durante 2016 (consulte
habían estado infectadas durante más de 2 años. Para la figura 17) proporcionan un ejemplo de cómo los
tratar de mantener el alcance general de la botnet oculta, adversarios evolucionan sus tácticas de spam malicioso
Necurs enviaba spam únicamente a un subconjunto de con el transcurso del tiempo. Este tipo de archivo rara
los hosts infectados. Un host infectado podía usarse entre vez se utilizó como archivo adjunto malicioso antes de
2 y 3 días e incluso, a veces, no podía volver a utilizarse febrero de 2016. A continuación, el uso de este tipo
durante 2 o 3 semanas. Este comportamiento complica de archivo comienza a crecer a medida que la botnet
el trabajo del personal de seguridad que responde a Necurs se vuelve más activa. En julio, los archivos de
los ataques de spam. Pueden llegar a pensar que han .wsf representaban el 22 por ciento de todos los archivos
encontrado el host infectado y lo han limpiado con éxito. adjuntos de spam malicioso. Esto también se produjo
Sin embargo, los agentes que se encuentran detrás de alrededor del periodo en el que la actividad global de spam
Necurs están haciendo tiempo hasta lanzar otro ataque. aumentó de forma drástica (consulte la sección anterior),
un incremento que se debió en gran medida a la botnet
El setenta y cinco por ciento del spam total observado en Necurs.
octubre de 2016 contenía archivos adjuntos maliciosos.
La mayor parte del spam había sido enviado por la En agosto, septiembre y octubre observamos fluctuaciones
botnet Necurs. (Consulte la figura 17.) Necurs envía los en los porcentajes de archivos .wsf. Esto indica que los
archivos adjuntos maliciosos de .zip que incluyen archivos ciberdelincuentes retrocedían cuando el tipo de archivo se
ejecutables integrados como descargadores JavaScript, detectaba con más frecuencia.
.hta, .wsf, y VBScript. Para el cálculo del porcentaje de
spam total que contiene archivos adjuntos maliciosos,
registramos tanto el archivo "contenedor" (.zip) como
Figure 17 Porcentaje
Figura 17 Percentagede of Total
spam Spam
total Containing
que contiene
los archivos "secundarios" integrados (como un archivo
JavaScript) con archivos adjuntos maliciosos individuales. Malicious Attachments
archivos adjuntos maliciosos
80%
Los atacantes experimentan con los tipos de archivos
adjuntos para mantener actualizadas sus campañas de Contiene archivos adjuntos maliciosos
spam malicioso Contiene archivos .hta maliciosos
Nuestros investigadores de amenazas examinaron cómo los
60%
ciberdelincuentes utilizan diferentes tipos de archivos adjuntos
Porcentaje del spam total
para tratar de prevenir la detección del spam malicioso.

Nos dimos cuenta de que modifican continuamente sus Contiene archivos .js maliciosos
estrategias, experimentando con una amplia variedad de tipos
de archivos y cambiando rápidamente su estrategia cuando no 40%
Contiene archivos .zip maliciosos
les permite alcanzar el éxito.
La figura 17 muestra cómo los operadores de spam malicioso

Contiene archivos .docm maliciosos
experimentaron con el uso de archivos .docm, JavaScript,
20%
.wsf y .hta durante el periodo observado. Como se mencionó
anteriormente, muchos de estos tipos de archivos están Contiene archivos .wsf maliciosos
relacionados con el spam enviado por la botnet Necurs.
(Para la investigación relacionada con otros tipos de archivos
analizados, consulte el apéndice de la página 78). 0%
2015 Ene
Feb
Mar
Abr
Mayo
Jul
Ago
Sep
Oct
Nov
Dic
2016 Ene
Feb
Mar
Abr
Mayo
Jul
Ago
Sep
Oct
Jun
Jun
Los porcentajes específicos de los diferentes tipos de

archivo de un mes dado derivan del uso del porcentaje
de spam total que contenía archivos adjuntos maliciosos
observados a lo largo de ese mes. Por lo tanto, Fuente: Grupo de investigación de seguridad de Cisco
por ejemplo, en julio de 2016, los archivos .docm
representaban el 8 por ciento del porcentaje total de
archivos adjuntos maliciosos observados. Compartir

Hailstorms y snowshoes Compare el ataque hailstorm con una campaña de spam

Existen dos tipos de ataques de spam malicioso snowshoe, también mostrada en la figura 18, en la que los
especialmente problemáticos para los defensores: los ataques atacantes intentan sobrepasar el radar de soluciones de
hailstorm y snowshoe. Ambos emplean los elementos de detección basadas en el volumen. El número de búsquedas
velocidad y objetivo, y ambos son altamente eficaces. de DNS es estable, pero hay únicamente alrededor de
25 consultas por hora. Estos ataques de bajo volumen
Los ataques hailstorm centran su objetivo en los sistemas permiten a los adversarios distribuir el spam sigilosamente
antispam. Los operadores que se encuentran detrás de los desde una amplia franja de direcciones IP.
ataques aprovechan el pequeño margen de tiempo que
se produce entre el momento de la implementación de la Aunque estos ataques de spam funcionan de forma
campaña de spam y aquel en el que los sistemas antispam lo diferente, tienen varios elementos en común. Con ambos
detectan y trasladan la cobertura a los escáner antispam. Los enfoques, los adversarios pueden:
atacantes normalmente solo disponen de segundos o minutos ●● Evitar adquirir una mala reputación al enviarlo desde IP y
para actuar antes de que detecten o bloqueen sus campañas. dominios limpios
●● Emular correos electrónicos de marketing con contenido
El pico de la figura 18 representa un ataque hailstorm.
profesional y administración de suscripciones
La actividad se muestra en la interfaz Cisco Investigate.
●● Utilizar sistemas de correo electrónico correctamente
Justo antes del ataque, no había nadie resolviendo las
configurados en vez de descuidados scripts o bots de spam
direcciones IP. A continuación, de repente, el número de
●● Configurar correctamente los registros del Convenio de
ordenadores que resolvía el dominio en DNS alcanzó un
remitentes (SPF) y de DNS inversos de confirmación de
máximo de 78 000 antes de volver de nuevo a cero. remitente
Figure 18Comparación
Figura 18 Comparisonde
oflos
Hailstorm
ataques and Snowshoe
de spam Spam yAttacks
tipo Hailstorm Snowshoe
Ataque de spam hailstorm 78 651 consultas

75 000
Consultas de DNS/hora
50 000
25 000
0
16 18 20 22 24 26 28 30 2 4 6 8 10 12 14
Sep Oct
Consultas de DNS/hora
Ataque de spam snowshoe

40
35 consultas
20
0
16 18 20 22 24 26 28 30 2 4 6 8 10 12 14
Sep Oct
Fecha
Fuente: Cisco Investigate
Compartir

Los adversarios también pueden evitar la detección de La figura 19 muestra las alertas principales de brotes de
contenido mutando el texto y usando distintos tipos de amenazas. Se trata de una descripción general de los
archivo. (Para obtener más información sobre cómo los mensajes de spam y suplantación de identidad observados
ciberdelincuentes desarrollan sus amenazas para eludir a los que los ciberdelincuentes actualizaban con frecuencia en
defensores, consulte la sección "Tiempo para evolucionar" 2016 para sobrepasar los controles y reglas de seguridad
de la página 34). Para obtener más información sobre cómo para el correo electrónico. Es importante saber qué tipos de
experimentan con archivos adjuntos maliciosos para el amenazas de correo electrónico son más frecuentes para
spam, consulte la sección anterior. tratar así de evitar el engaño de estos mensajes maliciosos.
Figura 19
Figure 19 Alertas principales
Top Threat de brotes
Outbreak de amenazas
Alerts
Fecha de
Identificador Nombre y URL Tipo de Archivo publicación
Versión de publicación de publicación Resumen de mensajes Adjunto Idioma más reciente
96 35656 RuleID4626 Factura, pago .zip Alemán, inglés 25/04/2016
87 34577 RuleID10277 Pedido de compra .zip Alemán, inglés 02/06/2016
82 36916 RuleID4400KVR Pedido de compra .zip Inglés 01/02/2016
Pedido de compra,
74 38971 RuleID15448 .zip, .gz Inglés 08/08/2016
pago, recepción
Pedido, pago,
72 41513 RuleID18688 .zip Inglés 01/09/2016
seminario
Pedido de compra,
70 40056 RuleID6396 .rar Inglés 07/06/2016
pago, recepción
66 34796 RuleID5118 Pedido de producto .zip Alemán, inglés 29/09/2016
RuleID4626 Factura, pago, envío Inglés, alemán,

64 39317 .zip 28/01/2016
(continuación) Español
Confirmación, pago/
64 36917 RuleID4961KVR .zip Inglés 08/07/2016
transferencia, pedido, envío
Aviso de entrega, comparecencia
63 37179 RuleID13288 .zip Inglés, Español 21/07/2016
ante el tribunal, factura
61 38095 RuleID858KVR Envío, presupuesto, pago .zip Inglés 01/08/2016
Solicitud de presupuesto, inglés, Alemán,

58 39150 RuleID4961KVR .zip 25/01/2016
pedido de producto Varios idiomas
Transferencia, envío, Inglés, alemán,
47 41886 RuleID4961 .zip 22/02/2016
facturación Español

Una vez que la amenaza consigue su posición, instala una puerta trasera en un sistema de destino, lo que
otorga acceso permanente a los adversarios.
Figure 20 Sample of Observed

Métodos de ataque en la Web: una Figura 20 Muestra
Lower-Volume de malware observado de menor
Malware
volumen
instantánea de la "cola larga" revela las
amenazas que los usuarios pueden evitar
fácilmente PUA y archivos binarios sospechosos
91
La llamada cola larga del espectro de métodos de ataque

web (figura 20) incluye una colección de tipos de malware
de volumen reducido que se emplean en una fase posterior Heurístico
36
de la cadena de ataque: la instalación. En esta fase, la
amenaza que se ha distribuido (un troyano bancario, un
16 Gusano (Allaple)
virus, un descargador, o cualquier otro exploit) instala una
puerta trasera en el sistema objetivo, lo que ofrece a los
14 Descargador de troyanos (HTML)
adversarios un acceso persistente y la oportunidad de
exfiltrar datos, lanzar ataques de ransomware o cualquier 10 Descargador de troyanos (JS)
otro acto delictivo.
9 Troyanos (Agent)
Las amenazas enumeradas en la figura 20 son ejemplos
de firmas de malware halladas que no pertenecen a 7 Descargador de troyanos (VBS)
los 50 tipos de malware principales habitualmente
observados. La cola larga de los métodos de ataque web 7 Puerta trasera (Java)
es, esencialmente, una instantánea de las amenazas que
5 Troyanos (Locky)
continúan activas sigilosamente en una máquina o sistema 5 Heurístico (CVE-2013-0422)
después de que se produzca un ataque exitoso. Muchas 3 Virus (Replog)
de estas infecciones se generaron con el encuentro 2 Troyanos (Win32)
2 Virus (Fas)
de adware malicioso o la exposición a una estafa de
2 Malware de descargador de troyanos (Small)
suplantación de identidad meticulosamente creada. Estas 2 Troyanos (Cryptodef)
son las situaciones que los usuarios a menudo pueden 2 Puerta trasera (Farfli)
evitar fácilmente o remediar rápidamente. 2 Puerta trasera (Gbot)
1 Linux (Veribak)
1 Troyanos de redirección de navegador (JSRedir)
Compartir 1 Descargador de troyanos (Upatre)
1 Descargador de troyanos (Win32)
1 Puerta trasera (NuPrader)
1 Troyanos (Shifu)
1 Troyanos (Zbot)
1 Troyanos (Yakes)
1 Troyanos (Scar)
1 Troyanos (Reconyc)
1 Troyanos (Crypt)
1 Troyanos (Crypmod)
1 Troyanos (Bitman)
1 Troyanos (Deshacop)

Riesgo de los mercados verticales de encontrarse con malware: los atacantes perciben el
valor en todos los ámbitos
En el Informe de ciberseguridad semestral de Cisco de 2016 Al centrarnos en los mercados verticales y sus tasas de
se menciona un mensaje clave sobre el riesgo del malware bloqueos a lo largo del tiempo (figura 21), observamos
que indica que "ningún mercado vertical está a salvo". que, en algún momento en el transcurso de los meses,
A juzgar por el análisis periódico de nuestros investigadores todos los sectores han estado relacionados con el tráfico
con respecto al tráfico de ataques ("tasas de bloqueos") y de ataques y a niveles variables. Es obvio que los ataques
el tráfico "normal" o esperado por sector, este mensaje ha no son estables, afectan a sectores verticales diferentes en
reflejado la realidad en la segunda mitad del año. momentos distintos, pero ninguno se libra de ellos.
Figure 21 Porcentaje
Figura 21 Percentage of Monthly
de las tasas de Vertical
bloqueo Block
verticalRates
mensuales
40% 40% 40% 40%
20% 20% 20% 20%
0% 0% 0% 0%
Contabilidad Agricultura y minería Automoción Aviación
40% 40% 40% 40%
20% 20% 20% 20%
0% 0% 0% 0%
Banca y finanzas Instituciones benéficas y ONG Educación Electrónica
40% 40% 40% 40%
20% 20% 20% 20%
0% 0% 0% 0%
Energía, petróleo y gas Ingeniería y construcción Entretenimiento Alimentos y bebidas
40% 40% 40% 40%
20% 20% 20% 20%
0% 0% 0% 0%
Gobierno Sanidad Calefacción, fontanería y aire acondicionado Industrial
40% 40% 40% 40%
20% 20% 20% 20%
0% 0% 0% 0%
Aseguradoras TI y telecomunicaciones Servicios jurídicos Fabricación
40% 40% 40% 40%
20% 20% 20% 20%
0% 0% 0% 0%
Medios de comunicación Farmacéutico y productos químicos Servicios profesionales Bienes inmuebles
y publicaciones y gestión del suelo
40% 40% 40% 40%
20% 20% 20% 20%
0% 0% 0% 0%
Minoristas y mayoristas Transportes y envíos Viajes y ocio Empresas de servicios públicos
Compartir

Descripción general regional sobre la actividad de bloqueos web

Los adversarios cambian con frecuencia su forma de de Cisco de 2016. Estados Unidos alberga la mayor
actuar, tratando de buscar una infraestructura débil desde proporción de bloqueos con diferencia, pero esto se debe
la que poder implementar sus campañas. Al examinar el a la gran cuota de tráfico online con respecto a otros
volumen de tráfico de Internet general y la actividad de países. Además, Estados Unidos es uno de los objetivos
bloqueo, los investigadores de amenazas de Cisco pueden más importantes del mundo de los ataques de malware.
ofrecer información sobre los orígenes del malware.
Las conclusiones de los profesionales de la seguridad: al
Como se muestra en la figura 22, el tráfico de Estados igual que la actividad de bloqueos web vertical, la actividad
Unidos se acercó ligeramente a las tasas de bloqueos de bloqueos web regional muestra que el tráfico de
observadas en el Informe de ciberseguridad semestral malware es un problema a nivel mundial.
Figure 22 Web Blocks by Country

Figura 22 Bloqueos web por país
Relación esperada: 1.0
3,88 Alemania
0,94 Rusia
Francia 0,87
Canadá 2,11
1,47 Ucrania
Estados Unidos 1,20 Italia 1,22

1,31 China
Belice 1,54
1,07 Vietnam
Panamá 1,46 1,15 Venezuela
2,84 Indonesia
Perú 1,43
1,60 Australia
1,00 Turquía
Chile 0,83
Malasia 3,52
Rumanía 2,77
Compartir

Tiempo de detección: una métrica esencial para evaluar el progreso de los defensores
Cisco perfecciona constantemente nuestro enfoque para TTD promedio, sino también para estudiar la forma en que
evaluar el TTD de forma que podemos asegurarnos de que evolucionan las amenazas con el tiempo. Hay numerosas
estamos siguiendo e informando sobre los cálculos más amenazas que son especialmente esquivas y puede pasar
precisos de nuestro TTD promedio. Los ajustes recientes de mucho tiempo hasta identificarlas, aunque se conozcan en
nuestro enfoque han aumentado la visibilidad en archivos la comunidad de la seguridad.
que se clasificaban como "desconocidos" la primera
vez que se identificaban y después como "problemas Los hackers desarrollarán determinadas familias de
conocidos" tras repetidos análisis y observaciones globales. malware para evitar que los identifiquen y aumentar el
Con una perspectiva más holística de los datos, tenemos tiempo disponible para actuar. Esta táctica dificulta el
mayor capacidad para detectar la primera vez que surge progreso de los defensores para obtener un perímetro
una amenaza y el tiempo que les ha llevado a los equipos de y mantenerlo a la hora de detectar muchos tipos de
seguridad determinar que era una amenaza. amenazas conocidas. (Para obtener más información sobre
este tema, consulte la sección "Tiempo para evolucionar:
Esta nueva perspectiva nos ha ayudado a determinar que en algunas amenazas, el cambio es constante", página 34).
nuestro TTD promedio era de 39 horas en noviembre de Sin embargo, el hecho de que los ciberdelincuentes
2015. (Consulte la figura 23.) En enero de 2016 redujimos el desarrollen sus amenazas con frecuencia y rapidez indica
TTD promedio a 6,9 horas. Tras recopilar y analizar los datos que se enfrentan a una presión intensa y constante para
en octubre de 2016, nuestros investigadores de amenazas encontrar formas de las que dichas amenazas sigan
determinaron que los productos de Cisco habían alcanzado un funcionando y siendo rentables.
TTD promedio de 14 horas para el periodo de noviembre de
Figure 23 Median TTD by Month
2015 a octubre de 2016. (Nota: la figura del TTD promedio de
Figura 23 TTD medio por mes
2016 es la media de los promedios del periodo observado).
40
El TTD medio fluctuó en 2016 pero en general tendía 39,16
a la baja. Los aumentos del TTD promedio indican los
momentos en los que los ciberdelincuentes lanzaron una
30
nueva ola de amenazas. Los posteriores descensos reflejan
Horas medias
los periodos en los que los defensores han sacado ventaja

y han podido identificar rápidamente amenazas conocidas.
20 18,22
En la figura 23 se muestra que el TTD promedio era 15,19
aproximadamente de 15 horas a finales de abril de 2016, que
es mayor que la cifra de 13 horas que señalamos en el Informe 10 8,11
de ciberseguridad semestral de Cisco 2016¹⁴. La cifra de 15
8,48 8,58
horas se basa en los datos recopilados desde noviembre 6,89 6,48 6,05
de 2015 hasta abril de 2016. No se obtuvo mediante
0
nuestro enfoque modificado para analizar una información
retrospectiva más detallada de los archivos. Con la nueva cifra
2015 Nov
Dic
2016 Ene
Feb
Mar
Abr
Mayo
Jun
Jul
Ago
Sep
Oct
de TTD semestral, podemos señalar que el TTD disminuyó en
unas 9 horas en el periodo de mayo a octubre de 2016.
Es importante revisar los datos retrospectivos no solo

para establecer una evaluación más precisa de nuestro
Cisco define "tiempo para la detección" o "TTD" (del inglés "Time To Detection") como el intervalo de tiempo
entre un compromiso y la detección de una amenaza. Este intervalo de tiempo se calcula usando telemetría de
seguridad opcional recopilada a partir de los productos de seguridad de Cisco implementados en todo el mundo.
Gracias a nuestra visibilidad global y a un modelo de análisis continuo, podemos medir desde el momento en que
se ejecute el código malicioso en un terminal hasta el momento en que se determine el carácter de amenaza en
todo el código malicioso no clasificado en el momento del encuentro.
¹⁴ Informe de ciberseguridad semestral de Cisco 2016: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

Tiempo para evolucionar: en algunas amenazas, el cambio es constante

Los ciberdelincuentes utilizan diversas técnicas de Con nuestra investigación, hemos descubierto que:
ofuscación para que el malware siga siendo potente y
●● Las familias del ransomware parecen tener una rotación
rentable. Dos de los métodos comunes que emplean
parecida de los nuevos archivos binarios. Sin embargo,
están desarrollando los tipos de suministro de contenido
Locky utiliza más combinaciones MIME y de extensión de
y generando rápidamente archivos nuevos (derrotando archivos para propagar su contenido.
métodos de detección exclusivos para hash). Nuestros
●● Algunas familias de malware emplean solo unos cuantos
investigadores han examinado de cerca la forma en que los
métodos de distribución. Otros utilizan 10 o incluso más.
adversarios han empleado estas dos estrategias para ayudar
Los adversarios suelen utilizar archivos binarios eficaces
a que seis familias de malware conocidas (Locky, Cerber, durante periodos largos. En otros casos, aparecen archivos
Nemucod, Adwind RAT, Kryptik y Dridex) eludan la detección y después disminuyen rápidamente, lo que indica que los
y sigan poniendo en peligro a los usuarios y sistemas. creadores de malware están sometidos a presión para
cambiar las tácticas.
Con nuestro análisis tratamos de evaluar el "tiempo para
evolucionar" (TTE): el tiempo que tardan los adversarios ●● Las familias de malware Adwind RAT y Kryptik tienen un
mayor TTD promedio. Para obtener más información sobre
en cambiar la forma específica en que se distribuye el
TTD, consulte la página 33). También observamos una
malware y la cantidad de tiempo que transcurre entre cada
mayor variación en la antigüedad de los archivos de estas
cambio de táctica. Hemos analizado datos de ataques web
familias. Esto sugiere que los adversarios reutilizan archivos
de distintas fuentes de Cisco, en concreto datos de proxy
binarios eficaces que saben que son difíciles de detectar.
web, productos de malware avanzado de terminales y en la
●● Al observar la antigüedad de los archivos de la familia de
nube, y motores antimalware compuestos.
malware Dridex, parece que la economía sumergida podría
Nuestros investigadores han indagado en los cambios de estar abandonando el uso de este famoso troyano bancario.
las extensiones de archivos que distribuyen el malware y en A finales de 2016 disminuyó el volumen de detecciones
el tipo de contenido de los archivos (o MIME) que define el de Dridex, al igual que el desarrollo de nuevos archivos
binarios para distribuir este malware. Esta tendencia indica
sistema del usuario. Hemos constatado que cada familia de
que los creadores de malware ya no ven ningún valor en el
malware tiene un patrón de evolución único. En cada familia
desarrollo de esta amenaza o bien que han encontrado una
hemos examinado los patrones, tanto en los métodos de
nueva forma de empaquetar el malware que ha dificultado su
distribución por Web como en los de correo electrónico. detección.
También hemos seguido los periodos de hashes únicos
relacionados con cada familia de malware para averiguar la
rapidez con la que los adversarios crean nuevos archivos
(y, por tanto, nuevos hashes).

TTE y TTD
Las seis familias de malware que hemos analizado en nuestro Las amenazas antiguas y generalizadas en las que los
estudio de TTE se muestran en la figura 24. El gráfico adversarios no se preocupan mucho o nada en su desarrollo
representa el TTD promedio de las 20 principales familias también suelen detectarse por debajo del TTD promedio.
de malware (por número de detecciones) que nuestros Algunos ejemplos son familias de malware como Bayrob
investigadores han estudiado desde noviembre de 2015 hasta (malware botnet), Mydoom (un gusano informático que
noviembre de 2016. Nuestra media de TTD promedio de ese afecta a Microsoft Windows) y Dridex (el troyano bancario).
periodo fue de unas 14 horas. (Para obtener más detalles
En las siguientes secciones, presentamos aspectos
sobre cómo calcular el TTD, consulte la página 33).
destacados sobre el TTE y el TTD de las familias de
Muchas de las familias de malware que los productos malware Locky, Nemucod, Adwind RAT y Kryptik. Los
de Cisco detectan en el TTD promedio son amenazas resultados detallados de Cerber y Dridex se incluyen en el
industrializadas que se propagan rápidamente y que, por apéndice de la página 78.
lo tanto, son más frecuentes. Un ejemplo de ello serían
Cerber y Locky, dos tipos de ransomware.
Figure 24Promedio
Figura 24 TTD Medians
de TTDofde
Top
las Malware Families
principales familias(Top 20 Families
de malware by Detection
(principales Count)
20 familias por recuento de
detección)
35
nemucod
Porcentaje de detecciones totales
30
25 bayrob
20
15
10
docdl
locky dridex
5 donoff
insight
fareit kryptik
mabezat adwind
mydoom cerber mamianune razy upatre
0 hancitor adnel zbot zusy
0 5 10 15 20 25 30 35 40 45 50
TTD medio de Cisco

Horas medias de TTD
Compartir

Análisis del TTE: Locky

Con nuestra investigación sobre el TTE, descubrimos que antigüedad de los archivos que estudiamos durante un mes
Locky y Cerber utilizan un número limitado de extensiones de concreto. La parte inferior muestra los cambios mensuales
archivos y de combinaciones MIME para distribuir malware del volumen de hashes relacionados con Locky, tanto en
en la red o por correo electrónico. (Consulte la figura 25.) archivos nuevos como en los observados con anterioridad.
Observamos varias combinaciones que incluían tipos de
En la figura 26 hay que tener en cuenta la disminución del
contenido de archivos relacionados con Microsoft Word
volumen en junio, así como la distribución de la antigüedad
(msdownload, ms-word). Sin embargo, las extensiones de
de los archivos. La botnet Necurs, que se sabía que
archivos relacionadas (.exe y .cgi) no apuntaban a un archivo
distribuía Locky, se eliminó en junio. Probablemente esto
de Word. También identificamos tipos de contenido que
dejó en segundo plano los esfuerzos de los creadores
apuntaban a archivos .zip maliciosos.
del malware por mantenerlo al día durante ese mes. Sin
Locky y Cerber también parecen utilizar nuevos archivos embargo, está claro que se recuperaron rápidamente.
binarios con frecuencia, a modo de intento para eludir En julio, el malware había vuelto a su combinación más
la detección basada en archivos. La antigüedad de los habitual de antigüedad de archivos, de los cuales la
archivos de la familia de malware Locky se muestra en mayoría (74 por ciento) tenían un día de antigüedad cuando
la figura 26. La mitad superior del gráfico representa la se detectaron por primera vez.
Figure 25 File Extension and MIME Combinations

Figura
for the25 Extensión
Family de archivos
of Threats y combinaciones
and Indicators That de Figura 26 Periodos hash de la familia de malware
MIME de la familia de amenazas e indicadores que
Figure 26 Hash Ages for the Locky Malware
Locky y porcentaje del volumen total de hash
Lead to and Include the Locky Payload Family andpor
Percent
derivan e incluyen contenido Locky (vectores de web observado mes of Total Hash Volume
(Web and Email Vectors)
y correo electrónico) Observed Per Month
Porcentaje de hashes Locky,
Mayo
100%
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
periodo hash < 24 horas

Jul
Vectores únicos
doc y application/msword 75%
exe y application/msdownload
sin extensión y text/plain
exe y application/msdos-prog... 50%
xls y application/vnd.ms-excel
js y text/plain
zip y application/zip 25%
doc y text/plain
sin extensión y application/zip 0%
aspx y application/zip Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
jsp y application/zip 2015 2016
Porcentaje de volumen
lib y text/plain
sin extensión y application/dosexec
total de hash
rar y application/x-rar 10%

js y text/html
php y application/zip 5%
rtf y application/msword
docm y application/vnd.open...
0%
sin extensión y application/vnd...
sin extensión y application/ms-wo... Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
cgi y application/ms-word.doc... 2015 2016
wsf y text/html
doc y application/vnd.open...
wsf y application/xml Fuente: Grupo de investigación de seguridad de Cisco
js y text/javascript
xls y application/vnd.openxml...
vbs y text/plain
Correo electrónico Web
Compartir

No sorprende el ciclo rápido de los archivos binarios de Figura 27

Figure 27TTD
TTDdefor
la familia de malware
the Locky MalwareLocky
Family
este ransomware. Las instancias de Locky y de Cerber
suelen detectarse el mismo día que se introdujeron o de
116,1
1 a 2 días más tarde, exigiendo que los adversarios sigan 120
100 89,3
modificando estas amenazas continuamente si quieren que
Horas medias
sigan siendo activas y eficaces. (La figura 24, analizada 80
60
anteriormente, muestra que los productos de Cisco
40
detectaron tanto el ransomware Locky como Cerber en el
20 7,1 5,9
TTD promedio en 2016). 4,7
0
La figura 27 muestra el TTD promedio del ransomware Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Locky, que se redujo drásticamente de unas 116 horas en
noviembre de 2015 a tan solo 5 horas en octubre de 2016. Fuente: Grupo de investigación de seguridad de Cisco

Análisis del TTE: Nemucod Una razón por la que el malware Nemucod estuvo tan
En 2016, Nemucod fue el malware detectado con mayor extendido en 2016, según nuestros investigadores
frecuencia de entre las 20 familias mostradas en la de amenazas, es que sus creadores modificaban con
figura 24. Los ciberdelincuentes utilizan este malware frecuencia esta amenaza. Cisco identificó más de
descargador para distribuir ransomware y otras amenazas 15 extensiones de archivos y combinaciones MIME
como troyanos de puerta trasera que facilitan el fraude por relacionadas con la familia Nemucod que se empleaban
clic. Algunas variantes de Nemucod también sirven como para distribuir el malware por la Eeb. Se utilizaban muchas
motores para distribuir el contenido del mismo malware. más combinaciones para distribuir la amenaza a los
usuarios a través del correo electrónico (figura 28).
Se diseñaron diversas extensiones de archivos y

Figure28
Figura 28Extensión
File Extension and MIME
de archivos Combinations
y combinaciones combinaciones MIME (Web y correo electrónico) para
for Nemucod (Web and Email Vectors) conducir a los usuarios a archivos .zip o de almacenamiento
MIME de Nemucod (vectores de web y correo
maliciosos. Los adversarios también reutilizaron muchas
electrónico) combinaciones durante los meses de estudio.
Mayo
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores únicos Como muestra la figura 29, muchos hashes Nemucod

js y application/javascript
html y text/html
tienen menos de 2 días de antigüedad cuando se detectan.
zip y application/zip
En septiembre y octubre de 2016, casi todos los archivos
binarios relacionados con la familia Nemucod que se
sin extensión y application/zip
bloquearon tenían menos de un día de antigüedad.
zip y application/x-zip-comp...
html y application/zip
php y application/zip
Figure 29 Hash Ages for the Nemucod Malware
zip y text/plain Figura
Family29
andPeriodos
Percenthash de laHash
of Total familia de malware
Volume
js y text/plain
js y text/x-pascal Nemucod
ObservedyPer
porcentaje
Month del volumen total de hash
dat y application/vnd.ms-tnef
observado por mes
rar y application/x-rar
Porcentaje de volumen Porcentaje de hashes Nemucod,
aspxx y application/zip
100%
periodo hash < 24 horas
xls y application/zip
aspx y application/zip 75%
cgi y application/zip
wsf y text/html
sin extensión y application/archive 50%
html y application/archive
cgi y application/archive
js y text/x-makefile 25%
js y text/x-c
jsp y application/zip
sin extensión y text/html 0%
jse y text/plain Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
zip y application/archive 2015 2016
lib y text/plain
lib y text/x-makefile
lib y text/x-c
lib y text/x-pascal 50%
total de hash
gif y application/zip
jpg y application/zip
pdf y application/zip
25%
docx y application/zip
tiff y application/zip 0%
zip y application/x-rar
wrn y text/plain Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
wrn y text/x-c 2015 2016
wrn y text/x-pascal
vbs y text/plain
js y text/html Fuente: Grupo de investigación de seguridad de Cisco
tgz y application/x-gzip
wsf y application/xml Figure 30 TTD for the Nemucod Malware Family
docx y application/vnd.open...
doc y application/zip
Figura 30 TTD de la familia de malware Nemucod
rar y application/zip
php y application/javascript 85,0
zip y application/x-gzip 80
Horas medias
cab y application/vnd.ms-cab...
hta y text/html 60
asp y application/zip
40 46,3 21,8
cgi y audio/wav
13,9
hta y application/zip 20 7,3
0
Nov Dic Ene Feb Abr Apr Mayo Jun Jul Ago Sep Oct
2015 2016

Análisis del TTE: Adwind RAT

Los investigadores de amenazas de Cisco descubrieron También descubrimos que el TTD promedio de Adwind
que el malware Adwind RAT (un troyano de acceso RAT era sistemáticamente mayor que el TTD promedio de
remoto) se distribuye a través de extensiones de archivos otras familias de malware que se analizaron (figura 33).
y combinaciones MIME que incluyen archivos .zip o .jar. Al parecer, los creadores del malware han desarrollado
Esto se produce tanto si el malware se distribuye a través mecanismos de distribución difíciles de detectar que hacen
de correo electrónico o de un vector de ataque en la Web. que Adwind RAT siga siendo eficaz. Por lo tanto, no tienen
(Consulte la figura 31.) que acudir a nuevos hashes con tanta frecuencia ni tan
rápido como los agentes responsables de otras familias.
Adwind RAT utilizó una amplia variedad de periodos hash El troyano Adwind también se conoce por otros nombres
en la mayoría de los periodos analizados en 2016, excepto como JSocket y AlienSpy.
en septiembre y octubre, cuando la mayoría de los archivos
observados tenían de 1 a 2 días de antigüedad (figura 32).
Figura 31 Extensión de archivos y combinaciones Figure32

Figura 32Periodos
Hash Ages
hashfor
de the Adwind
la familia RAT
de malware
Figurede
MIME 31Adwind
File Extension and MIME
RAT (vectores de webCombinations
y correo MalwareRAT
Adwind Family and Percent
y porcentaje of Totaltotal
del volumen Hashde hash
for Adwind RAT (Web and Email Vectors)
electrónico) observado por mes Per Month
Volume Observed
Mayo
Porcentaje de volumen Porcentaje de hashes Adwind

RAT, periodo hash <24 horas
100%
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores únicos
jar y application/java-archive 75%
jar y application/zip
jar y application/archive
zip y application/zip 50%
sin extensión y application/archive
sin extensión y application/zip 25%
class y application/x-java-applet
0%
2015 2016
1,5%
total de hash
1%
Descargue los gráficos de 2017 en: 0,5%
www.cisco.com/go/acr2017graphics 0%
2015 2016
Figure 33 TTD for the Adwind RAT

Figura 33 Family
Malware TTD de la familia de malware Adwind RAT
80 70,7
Horas medias
60
40
20 30,0 25,3 13,0
0 16,2
2015 2016

Análisis del TTE: Kryptik En nuestro análisis de las seis familias de malware,
Kryptik, como el malware Adwind RAT, tenía un TTD descubrimos que los adversarios deben cambiar las
promedio que era sistemáticamente mayor (unas 20 horas) tácticas con frecuencia para aprovechar el pequeño
que otras familias de malware que Cisco analizó para el intervalo de tiempo durante el cual sus amenazas
estudio de TTE desde noviembre de 2015 hasta octubre de pueden actuar con eficacia. Estos ajustes indican que
2016 (figura 36). Sin embargo, en octubre, los productos los defensores están mejorando rápidamente en la
de Cisco redujeron el intervalo del TTD promedio del detección del malware conocido, incluso después de que
malware Kryptik a menos de 9 horas (figura 36). una amenaza haya evolucionado. Los atacantes están
sometidos a presión para encontrar nuevas formas de
La familia de malware Kryptik también utilizó una variedad más evitar la detección y mantener rentables las campañas.
amplia de periodos hash que las otras familias de malware
que analizamos, especialmente durante la primera mitad de En este complejo panorama caracterizado por su rápida
2016. La capacidad de los creadores de Kryptik para confiar evolución, donde todas las familias de malware se comportan
en hashes más antiguos durante tanto tiempo indica que a los de forma diferente, la experiencia humana y las soluciones
defensores les resultaba difícil detectar este tipo de malware. para momentos específicos no bastan para identificar y
responder rápidamente a las amenazas. Para mejorar el TTD
Durante el periodo observado, los creadores de y garantizar una remediación veloz cuando se produzcan
Kryptik emplearon una amplia variedad de métodos de las infecciones, es esencial una arquitectura de seguridad
propagación de contenido a través del vector de ataque integrada que ofrezca una perspectiva en tiempo real de las
en la Web. Los creadores utilizaron archivos JavaScript y amenazas, junto con la detección y la defensa automatizadas.
archivos de almacenamiento como los archivos .zip en las
extensiones de archivo y combinaciones MIME para la Web
y el correo electrónico. (Consulte la figura 34.) Algunas de Figure 35 Hash Ages for the Kryptik Malware
Figura
Family35andPeriodos
Percenthash de la Hash
of Total familiaVolume
de malware
las combinaciones datan de 2011.
Kryptik y porcentaje
Observed Per Month del volumen total de hash
observado por mes
Porcentaje de volumen Porcentaje de hashes Kryptik,
100%
periodo hash <24 horas
Figura 34
Figure 34 Extensión de archivos
File Extension y combinaciones
and MIME Combinations 75%
MIME de Kryptik (vectores de web
for Kryptik (Web and Email Vectors) y correo
electrónico) 50%
Mayo
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
25%
Jul
Vectores únicos
js y application/javascript
gif y image/gif 0%
jpg y image/jpeg Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
html y text/html 2015 2016
sin extensión y text/html
htm y text/html
total de hash
2%
php y text/html
ico y text/html
png y image/png 1%
zip y application/x-zip-comp...
0%
2015 2016
doc y application/msword
sin extensión y application/exe
sin extensión y application/zip Fuente: Grupo de investigación de seguridad de Cisco
js y text/plain
rar y application/x-rar
scr y application/x-dosexec
Figure 36 TTD for Kryptik Malware Family
exe y application/x-dosexec
jar y application/zip Figura 36 TTD de la familia de malware Kryptik
gif y text/html
sin extensión y application/archive 80
Horas medias
vbs y text/plain 63,7

asp y text/html 60
sin extensión y application/java...
34,4
php y application/exe 40 55,1 22,4
tbz2 y application/x-rar
20
8,7
Correo electrónico Web 0
Fuente: Grupo de investigación de seguridad de Cisco 2015 2016

Comportamiento de
los defensores
Comportamiento de los defensores

Vulnerabilidades en declive en 2016
En la segunda mitad de 2016, las vulnerabilidades divulgadas vulnerabilidades que han salido a la luz podría indicar que
por los proveedores disminuyeron considerablemente en estos esfuerzos están dando su fruto. Es decir, que los
comparación con 2015, según nuestra investigación (figura 37). proveedores ahora se centran en identificar vulnerabilidades
La National Vulnerability Database (base de datos de y corregirlas antes de que los productos lleguen al mercado.
vulnerabilidades de Estados Unidos) muestra una disminución
similar. Los motivos del descenso de las advertencias de En 2016, Apple fue el proveedor que experimentó el
vulnerabilidades divulgadas no están del todo claros. descenso más drástico en vulnerabilidades: la empresa
informó de 705 vulnerabilidades en 2015, y de 324 en
Debería tenerse en cuenta que 2015 fue un año 2016 (un descenso del 54 por ciento). Asimismo, Cisco
excepcionalmente activo para las vulnerabilidades, por informó de 488 vulnerabilidades en 2015, y de 310 en
lo que es posible que las cifras de 2016 reflejen un ritmo 2016 (un descenso del 36 por ciento).
normal de advertencias de vulnerabilidades. Desde enero
hasta octubre de 2015, el número de alertas totales fue Una preocupación entre los investigadores de seguridad
de 7602. Durante el mismo periodo de tiempo de 2016, el es que el "cansancio de la vulnerabilidad" pueda estar
número de alertas totales fue de 6380, y durante el mismo haciendo mella entre los profesionales de la seguridad.
periodo de 2014 de 6272. En los últimos meses, no ha habido anuncios de
vulnerabilidades importantes que conmocionasen al sector,
La gran cantidad de notificaciones de vulnerabilidades como hizo Heartbleed en 2014. De hecho, es posible
en 2015 puede indicar que los proveedores examinaron que el revuelo en torno a las vulnerabilidades "con mucha
más de cerca los productos y el código, e implementaron repercusión mediática" como Heartbleed así como el
minuciosamente las prácticas del ciclo de vida de aumento de las vulnerabilidades en 2015 contribuyesen a
desarrollo seguro (SDL), identificando las vulnerabilidades este nivel de cansancio o, al menos, en el menor interés
y posteriormente solucionándolas. El descenso en las por informar de vulnerabilidades.
Figura
Figure37
37Número total de
Cumulative alertas
Annual acumuladas
Alert Totals anuales
9K
8K
7K
6380
6K 5976
5483
5K 4969
Alertas
4407
4K 3811
3K 2992
2193
2K
1327
1K
634
0
Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov Dic
2013 2014 2015 2016
42 Comportamiento de los defensores

Figure 38 Critical Vulnerability Advisories by Vendor and Type

Figura 38 Advertencias de vulnerabilidades críticas por tipo y proveedor
Microsoft Adobe Cisco TPS ICS VMware Apple Apache Oracle HP
174 162 28 25 10 8 5 3 3 3
Fuente: National Vulnerability Database (NVD)
Cisco emplea ahora clasificaciones de gravedad/impacto (SIR), en las que los niveles de clasificación son "crítico", "alto", "medio" y "bajo". Las
clasificaciones reflejan una priorización simplificada de puntuaciones a partir del Sistema de puntuación de vulnerabilidad común (CVSS). Además, Cisco ha
adoptado la versión 3.0 de CVSS, la sucesora de la versión 2.0. Debido a este cambio, algunas vulnerabilidades pueden tener puntuaciones más altas que
antes, por lo que los profesionales de la seguridad pueden ver un pequeño aumento en las vulnerabilidades clasificadas como "críticas" y "altas", frente a
"medias" y "bajas". Para obtener más información sobre este cambio de puntuación, lea la publicación del post de seguridad de Cisco, La evolución de la
puntuación de las vulnerabilidades de seguridad: la secuela.
En el estudio comparativo sobre capacidades de seguridad Figure 39 Advertencias

Figura 39 Selected Critical Vulnerability Advisories
de vulnerabilidades críticas
de Cisco 2017 (página 49), los profesionales de la seleccionadas
seguridad señalaron un leve descenso en su consenso Fecha de
Título de la advertencia
sobre la operatividad de la seguridad. Este descenso emisión
puede estar relacionado con el "cansancio" en torno a Vulnerabilidad de ejecución del código de corrupción 28 de julio
la necesidad de implementar actualizaciones y parches de memoria de Adobe Acrobat y Acrobat Reader de 2016
continuamente. Por ejemplo, en 2016, el 53 por ciento Vulnerabilidad de ejecución del código remoto de 28 de julio
de los profesionales de la seguridad afirmaron estar corrupción de memoria de Adobe Acrobat y Acrobat Reader de 2016
totalmente de acuerdo en que revisaban y mejoraban las Vulnerabilidad de corrupción de memoria de Adobe 21 de julio
prácticas de seguridad con regularidad, formalmente y de Acrobat y Acrobat Reader de 2016
manera estratégica; en 2014 y 2015, este porcentaje fue
Vulnerabilidad de desbordamiento de enteros de martes, 23 de
del 56 por ciento. Adobe Acrobat y Acrobat Reader mayo de 2016
Por supuesto, un descenso en las vulnerabilidades no Vulnerabilidad de ejecución del código remoto de 8 de febrero
corrupción de memoria de Adobe Acrobat y Acrobat Reader de 2016
debería dar paso a un exceso de confianza en el ámbito
de las amenazas; nadie debería adoptar la postura de que Vulnerabilidad de corrupción de memoria de 28 de julio
Adobe Acrobat y Acrobat Reader de 2016
la atención dedicada a las amenazas puede decaer, ni
siquiera en ausencia de vulnerabilidades destacadas. Vulnerabilidad de corrupción de memoria de 18 de julio
Adobe Acrobat y Acrobat Reader de 2016
Como hemos aconsejado en informes anteriores, los Vulnerabilidad de corrupción de memoria de 23 de junio
profesionales de la seguridad deberían hacer un esfuerzo Adobe Acrobat y Acrobat Reader de 2016
conjunto para dar prioridad a los parches. Si la falta de Vulnerabilidad de corrupción de memoria de martes, 24 de
personal y de otros recursos impide la instalación oportuna Adobe Acrobat y Acrobat Reader mayo de 2016
de todos los parches disponibles, evalúe cuáles son los Vulnerabilidad de corrupción de memoria de martes, 23 de
más importantes para la seguridad de la red y sitúelos en lo Adobe Acrobat y Acrobat Reader mayo de 2016
más alto de la lista de tareas pendientes.
Las advertencias enumeradas anteriormente están seleccionadas como

Descargue los gráficos de 2017 en:
www.cisco.com/go/acr2017graphics vulnerabilidades clasificadas como críticas en 2016 sobre las que diversas
fuentes informaron de que disponían de código de exploit disponible
públicamente o que se había explotado activamente en el panorama real.

Vulnerabilidades de clientes y servidores Middleware: los ciberdelincuentes ven

Como se debatió en el Informe de ciberseguridad semestral oportunidades en el software sin parches
de Cisco de 2016, los ciberdelincuentes están encontrando
el espacio y el tiempo para actuar en soluciones de servidor. En el Informe de ciberseguridad semestral de Cisco de 2016,
Al lanzar ataques en software de servidor, tienen la posibilidad hemos revelado datos sobre ataques contra sistemas de
de obtener el control de más recursos de red o de moverse servidor. En 2017, el middleware, que conecta plataformas
lateralmente entre otras soluciones importantes. o aplicaciones, está en posición de atraer atacantes que
busquen lugares para actuar, en los que los defensores sean
Los investigadores de Cisco han seguido las vulnerabilidades lentos a la hora de reaccionar o reconocer una amenaza.
de servidor y cliente por proveedor (figura 40).
Los investigadores de Cisco, mientras buscaban
vulnerabilidades en el software de terceros, descubrieron
Figure 40 Client-Server Vulnerabilities
Figura 40 Desglose de las vulnerabilidades del una media de 14 vulnerabilidades nuevas al mes. La mayor
Breakdown, 2015—2016
cliente-servidor, 2015-2016 parte de estas vulnerabilidades (62) podían atribuirse
al uso del middleware. De esas 62 vulnerabilidades,
20 se encontraron en el código que gestiona PDF,
12 en el código que gestiona imágenes, 10 en el código de
soluciones de productividad de oficina habituales, 9 en el
código de compresión y 11 en otras bibliotecas (figura 41).
Vulnerabilidades Vulnerabilidades Vulnerabilidades
del servidor del cliente de la red Las vulnerabilidades de middleware suponen una amenaza
(de 2332 a 3142) (de 2300 a 2106) (de 501 a 396) de seguridad única porque las bibliotecas no se actualizan
34% 8% 20% normalmente tan rápido como el software que está más
orientado al cliente, es decir, software con el que los usuarios
interactúan directamente a diario, como es el caso de las
Fuente: National Vulnerability Database
soluciones para mejorar la productividad. Es posible que
de las auditorías de software se excluyan las bibliotecas de
middleware, por lo que las vulnerabilidades siguen ahí.
Figure 41 Vulnerabilities Found in Middleware Libraries

Figura 41 Vulnerabilidades encontradas en bibliotecas de middleware
PDF Imagen Oficina Compresión Otras
20 12 10 9 11
Fuente: grupo de investigación de seguridad de Cisco
Compartir

Las organizaciones pueden apostar a que el middleware Tiempo para aplicar parches: fin del marco
es seguro y pueden dedicar un mayor esfuerzo a actualizar
soluciones destacadas. Pero pueden perder la apuesta si
temporal de recuperación
piensan que los ciberdelincuentes no buscarán una entrada Muchos usuarios no descargan e instalan los parches
a las redes a través de estas rutas discretas. Por lo tanto, a tiempo. Los adversarios pueden utilizar estas
el middleware se convierte en un punto débil para los vulnerabilidades sin parches para ganar acceso a las
defensores y en una oportunidad para los atacantes. redes. En nuestra última investigación, descubrimos que
la clave para fomentar que los usuarios descarguen e
El reto de actualizar bibliotecas de middleware está
instalen parches puede encontrarse en la cadencia de las
estrechamente relacionado con los problemas del
actualizaciones de software de los proveedores.
software de código abierto (que se debatió en el Informe
de seguridad semestral de Cisco 2015), ya que muchas La aparición de un parche de seguridad es una clara señal
soluciones de middleware proceden de desarrolladores para los atacantes de que hay una vulnerabilidad que
de código abierto. (Sin embargo, el problema en merece la pena explotar. Aunque los atacantes sofisticados
cuestión puede afectar tanto a los desarrolladores de probablemente se hayan estado aprovechando de las
middleware patentado como a los de código abierto). vulnerabilidades durante algún tiempo, la notificación de un
Por lo tanto, es posible que las bibliotecas de middleware parche confirma a muchos otros que tienen vía libre en las
dependan de un gran número de desarrolladores para versiones anteriores.
que puedan mantenerse actualizadas. En la lista de
tareas que un equipo de TI o de seguridad sobrecargado Cuando los proveedores de software lanzan nuevas
necesita gestionar, las actualizaciones de la biblioteca versiones de acuerdo con un esquema periódico, los
de middleware probablemente no sean una prioridad usuarios se ven obligados a descargar e instalar las
importante, aunque deberían recibir mayor atención. actualizaciones. En cambio, cuando las versiones de las
actualizaciones de los proveedores son irregulares, es
¿Cuál es el posible impacto de una vulnerabilidad de menos probable que los usuarios las instalen. Continuarán
middleware que los ciberdelincuentes están explotando? utilizando soluciones obsoletas que pueden contener
Dadas las conexiones entre el middleware y otros sistemas vulnerabilidades explotables.
esenciales, como correo electrónico o mensajería, un
atacante puede moverse lateralmente por dichos sistemas Otros comportamientos que afectan al ciclo de
y enviar mensajes de suplantación de identidad o spam. actualizaciones son:
Asimismo, los atacantes pueden disfrazarse de usuarios
●● Lo molesto que sea el recordatorio
autorizados y aprovecharse de las relaciones de confianza
entre usuarios para disfrutar de un mayor nivel de acceso. ●● La facilidad con la que se cancela la suscripción
●● La frecuencia con la que se utiliza el software
Para evitar convertirse en víctima de un ataque lanzado a
través de una vulnerabilidad de middleware, debe: Hay ventanas de tiempo diferentes en las que los usuarios
suelen instalar una actualización cuando es el proveedor el que
●● Mantener de forma activa una lista de dependencias y
la lanza. Nuestros investigadores examinaron las instalaciones
bibliotecas conocidas en las aplicaciones que utiliza
de software en los terminales que utilizan nuestros clientes.
●● Supervisar de forma activa la seguridad de estas El software se clasificaba en tres categorías:
aplicaciones y reducir los riesgos todo lo posible
●● Introducir un acuerdo de nivel de servicio en los contratos ●● Versiones nuevas: el terminal ejecutó la última versión
con los proveedores de software para proporcionar los disponible del software
parches a tiempo ●● Versiones recientes: el terminal ejecutó una de las tres
●● Auditar y revisar de forma rutinaria las dependencias de versiones anteriores del software, pero no la última
software y el uso de la biblioteca ●● Versiones antiguas: el terminal ejecutó un software que
●● Pedir información a los proveedores de software acerca de estaba más de tres versiones por detrás de la versión actual
cómo mantener y probar sus productos
Por ejemplo, si un proveedor de software lanzó la versión
En resumen: los retrasos en la aplicación de parches aumentan 28 el 1 de enero de 2017, la versión 28 sería la nueva; la
el espacio operativo de los atacantes y les concede más versión 26 sería la reciente y la versión 23 sería la antigua.
tiempo para obtener el control de los sistemas críticos. En la (Las figuras de la página siguiente contienen los requisitos
siguiente sección, analizaremos este impacto y las tendencias de los periodos de tiempo semanales en los que se
en la aplicación de parches de soluciones comunes para lanzaron una o varias versiones del software).
aumentar la productividad, como navegadores web.

Al examinar a los usuarios de Adobe Flash (figura 42) Al analizar las actualizaciones para el navegador web Google
observamos que, en la primera semana de una versión Chrome, observamos otro patrón diferente. En este caso,
de actualización, casi el 80 por ciento de los usuarios refleja actualizaciones de forma periódica, así como una
instalaron la última versión del software. Es decir, tan solo política sólida para cancelar las suscripciones, lo que hace que
se necesita alrededor de una semana para que la población ignorar las notificaciones de actualizaciones resulte difícil para
de usuarios se ponga al día con la última versión. Este los usuarios. Como se muestra en la figura 42, los terminales
periodo de "recuperación" de una semana representa la que cuentan con la versión más reciente permanecen
puerta a las oportunidades de los hackers. relativamente estables a lo largo de varias semanas.
Al observar el cuarto trimestre de 2015 en el gráfico Los datos de Chrome muestran que los usuarios se recuperan
de Adobe Flash, podemos ver un fuerte descenso relativamente rápido. En el caso de las actualizaciones
en el número de usuarios que disponen de la versión periódicas, una semana es el plazo aproximado de
más reciente de la solución. En el periodo de tiempo recuperación. En un periodo de 9 semanas entre el
que analizamos, Adobe lanzó cinco versiones de Flash segundo y tercer trimestre de 2016, sin embargo, hubo
de manera sucesiva y rápida, lo que representa una siete actualizaciones. Durante este tiempo la población se
combinación de incorporaciones de funcionalidad, recuperó, pero el cansancio de las actualizaciones empezó
correcciones de errores y actualizaciones de seguridad. a instaurarse. El porcentaje de usuarios que permaneció con
Esta ráfaga de actualizaciones puede confundir a los una versión anterior aumentó de forma constante a pesar de la
usuarios. Es probable que se planteen por qué deben recuperación de la mayor parte de la población.
descargarse tantas actualizaciones; pueden cansarse
debido al número de notificaciones de actualizaciones El navegador Firefox de Mozilla también ofrece actualizaciones
y, además, pueden pensar que se han descargado según una programación periódica, pero el periodo de
una actualización fundamental e ignorar las nuevas recuperación tras el lanzamiento de una actualización
notificaciones. Independientemente de lo que provoque su parece tardar hasta un mes. En otras palabras, los usuarios no
falta de interés a la hora de instalar una actualización, se descargan e instalan las actualizaciones con tanta frecuencia
trata de una mala noticia para los defensores. como lo hacen los usuarios de Chrome. Uno de los motivos
podría ser que algunos usuarios no utilizan el navegador
con regularidad y, por tanto, no ven ni descargan las
actualizaciones. (Consulte la figura 43 en la página siguiente).
Figure 42 Time to Patch for Adobe Flash and Google Chrome

Figura 42 Tiempo para la aplicación de parches de Adobe Flash y Google Chrome
Adobe
Flash
Versiones 83% 67% 99% 94% 88%
63% 69% 67% 70% 68% 76% 77% 94% 88% 80% 88% 94% 94% 92% 82% 86%
obsoletas: 78% 93%
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
May. 2015
Google
Chrome
Versiones 97% 70% 95%
8% 63% 48% 87% 54% 94% 98% 94% 97%
obsoletas: 98% 54% 98% 97% 98%
Semana: 0 5 10 15 20 25 30 35 40 45 50 55
May. 2015
Actualización publicada Bajo Alto

Adopción de la actualización más reciente
Compartir

Observamos que Firefox actualizó sus versiones actualizaciones después del lanzamiento de una versión.
aproximadamente cada dos semanas, y que la frecuencia En algún momento, hubo dos versiones en 5 semanas,
de las actualizaciones aumentó a lo largo del periodo de que afectaron a la población de usuarios durante más de
observación. Este aumento en la frecuencia se refleja 3 meses, como se puede ver entre el cuarto trimestre de
en el crecimiento de las versiones antiguas de Firefox 2015 y el primer trimestre de 2016.
en la población. El tiempo de recuperación es de,
aproximadamente, 1,5 semanas, pero los tiempos se Microsoft anunció el fin de ciclo de vida de Silverlight en
superponen. La población que intenta estar al día representa 2012, aunque los parches y correcciones de errores se
solo el 30 por ciento de la base de usuarios. En algún siguen lanzando. Sin embargo, plantea el mismo problema
momento, dos tercios de los usuarios han optado simplemente que Internet Explorer: el software obsoleto y sin parches
por ejecutar un navegador de más de cuatro versiones invita a los atacantes a explotarlo fácilmente.
anteriores a la más reciente. Por tanto, aunque Firefox
El periodo de recuperación de los usuarios de Java muestra
responde a los problemas y los corrige con rapidez, la base de
que la mayoría de versiones del software operativas están de
usuarios no se actualiza ni reinicia con la misma frecuencia.
una a tres versiones por detrás de la más reciente. El tiempo
Para el software, el nivel de uso también parece ser un de recuperación es de aproximadamente 3 semanas. Un
indicador de sus vulnerabilidades. Cuando los usuarios patrón inusual con Java es que las poblaciones dominantes
no acceden al software con frecuencia y, por tanto, no son aquellas que utilizan versiones recientes. El ciclo de
son conscientes de la necesidad de aplicar parches y actualización de Java es de 1 a 2 meses.
actualizarlo, el software ignorado proporciona espacio y
A grandes rasgos, lo que se concluye de los ciclos de
tiempo a los atacantes para que puedan actuar.
tiempo para aplicar parches es que los patrones de la
Podemos observar esto en la investigación sobre Microsoft versión de actualización son un factor determinante en la
Silverlight, que muestra un periodo de recuperación condición en materia de seguridad de los usuarios, lo que
de hasta 2 meses para que los usuarios instalen las puede poner en riesgo a las redes.
Figure 43 Time to Patch for Firefox, Silverlight, and Java

Figura 43 Tiempo para la aplicación de parches de Firefox, Silverlight y Java
Firefox
Versiones 99% 93% 93% 95% 97% 94% 94% 87%

98% 98% 99% 94% 92% 96% 94% 99% 96% 93% 97% 99% 99% 97%
obsoletas: 94% 92% 99% 88% 95% 85%
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
May. 2015
Silverlight
Versiones 26% 88% 93% 91%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55
May. 2015
Java
Versiones 84% 99% 93% 99% 96% 91% 98% 97% 99% 98%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
May. 2015
Actualización publicada Bajo Alto

Adopción de la actualización más reciente

Estudio comparativo
sobre capacidades
de seguridad de
Cisco 2017
Estudio comparativo sobre

capacidades de seguridad de
Cisco 2017
Para medir la percepción de los profesionales de la seguridad sobre el estado de
la seguridad en sus organizaciones, Cisco preguntó a los jefes de seguridad (CSO)
y a los directores de operaciones de seguridad (SecOp) de varios países y en
organizaciones de diversos tamaños sobre sus percepciones acerca de sus propios
recursos y procedimientos de seguridad. El estudio comparativo sobre capacidades
de seguridad de Cisco 2017 ofrece información sobre el nivel de madurez de las
operaciones y las prácticas de seguridad que se usan actualmente, y también
compara estos resultados con los de los informes de 2016 y 2015. El estudio se llevó
a cabo en 13 países y participaron más de 2900 encuestados.
Los profesionales de la seguridad quieren que sus aunque esa confianza parece estar reduciéndose un poco
organizaciones sean más seguras, pero de forma que responda desde los últimos años. En 2016, el 58 por ciento de los
al complejo panorama de los atacantes y a los esfuerzos de encuestados afirmó que su infraestructura de seguridad
sus adversarios para ampliar su espacio operativo. Numerosas estaba al día y que se actualizaba constantemente con
organizaciones dependen de muchas soluciones de varios las últimas tecnologías. El treinta siete por ciento afirmó
proveedores. Esta táctica se añade a la complejidad y la que sustituye o actualiza las tecnologías de seguridad
confusión de proteger las redes a medida que Internet no para periódicamente, pero que no está equipado con las mejores y
de crecer en términos de velocidad, dispositivos conectados y más recientes herramientas (figura 44).
tráfico. Las organizaciones deben centrarse en la simplicidad y Figure 44 Percentages of Security
la integración si quieren protegerse.
Professionals Who Feel
Figura 44 Porcentajes Their Securityde la
de profesionales
Infrastructure Is Up que
seguridad que creen to Date
su infraestructura de
Percepciones: los profesionales de la seguridad está actualizada
seguridad que confían en las herramientas,
menos seguros de utilizarlas de forma eficaz
La mayoría de profesionales de la seguridad creen que
cuentan con soluciones adecuadas y que sus infraestructuras
de seguridad están al día. Sin embargo, según nuestro
estudio, esta confianza esconde algo de incertidumbre. Estos
profesionales no siempre están seguros de contar con los Descrita como sustituida/
Descrita como actualizada a un ritmo regular
presupuestos y las capacidades necesarios para aprovechar muy actualizada No equipada con las
realmente la tecnología de la que disponen. La mejor tecnología disponible mejores y más recientes
herramientas
Las amenazas para las organizaciones proceden de todas
partes. Los adversarios son sagaces y creativos, y pueden ser 58% 37%
más inteligentes que las defensas. Incluso en este entorno 2016 (n=2912)
aleccionador, la mayoría de profesionales de la seguridad
confía en que su infraestructura de seguridad está actualizada,
49 Estudio comparativo sobre capacidades de seguridad de Cisco 2017

Figure 45 Percentages of Security Professionals

Además, más de dos tercios de los profesionales de la Figura 45 Porcentajes de profesionales de la
seguridad creen que sus herramientas de seguridad son Who Perceive Various Security Tools to
seguridad que consideran varias herramientas de
muy eficaces o extremadamente eficaces. Por ejemplo, Be Highly Effective
seguridad como muy efectivas
el 74 por ciento cree que sus herramientas son muy
eficaces o extremadamente eficaces a la hora de bloquear
amenazas de seguridad conocidas, mientras que el 71
por ciento piensa que sus herramientas son eficaces en la
detección de anomalías en la red o en la defensa dinámica
frente a cambios en las amenazas adaptativas (figura 45).
El problema: la confianza en las herramientas no implica 74% 71%

necesariamente una seguridad eficaz. Tal y como indica el Percibe que sus herramientas Percibe que sus herramientas son
estudio, los departamentos de seguridad se enfrentan al son muy o extremadamente muy o extremadamente eficaces en
hecho de usar herramientas complicadas de numerosos eficaces frente a amenazas la detección de anomalías en la red
de seguridad conocidas o en la defensa dinámica frente a
proveedores, así como a la falta de talento interno. Esto cambios en las amenazas adaptativas
se resume en un problema de "intención contra realidad".
2016 (n=2912)
Los profesionales de la seguridad quieren herramientas de
seguridad sencillas y eficaces, pero no tienen el enfoque
integrado que necesitan para hacer realidad esta visión.
La seguridad sigue siendo una prioridad importante para

Figure 46Porcentajes
Figura 46 Percentages of Security Professionals
de profesionales de la
los niveles superiores de muchas organizaciones. Y los
profesionales de la seguridad creen que sus equipos
Who
seguridad que creen que laa seguridad
Believe Security Is High Priority at the
es una
ejecutivos mantienen la seguridad en un puesto alto dentro Executive Level, 2014–2016
prioridad importante a nivel ejecutivo, 2014-2016
de la lista de objetivos clave de la organización. El reto,
por supuesto, es alinear el apoyo de los ejecutivos con el
talento y la tecnología que pueden afectar a los resultados
de seguridad.
Totalmente de acuerdo en que Totalmente de acuerdo en que
El número de profesionales de la seguridad que están de los ejecutivos de la organización las funciones y responsabilidades
acuerdo en que sus ejecutivos consideran la seguridad una consideran la seguridad una de seguridad se clarifican dentro del
prioridad importante equipo ejecutivo de la organización
prioridad importante fue del 59 por ciento en 2016, algo por
debajo del 61 por ciento de 2015 y del 63 por ciento de 2014
(figura 46). En 2016, el 55 por ciento de los profesionales 63% 61% 59% 58% 58%
de la seguridad estaban de acuerdo en que las funciones y 55%
responsabilidades de seguridad estaban claramente asignadas
dentro del equipo ejecutivo de su organización; en 2015 y
2014, este porcentaje aumentó al 58 por ciento.
2014 2015 2016 2014 2015 2016
En resumen, los profesionales de la seguridad confían en
las herramientas de las que disponen, y parece que los 2014 (n=1738), 2015 (n=2432), 2016 (n=2912)
líderes corporativos los toman en consideración a la hora
de abordar los problemas de seguridad. Pero esa confianza Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
está disminuyendo ligeramente. Los profesionales de la
seguridad son cada vez más conscientes de los éxitos de
los atacantes y de la lentitud que conlleva administrar una Compartir
superficie de ataque cada vez mayor.

Limitaciones: el tiempo, el talento y el dinero afectan a la capacidad para responder a las

amenazas
Si los profesionales de la seguridad confían relativamente El dinero es solo una parte del problema. Por ejemplo,
en que cuentan con las herramientas necesarias para los problemas de compatibilidad están relacionados con
detectar amenazas y mitigar los daños, también reconocen el problema de los sistemas desconectados que no se
que hay ciertas limitaciones estructurales que se interponen integran. Además, la preocupación por la falta de personal
en el camino de sus objetivos. Un presupuesto ajustado formado resalta el problema de contar con las herramientas
supone un reto constante. Pero otras limitaciones en adecuadas pero no con el talento, para entender realmente
seguridad eficaz tienen que ver con los problemas de lo que sucede en el entorno de seguridad.
simplificar y automatizar la seguridad.
La lucha en la búsqueda de personas con talento es una
En 2016, el 35 por ciento de los profesionales de la seguridad preocupación, teniendo en cuenta las capacidades expertas
afirmó que el presupuesto representaba el mayor obstáculo y de toma de decisiones que son necesarias para hacer
a la hora de adoptar procesos y tecnología de seguridad frente a ataques selectivos y a las tácticas cambiantes de
avanzada (una ligera disminución con respecto a 2015, los adversarios. Un equipo de seguridad de TI experto y con
cuando el 39 por ciento declaró que el presupuesto suponía recursos, combinado con las herramientas adecuadas, puede
el obstáculo número uno), como se muestra en la figura 47. hacer que la tecnología y las políticas trabajen de forma
Como sucedía en 2015, los problemas de compatibilidad conjunta y obtener mejores resultados de seguridad.
con los sistemas heredados eran el segundo obstáculo más
común: el 28 por ciento mencionó la compatibilidad en 2016, El número medio de profesionales de la seguridad
en comparación con el 32 por ciento de 2015. dentro de las organizaciones encuestadas fue 33, en
comparación con los 25 de 2015. En 2016, el 19 por
ciento de las organizaciones disponía de entre 50 y
99 profesionales de la seguridad dedicados; el 9 por
ciento, entre 100 y 199 profesionales de la seguridad, y
el 12 por ciento 200 o más (figura 48).
Figure 47 Biggest Obstacles to Security

Figura 47 Principales obstáculos para la seguridad Figure 48 Número
Figura 48 Number deof Security Professionals
profesionales de la seguridad
Employed
empleados by
en Organizations
organizaciones
2015 (n=2432) 2016 (n=2912)
Número de profesionales de la seguridad dedicados
Restricciones presupuestarias 39% 35% 1-9 15
Problemas de compatibilidad 32% 28% 10-19 17
20-29 13
Requisitos de certificación 25% 25%
30-39 8
Falta de personal formado 22% 25%
40-49 6

50-99 19
100-199 9 30 25 33
Compartir 2014 2015 2016
200+ 12
0% 5% 10% 15% 20%
Porcentaje de Número medio de profesionales

organizaciones en 2016 dedicados a la seguridad

Figure 49Número
Figura 49 Numberdeof Security Professionals
profesionales by por
de la seguridad Sizetamaño
of Organization
de la organización
5%
5% 15%
7%
11%
20% 10% 33%
17%
14% 12% 7%
6%
21% 7% 12%
4%
10% 7% 22%
15% 16%
7% 17%
Segmento de medianas empresas Gran empresa Gran empresa (más de 10 000 empleados)
1-9 10-19 20-29 30-39 40-49 50-99 100-199 + de 200
Compartir
El número de profesionales de la seguridad varía según el

tamaño de la organización. Tal y como se muestra en la
figura 49, el 33 por ciento de las grandes empresas con
Externalización y ayuda en la nube
más de 10 000 empleados tenía al menos 200 empleados
de seguridad.
Estirar presupuestos
Independientemente de las limitaciones, los profesionales Muchos profesionales de la seguridad que

de la seguridad deben plantearse preguntas complicadas participan en el estudio de benchmark se
sobre las barreras que limitan su capacidad de hacer frente veían muy limitados económicamente a la
a próximas amenazas. hora de realizar adquisiciones en seguridad.
Estiraron su presupuesto a través de la
Por ejemplo, cuando se trata de un presupuesto, ¿cuánto externalización de algunas tareas o mediante
es realmente suficiente? Como explican los encuestados,
el uso de soluciones en la nube. También
los equipos de seguridad deben competir con muchas otras
confiaron en la automatización.
prioridades corporativas, incluso dentro del entorno de TI.
Si no pueden garantizar los fondos para más herramientas,
deben sacarle aún más rendimiento al presupuesto del que
disponen. Por ejemplo, la automatización se puede utilizar para
compensar la mano de obra limitada.
Deben plantearse otras preguntas similares acerca del

problema de compatibilidad de software y hardware. A medida
que los problemas de compatibilidad se multiplican, ¿cuántas
versiones diferentes de software y hardware (la mayoría de
las cuales sin un funcionamiento eficaz) se deben administrar?
¿Cómo gestionarán los equipos de seguridad los diferentes
requisitos de certificación necesarios?

Figure 50 Percentages of Respondents Who

Aparte de estas limitaciones, los profesionales de la Strongly
Figura 50 Agree with de
Porcentaje Security
encuestados que están
seguridad también están haciendo ligeramente menos totalmente de acuerdo
Operationalization con las afirmaciones sobre la
Statements
hincapié en la operatividad de la seguridad. Esta operacionalización de la seguridad
tendencia puede despertar inquietudes al hacer pensar
que los profesionales de la seguridad están creando una
infraestructura de seguridad insuficiente. Los signos de un
enfoque debilitado en la operatividad pueden indicar que
Revisamos y mejoramos nuestras Investigamos los incidentes
las organizaciones no están preparadas para defender un prácticas de seguridad de manera de seguridad de forma
número cada vez mayor y más variado de ataques. periódica, formal y estratégica a rutinaria y sistemática
lo largo del tiempo
Por ejemplo, en 2016, el 53 por ciento de los encuestados
estaba totalmente de acuerdo en que revisaban y
mejoraban las prácticas de seguridad con regularidad, 56% 56% 53% 55% 56% 53%
formalmente y de manera estratégica; en 2014 y 2015,
este porcentaje era del 56 por ciento. Asimismo, en 2016,
el 53 por ciento afirmó que estaba totalmente de acuerdo
en que investigaban los incidentes de seguridad de forma
2014 2015 2016 2014 2015 2016
rutinaria y sistemática, en comparación con el 55 por ciento
de 2014 y el 56 por ciento de 2015 (figura 50). 2014 (n=1738), 2015 (n=2432), 2016 (n=2912)
Si los profesionales de la seguridad están descarrilándose

de sus objetivos de poner la seguridad en uso, no debe
sorprender que no puedan implementar con eficacia
las herramientas de las que disponen, y mucho menos Figure 51 Number of Security Vendors and
agregar nuevas herramientas. Si, como respondieron Figura 51 Número de proveedores y productos de
Products Used by Organizations
los encuestados del estudio, no pueden hacer uso de la seguridad utilizados por las organizaciones
tecnología de la que ya disponen, necesitarán herramientas Número de proveedores de seguridad en el entorno de seguridad
optimizadas más simples que automaticen los procesos de 2016 (n=2850), gráfico redondeado al número entero más cercano
seguridad. Y dichas herramientas deben proporcionar una
visión integral de lo que sucede en el entorno de red.
La falta de integración en seguridad puede acarrear

problemas de tiempo y espacio, donde los ciberdelincuentes
1–5 6–10 11–20 21–50 Más de 50
pueden lanzar ataques. La tendencia de los profesionales proveedores proveedores proveedores proveedores proveedores
de la seguridad de hacer malabarismos con soluciones
y plataformas procedentes de varios proveedores 45% 29% 18% 7% 3%
puede complicar la implementación de una defensa
sin interrupciones. Como se muestra en la figura 51, la El 55% dispone de más de 5 proveedores
mayoría de empresas utiliza más de cinco proveedores

de seguridad y más de cinco productos de seguridad
Número de productos de seguridad en el entorno de seguridad
en su entorno. El cincuenta y cinco por ciento de los 2016 (n=2860), gráfico redondeado al número entero más cercano
profesionales de la seguridad utiliza al menos seis
proveedores; el 45 por ciento utiliza en cualquier lugar
de uno a cinco proveedores; y el 65 utiliza seis o más
productos.
1–5 6-10 11–25 26–50 Más de 50

Descargue los gráficos de 2017 en: productos productos productos productos productos
35% 29% 21% 11% 6%
El 65% dispone de más de 5 productos

Figure 52 Percentages of Security Alerts That Are Not Investigated or Remediated

Figura 52 Porcentajes de alertas de seguridad que no se investigan o solucionan
7% 93%
que no experimentó que experimentó
ninguna alerta alguna alerta de
de seguridad seguridad
44% 56%
de alertas NO de alertas
investigadas investigadas
46%
de alertas legítimas
remediadas
28%
54% de las alertas
investigadas
de alertas legítimas
legítimas
NO remediadas
2016 (n=2796)
Si los objetivos de operacionalización no van por el El hecho de que casi la mitad de las alertas se queden
camino correcto, si no se obtiene la máxima eficacia de sin investigar debería despertar cierta inquietud. De
las herramientas y si la mano de obra no es sólida, el entre el grupo de alertas que no se remedian: ¿se trata
resultado es una seguridad quebrada. Los profesionales de amenazas de nivel inferior que simplemente difunden
de la seguridad están obligados a saltarse el paso de spam o, por el contrario, podrían derivar en un ataque
la investigación de las alertas simplemente porque no de ransomware o paralizar una red? Para investigar
cuentan con el talento, las herramientas o las soluciones y comprender mejor el panorama de amenazas, las
automatizadas disponibles para determinar cuáles son organizaciones deben confiar en la automatización,
críticas y por qué se producen. así como en soluciones correctamente integradas. La
automatización puede ayudar a conseguir recursos valiosos
Debido quizá a varios factores, como la falta de un sistema y a eliminar la carga que pesa sobre el equipo de seguridad
de defensa integrada o la falta de tiempo del personal, las en términos de detección e investigación.
organizaciones son solo capaces de investigar algo más
de la mitad de las alertas de seguridad que reciben en La incapacidad para ver tantas alertas plantea dudas
un día determinado. Como se muestra en la figura 52, el acerca del impacto sobre el éxito general de una
56 por ciento de las alertas se investigan y el 44 por ciento organización. ¿Cómo podrían afectar estas amenazas que
quedan sin investigar; de las alertas investigadas, un 28 por no han sido investigadas a la productividad, la satisfacción
ciento se consideran alertas legítimas. El cuarenta y seis del cliente y la confianza en la empresa? Tal y como nos
por ciento de las alertas legítimas se remedian. respondieron los encuestados, incluso las pequeñas
interrupciones de la red y violaciones de seguridad pueden
Para concretar aún más el problema, si una organización tener efectos a largo plazo en el resultado final. Incluso
registra 5000 alertas al día quiere decir que: cuando las pérdidas resultaban relativamente menores
●● 2800 alertas (56 por ciento) se investigan, mientras que
y los sistemas afectados se podían identificar y aislar de
2200 (44 por ciento) se quedan sin investigar manera relativamente sencilla, los líderes de seguridad
consideraban las brechas como significativas, debido a la
●● De las investigadas, 784 alertas (28 por ciento) son
presión que causaban a la organización.
legítimas, mientras que 2016 (72 por ciento) no lo son
●● De las alertas legítimas, 360 (46 por ciento) se remedian,
mientras que 424 (54 por ciento) se quedan sin remediar Compartir

Figure 53 Length and Extent of Outages

Estas presiones pueden afectar a las organizaciones de Figura 53by
Caused Duración y alcance
Security Breachesde las interrupciones
muchas maneras. Los equipos de seguridad deben dedicar causadas por violaciones de la seguridad
tiempo a gestionar las interrupciones de la red que se
Tiempo de inactividad de los sistemas de las organizaciones debido a brechas
producen tras una violación de la seguridad. Casi la mitad
2016 (n=2665)
de estas interrupciones duraban hasta 8 horas. El 45 por
ciento de las interrupciones duró de 1 a 8 horas (figura 53);
el 15 por ciento duró de 9 a 16 horas, y el 11 por ciento
duró de 17 a 24 horas. El 41 por ciento (consulte la página
55) de estas interrupciones afectaron al 11-30 por ciento Sin Menos de 1–8 9–16 17–24 Más de
de los sistemas de las organizaciones. interrupciones 1 hora horas horas horas 24 horas
7% 13% 45% 15% 11% 9%

Impacto: más organizaciones sufren
pérdidas debido a las brechas Porcentaje de sistemas afectados debido a brechas
2016 (n=2463)
Los efectos de las brechas no se limitan a las
interrupciones. Las brechas también implican pérdida
de dinero, de tiempo y de reputación. Los equipos de
seguridad que creen que esquivarán esta bala ignoran la
Ningún 1–10% 11–30% 31–50% Más del 50%
realidad de los datos. Como muestran nuestros estudios, impacto afectados afectados afectados afectados
casi la mitad de las organizaciones han tenido que lidiar
con el escrutinio público que provoca una violación de la 1% 19% 41% 24% 15%
seguridad. Dada la gama de capacidades y tácticas de los
atacantes, la pregunta no es si se producirá una violación Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
de la seguridad, sino cuándo.
Como muestra el estudio comparativo, los profesionales Figure 54Porcentaje

Figura 54 Percentage of Organizations
de organizaciones que
de la seguridad son verdaderamente conscientes de Experiencing a Public Breach
experimentan una brecha pública
la realidad cuando se producen las brechas. Cambian
a menudo las estrategias de seguridad o refuerzan las
defensas. Las organizaciones que no han sufrido aún Tuvo que gestionar
una brecha en sus redes por parte de atacantes, pueden 49% un escrutinio público
por una violación
sentirse aliviadas por haber escapado. Sin embargo, esta de la seguridad
confianza posiblemente no es real.
2016 (n=2824)
El 49 por ciento de los profesionales de la seguridad
encuestados afirmaron que su organización tiene que
afrontar el escrutinio público derivado de una violación de Cómo se dio a conocer públicamente
la seguridad. De estas organizaciones, el 49 por ciento la brecha más reciente
divulgó esta violación de manera voluntaria, mientas que el (n=1389)

31 por ciento dijo que la divulgación la realizó un tercero
(figura 54). En otras palabras, cerca de un tercio de las
organizaciones encuestadas se vieron forzadas a lidiar con
la divulgación involuntaria de una brecha. Está claro que
los días de lidiar de manera discreta con las brechas han
quedado atrás. Hay muchos reguladores, medios y usuarios Divulgada Informe
Divulgada
involuntariamente necesario
de redes sociales que darán a conocer las noticias. voluntariamente
(terceros) (normativo/legal)
31% 31% 50%

Compartir

Figura
Figure55
55Funciones
Functionscon másLikely
Most probabilidad de verse by
to Be Affected afectadas
a Publicpor una brecha pública
Breach
Reputación Retención Propiedad

Operaciones Finanzas
de la marca de clientes intelectual
36% 30% 26% 26% 24%
Relaciones con Relaciones con Compromisos Escrutinio No ha sufrido ninguna violación

partner empresarial proveedores legales normativo de la seguridad en el último año
22% 20% 20% 19% 10%
Compartir
El daño a las organizaciones va más allá del tiempo que Después de operaciones, las finanzas son las funciones
se necesita para hacer frente a una brecha o interrupción. con más posibilidad de verse afectadas (según el 30 por
Hay impactos reales e importantes que las empresas ciento de los encuestados), seguido de la reputación de
deben intentar evitar. la marca y la retención de clientes (ambas con un 26 por
ciento).
Como se observa en la figura 55, el 36 por ciento de
los profesionales de la seguridad afirmaron que las Ninguna organización que planea ampliar y triunfar quiere
operaciones eran las funciones con más posibilidad de estar en la posición de tener departamentos vitales
verse afectadas. Esto significa que los sistemas principales afectados por violaciones de seguridad. Los profesionales
de la productividad, que afectan a sectores como el de la seguridad deben observar los resultados de la
transporte, la atención sanitaria y la fabricación, pueden encuesta con un ojo puesto en su propia organización y
ralentizarse o incluso detenerse por completo. preguntarse: "Si mi organización sufre este tipo de pérdidas
debido a una brecha, ¿qué le sucedería a los negocios con
el tiempo?".

Las pérdidas de oportunidades de las empresas que Figure 57Porcentaje

Figura 57 Percentage ofpérdida
de la Organizational
de ingresos
sufren ataques online son abrumadoras. El 23 por ciento Revenue Lost as the Result ofun
organizativa como resultado de anataque
Attack
de los profesionales de la seguridad encuestados dijeron
que en 2016 sus organizaciones experimentarían una
pérdida de oportunidades debido a los ataques (figura 56). Experimentó una
De ese grupo, el 58 por ciento afirmó que la pérdida de 29% pérdida de ingresos
oportunidades totales fue de un 20 por ciento, el 25 por Personal de seguridad de TI
ciento que fue de un 20 a un 40 por ciento y el 9 por (n=2912)
ciento, de un 40 a un 60 por ciento.
Muchas organizaciones pueden cuantificar las pérdidas de

ingresos que sufren debido a las brechas públicas. Como se
observa en la figura 57, el 29 por ciento de los profesionales
de la seguridad afirmaron que sus organizaciones habían
experimentado una pérdida de ingresos como resultado de
Perdió menos Perdió del Perdió del Perdió del Perdió del
los ataques. De ese grupo, el 38 afirmó que la pérdida de del 20% 20 al 40% 40 al 60% 60 al 80% 80 al 100%
ingresos fue del 20 por ciento o superior.
62% 20% 10% 4% 4%
Los ataques online también se traducen en menos clientes.
Como se muestra en la figura 58, el 22 por ciento de las
organizaciones afirmaron que perdieron clientes como
38%
Experimentó una pérdida de ingresos considerable
resultado de los ataques. De ese grupo, el 39 afirmó que
había perdido el 20 por ciento de sus clientes o más. (n=778)
Descargue los gráficos de 2017 en: Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
Figure 56Porcentaje
Figura 56 Percentage of Business Opportunity
de oportunidades empresariales Figure 58Porcentaje
Figura 58 Percentage of Customers
de clientes Lost
perdidos porby
Lost as the Result from
perdidas como resultado deanunAttack
ataque Companies Due to Attacks
empresas debido a ataques
Experimentó una pérdida Experimentó una

23% de oportunidades 22% pérdida de clientes
Personal de seguridad de TI Personal de seguridad de TI

(n=2912) (n=2912)
Perdió menos Perdió del Perdió del Perdió del Perdió del Perdió menos Perdió del Perdió del Perdió del Perdió del
del 20% 20 al 40% 40 al 60% 60 al 80% 80 al 100% del 20% 20 al 40% 40 al 60% 60 al 80% 80 al 100%
58% 25% 9% 5% 3% 61% 21% 8% 6% 4%
42% 39%
Experimentó una pérdida de oportunidades considerable Experimentó una pérdida de clientes considerable
(n=625) (n=641)
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017

Resultados: un mayor escrutinio Figure 59Cómo

Figura 59 How las
Security Breaches
violaciones de la seguridad
Drive Improvements
impulsan las mejoras
desempeñará un papel importante en las
mejoras en seguridad
Afirmó que la violación de la
Como muestran los resultados de la encuesta, el impacto seguridad impulsó mejoras
90% en las tecnologías, políticas
de las brechas puede ser duradero y extenso. Si uno
o procedimientos de defensa
asume que una organización se verá afectada por una frente a amenazas
brecha en algún momento, la pregunta es: ¿qué sucederá Profesionales de la seguridad (n=1388)
después? ¿Dónde debe centrar su atención y recursos la
administración para que haya menos posibilidades de que
se produzcan brechas? Las 5 mejoras principales diseñadas para proteger
a la empresa de violaciones de la seguridad
El resultado de una brecha es una oportunidad de 2016 (n=1375)
aprendizaje, una experiencia que no debería desperdiciarse
en términos de investigación para elaborar mejores
Equipo de seguridad separado
enfoques. 38% del departamento de TI
El 90 por ciento de los profesionales de la seguridad dijeron

que una violación de la seguridad conducía a realizar Aumentaron la formación/
mejoras en las tecnologías y procesos de defensa frente 38% concienciación sobre la importancia
de la seguridad entre los empleados
a amenazas, como se muestra en la figura 59. De las
organizaciones afectadas por brechas, el 38 por ciento
afirmó que respondieron separando el equipo de seguridad Aumentaron la atención en el análisis
37% y la mitigación de riesgos
del departamento de TI; el 38 por ciento que aumentaron
la formación sobre la importancia de la seguridad entre sus
empleados, y el 37 por ciento afirmó que se centraron más en Aumentaron la inversión en tecnologías
el análisis y la mitigación de riesgos. 37% o soluciones de defensa
Compartir
Aumentaron la inversión en la
37% formación del personal de seguridad

Figure 60 Organizations' Reliance

Las organizaciones reconocen que tienen que ser creativas Figura 60 Dependencia de las organizaciones en la
on Outsourcing
para ir más allá de los límites de talento, de compatibilidad subcontratación
tecnológica y de presupuesto. Una estrategia consiste en Servicios de seguridad subcontratados
adoptar servicios externos para fortalecer el presupuesto y 2016 (n=2912)
también aprovechar el talento que no sea interno.
En 2016, el 51 por ciento de los profesionales de la

seguridad contrataron asesoramiento externo, mientras
que el 45 por ciento subcontrató la respuesta a incidentes
(figura 60). El 52 por ciento afirmó que contrataron servicios Asesoramiento y consultoría Respuesta ante incidentes
externos para ahorrar costes, mientras que el 48 por ciento 51% 45%
dijo que lo hicieron para obtener información objetiva.
A medida que aceptan la externalización, las Por qué se subcontratan servicios

organizaciones también confían en proveedores de 2016 (n=2631)
terceros para aumentar sus estrategias de defensa.
El ecosistema de seguridad les proporciona formas
de compartir las responsabilidades de seguridad.
El 72 por ciento de los profesionales de la seguridad afirmó

que confiaban en proveedores de terceros para el 20-80 por Obtener mayor rentabilidad Obtener una perspectiva objetiva
ciento de su seguridad, como se muestra en la figura 61. 52% 48%
Estas organizaciones que utilizan en gran parte ayuda externa
para la seguridad tienen más posibilidades de decir que
aumentarán el uso de proveedores de terceros en el futuro.
Compartir
Figure 61 Percentage of Organizations' Reliance on Outsourcing

Figura 61 Porcentaje de dependencia de las organizaciones en la subcontratación
Personal de seguridad de TI (n=2595)
Dependencia de más del 80% Dependencia de menos del 20%

15% 3%
27% 21%
33% 6% 49%
11% 22% 19%
14% 9%
72%
que depende de
Dependencia del 40-80% 31% proveedores de
terceros para el
6% 20-80% de la 2%
25% seguridad 25%
39% 43%
24%
6%
41% 5%
25%
Dependencia del 20-40%
Cambio en la dependencia durante el próximo año

Personal de seguridad de TI que depende de proveedores de terceros (n=2504)
Reducción significativa Reducción parcial Mantenimiento en el mismo nivel Aumento ligero Aumento significativo

Figura 62 Orígenes de mayor escrutinio

Figure 62 Sources of Increased Scrutiny
Partners Grupos de interés

Ejecutivos Clientes Empleados
empresariales y vigilancia
74% 73% 72% 72% 70%
Compañías
Reguladores Inversores Pulse
aseguradoras
70% 69% 67% 60%
2016 (n=2912)
A medida que las organizaciones dan pasos para El 74 por ciento de los profesionales de la seguridad afirmó
fortalecer su condición en materia de seguridad, pueden que el escrutinio vendrá de líderes ejecutivos; el 73 por
esperar que se preste más atención a sus esfuerzos. ciento, de clientes y consumidores; y el 72 por ciento, de
Este escrutinio vendrá del público influyente y, por tanto, los empleados, como se muestra en la figura 62.
no se puede ignorar. La manera en la que se abordan
estas preocupaciones del público puede tener un impacto
significativo en la capacidad de la organización para
defenderse.

Figure 63 How Trust and Cost-Effectiveness Drive Security Decisions

Figura 63 Cómo la confianza y la rentabilidad impulsan las decisiones sobre seguridad
Adquisición de una solución de defensa frente a Motivos para favorecer un Motivos para favorecer un enfoque
amenazas de seguridad enfoque Best-of-Breed de arquitectura empresarial
Personal de seguridad de TI (n=2665) Organización que adquirió las Organizaciones que siguen normalmente
mejores soluciones puntuales un enfoque de arquitectura empresarial
Sigue normalmente un enfoque
de arquitectura empresarial Mayor confianza que en el enfoque Mayor confianza que en el
de arquitectura empresarial enfoque Best-of-Breed
Sigue normalmente un 39%
enfoque basado en 65% 36%
proyectos (por ejemplo,
los mejores productos Las soluciones Best-of- El enfoque de arquitectura
puntuales) Breed son más rentables empresarial es más rentable
39%
41% 59%
Las soluciones Best-of-Breed El enfoque de arquitectura empresarial

son más fáciles de implementar es más fácil de implementar
24% 33%
Implementa los productos 4%
para momentos específicos 18%
según sea necesario Las soluciones Best-of-Breed El enfoque de arquitectura empresarial
son más rápidas de implementar es más rápido de implementar
Solo los implementa para cumplir 13% 10%
con los requisitos normativos o
de cumplimiento
Confianza frente a costes: ¿qué fomenta las compras en materia de seguridad?

Los profesionales de la seguridad buscan las mejores Esto no es un dilema de uno u otro. Las organizaciones
soluciones para proteger sus organizaciones, pero sus necesitan las mejores soluciones de seguridad integrada
percepciones difieren en cómo crear el entorno seguro y Best-of-Breed. Ambos enfoques ofrecen ventajas
ideal. ¿Adquieren las soluciones Best-of-Breed de una y simplificarán la seguridad a la vez que proporcionan
amplia variedad de proveedores porque confían en que herramientas de respuesta automatizada (figura 63).
estas soluciones resuelven diversos problemas? ¿O se
Al combinar soluciones Best-of-Breed con un enfoque
centran en una arquitectura integrada porque consideran
integrado, los equipos de seguridad pueden avanzar hacia
que este enfoque es más rentable? Aunque existen
una seguridad menos compleja pero más eficaz. El enfoque
muchos impulsores de inversiones en seguridad, una mayor
integrado ayuda a los profesionales de la seguridad a
simplicidad puede beneficiar a todas las organizaciones.
comprender qué sucede en cada fase de la defensa. Este
Como se muestra en la figura 63, los profesionales de la enfoque reduce el espacio operativo de los atacantes. Es
seguridad se dividen de forma uniforme entre confianza sencillo y permite a los equipos implementar soluciones a
y coste al elegir entre soluciones Best-of-Breed y con medida. Es abierto, permitiendo soluciones Best-of-Breed
arquitectura. El 65 por ciento afirmó que prefiere soluciones según sea necesario. Y está automatizado, para propiciar
Best-of-Breed porque confiaban más en ellas que en un una detección más rápida.
enfoque de arquitectura empresarial. Por otra parte,
el 59 por ciento indicó que prefiere un enfoque con
arquitectura porque considera que es más rentable.

Resumen: revelaciones del estudio comparativo

Hay una enorme diferencia entre acumular herramientas clientes, las organizaciones ya no pueden solo ignorar
de seguridad y tener realmente la capacidad de utilizar los agujeros en la protección de la seguridad, porque la
estas herramientas para reducir riesgos y cerrar el espacio pregunta no es si se producirá una brecha, sino cuándo.
operativo de los adversarios. Los encuestados del estudio
Una conclusión del estudio comparativo es que las
comparativo consideran que tienen las herramientas que
restricciones que limitan una seguridad ágil y efectiva
frustrarán los intentos de los atacantes. Pero reconocen que
siempre formarán parte de nuestra vida: nunca habrá
ciertas restricciones, como la falta de personal y una escasa
tanto presupuesto ni talento como los profesionales de
compatibilidad del producto, pueden hacer que herramientas
la seguridad consideran que se necesita. Si aceptamos
buenas sean mucho menos eficaces de lo que esperaban.
estas restricciones, la idea de simplificar la seguridad e
Las conclusiones aleccionadoras en relación al impacto implementar soluciones automatizadas cobra sentido.
de las brechas deben ser para los profesionales de la
Simplificar la seguridad también supone utilizar soluciones
seguridad prueba suficiente de la necesidad de mejorar
Best-of-Breed y una arquitectura integrada. Las
los procesos y los protocolos. Al enfrentarse con efectos
organizaciones necesitan las ventajas de ambos enfoques.
reales e inmediatos, como la pérdida de ingresos y

Sector
Sector
Seguridad en la cadena de valor: el éxito en el mundo digital depende de la mitigación del
riesgo de terceros
La seguridad de la cadena de valor es un elemento esencial ●● Desarrollar una arquitectura de seguridad flexible que pueda
para el éxito de una economía conectada. Garantizar que haya compartirse e implementarse con una variedad de terceros
una seguridad adecuada en todo lugar y en todo momento en en ese ecosistema
la cadena de valor (el ciclo de vida de extremo a extremo del ●● Evaluar si estos terceros funcionan con los niveles de tolerancia
hardware, software y servicios), es fundamental. establecidos por la arquitectura de seguridad de la organización
●● Estar alerta ante los nuevos riesgos para la seguridad que
Las ocho etapas de la cadena de valor se muestran en la pueda presentar el ecosistema a medida que aumenta la
figura 64. digitalización
La tecnología de la información y la tecnología de operaciones Las organizaciones deben pensar en la seguridad antes
convergen en este mundo digitalizado. No es suficiente de introducir un nuevo modelo de negocio o una oferta
que las organizaciones se centren solo en proteger sus que requiera una implicación por parte del ecosistema de
modelos de negocio, ofertas e infraestructuras internas. terceros, o que lo afecte. Cualquier posible ganancia de
Las organizaciones deben observar la cadena de valor de valor y productividad debe compararse con los riesgos
manera holística y analizar si cada tercero involucrado en potenciales, especialmente en lo referente a la protección
el modelo de negocio o que está en contacto con su oferta y privacidad de los datos.
pone en riesgo la seguridad.
La concienciación sobre la importancia de la cadena de valor
La respuesta breve es que es probable: investigaciones aumenta globalmente y en sectores específicos. La reciente
del Instituto SANS constataron que el 80 por ciento de las legislación de contratación de TI de EE. UU. exigía una
brechas de datos se debían a terceros.¹⁵ Para reducir el evaluación de 1 año por parte del Departamento de defensa
riesgo, las organizaciones deben fomentar una cadena de de EE. UU. en relación a los estándares tecnológicos en
valor donde la confianza no sea implícita y la seguridad es contrataciones para adquisiciones de tecnología de la
responsabilidad de todo el mundo. Como paso fundamental información y ciberseguridad.¹⁶ En el altamente convergente
para conseguir este objetivo, las organizaciones deben: sector energético, la Corporación de fiabilidad eléctrica
de Norte América (North American Electric Reliability
●● Identificar a los protagonistas del ecosistema de terceros y Corporation, NERC) está desarrollando activamente nuevos
comprender qué ofrecen requisitos que abarquen la cadena de valor.¹⁷
Figure 64 The Stages of the Value Chain

Figura 64 Las etapas de la cadena de valor
Diseño Planificación Fuente Realización Calidad Entrega Mantenimiento Fin de vida útil
Fuente: Cisco
Compartir
¹⁵ Combatting Cyber Risks in the Supply Chain (Combatir los ciberataques en la cadena de suministros), SANS Institute, 2015:
https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252.
¹⁶ Derecho público: 114-92 §
¹⁷ La comisión reguladora de energía federal estadounidense solicitó a NERC asignarse esta tarea, código 18 de regulaciones federales, parte 40 [expediente n.º RM15-14-002; pedido
n.º 829].
64 Sector
Las organizaciones, junto con los terceros, deben Los gobiernos de la era posterior a Snowden se han
responder a preguntas tales como, "¿Cómo se generan mostrado cada vez más insistentes en su deseo de
los datos y por quién?" y "¿Deben extraerse los datos regular las comunicaciones digitales y de acceder a los
digitalmente?" Para ver este tema con una mayor claridad datos cuando lo necesiten. Sin embargo, los usuarios se
se necesita encontrar las respuestas a preguntas como han mantenido igual de insistentes en su demanda de
"¿Quién posee los recursos digitales que recopilamos privacidad. Sucesos como la reciente disputa entre Apple
o creamos?" y "¿Con quién debemos compartir esa y el FBI sobre un iPhone que pertenecía a un terrorista no
información?" Otra pregunta fundamental que se debe han hecho nada más que aumentar las preocupaciones
responder es: "¿Quién tiene la responsabilidad y obligación de los usuarios sobre la privacidad. En todo caso, han
cuando se produce una brecha?" servido para poner frente a una generación de usuarios
digitales, especialmente en Estados Unidos, el cifrado de
Este enfoque centrado en la cadena de valor ayuda a extremo a extremo. Muchos usuarios demandan un cifrado
garantizar que las consideraciones de seguridad se de extremo a extremo a sus proveedores de tecnología, y
integren en cada fase del ciclo de vida de las soluciones. quieren conservar las claves de cifrado.
La arquitectura adecuada, combinada con el cumplimiento
de los estándares de seguridad apropiados, ayudará a Esto supone un cambio fundamental en el panorama de la
impulsar la seguridad generalizada y a crear confianza en ciberseguridad tal y como lo conocíamos. Las organizaciones
toda la cadena de valor. necesitarán diseñar sus entornos de modo que puedan
gestionar y responder a sus competitivas agendas.
Mientras se produce este cambio, cada vez más gobiernos

Actualización geopolítica: cifrado, confianza se están concediendo a sí mismos el derecho legal, a
y una llamada a la transparencia menudo en una amplia base, de sobrepasar o romper las
medidas de protección de cifrado o técnicas, a menudo
En informes de ciberseguridad anteriores, los expertos sin el conocimiento del fabricante, el proveedor de las
geopolíticos de Cisco examinaron la incertidumbre que comunicaciones o el usuario. Esto está generando tensión
envuelve el gobierno en Internet, los derechos del individuo no solo entre las autoridades y las firmas tecnológicas,
en comparación con los derechos del estado y las maneras sino también entre los gobiernos, que no se muestran
en las que los gobiernos y las empresas privadas se mueven especialmente entusiasmados por el acceso a los datos
en torno al dilema de la protección de datos. Un tema de sus ciudadanos por parte de autoridades de países
habitual en estos debates ha sido el cifrado. Creemos que el terceros. Muchos gobiernos recopilan información sobre las
cifrado seguirá impregnando, tal vez incluso dominando, el vulnerabilidades y los exploits de día cero que descubren
debate de la ciberseguridad en un futuro próximo. en el software del proveedor. Sin embargo, no siempre son
La proliferación de las leyes nacionales y regionales de transparentes con los proveedores sobre la información
privacidad de datos ha generado preocupación entre los que poseen o comparten a lo largo del tiempo.
proveedores y los usuarios que intentan moverse entre La acumulación de esta valiosa información evita que los
esas leyes. En este entorno incierto, problemas tales como proveedores mejoren la seguridad de sus productos y
la soberanía y la ubicación de los datos han salido a la proporcionen a los usuarios una mejor protección contra
palestra, ayudando a potenciar el crecimiento del Cloud amenazas. Aunque los gobiernos pueden tener una buena
Computing y del almacenamiento de datos ubicados, ya razón para conservar parte de esta inteligencia, también
que los negocios buscan una solución creativa para cumplir hay necesidad de una mayor transparencia y confianza en
las complejas y cambiantes normativas de privacidad.¹⁸ el panorama global de la ciberseguridad. Los gobiernos
Al mismo tiempo, el número cada vez mayor de brechas por tanto deberían realizar una evaluación franca de sus
de datos y amenazas persistentes avanzadas, así como políticas actuales con respecto a la acumulación de los
la publicidad de los pirateos patrocinada por los estados exploits de día cero. Deben comenzar desde la posición
nación (incluidos los realizados durante eventos de gran predeterminada de que compartir información con los
renombre, como las elecciones a la presidencia de EE. UU.), proveedores solo puede derivar en un entorno digital más
hacen que los usuarios cada vez tengan menos confianza en seguro para todo el mundo.
que sus datos confidenciales y privados se protejan.
¹⁸ Para obtener más información sobre este tema, consulte el artículo "Data Localization Takes Off as Regulation Uncertainty Continues" ("La localización de los datos despega mientras
continúa la incertidumbre de la regulación"), por Stephen Dockery, 6 de junio de 2016, The Wall Street Journal:
http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertainty-continues/.
65 Sector
Cifrado de alta velocidad: una solución escalable para la protección de los datos en tránsito
Tal como se explicaba en la sección geopolítica Otro enfoque observado de mayor tracción se basa
de la página 65, el cifrado de extremo a extremo en capacidades de cifrado integradas en una red
seguirá siendo un tema de debate y consternación o servicio en la nube para proteger los datos en
entre los gobiernos y el sector en el futuro cercano. tránsito. Esta es una evolución del modelo tradicional
Independientemente de cualquier tensión derivada de de gateway de VPN, una solución que aborda la
este problema, la demanda de cifrado de datos de naturaleza dinámica de las redes y las tasas de
extremo a extremo por parte del usuario con claves transmisión de alta velocidad del tráfico del Data
gestionadas por el cliente se encuentra al alza. Center. Las empresas emplean las eficiencias
operativas y de costes que ofrecen las nuevas
Los expertos geopolíticos de Cisco prevén que algunos
capacidades para proteger los datos provenientes de
flujos y conjuntos de datos probablemente seguirán
cualquier aplicación del entorno cuando se transfieren
estando encriptados con claves administradas por el
a gran velocidad a otra ubicación.
proveedor, al menos a corto plazo, particularmente
en los modelos de negocio impulsados por anuncios. Sin embargo, el cifrado basado en la red es
En otras circunstancias, sin embargo, esperaríamos únicamente una herramienta para proteger datos.
observar un mayor uso del cifrado de extremo a extremo Para garantizar la máxima implicación en la
con claves gestionadas por el usuario, por el contrario protección de los datos que están en tránsito o
encontramos la ausencia de un mandato legal. en reposo, las organizaciones deben concebir el
reto holísticamente. Un buen paso para comenzar
Mientras tanto, centrémonos en las organizaciones
consiste en plantear a los proveedores de tecnología
para buscar más control en el modo de protección
preguntas básicas pero fundamentales como:
de los datos que se encuentran en tránsito,
particularmente cuando se transfieren a gran ●● ¿Cómo se protegen los datos que se encuentran en
velocidad de un Data Center a otro. Hubo un tiempo tránsito?
en el que suponía una ardua tarea para las empresas, ●● ¿Cómo se protegen cuando están en reposo?
debido a las limitaciones de las tecnologías antiguas y ●● ¿Quién tiene acceso a los datos?
el impacto en el rendimiento de la red. Sin embargo,
●● ¿Dónde se almacenan los datos?
los nuevos enfoques están facilitando este proceso.
●● ¿Cuál es la política para eliminar datos, cuándo y si
Una solución consiste en implementar la seguridad en deben eliminarse?
la capa de aplicaciones, en la que estas mismas se
modifican para cifrar los datos. La implementación de Una vez más insistimos en que estas preguntas son
este tipo de seguridad puede requerir gran cantidad de solo el punto de inicio para establecer un diálogo más
recursos, presentar complejidad de implementación y amplio acerca de la protección de datos que debería
suponer altos costos operativos en función del número incluir posteriormente una discusión de temas como
de aplicaciones que una organización utilice. la resistencia y disponibilidad de los datos.
66 Sector
El rendimiento y la adopción de la red frente a la madurez de la seguridad: la velocidad en

línea, el tráfico y la preparación no aumentan al mismo ritmo
Los defensores desean mantenerse por delante de sus Cisco ha adaptado la previsión de VNI con los datos
adversarios. Estar por detrás de ellos supone estar en un sobre la madurez del defensor, extraídos del estudio
lugar potencialmente peligroso. La preocupación es que comparativo sobre capacidades de seguridad anual de
los defensores no pueden mejorar su condición en materia Cisco (consulte la página 49). Al examinar las tasas de
de seguridad al mismo ritmo que sus adversarios obtienen crecimiento de madurez en los informes comparativos de
espacio y tiempo para actuar. Dado el ritmo del crecimiento 2015, 2016 y 2017, como se muestra en la figura 65, la
del tráfico de Internet fijo y móvil en todo el mundo, los madurez de la seguridad es insignificante en comparación
defensores se ven obligados a alinear este crecimiento con con el crecimiento del tráfico de Internet. Algunos países,
las ganancias en términos de madurez de su infraestructura como China y Alemania, muestran un leve descenso de
de seguridad. madurez durante este periodo. Las velocidades de banda
ancha, en concreto, están mejorando y creciendo a una
Cisco VNI Forecast examina el tráfico IP global anualmente, velocidad significativamente mayor que otras variables de
incluido el tráfico móvil y Wi-Fi. Las previsiones proporcionan redes que se muestran en la figura 65. Las velocidades
proyecciones de 5 años para el tráfico IP, el número más rápidas y más dispositivos conectados impulsan un
de usuarios de Internet y el número de conexiones de mayor crecimiento del tráfico, pero las organizaciones se
dispositivos personales y de máquina a máquina (M2M) esfuerzan por potenciar sus medidas e infraestructuras de
que serán compatibles con las redes IP. (Vaya aquí seguridad a una velocidad similar.
para obtener más detalles sobre la previsión de VNI).
Por ejemplo, la previsión estima que para el año 2020, los
smartphones generarán el 30 por ciento del tráfico IP total.
Figure 65Madurez
Figura 65 Security
deMaturity and yGrowth
la seguridad Rates
tasas de crecimiento
300%
250%
Porcentaje de crecimiento
200%
150%
100%
50%
0%
Australia Brasil Canadá China Francia Alemania India Italia Japón México Rusia Reino Estados Información
Unido Unidos general
Madurez de la seguridad Tráfico total Dispositivos Usuarios de Internet fijos Tráfico de Internet móvil Velocidad móvil
Fuente: grupo de investigación de seguridad de Cisco, Cisco VNI y estudio comparativo sobre capacidades de seguridad de Cisco 2017
Compartir
67 Sector
Determinados sectores también se retrasan en cuanto IP total cuando se adopte el 5G de manera general. El
a la madurez de la seguridad en comparación con otros tráfico móvil global supuso el 5 por ciento del tráfico IP
sectores, como se muestra en la figura 66. En concreto, total en 2015, según la previsión de VNI; se prevé que sea
los sectores farmacéutico, de atención sanitaria y de el 16 por ciento del tráfico IP total en el año 2020.
transporte están por detrás de otros sectores.
Sin duda alguna las organizaciones de seguridad deben
Es importante tener en cuenta que el gran aumento en avanzar en sus esfuerzos de madurez rápidamente, si
las velocidades móviles es el resultado de una amplia desean adaptarse al crecimiento del tráfico de Internet,
adopción de redes 4G y LTE por parte de los proveedores que augura un crecimiento en la posible superficie de
de telecomunicaciones. Cuando las implementaciones ataque. Además, las organizaciones deben responder ante
a gran escala de redes 5G estén disponibles al final de el crecimiento del uso de terminales que no estén fijos
esta década, se espera que las velocidades móviles sean o conectados a las redes corporativas. También deben
comparables a las velocidades de redes fijas. Según adaptarse a un uso más extendido de los dispositivos
la previsión actual del VNI móvil, el tráfico móvil global personales desde los que los trabajadores acceden a los
probablemente obtendrá una mayor proporción del tráfico datos corporativos.
Figura 66 Madurez de la seguridad en los mercados verticales del sector

Figure 66 Security Maturity in Industry Verticals
Sector por segmento
5 4 7 14 5
36 29
30 31 39 30
39 27
48
31
18 27 29
29 23
Educación Servicios financieros Gobierno Sanidad Fabricantes no relacionados

(n=44) (n=501) (n=345) (n=211) con equipos informáticos
(n=355)
9 5 3 5 5
30 32 30
30 42 24 38 33
38
39
21 27
34 28 24
Sector farmacéutico Retail Telecomunicaciones Transporte Energía/Servicios públicos

(n=56) (n=286) (n=303) (n=174) (n=113)
Gráfico redondeado al número entero más cercano
Bajo Medio Medio-alto Alto
68 Sector
Figure 67Madurez
Figura 67 SecuritydeMaturity by Country
la seguridad por país
4 4 7 5 5
28 28
41 25 25 34
41 31 36 Reino 38
EE. UU. Brasil Alemania Italia Unido
29 30 31 29
28
5 13 3 7 4
31 31 17
35 21
31
Australia China 47 India Japón
32 47 México
35
31 26
34 21 26
4 6 7
32 33
39 30
35
Rusia Francia Canadá 36
27 26 23
2016 (n=2852) Gráfico redondeado al número entero más cercano
Bajo Medio Medio-alto Alto
La mayor velocidad no es el único factor que impulsa el Para obtener más información sobre Cisco VNI Forecast,
crecimiento del tráfico de Internet. El IoT está haciendo que visite el sitio Web de Cisco o lea la publicación del blog de
el número de dispositivos conectados a Internet crezca a Cisco sobre la previsión anual de VNI para el periodo de
un ritmo más rápido, no solo contribuye al crecimiento del 2015 a 2020.
tráfico, también crea rutas posibles para los atacantes.
69 Sector
Conclusión
Conclusión
Una superficie de ataque de rápida expansión requiere un enfoque interconectado e
integrado en torno a la seguridad
Al analizar los datos con el estudio comparativo sobre ●● Política: la política está estrechamente ligada a la
capacidades de seguridad de Cisco (consulte la página 49), mitigación. Controlar los derechos de acceso a las redes, los
podemos examinar los patrones y las decisiones que ayudan sistemas, las aplicaciones, las funciones y los datos afectará
a las organizaciones a minimizar el riesgo. De este modo en la capacidad para mitigar el daño causado por violaciones
de la seguridad. Además, las políticas para garantizar una
podemos ver en qué puntos deberían invertir en seguridad
revisión periódica de las prácticas de seguridad ayudarán a
para que puedan obtener una diferencia importante en prevenir ataques.
lo referente a la exposición al riesgo. Medimos el riesgo
observando la duración de las brechas además de los ●● Protocolos: los protocolos adecuados pueden ayudar a
prevenir y detectar brechas, pero también están muy ligados
porcentajes de interrupciones del sistema (consulte la figura
a la mitigación. En concreto, las revisiones periódicas de las
53 en la página 55 sobre la duración de las brechas y los actividades de conexión de las redes para garantizar que
sistemas afectados). las medidas de seguridad funcionan son clave tanto para la
prevención como la mitigación. También resulta beneficioso
Para entender cómo las organizaciones crean mecanismos revisar y mejorar las prácticas de seguridad de forma
de seguridad eficaces frente a los riesgos, tenemos que periódica, formal y estratégica con el paso del tiempo.
examinar cuáles son los impulsores que intervienen en
●● Herramientas: la aplicación correcta y acertada de
su capacidad para prevenir, detectar y mitigar el riesgo.
las herramientas es lo que está más relacionado con la
(Consulte la figura 68.) Los impulsores deben incluir los mitigación. Con la disposición de herramientas, los usuarios
siguientes elementos: pueden revisar y proporcionar comentarios vitales para la
detección, la prevención y también la mitigación.
●● Liderazgo ejecutivo: los líderes principales deben
priorizar la seguridad. Esto es fundamental para mitigar y
prevenir los ataques. El equipo ejecutivo también debería
disponer de unas métricas claras y establecidas para evaluar
la eficacia de un programa de seguridad.
Figura
Figure68
68Impulsores y mecanismos
Drivers and Safeguardsde
forseguridad para
Minimizing minimizar el riesgo
Risk
Factores clave Mecanismos de seguridad
Miden la influencia de la política, el liderazgo Miden la influencia de la capacidad
ejecutivo, los protocolos y las herramientas de la empresa para prevenir,
en la capacidad de la empresa para prevenir, detectar y mitigar los efectos de
detectar y mitigar los efectos de una brecha una brecha en riesgo
Ejecutivos
Impedir
Política
Detectar Riesgo minimizado
Protocolos
Mitigar
Herramientas
71 Conclusión
Los mecanismos de seguridad utilizados por las ●● Mitigación: contar con unos procesos y procedimientos
organizaciones (prevención, detección y mitigación) se bien documentados para la respuesta ante incidentes y
pueden considerar como medidas que influyen en la realizar un seguimiento de los mismos es clave para una
capacidad de una organización para minimizar el riesgo. mitigación eficaz de las brechas. Las organizaciones también
(Consulte la figura 68.) necesitan protocolos sólidos para gestionar su respuesta a
las crisis.
Estos mecanismos de seguridad deben incluir los Todos estos impulsores y mecanismos de seguridad están
siguientes elementos: interconectados y son independientes. Los profesionales
●● Prevención: para minimizar el impacto de las violaciones
de la seguridad no pueden simplemente manipular un par
de la seguridad, los empleados deben notificar si encuentran de impulsores y uno o dos mecanismos de seguridad y
fallos y problemas de seguridad. También es primordial que pensar que han solucionado un problema de seguridad.
los procesos y procedimientos de seguridad sean claros y se Necesitan cada impulsor y cada mecanismo de seguridad.
entiendan bien. Los equipos de seguridad deben analizar dónde se
●● Detección: los mejores métodos de detección para
encuentran sus debilidades (por ejemplo, escaso respaldo
minimizar el impacto de las brechas son aquellos que por parte de los líderes o falta de herramientas para mitigar
permiten a las organizaciones detectar debilidades en el las brechas) y calcular dónde debe invertirse en seguridad.
ámbito de la seguridad antes de que sean incidentes en
toda regla. Para ello, es fundamental disponer de un buen
sistema de categorización de la información relacionada con
el incidente.
72 Conclusión
El objetivo principal: reducción del espacio operativo de los adversarios

La reducción (e idealmente eliminación) del espacio Cuando se distribuyen amenazas armadas, los defensores
operativo sin límites de los adversarios y el conocimiento deben aplicar todas las herramientas disponibles en su
de la presencia de los atacantes deben ser las principales arsenal para evitar que se extiendan y empeoren. Aquí es
prioridades de los defensores. La realidad es que nadie donde la arquitectura de seguridad integrada se vuelve
puede detener todos los ataques ni proteger todo lo que fundamental. Proporcionará una perspectiva en tiempo
puede y debe protegerse. Pero si se centra en cerrar el real de las amenazas además de una detección y defensa
espacio operativo que necesitan los ciberdelincuentes automatizadas, las cuales son esenciales para mejorar la
para que sus campañas sean eficaces y rentables, podrá detección de amenazas.
evitar que accedan a sistemas y datos críticos sin evitar
En la fase de instalación, los equipos de seguridad deben
completamente la detección.
mantenerse informados acerca del estado del entorno a
En este informe se categorizan los diferentes enfoques medida que responden ante el compromiso y lo investigan.
que utilizan los adversarios para comprometer y atacar a Si el entorno es sencillo, abierto y automatizado y sus
usuarios y sistemas. Nuestras categorías (reconocimiento, defensores han tomado los pasos proactivos descritos
armamentización, distribución e instalación) están basadas anteriormente, pueden centrar sus recursos en ayudar al
en el lugar donde suelen implementarse los ataques en negocio a responder preguntas críticas como:
la cadena de ataque. Este ejercicio tiene como objetivo
●● ¿A qué han accedido los atacantes?
mostrar cuándo, cómo y dónde se aprovechan los
atacantes de las vulnerabilidades y otras debilidades para ●● ¿Por qué han podido hacerlo?
obtener una posición establecida en un dispositivo o en ●● ¿Dónde han ido?
un sistema, lanzar sus campañas y después recoger las ●● ¿Siguen operando en nuestra red?
recompensas que buscan.
Las respuestas a estas preguntas permitirán a los equipos
Recomendamos a los defensores que adapten sus de seguridad no solo tomar las acciones adecuadas
enfoques de seguridad para mantenerse por delante para prevenir más ataques, también podrán notificar a la
de los procesos básicos de los atacantes. Por ejemplo, administración y la junta acerca de posibles exposiciones
para debilitar a los adversarios durante la fase de y divulgaciones necesarias. Después, los negocios podrán
reconocimiento, los equipos de seguridad deberían: iniciar el proceso para asegurarse de que cuentan con
●● Recopilar información sobre las amenazas y vulnerabilidades
controles y mitigaciones exhaustivos para abarcar cualquier
más recientes brecha en la seguridad (las debilidades que proporcionaban
el espacio operativo que necesitaban los adversarios para
●● Asegurarse de que controlan el acceso a sus redes
tener éxito) identificada durante el compromiso.
●● Limitar la exposición de la organización en una superficie de
ataque en expansión
●● Gestionar las configuraciones
●● Desarrollar prácticas y procedimientos de respuesta

uniformes informados por este trabajo
73 Conclusión
Acerca de Cisco
Cisco proporciona ciberseguridad inteligente para Nuestra infraestructura y nuestros sistemas sofisticados
el mundo real, ya que ofrece una de las carteras de emplean estos datos de telemetría para ayudar a los
soluciones de protección contra amenazas más amplia investigadores y los sistemas de aprendizaje mediante
del sector para el conjunto más grande de vectores de máquinas a llevar a cabo un seguimiento de las amenazas
ataque. El planteamiento para afrontar la seguridad de en las redes, los Data Centers, los terminales, los
Cisco, práctico y centrado en las amenazas, reduce dispositivos móviles, los sistemas virtuales, la Web, los
la complejidad y fragmentación, al mismo tiempo correos electrónicos y la nube con el fin de identificar las
que proporciona una excelente visibilidad, controles causas principales y determinar el alcance de los brotes.
homogéneos y protección frente a amenazas avanzadas La información que se obtiene se convierte en protección
antes y después de un ataque, así como durante este. en tiempo real para nuestras ofertas de servicios y productos,
que se presta de inmediato a clientes de Cisco en todo el
Los investigadores de amenazas del ecosistema de
mundo.
inteligencia de seguridad colectiva de Cisco (CSI) aportan,
bajo un mismo marco, la inteligencia de amenazas líder del Si desea obtener más información acerca del enfoque
sector mediante el uso de datos de telemetría extraídos centrado en las amenazas para la seguridad de Cisco,
de la amplia gama de dispositivos y sensores, de fuentes visite www.cisco.com/go/security.
públicas y privadas, y de la comunidad de código abierto.
Gracias a esto, se registran diariamente datos de miles
de millones de solicitudes web y millones de correos
electrónicos, así como muestras de malware e intrusiones
en la red.
74 Acerca de Cisco
Colaboradores del Informe de ciberseguridad anual de Cisco 2017
CloudLock Global Government Affairs

CloudLock, una empresa de Cisco, es un proveedor líder Cisco se relaciona con los gobiernos en muchos y distintos
de soluciones de agentes de seguridad de acceso a la niveles para ayudar a dar forma a las políticas y leyes
nube (CASB) que ayudan a las organizaciones a utilizar relativas al sector tecnológico, así como para ayudar a
la nube de forma segura. CloudLock ofrece visibilidad los gobiernos a alcanzar sus objetivos. El equipo Global
y control para entornos de software como servicio Government Affairs desarrolla e influye en las políticas y
(SaaS), plataforma como servicio (PaaS) e infraestructura leyes favorables a la tecnología. Trabaja en colaboración
como servicio (IaaS) para todos los usuarios, datos y con partes interesadas del sector y partners y establece
aplicaciones. CloudLock ofrece inteligencia procesable relaciones con líderes gubernamentales para influir en
de ciberseguridad a través de análisis de seguridad con las políticas que afectan a los negocios de Cisco y a la
la comunidad como fuente y su CyberLab dirigido a adopción general de ICT, siempre con vistas a ayudar a
científicos de datos. Para obtener más información, visite dar forma a las decisiones políticas en los ámbitos global,
https://www.cloudlock.com. nacional y local. El equipo está compuesto por antiguos
cargos públicos, parlamentarios, reguladores, funcionarios
Security and Trust Organization estadounidenses de alto nivel y profesionales de asuntos
La Security and Trust Organization subraya el compromiso administrativos que ayudan a Cisco a promover y proteger
de Cisco con la resolución de dos de los problemas que el uso de la tecnología en todo el mundo.
más preocupan a juntas directivas y líderes mundiales por
igual. Entre los principales objetivos de la organización Cognitive Threat Analytics
están la protección de los clientes públicos y privados Cognitive Threat Analytics de Cisco es un servicio basado
de Cisco, la habilitación e implantación de los sistemas en la nube que detecta infracciones, malware que se
Secure Development Lifecycle y Trustworthy Systems ejecuta dentro de redes protegidas y otras amenazas de
de Cisco en todo su catálogo de productos y servicios, seguridad por medio de análisis estadísticos de los datos
y la protección de la empresa ante unas amenazas en del tráfico de red. Hace frente a los puntos débiles de las
constante evolución. Cisco adopta un enfoque integral de defensas perimetrales mediante la identificación de los
la seguridad generalizada y la confianza, lo que incluye síntomas de la infección de malware o de la infracción
personas, políticas, procesos y tecnología. La Security and de datos. Para ello, emplea análisis de comportamiento y
Trust Organization busca la excelencia operativa y para capacidades de detección de anomalías. Cognitive Threat
ello se centra en las áreas de seguridad de la información, Analytics se basa en un aprendizaje automatizado y en
ingeniería fiable, protección de datos y privacidad, modelos estadísticos avanzados para detectar nuevas
seguridad de la nube, transparencia y validación e amenazas de forma independiente, aprender de lo que ve y
investigación y administración de seguridad avanzada. Para adaptarse con el tiempo.
obtener más información, visite http://trust.cisco.com.
75 Acerca de Cisco
Equipo IntelliShield Security Research and Operations (SR&O)

El equipo de IntelliShield realiza investigaciones sobre La función de Security Research and Operations (SR&O)
vulnerabilidades y amenazas, además de análisis, es gestionar las amenazas y vulnerabilidades de todos los
integración y correlación de datos e información productos y servicios de Cisco y cuenta con el equipo de
procedentes de las operaciones e investigaciones de élite Product Security Incident Response Team (PSIRT).
seguridad de Cisco y las fuentes externas para generar SR&O ayuda a los clientes a entender el cambiante
el servicio IntelliShield Security Intelligence Service, panorama de amenazas en eventos como Cisco Live and
compatible con numerosos productos y servicios de Cisco. Black Hat y mediante la colaboración con otros grupos de
Cisco y del sector. Además, SR&O proporciona nuevos
Cisco Talos Security Intelligence and Research Group servicios, como Custom Threat Intelligence (CTI) de Cisco,
Talos es la organización de inteligencia de amenazas que es capaz de identificar indicadores de compromiso que
de Cisco, un grupo de élite de expertos en seguridad las infraestructuras de seguridad existentes no han podido
dedicados a proporcionar la mejor protección para los detectar o mitigar.
clientes, productos y servicios de Cisco. El grupo está
compuesto por importantes investigadores y cuenta Cisco Visual Networking Index (VNI)
con sofisticados sistemas para crear para los productos La previsión de tráfico de IP global de Cisco VNI para el
de Cisco una inteligencia capaz de detectar, analizar y periodo de 2015 a 2020 se basa en previsiones de análisis
proteger contra las amenazas conocidas y emergentes. independientes y datos de uso de redes reales. Sobre
Talos cumple el conjunto de normas oficiales de Snort. este fundamento se construyen las propias estimaciones
org, ClamAV, SenderBase.org y SpamCop. Además, es el de Cisco sobre el tráfico de IP global y la adopción de
principal equipo que aporta información sobre amenazas al servicios. En el documento completo se incluye una
ecosistema de Cisco CSI. descripción detallada de la metodología. A lo largo de
sus 11 años de historia, la investigación de Cisco VNI
se ha convertido en una medida altamente estimada
del crecimiento de Internet. Los gobiernos nacionales,
reguladores de redes, investigadores académicos,
empresas de telecomunicaciones, expertos en tecnología
y periodistas y analistas del sector y los negocios confían
en nuestro estudio anual para ayudarles a crear sus planes
para el futuro digital.
76 Acerca de Cisco
Apéndice
Apéndice
Estudio comparativo sobre capacidades de seguridad de Cisco 2017
Figure 69Estudio
Figura 69 Surveycomparativo
Capabilitiessobre
Benchmark Study
capacidades de la encuesta
Sectores Áreas de implicación en la seguridad
2% Creación de recomendaciones finales de la marca con respecto a soluciones

Educación
(superior) 2% 74%
1% 76%
81%
Servicios financieros: 18%
banca, seguros 14%
15% Configuración de la visión y la estrategia general
73%
12% 75%
Gobierno 12% 83%
9%
8% Investigación y evaluación de soluciones

Sanidad 4% 72%
6% 75%
78%
Fabricación: 12%
no relacionada 15%
14% Implementación y gestión de soluciones
con la informática 71%
2% 73%
Sector farmacéutico 3% 79%
3%
10% Definición de requisitos

Venta al por menor 3% 67%
3% 71%
76%
11%
Telecomunicaciones 8%
6% Aprobación de presupuestos
54%
6% 57%
Transporte 5% 66%
8%
Energía/Servicios 4%
públicos 3%
7%
16%
Sector no clave 27%
21% 2016 (n=2912) 2015 (n=2432) 2014 (n=1738)
Tamaño de la organización CSO en comparación con Sec Op

Grandes
Segmento de medianas empresas Gran empresa empresas CSO Sec Op
2016 50% 38% 12% 2016 49% 51%
2015 49% 38% 13% 2015 45% 55%
2014 54% 46% 2014 54% 46%
78 Apéndice
Figure 70Número
Figura 70 Numberdeof Dedicated Security
profesionales Professionals
de la seguridad dedicados
2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
1-9 18% 17% 15%
10-19 16% 18% 17%
20-29 12% 17% 13%
30-39 8% 9% 8%
40-49 4% 4% 6%
50-99 19% 16% 19%
100-199 9% 9% 9%
200 o más 15% 10% 12%
Número medio de profesionales dedicados a la seguridad 30 25 33
Percepciones
Figura 71
Figure 71 LaMajority
mayoríaof
deSecurity
los profesionales de la seguridad
Professionals creenInfrastructure
Feel Security que la infraestructura
Is Up tode seguridad está
Date
actualizada
¿Cómo describiría su infraestructura de seguridad?
Sustituida/actualizada a un ritmo regular Sustituida/actualizada solo cuando es necesario

Muy actualizada No equipada con las mejores y más recientes Ya no funciona, está obsoleta o las
La mejor tecnología disponible herramientas necesidades han cambiado
2016
58% 37% 5%
(n=2912)
2015
59% 37% 5%
(n=2432)
2014
64% 33% 3%
(n=1738)
79 Apéndice
Figura 72 Percentages of Security Professionals
de profesionales de la seguridad que consideran varias herramientas de seguridad como
Who Perceive Various Security Tools to Be Highly Effective
muy efectivas
Bloquean amenazas de seguridad conocidas 2% <1% 24% 51% 23% 74%
Detección de anomalías de red y defensa dinámica

2% <1% 27% 50% 21% 71%
frente a los cambios en las amenazas adaptativas
Permiso para aplicar políticas de seguridad 2% <1% 28% 49% 22% 71%
Permiso para evaluar riesgos de seguridad potenciales 2% <1% 28% 49% 20% 69%
Determinan el alcance de un ataque, lo contienen e impiden

2% <1% 29% 49% 20% 69%
que pueda seguir explotándose una determinada vulnerabilidad
2016 (n=2912)
Nada No muy Algo Muy Extremadamente % Muy eficaces +
Gráfico redondeado al
eficaces eficaces eficaces eficaces eficaces Extremadamente eficaces
número entero más cercano
Figure 73 Percentages of Security Professionals Who Believe

Figura 73 Is
Security Porcentajes de profesionales
a High Priority de la seguridad
at the Executive Level que creen que la seguridad es una prioridad importante
a nivel ejecutivo
Las funciones y responsabilidades de Las evaluaciones de ciberriesgos se
Los ejecutivos de mi organización consideran seguridad están clarificadas dentro del incorporan de forma rutinaria en nuestro
la seguridad una prioridad importante equipo ejecutivo de mi organización proceso de evaluación del riesgo
2016 1% 4% 37% 59% 96% 1% 4% 41% 55% 96% 1% 4% 43% 53% 96%
2015 1% 4% 35% 61% 96% 1% 4% 36% 58% 95% 1% 4% 40% 55% 95%
2014 2% 4% 32% 63% 94% 2% 5% 35% 58% 94% 2% 4% 36% 57% 93%
El equipo ejecutivo de mi organización ha

establecido métricas claras para evaluar la
eficacia de nuestro programa de seguridad
2016 1% 4% 44% 51% 95%
2015 1% 5% 41% 53% 94%
2014 2% 6% 40% 53% 93%
2016 (n=2912)
2015 (n=2432) Totalmente en desacuerdo En desacuerdo De acuerdo Totalmente de acuerdo % De acuerdo + Totalmente de acuerdo
2014 (n=1738)
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 51% 94%
80 Apéndice
Figure 74 Percentages of Respondents Who Strongly Agree

with Security
Figura Operationalization
74 Porcentaje Statements
de encuestados que están totalmente de acuerdo con las afirmaciones sobre la
operacionalización de la seguridad
Comprobamos periódicamente la
Revisamos y mejoramos nuestras prácticas actividad de conexión de la red para
de seguridad de manera periódica, formal Nuestras capacidades de detección y asegurarnos de que las medidas de
y estratégica a lo largo del tiempo bloqueo de amenazas están actualizadas seguridad funcionan según lo previsto
2016 0% 4% 42% 53% 96% 0% 4% 41% 55% 95% 0% 4% 43% 53% 95%
2015 1% 4% 40% 56% 96% 1% 3% 40% 56% 96% 1% 3% 39% 57% 96%
2014 1% 4% 38% 56% 95% 1% 5% 37% 57% 94% 2% 4% 36% 58% 94%
Podemos aumentar los controles de La seguridad está bien integrada en los Nuestras tecnologías de seguridad
seguridad de los recursos de gran valor, objetivos y las capacidades empresariales están bien integradas para que
si así lo requieren las circunstancias de la organización funcionen de un modo eficaz juntas
2016 0% 4% 45% 51% 95% 1% 4% 40% 55% 95% 0% 5% 42% 53% 95%
2015 1% 3% 41% 56% 96% 1% 4% 40% 56% 96% 1% 4% 43% 52% 95%
2014 1% 5% 40% 54% 94% 2% 5% 36% 58% 94% 2% 5% 38% 56% 93%
Disponemos de herramientas que nos permiten Resulta fácil determinar el alcance de un

Investigamos los incidentes de seguridad revisar nuestras prácticas de seguridad y ataque y contenerlo, así como remediar
de forma rutinaria y sistemática proporcionar valoraciones al respecto la explotación de vulnerabilidades
2016 0% 5% 41% 53% 95% 0% 5% 46% 49% 95% 1% 7% 49% 43% 92%
2015 1% 4% 40% 56% 96% 1% 4% 44% 52% 95% 1% 8% 46% 45% 91%
2014 2% 5% 38% 55% 93% 1% 5% 40% 53% 93% 2% 9% 43% 46% 89%
2016 (n=2912)
2014 (n=1738)
81 Apéndice
Limitaciones
Figure 75 Biggest Obstacles to Security

Figura 75 Principales obstáculos para la seguridad Figura 76
Figure 76Número
Number deof
proveedores y productos de
Security Vendors
seguridad utilizados por las organizaciones
and Products Used by Organizations
2015 (n=2432) 2016 (n=2912)
Restricciones presupuestarias 39% 35% 1-5 productos 35%
Problemas de compatibilidad 32% 28%

6-10 productos 29%
Requisitos de certificación 25% 25%

11-25 productos 21%
Falta de personal formado 22% 25%
26-50 productos 11%
Prioridades competitivas 24% 24%
Carga de trabajo actual 51-100 productos 4%

demasiado pesada 24% 23%
Falta de conocimientos 23% 22% Más de 100 productos 2%
Reticencia a comprar 2016 (n=2860)

22% 22%
hasta que no se prueba
Cultura/actitud de la organización 23% 22%

La organización no es un objetivo
N/D 18%
de gran valor para los ataques
La seguridad no es una prioridad
N/D 17%
a nivel ejecutivo
Figure 77Número
Figura 77 Number deof Security Vendors
proveedores de seguridad Figure 78Número
Figura 78 Number deof Securityde
productos Products
seguridad
utilizados según el tamaño de
Used by Size of Organization la organización Used by Size
utilizados ofelOrganization
según tamaño de la organización
Gran
Gran ¿Cuántos productos de Mediana Empresa empresa
¿Cuántos proveedores de Mediana Empresa empresa seguridad diferentes empresa (1000- (más de
seguridad diferentes (es decir, empresa (1000- (más de coexisten en su entorno (250-1000 10 000
marcas, fabricantes) coexisten (250-1000 10 000 10 000
10 000 de seguridad? empleados) empleados)
en su entorno de seguridad? empleados) empleados) empleados) empleados)
1-5 46,9% 43,4% 39,9% 1-5 37,9% 32,7% 25,1%
6-10 28,4% 30,9% 21,3% 6-10 29,0% 30,1% 22,5%
11-20 17,6% 15,8% 23,1% 11-25 19,8% 20,4% 23,7%
21-50 5,6% 7,1% 8,7% 26-50 9,6% 10,5% 15,6%
Más de 50 1,4% 2,8% 6,9% 51-100 3,0% 4,3% 7,8%
Organizaciones totales 1435 1082 333 Más de 100 0,8% 1,9% 5,4%
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 Organizaciones totales 1442 1084 334
82 Apéndice
Figure 79Disminución
Figura 79 Year-over-Year Decrease
año tras of Securityde
año del presupuesto Budget Coming
seguridad Within
dentro IT Budget de TI
del presupuesto
¿El presupuesto de seguridad forma parte del presupuesto de TI?
(Miembros del departamento de TI) 2014 (n=1673) 2015 (n=2374) 2016 (n=2828)
Forma parte del de TI 61% 58% 55%
Parcialmente dentro del de TI 33% 33% 36%
Completamente independientes 6% 9% 9%
Figure 80Disminución
Figura 80 Year-over-Year Decrease
año tras of Security
año del gasto Spend
en seguridad as aproporción
como Proportion ofpresupuesto
del the IT Budget
de TI
Gasto del presupuesto de TI en seguridad como una función 2014 (n=1673) 2015 (n=2374) 2016 (n=2828)
0% 7% 9% 10%
1-5% 4% 3% 4%
6-10% 12% 11% 16%
11-15% 23% 23% 27%
16-25% 29% 31% 26%
26%-50% 21% 19% 15%
51% o más 5% 4% 2%
83 Apéndice
Impactos
Figura 81 Percentages ofpérdida
de la Organization's
de oportunidades Figure 82
Figura 82 Porcentajes
Percentagesdeof
laOrganization's
pérdida de ingresos
Opportunities Lost
de la organización as aresultado
como Result ofde
Attacks
los ataques Revenue
de Lost as acomo
la organización Result of Attacks
resultado de los ataques
Ninguna (0 %) 1% Ninguna (0%) 1%
Alguna, pero menos del 20% 58% Alguna, pero menos del 20% 62%
Del 20% al 40 % 25% Del 20% al 40% 20%
Del 40% al 60% 9% Del 40% al 60% 10%
Del 60% al 80% 5% Del 60% al 80% 4%
Del 80% al 100% 3% Del 80% al 100% 3%
Todas (100%) 0% Todas (100%) 1%
Encuestados de las organizaciones que Encuestados de las organizaciones que

perdieron oportunidades el pasado año perdieron ingresos el pasado año (n=778)
(n=625)
Figura 83 Percentages ofpérdida
de clientes de la
Customers Lost as a Result
organización como resultado deoflos
Attacks
ataques
Ninguna (0%) 1%
Alguna, pero menos del 20% 60%
Del 20% al 40% 21%
Del 40% al 60% 8%
Del 60% al 80% 6%
Del 80% al 100% 4%
Todas (100%) 1%
Encuestados de las organizaciones que

perdieron clientes el pasado año (n=641)
84 Apéndice
Resultados
Figura 84 Percentages of Organizations
de organizaciones queRelying on de
dependen Outsourcing
la subcontratación
¿Qué servicios
de seguridad se 2014 2015 2016 ¿Porqué se subcontratan 2015 2016
subcontratan? (n=1738) (n=2432) (n=2912) estos servicios? (n=2129) (n=2631)
Asesoramiento
51% 52% 51% Rentabilidad 53% 52%
y consultoría
Deseo de una perspectiva
Auditoría 41% 47% 46% totalmente objetiva 49% 48%
Respuesta ante Respuesta más precisa

incidentes 35% 42% 45% 46% 46%
a incidentes
Supervisión 42% 44% 45% Falta de experiencia interna 31% 33%
Inteligencia de
N/D 39% 41% Falta de recursos internos 31% 33%
amenazas
Remediación 34% 36% 35%
Ninguno/Todos
21% 12% 10%
internos
Figura 85 Percentages ofseguridad
de la
Security Reliant Upon Third-Party Vendors
organización supeditada a proveedores externos
Ninguna (0%) 4%
Alguna, pero menos del 20% 18%
Del 20% al 40% 41%
Del 40% al 60% 21%
Del 60% al 80% 10%
Del 80% al 100% 4%
Todas (100%) 1%
Personal de seguridad de TI
(n=2595)
85 Apéndice
Figure 86 Percentages of Security Services Outsourced by Size of Organization

Figura 86 Porcentaje de servicios de seguridad subcontratados según el tamaño de la organización
¿Qué servicios de seguridad se subcontratan? Mediana empresa (n=1459) Gran empresa (n=1102) Grandes empresas (n=351)
Asesoramiento y consultoría 50% 52% 51%
Auditoría 44% 47% 50%
Supervisión 46% 43% 44%
Inteligencia de amenazas 41% 41% 40%
Respuesta ante incidentes 48% 44% 39%
Remediación 35% 34% 37%
Ninguno/Todos internos 8% 11% 11%
Figure 87Orígenes
Figura 87 Sourcesdeofmayor
Increased Scrutiny
escrutinio
Ejecutivos 2% 4% 20% 44% 30% 74%
Clientes 2% 4% 21% 41% 32% 73%
Empleados 2% 5% 22% 44% 28% 72%
Partners empresariales 2% 5% 22% 43% 29% 72%
Grupos de interés y vigilancia 2% 5% 23% 44% 26% 70%
Reguladores 2% 4% 24% 43% 27% 70%
Inversores 3% 5% 23% 41% 28% 69%
Compañías aseguradoras 3% 5% 25% 41% 26% 67%
Pulse 4% 8% 28% 39% 21% 60%
2016 (n=2912)
Gráfico redondeado Nada No muy Algo Muy Extremadamente % Muy escudriñado +
al número entero escudriñado escudriñado escudriñado escudriñado escudriñado Extremadamente escudriñado
más cercano
86 Apéndice
Figure 88Aumento
Figura 88 IncreasedeoflaOff-Premises PrivateyCloud
nube privada externa and Third-Party
el alojamiento Managedpor
local administrado On-Premises
terceros Hosting
Dónde se alojan las redes 2014 (n=1727) 2015 (n=2417) 2016 (n=2887)
Local como parte de una nube privada 50% 51% 50%
Local 54% 48% 46%
Local, pero gestionado por terceros externos 23% 24% 27%
Nube privada externa 18% 20% 25%
Nube pública externa 8% 10% 9%
Operaciones, políticas, procedimientos y capacidades
Figure 89 Proportion of Companies with a Security Executive

Figura 89 Proporción de empresas con un ejecutivo de seguridad
¿Hay un ejecutivo en su organización responsable Cargo del ejecutivo

directo de la seguridad? Encuestados que indicaron que sí hay ejecutivos responsables
Encuestados que indicaron funciones y responsabilidades clarificadas de la seguridad
No Sí
Director de seguridad 53%
2016 52%
8% 92%
(n=2754) (CSO) 53%
Director de información 14%

15%
(CIO) 16%
2015
8% 92%
(n=2288) 10%
Director ejecutivo (CEO)
11%
o equivalente 10%
2014 Vicepresidente sénior (SVP) 8%

9% 91% 11%
(n=1603) o vicepresidente (VP) de TI 7%
Director de tecnología 8%
8%
(CTO) 9%
Director de riesgo y 4%
cumplimiento (CRO) o (CCO) N/D
N/D
Director de operaciones 3%
2%
(COO) 4%
1%
Otro cargo 1%
1%
2016 (n=2530) 2015 (n=2095) 2014 (n=1465)
87 Apéndice
Figure 90 Percentage of Companies That Have a Formal Organization-Wide Security Strategy and
Figura
Follow 90 PorcentajesSecurity
Standardized de empresas
Policyque cuentan con una estrategia de seguridad formal para el conjunto
Practices
de la organización y que siguen procedimientos y políticas estandarizadas de seguridad
Estándares de seguridad Práctica de la política de seguridad estandarizada
Disponen de una estrategia de seguridad formal 62% En preparación

que figura por escrito para el conjunto de la 66% para el proceso
organización y que se revisa periódicamente 59% de certificación
Siguen un procedimiento y una política de 55%

52%
seguridad de la información estandarizada
como ISO 27001 52% 7%
Definen formalmente los recursos empresariales 43% Actualmente

críticos que requieren una atención especial para 38% en proceso de Sigue un
54%
la gestión de riesgos que son críticos para la certificación 28% procedimiento y una
política de seguridad
empresa o que están regulados para obtener
una mayor protección de la información
estandarizada
Siguen políticas de seguridad estandarizadas 2% 2016 (n=1596)

65% Ya certificada
centradas en la sanidad como NIST 800‒66, N/D
ISO27799 o ISO80001 N/D
Ninguno de los anteriores 1%

1%
1%
2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Figura 91 Porcentaje
with Security Processde Statements
encuestados que están totalmente de acuerdo con las afirmaciones sobre el proceso
de seguridad
Se anima a los empleados de mi Los procedimientos y procesos de Se anima a los responsables de las
organización a notificar fallos y seguridad de mi organización son claros líneas de negocio a contribuir en los
problemas de seguridad y se entienden bien procedimientos y políticas de seguridad
2016 1% 4% 38% 58% 96% <1% 4% 40% 55% 96% 1% 4% 43% 52% 95%
2015 1% 4% 33% 62% 95% 1% 4% 39% 57% 95% 1% 5% 40% 55% 94%
2014 3% 5% 32% 61% 92% 3% 6% 36% 56% 91% 3% 5% 39% 53% 92%
Los procesos de seguridad de mi organización Los procesos de seguridad de mi Mi organización ha optimizado sus
nos permiten, de forma proactiva, anticiparnos a organización se miden y controlan procesos de seguridad y ahora se
los posibles problemas de seguridad y mitigarlos mediante datos cuantitativos centra en su mejora
2016 1% 4% 43% 53% 96% 1% 4% 45% 50% 95% 1% 4% 43% 52% 95%
2015 1% 4% 43% 53% 95% 1% 4% 42% 53% 95% 1% 4% 42% 53% 95%
2014 3% 7% 38% 53% 91% 3% 6% 37% 54% 91% 3% 5% 39% 53% 92%
Mi organización es capaz de detectar Los responsables de las líneas de negocio

implican al grupo de políticas de seguridad
debilidades en el ámbito de la seguridad
antes de tomar una decisión sobre su
antes de que sean incidentes en toda regla aplicación en la línea de negocio
2016 1% 4% 46% 49% 96% 1% 5% 45% 49% 94% 51% 94%
2015 1% 4% 45% 51% 95% N/D
2014 3% 6% 41% 49% 91% N/D
2016 (n=2912)
2014 (n=1738)
88 Apéndice

with Security Processde Statements
encuestados que están totalmente de acuerdo con las afirmaciones sobre el proceso
de seguridad
Los derechos de acceso a redes, sistemas,
aplicaciones, funciones y datos se controlan Los controles de seguridad técnica en Las instalaciones informáticas de mi
de un modo adecuado sistemas y redes se gestionan bien organización están bien protegidas
2016 <1% 3% 41% 55% 97% <1% 4% 40% 56% 96% <1% 4% 41% 55% 96%
2015 1% 3% 38% 59% 97% 0% 4% 38% 57% 96% 1% 4% 40% 56% 96%
2014 2% 4% 33% 61% 94% 2% 3% 35% 60% 95% 2% 4% 36% 57% 94%
Revisamos periódicamente las herramientas Incorporamos bien la seguridad en

y prácticas de seguridad para garantizar que Incorporamos bien la seguridad en nuestros procedimientos de adquisición,
estén al día y resulten eficaces sistemas y aplicaciones desarrollo y mantenimiento de sistemas
2016 <1% 4% 40% 56% 96% <1% 4% 43% 53% 96% <1% 4% 43% 52% 96%
2015 1% 3% 37% 60% 97% 1% 4% 42% 54% 96% 1% 3% 41% 56% 96%
2014 2% 5% 35% 59% 93% 2% 5% 35% 58% 93% 2% 4% 38% 56% 94%
Incorporamos bien la seguridad en

Se hace un inventario de los recursos de Nuestra gestión de la seguridad de los aplicaciones móviles externas dirigidas
información y se clasifican con claridad RR. HH. es excelente al cliente
2016 <1% 4% 44% 51% 95% 1% 5% 45% 49% 94% 1% 6% 43% 51% 94%
2015 1% 5% 42% 53% 95% 1% 5% 44% 51% 94% N/D
2014 2% 6% 39% 54% 93% 2% 5% 40% 53% 93% N/D
2016 (n=2912)
2014 (n=1738)
89 Apéndice

with Security de Statements
Controls encuestados que están totalmente de acuerdo con las afirmaciones sobre los
controles de seguridad
Disponemos de procesos y procedimientos bien Contamos con buenos sistemas para Notificamos y colaboramos eficazmente
documentados para responder ante incidentes verificar qué incidentes de seguridad con las partes interesadas en materia
y realizar un seguimiento de los mismos se han producido realmente de incidentes de seguridad
2016 <1% 4% 42% 53% 95% <1% 4% 42% 53% 95% 1% 5% 43% 52% 95%
2015 1% 4% 42% 54% 96% 1% 5% 41% 54% 95% 1% 4% 42% 53% 95%
2014 2% 5% 37% 56% 94% 1% 6% 38% 54% 93% 2% 5% 43% 51% 94%
Disponemos de un buen sistema para Disponemos de procesos eficaces para Nos regimos por estándares de respuesta
clasificar la información relacionada con interpretar y priorizar los informes de ante incidentes como RFC2350,
los incidentes incidentes recibidos, así como comprenderlos ISO/IEC 27035:2011 o U.S. Cert
2016 <1% 4% 44% 51% 96% <1% 4% 45% 50% 96% 1% 6% 44% 50% 93%
2015 1% 4% 43% 53% 96% 1% 5% 43% 52% 95% 1% 6% 44% 49% 93%
2014 2% 5% 40% 54% 93% 2% 5% 42% 51% 93% 2% 8% 41% 49% 90%
Disponemos de un buen protocolo de

respuesta para la gestión de situaciones
de crisis
2016 <1% 5% 44% 51% 95% 51% 94%
2015 N/D
2014 N/D
2016 (n=2912)
2014 (n=1738)
Figura
Figure94
94Administración
Managementyandeficacia de las
Efficacy oftecnologías de seguridad
Security Technologies
¿Cuáles son las tecnologías de seguridad que ¿Cuáles son las tecnologías de
requieren más tiempo y suponen mayor dificultad seguridad más eficaces utilizadas
para la administración por parte del personal? por la organización?
(Menciones superiores al 10 %) 2016 (n=2895) 2016 (n=2895)
Firewall 20% 28%
Defensa ante DDoS 16% 14%
Prevención de la pérdida de datos 16% 14%
Cifrado/Privacidad/Protección de datos 15% 17%
Protección de terminales/Antivirus, antimalware 12% 15%
Seguridad de la movilidad 12% 10%
Seguridad del DNS 12% 13%
Seguridad de correo electrónico y mensajería 11% 12%
Control de acceso/Autorización 11% 14%
Prevención de intrusiones 11% 10%
90 Apéndice
Figure 95Uso
Figura 95 Year-over-Year Use
año tras año de of Security
la defensa Threat
frente Defense
a amenazas de seguridad
Defensas frente Defensas Defensas frente Defensas
a amenazas de proporcionadas a amenazas de proporcionadas
seguridad que por servicios seguridad que por servicios
emplea cada basados en emplea cada basados en
organización la nube* organización la nube*
58% 34% 35% 20%

Firewall** 65% 31% Seguridad de la movilidad 44% 24%
N/D N/D 51% 28%
45% N/D 32% 18%

Prevención de 56% N/D VPN 40% 21%
la pérdida de datos 55% N/D 48% 26%
Cifrado/Privacidad/ 44% N/D 32% N/D

53% N/D Diagnósticos de red 31% N/D
Protección de datos 53% N/D 42% N/D
42% 22% Información de seguridad 32% N/D

Seguridad del DNS N/D N/D y gestión de eventos (SIEM) 38% N/D
N/D N/D 43% N/D
Seguridad de correo 42% 27% 32% 15%

52% 34% Análisis de vulnerabilidades 41% 21%
electrónico y mensajería 56% 37% 48% 25%
41% 25% Parches y 30% N/D

Seguridad web 51% 31% configuración 32% N/D
59% 37% 39% N/D
Protección de 41% 24% Autenticación 29% N/D

49% 25% N/D N/D
terminales/Antimalware 49% 25% de varios factos N/D N/D
Control de acceso/ 40% N/D 27% 12%

48% N/D Pruebas de penetración 34% 17%
Autorización 53% N/D 38% 20%
38% N/D 26% N/D

Defensa ante DDoS 37% N/D Diagnósticos de terminales 26% N/D
36% N/D 31% N/D
37% 19% N/D N/D

Red inalámbrica segura 41% 19% Autenticación 53% N/D
50% 26% 52% N/D
Administración Seguridad de la red,

de identidades/ 35% N/D N/D N/D
45% N/D firewalls y prevención N/D N/D
Aprovisionamiento 45% N/D 60% 35%
de intrusiones**
de usuario
Prevención 35% 17% 1% 8%

de intrusiones** 44% 20% Ninguno de los anteriores 1% 11%
N/D N/D 1% 13%
2016 (n=2912) 2016 (n=2725) * Profesionales de la seguridad encuestados que emplean

2015 (n=2432) 2015 (n=2268) defensas frente a amenazas de seguridad
2014 (n=1738) 2014 (n=1646) ** El firewall y la prevención de intrusiones eran un código en 2014:
"Seguridad de la red, firewalls y prevención de intrusiones"
2016 2015 2014
91 Apéndice
Figure 96Importancia
Figura 96 Extent ThatdeCustomer Protection
la protección Factors
del cliente into Security
en la toma Decision-Making
de decisiones sobre seguridad
¿Hasta qué punto se tiene en cuenta el factor de protección

del cliente en la toma de decisiones sobre seguridad? 0% 1% 10% 45% 44% 89%
2016 (n=2878)
Gráfico redondeado En absoluto No mucho Algo Mucho Extremadamente % Mucho +
al número entero Extremadamente
más cercano
Riesgos y vulnerabilidades
Figure 97Mayores
Figura 97 IT Security Personnel's
fuentes Biggestdel
de preocupación Sources ofde
personal Concern Related
seguridad to relación
de TI en Cyber Attacks
con los ciberataques
Ataques selectivos 4% 18% 42% 36% 78%
Amenazas avanzadas persistentes 4% <1% 43% 33% 76%
Proliferación de BYOD y dispositivos inteligentes 6% 20% 45% 28% 74%

Viabilidad de la recuperación ante desastres y la
continuidad empresarial 5% 23% 47% 26% 72%
Exfiltración de información privilegiada 6% 22% 42% 30% 72%
Subcontratación de procesos empresariales fundamentales

6% 23% 46% 26% 72%
a un tercero (y falta de control sobre los servicios del tercero)
Ransomware 6% 23% 46% 25% 71%
Cloud Computing 7% 24% 43% 26% 69%
Restricciones en el cumplimiento de las normas 6% 25% 44% 25% 69%
2016 (n=2912)
Gráfico redondeado
Sin riesgo Riesgo leve Riesgo moderado Riesgo alto % Riesgo moderado + Riesgo alto
al número entero
más cercano
92 Apéndice
Figure 98 Security Professionals' Biggest Sources of Concern Related to Cyber Attacks

Figura 98 Mayores fuentes de preocupación de los profesionales de la seguridad en relación con los ciberataques
Dispositivos móviles 3% 10% 30% 38% 20% 58%
Datos en la nube pública 2% 10% 30% 36% 21% 57%
Infraestructura de nube 2% 11% 30% 38% 19% 57%
Comportamiento de los usuarios (p. ej., hacer clic en

2% 10% 31% 37% 20% 57%
enlaces maliciosos de correos electrónicos o sitios web)
Datos del cliente 2% 11% 32% 37% 18% 54%
Servidores / Data Centers 3% 11% 32% 37% 18% 54%
Datos de la organización 2% 12% 32% 37% 17% 54%
Infraestructura de red 2% 11% 33% 37% 17% 54%
Aplicaciones 2% 11% 34% 36% 16% 52%
Sistemas operativos de los clientes (p. ej.,

3% 14% 32% 36% 16% 52%
Windows 7, Windows 10, MacOS, etc.)
2016 (n=2912)
Gráfico redondeado Nada No muy Algo Muy Extremadamente % Muy + Extremadamente
al número entero desafiante desafiante desafiante desafiante desafiante desafiante
más cercano
Figura 99 Distribución de los esfuerzos de los equipos de seguridad

Figure 99 Distribution of Security Teams' Efforts
Personal de seguridad de TI (n=2854) Terminales Datos del cliente Servidores
¿Dónde emplean los equipos de seguridad la mayoría de su esfuerzo? 23% 29% 47%
93 Apéndice
Respuesta ante incidentes
Figure100
Figura 100Porcentajes
Percentages of Security
de alertas Alerts That
de seguridad que Are Investigated
se investigan or Remediated
o remedian
que no ha experimentado
7% una alerta de seguridad
que ha experimentado Alertas promedio observadas

93% una alerta de seguridad por la organización a diario
de alertas observadas
56% investigadas
Menos de 5K 50%
28% de las alertas investigadas

legítimas
5K–10K 15%
46% de alertas legítimas

solucionadas
10K–50K 11%
50K–100K 8%
2016 (n=2796) 100K–150K 6%

Más de 150K 4%
Figure 101 Average Time to Detect

Figura 101 Tiempo medio para detectar violaciones de la seguridad
Security Breaches
2016 (n=2860)
8 horas o menos 43%
9-24 horas 25%
25-48 horas 15%
Más de 2 días, pero menos de 1 semana 7%
1-2 semanas 5%
De 3 semanas a un mes 3%
De 1 mes a 3 meses 1%
Más de 3 meses, pero menos de 1 año 1%
1 año o más 0%
94 Apéndice
Figure 102Grupos
Figura 102 Groups Notified
a los que seinnotifica
the Event of an
cuando seIncident
produce un incidente
Oficina del 46% 30% 22%

director ejecutivo 45% Servicios jurídicos 32% Marketing 26%
o presidente N/D 36% 31%
40% 29% 21%

Operaciones 40% Ingeniería 33% Partners empresariales 21%
46% 38% 32%
Departamento 37% 25% 15%

financiero 40% Todos los empleados 27% Compañías aseguradoras 15%
N/D 35% N/D
Partners de 36% 25% 15%

tecnología 34% Fabricación 28% Autoridades externas 18%
45% 33% 22%
31% 23%
Recursos Humanos 33% Relaciones públicas 24%
36% 28%
2016 (n=2912) 2015 (n=2432) 2014 (n=1738)
Figure103
Figura 103KPI
KPI's Used por
utilizados by Organizations to para
las organizaciones
evaluar
AssesselSecurity
rendimiento de la seguridad
Performance
2016 (n=2912)
Tiempo para detectar (p. ej., tiempo desde el que
59%
la amenaza entra en el entorno hasta su detección)
Tiempo para la aplicación de parches (p. ej., tiempo
52%
desde la publicación del parche hasta su implementación)
Tiempo para contener (p. ej., tiempo desde la
44%
detección hasta la contención/cuarentena)
Tiempo para remediar (p. ej., tiempo desde la
30%
cuarentena hasta volver a ser operativos)
95 Apéndice
Figure 104 Year-over-Year Use of Process to Analyze Compromised Systems

Figura 104 Uso año tras año del proceso para analizar los sistemas comprometidos
Procesos para analizar sistemas comprometidos 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
Log de firewall 61% 57% 56%
Análisis de log del sistema 59% 53% 50%
Análisis del flujo de la red 53% 49% 49%
Análisis de regresión de archivos o malware 55% 48% 47%
Análisis del registro 50% 47% 43%
Análisis completo de captura de paquetes 47% 38% 40%
Detección del indicador 38% 35% 38%
Diagnóstico del disco 40% 36% 36%
Análisis de registros/eventos relacionados 42% 37% 35%
Diagnóstico de la memoria 41% 34% 34%
Equipos de análisis/respuestas a incidentes externos 37% 33% 34%
Ninguno de los anteriores 2% 1% 1%
Figure 105Uso
Figura 105 Year-over-Year
año tras año delUse of Process
proceso to Eliminate
para eliminar la causathe
de Cause of Security
los incidentes Incidents
de seguridad
Procesos para eliminar la causa de los incidentes de seguridad 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
Poner en cuarentena o eliminar las aplicaciones maliciosas 58% 55% 52%
Análisis de las causas principales 55% 55% 51%
Detener la comunicación del software malicioso 53% 53% 48%
Supervisión adicional 52% 48% 48%
Actualizaciones de políticas 51% 47% 45%
Detener la comunicación de la aplicación comprometida 48% 47% 43%
Creación de parches a largo plazo 47% 40% 41%
Cambiar la imagen de un sistema a un estado anterior 45% 41% 39%
96 Apéndice
Figure 106Uso año tras año del proceso para restaurar los sistemas afectados
Figura 106
Procesos para restaurar sistemas afectados 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
Implementación de controles y detecciones nuevos o adicionales,

60% 56% 56%
según los puntos débiles identificados tras el incidente
Restauración a partir de una copia de seguridad previa al incidente 57% 59% 55%
Aplicación de parches y actualizaciones a aplicaciones que se

60% 55% 53%
consideren vulnerables
Restauración diferencial (eliminación de los cambios provocados
56% 51% 50%
por un incidente)
Restauración de imagen gold 35% 35% 34%
Figure 107 Attack Simulations: Frequency and Extent of Driving Security Defense Improvements
Figura 107 Simulaciones de ataque: frecuencia y extensión de las mejoras de defensa de seguridad
¿Con qué frecuencia ejecuta su organización simulaciones de ataque? ¿Hasta qué punto los resultados de las simulaciones de ataque
impulsan mejoras en sus políticas de defensa de seguridad,
2016 (n=2868) procedimientos o tecnologías de seguridad?
2016 (n=2736)
Nunca 4%
44% 47%
Semanalmente 28%
Mensual 33%
Trimestralmente 21%
Semestralmente 8%
Anualmente 4% 8%
0% 1%
Con regularidad, 3%
pero menos de
una vez al año 1 2 3 4 5
Nada eficaces En gran medida
Figure 108Importancia
Figura 108 Importancedeof Attributing
atribuir Origin
el origen of aviolación
de una SecuritydeBreach
la seguridad
¿Qué importancia tiene la atribución a su empresa

cuando se responde a una violación de la seguridad? 0% 1% 7% 41% 52% 92%
Personal de seguridad de TI (n=2901)

Sin No muy Medianamente Muy Extremadamente % Muy + Extremadamente
Gráfico redondeado al número
importancia importante importante importante importante importante
entero más cercano
97 Apéndice
Brechas y sus impactos
Figure 109 Percentage of Organizations

Experience
Figura a Public Breach
109 Porcentaje de organizaciones que Figure110
Figura 110¿EnHow
qué Much
medidaDid the Breach
impulsó Drive
una brecha de
experimentan una brecha pública Improvements
seguridad mejorasin en
Your Securitylos
las políticas, Threat Defense
procedimientos
o las tecnologías
Policies, de defensa
Procedures, ante amenazas?
or Technologies?
52%
38%
53% 48% 49% 9%

0% 1%
2014 2015 2016
(n=1701) (n=2347) (n=2824) 1 2 3 4 5
Nada eficaces En gran medida
Encuestados afectados por una brecha de seguridad (n=1388)

Figure 111 Length and Extent of Outages Caused by Security Breaches

Figura 111 Duración y alcance de las interrupciones causadas por violaciones de la seguridad
Longitud de las interrupciones del sistema debido a brechas Porcentaje de sistemas afectados debido a brechas
2016 (n=2665) 2016 (n=2463)
0 horas, sin interrupciones 7% 0% 1%
Menos de 1 hora 13% 1‒10% 19%
1‒4 horas 25% 11‒20% 22%
5‒8 horas 20% 21‒30% 20%
9‒16 horas 15% 31‒40% 15%
17‒24 horas 11% 41‒50% 10%
Más de 24 horas 9% 51‒60% 6%
61% o más 9%
98 Apéndice
Figure 112 Mejoras

Figura 112 Improvements Made
realizadas para to ProtectsuYour
proteger Company
empresa from Security
de violaciones Breaches
de la seguridad
43% 42% 40% 37%

37% 38% 38% 38% 37% 37%
Equipo de seguridad Aumentaron la formación/ Aumentaron la atención Aumentaron la inversión Aumentaron la inversión
separado del concienciación sobre la en el análisis y la en tecnologías o en la formación del
departamento de TI importancia de la seguridad mitigación de riesgos soluciones de defensa personal de seguridad
entre los empleados
2015 (n=1109) 2016 (n=1375)
99 Apéndice
Elección y expectativas del proveedor
Figure 113 Importance of Data Protection and Privacy for Vendors

Figura 113 Importancia de la protección de datos y la privacidad para los proveedores
¿Qué procesos y políticas de protección de datos y privacidad ¿Qué protección de datos, estándares de privacidad y certificaciones se
son más importantes que tenga un proveedor? requiere que tenga un proveedor para que trabaje con su organización?
2016 (n=2912) 2016 (n=2870)
Políticas de toda la organización en

35% ISO 27001 39%
los controles de acceso de datos
Programa de respuesta
33% ISO 27018 34%
ante incidentes de datos
Políticas de toda la organización Marco/estándares de

31% 28%
en las notificaciones de brechas ciberseguridad de NIST
Políticas de toda la organización
en el acceso a los datos 27% Escudo de privacidad 28%
realizado por el proveedor
Formación de los empleados Cumplimiento de los controles

27% 28%
obligatoria y continua organizativos de servicio (SOC)
Privacidad del diseño

26% Cumplimiento de TRUSTe 26%
a nivel de organización
Evaluar el riesgo de los datos GAPP (Generally Accepted Privacy

y la madurez organizativa 25% Principles, principios de privacidad 26%
aceptados generalmente)
Políticas del uso compartido
de la residencia y la soberanía 24% Cumplimiento de HIPAA 25%
de los datos
Diálogo activo con la junta
directiva con respecto al 22% Cláusulas del modo de la UE 25%
riesgo de los datos
Políticas de retención de datos 13% Cumplimiento de PCI-DSS 23%
Medición y supervisión/
cumplimiento de auditoría 9% Normas corporativas obligatorias 23%
proactivos
Normas de privacidad entre

18%
fronteras de APEC
FedRAMP 18%
FISMA 17%
100 Apéndice
Modelo de madurez de capacidades de seguridad
Figure 114 Security Maturity by Country

Figura 114 Madurez de la seguridad por país
EE. UU. Brasil Alemania Italia
2016 4% 25% 29% 41% 4% 25% 30% 41% 7% 31% 28% 34% 5% 36% 31% 28%
2015 4% 22% 27% 45% 9% 24% 26% 40% 12% 24% 24% 39% 7% 36% 23% 34%
2014 10% 16% 27% 44% 5% 35% 24% 34% 4% 25% 27% 43% 23% 25%13% 38%
Reino Unido Australia China India
2016 5% 38% 29% 28% 5% 31% 34% 31% 13% 35% 21% 31% 5% 17% 31% 47%
2015 14% 32% 22% 32% 5% 29% 36% 29% 6% 37% 25% 32% 4% 21% 34% 40%
2014 16% 18% 25% 41% 16% 35% 19% 30% 3% 29% 32% 36% 10% 16% 20% 54%
Japón México Rusia Francia
2016 7% 32% 26% 35% 4% 21% 26% 47% 4% 30% 27% 39% 6% 35% 26% 32%
2015 16% 34% 16% 32% 14% 20% 16% 50% 14% 27% 26% 32% 15% 35% 20% 29%
2014 22% 40% 14% 24% N/D N/D N/D
Canadá
2016 7% 36% 23% 33%
Bajo Medio-bajo Medio-alto Alto
Figure 115 Maturity Model Ranks Organizations

Figura 115 El modelo de madurez clasifica a las Figure116
Figura 116Dimensionamiento
Segment Sizing del
for segmento
Maturity Model
del
Based on Security
organizaciones Process
en función del proceso de seguridad modelo de madurez
Basado en 5 segmentos 36%

en la serie Q9 Alto 36%
39%
Nivel 5 Optimización Alto
El objetivo principal es la mejora de los procesos 28%
Medio-
alto 25%
23%
Gestionado cuantitativamente Medio-
Nivel 4 Procesos medidos y controlados 30%
alto
cuantitativamente Medio 28%
26%
Definido 6%
Nivel 3 Procesos caracterizados para la organización; Medio Medio-
a menudo proactivos bajo 9%
8%
Repetible Medio- 1%
Nivel 2 Procesos caracterizados para proyectos; Bajo
bajo 2%
a menudo proactivos
4%
Nivel 1 Inicial Bajo 2016 (n=2852) 2015 (n=2401) 2014 (n=1637)

Los procesos son ad hoc e impredecibles
101 Apéndice
Específicos del sector
Figure 117 Percentage of Healthcare

Figura 117 Porcentaje de empresas del sector
Businesses That Have Implemented Figure118
Figura 118Recursos
Resourcesque Healthcare
las empresasCompanies
del sector
sanitario que han implementado políticas de sanitario utilizan para evaluarse en relación
Use to Measure Themselves Against HIPAA con las
Standardized Security Policies
seguridad estandarizadas normas de privacidad de HIPAA
Privacy Rules
Políticas de seguridad estandarizadas implementadas ¿Qué recursos se utilizan para evaluar a
El negocio del sector sanitario sigue un procedimiento y una política de las empresas en relación con la seguridad Negocios del sector
seguridad de la información que son específicos de este sector, 2016 (n=65) y las normas de privacidad de HIPAA? sanitario en 2016 (n=219)
SO80001 (dispositivo médico) 74% Guía de seguridad de HIT 52%
ISO27799 60% Documento actual de HIPAA

52%
(en la actualidad Omnibus)
NIST 800-66 45%
Marcos de auditoría de HHS.OCR 40%

HITRUST u otro marco privado 37%
Evaluaciones de terceros 24%
Figure 119 Most Common Security Measures Among the Healthcare Businesses
Figura 119 Medidas
with Medical DevicedeNetworks
seguridad más comunes entre los negocios del sector sanitario con redes de dispositivos
médicos
¿Cuenta su organización con una red de dispositivos médicos ¿Cuáles de estas medidas de seguridad, si las hubiera, ha implementado
convergente con una red de hospital principal? su empresa para proteger su red de dispositivos médicos?
Empresas con una red de dispositivos médicos en su organización (n=207)
No, no hay ninguna Control de acceso a la red 59%

red de dispositivos
médicos en nuestra Detección/protección frente a malware
56%
organización avanzado
Autenticación de dispositivos multifactor 49%
No, las redes 6%

IPS/IDS, inspección completa de paquetes 48%
de dispositivos
médicos están 15% Respuesta/defensa frente a amenazas
aisladas y se 48%
automatizada
administran de
forma interna Negocios del
Análisis del tráfico/detección de anomalías 45%
sector sanitario
16% (n=219) Evaluaciones de estado o de elaboración
No, las redes 63% de perfiles de dispositivos 40%
de dispositivos Sí
médicos son Segmentación/microsegmentación 32%
independientes
y las administra Ninguno de los anteriores 1%
un proveedor
102 Apéndice
Figure 120Perfil
Figura 120 Sample Profile del
de muestra for sector
Telecommunications
de telecomunicaciones
¿En qué subsector de telecomunicaciones ¿Cuáles de estos servicios ofrece

se ubica principalmente su organización? su empresa a sus clientes?
Negocios de telecomunicaciones (n=307) Negocios de telecomunicaciones (n=308)
Servicios de seguridad gestionados

Equipo de comunicaciones 47% 71%
ofrecidos a clientes finales
Proveedor de servicios (tradicional) Redes de producción central como IP

33% 60%
(incluida la televisión), móviles, etc.
Operador por cable/satélite 11% Entorno empresarial 59%
Multimedia/transmisión de contenidos 7% Data Centers 57%
Proveedor de transmisión libre (Netflix, Hulu, etc.) 2%
Figure121
Figura 121Factores
Security
deStrategies Factors
las estrategias for Telecommunications
de seguridad para las telecomunicaciones
Prioridad relativa a las estrategias y los protocolos de seguridad

Negocios de telecomunicaciones (n=308)
Porcentaje medio Porcentaje medio Porcentaje medio

de disponibilidad de confidencialidad de integridad
34% 36% 31%

Disponibilidad: garantizar un Confidencialidad: garantizar que solo acceden a Integridad: garantizar que los
acceso a los datos fiable los datos las partes que tienen permiso para ello datos sean minuciosos y precisos
Figure 122Prioridades
Figura 122 Security Priorities for Telecommunications
de seguridad para las telecomunicaciones
Clasificación en términos de prioridad de la seguridad en la organización Negocios de telecomunicaciones (n=308)
Proteger los Data Centers 34% 21% 24% 22%
En la red de producción central que ofrece IP o

26% 21% 29% 24%
servicios móviles de alta disponibilidad
Ofrecer servicios de seguridad gestionados 21% 30% 19% 30%
Red de la empresa y datos internos 20% 28% 29% 24%
1º puesto 2º puesto 3º puesto 4º puesto
103 Apéndice
Figure 123 Sample Profile for Transportation

Figura 123 Perfil de muestra del sector de transportes
¿Utiliza su empresa un centro de ¿Participa su empresa en estándares

operaciones de seguridad (SOC)? de seguridad u organizaciones del sector?
No, pero tenemos planes

de implementar un centro No
de operaciones de
seguridad el año que
viene 14% 12%
No, y no
hay planes
inmediatos de
11%
implementar Negocios de Negocios de
un centro de transporte transporte
operaciones (n=179) (n=179)
de seguridad 75% Sí 88% Sí
¿En qué subsector del transporte se ¿En cuál de las siguientes áreas de
ubica principalmente su organización? seguridad tiene responsabilidades?
Negocios de transporte (n=180) Negocios de transporte (n=180)
Seguridad de la tecnología
Transporte y logística 54% 84%
operativa
Seguridad de la infraestructura
Transporte público 11% principal 71%
Ferrocarril 9% Seguridad de los vehículos 43%
Carretera 9%
Aviación 7%
Marítimo 5%
Vehículos 5%
104 Apéndice
Figure 124 Perfil

Figura Sample deProfile
muestrafordel
Utilities/Energy
sector de servicios públicos/energía
¿Con qué frecuencia realiza su organización
un simulacro o pruebas para probar el plan de
¿En qué subsector de los servicios públicos/ respuesta de su empresa ante un incidente de Cuando se realizan estos simulacros o
energía se ubica principalmente su organización? ciberseguridad? pruebas, ¿quiénes participan?
Una vez cada 6 meses 55% Partners de seguridad 84%

Petróleo y gas
Personal interno que no
Una vez al año 37% 69%
forma parte de la seguridad
Una vez cada 2 años 6% Partners empresariales 64%
Rara vez 2% Equipo de respuesta inicial 33%
42% Nunca 0%
Agencias estatales
31%
Negocios de energía/ o locales
servicios públicos
Negocios de energía/servicios públicos (n=116) Agencias federales 26%
(n=116)
58%
Otros proveedores de
20%
servicios públicos
Negocios de energía/servicios públicos (n=116)

Servicios públicos
de electricidad
Figure 125Perfil
Figura 125 Sample Profile del
de muestra for sector
Financial Servicesfinancieros
de servicios
¿En qué subsector de los servicios financieros ¿Cuánto cree que están influyendo las
se ubica principalmente su organización? siguientes tendencias en la seguridad?
Mercados financieros 52% 0% Negocio digital 1% 1% 10% 41% 47% 88%
Banca minorista 25% FinTech 0% 2% 10% 46% 42% 88%
Desarrollo y
Aseguradoras 23% 0% 1% 13% 47% 39% 85%
operaciones
TI bimodal 0% 2% 15% 48% 35% 82%
Negocios de servicios financieros (n=509)

Nada eficaces En gran medida % Dos elecciones
Gráfico redondeado al
principales
número entero más cercano
105 Apéndice
Figure 126Protección
Figura 126 Data Security for Retail
de datos de retail
¿Hasta qué punto está de acuerdo o en desacuerdo

con cada una de estas afirmaciones?
Garantizar la seguridad de los datos de nuestros clientes de retail

1% 2% 32% 66% 98%
tiene una gran importancia para los ejecutivos de mi organización
Mi empresa puede cumplir plenamente con la normativa de PCI
<1% 3% 36% 61% 97%
(sector de las tarjetas de pago)
Los datos confidenciales de las tarjetas de crédito del cliente permanecen
seguros a lo largo de todo su ciclo de vida dentro de la empresa 1% 3% 33% 63% 96%
Negocios de retail (n=290)

Gráfico redondeado Totalmente Algo en Algo de Totalmente % Algo de acuerdo +
al número entero en desacuerdo desacuerdo acuerdo de acuerdo Totalmente de acuerdo
más cercano
106 Apéndice
Familias de malware
Figure 127 Extensión

File Extension and yMIME Figure 128 Hash Ages for the Dridex Malware
Figura 127 de archivos combinación MIME Figura 128 Periodos hash de la familia de malware
Combinations for Dridex (Web andelectrónico)
de Dridex (vectores de web y correo Email Vectors) Family yand
Dridex Percentde
porcentaje ofvolumen
Total Hash
totalVolume
de hash
Observed Per Month
observado por mes
Mayo
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores únicos 100%
exe y application/msdos-program
Porcentaje de hashes Dridex

docm y application/vnd.ms-word...
docm y application/vnd.openxml... 80%
xls y application/vnd.ms-excel
exe y application/msdownload 60%
doc y text/plain
pxls y application/vnd.ms-excel
pdf y application/msword
40%
doc y appl/text
doc y application/vnd.msword 20%
doc y application/winword
doc y application/word
doc y application/x-msw6 0%
doc y application/doc
doc y application/vnd.ms-word Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
doc y application/x-msword 2015 2016
sin extensión y application/msword
sin extensión y text/plain < 24 horas 1–2 días 3–10 días
js y text/plain
rtf y application/vnd.openxml...
sin extensión y application/rtf 11–30 días 31–90 días Más de 90 días
exe y application/executable
doc y application/vnd.openxml... 1%
doc y application/xml
rtf y application/xml
total de hash
rtf y text/plain
rtf y application/msword 0,5%
pdf y application/vnd.openxml...
dot y application/vnd.openxml...
0%
Correo electrónico Web Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Fuente: Grupo de investigaciones de seguridad de Cisco
Figure 129TTD
Figura 129 TTDdefor the Dridex
la familia Malware
de malware Family
Dridex
20,4
20 16,9
Horas medias
15
10,2
10 7,2
5,5
5
0
2015 2016
107 Apéndice
Figure 130 File Extension and MIME

Combinations for thedeFamily of Threats and Figure 132 Hash Ages for the Cerber Malware
Figura 130 Extensión archivos y combinación Figura 132 Periodos hash de la familia de malware
Indicators
MIME de la That Lead
familia to and Include
de amenazas the Cerber
e indicadores que Family yand
Cerber Percentde
porcentaje of volumen
Total Hash
totalVolume
de hash
dirigen
Payloade (Web
incluyen
and el contenido de Cerber (vectores
Email Vectors) Observed Per Month
observado por mes
de web y correo electrónico)
100%
Mayo
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Porcentaje de hashes Cerber

Vectores únicos
80%
vbs y text/plain 60%
rtf y application/vnd.openxml...
dotm y application/vnd.open...
js y text/plain
40%
sin extensión y application/zip
html y application/zip
jpg y image/jpeg 20%
rtf y application/msword
Correo electrónico Web 0%

Fuente: Grupo de investigaciones de seguridad de Cisco 2015 2016
< 24 horas 1–2 días 3–10 días

Figure 131 TTD for the Cerber Malware Family
Figura 131 TTD de la familia de malware Cerber 11–30 días 31–90 días Más de 90 días
160
0,2%
Horas medias
total de hash
120
0,1%
80
116,1 0%
40 26,2
5,1 5,9 Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
0
Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2016 Fuente: Grupo de investigaciones de seguridad de Cisco
Figure 133 Hash Ages for the Locky Malware Figure 134 Hash Ages for the Nemucod
Family Per Periodos
Figura 133 Month hash de la familia de malware Malware
Figura 134Family Perhash
Periodos Month
de la familia de malware
Nemucod por mes Nemucod por mes
100% 100%
Porcentaje de hashes Nemucod
Porcentaje de hashes Locky
80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016 2015 2016
< 24 horas 1–2 días 3–10 días < 24 horas 1–2 días 3–10 días
11–30 días 31–90 días Más de 90 días 11–30 días 31–90 días Más de 90 días
Fuente: Grupo de investigación de seguridad de Cisco Fuente: Grupo de investigaciones de seguridad de Cisco
108 Apéndice
Figure 135 Hash Ages for the Adwind RAT

Malware Family Per Month
Figure 136 Hash Ages for the Kryptik Malware
Figura 135 Periodos hash de la familia de malware Family Per Periodos
Figura 136 Month hash de la familia de malware
Adwind RAT por mes Kryptik por mes
100% 100%
Porcentaje de hashes Adwind RAT
Porcentaje de hashes Kryptik

80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016 2015 2016
< 24 horas 1–2 días 3–10 días < 24 horas 1–2 días 3–10 días
11–30 días 31–90 días Más de 90 días 11–30 días 31–90 días Más de 90 días
Fuente: Grupo de investigaciones de seguridad de Cisco Fuente: Grupo de investigaciones de seguridad de Cisco
Descargar los gráficos Actualizaciones y correcciones
Todos los gráficos de este informe pueden Para ver las actualizaciones y correcciones de la
descargarse en: información de este informe, visite:
www.cisco.com/go/acr2017graphics www.cisco.com/go/acr2017errata
109 Apéndice
Sede central en América Sede central en Asia-Pacífico Sede central en Europa
Cisco Systems, Inc. Cisco Systems (EE. UU.) Pte. Ltd. Cisco Systems International BV Amsterdam,
San José, CA Singapur Países Bajos
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones, números de teléfono y fax se encuentran en la Web de Cisco en www.cisco.com/go/oﬃces.
Publicado en enero de 2017
© 2017 Cisco y/o sus filiales. Todos los derechos reservados.
Cisco y el logotipo de Cisco son marcas comerciales o registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Si desea consultar una lista de las
marcas registradas de Cisco, visite: www.cisco.com/go/trademarks. Todas las marcas comerciales de terceros mencionadas en este documento pertenecen a
sus respectivos propietarios. El uso de la palabra "partner" no implica la existencia de una asociación entre Cisco y cualquier otra empresa. (1110R)
Adobe, Acrobat y Flash son marcas registradas de Adobe Systems Incorporated en Estados Unidos y otros países.

Cisco 2017 ACR Es-Eu

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cisco 2017 ACR Es-Eu

Încărcat de

Drepturi de autor:

Formate disponibile

Informe de ciberseguridad anual de Cisco 2017

3 Resumen ejecutivo y conclusiones más relevantes

Estudio comparativo sobre capacidades de seguridad Sector

4 Resumen ejecutivo y conclusiones más relevantes

Conclusiones más relevantes

5 Resumen ejecutivo y conclusiones más relevantes

●● Además, el estudio comparativo sobre capacidades ●● Las vulnerabilidades en el middleware (software

6 Resumen ejecutivo y conclusiones más relevantes

Comportamiento de los usuarios (por

58% 57% 57% 57%

Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

¹ "Preguntas frecuentes sobre el Internet of Everything", Cisco: http://ioeassessment.cisco.com/learn/ioe-faq.

10 La expansión de la superficie de ataque

Además, el informe técnico³ Metodología y previsión de Las organizaciones deben:

³ Metodología y previsión de Cisco VNI, 2015–2020, Cisco VNI, 2016:

11 La expansión de la superficie de ataque

Comportamiento de los atacantes

Los atacantes investigan, identifican y seleccionan a sus objetivos.

Métodos de ataque en la Web: las Figura 22 Malware

El reconocimiento es, por supuesto, un paso fundamental

Los archivos binarios sospechosos de Windows y 35 887 Enlaces de estafas de Facebook

2016 por un margen considerable (consulte la figura 2).

mundo.⁴ Es un territorio lógico para los ciberdelincuentes 7712 Binarios empaquetados

presidencia de EE. UU. de 2016⁵ 4584 Troyanos de Android (Loki)

13 Comportamiento de los atacantes

Figure 3 Most Commonly Observed Malware, Q4 2015–Q3 2016

Fuente: Grupo de investigación de seguridad de Cisco

⁶ Informe de ciberseguridad semestral de Cisco 2016: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

14 Comportamiento de los atacantes

Reconocimiento Armamentización Entrega Instalación

15 Comportamiento de los atacantes

Seguridad en aplicaciones: gestión del riesgo de las conexiones OAuth en medio de la

estas aplicaciones de TI en la sombra suponen un riesgo Third-Party Cloud Applications, 2016

El número de aplicaciones ha aumentado aproximadamente Applications, Year-Over-Year

Clasificación de las aplicaciones más peligrosas

16 Comportamiento de los atacantes

Puntuaciones de riesgo y ejemplos

CloudLock utilizó el CARI para categorizar las Figure

Fuente: Cisco CloudLock

17 Comportamiento de los atacantes

Gracias a nuestro análisis, observamos que todas las

Figure 7 Distribution of Low-, Medium-, and High-Risk Applications, by Region

Riesgo bajo Riesgo medio Riesgo alto

Fuente: Cisco CloudLock

Figure 8 Distribution of Low-, Medium-, and High-Risk Applications, by Industry

Servicios financieros Gobierno Proveedores de Formación superior K-12 Fabricación

Medios de comunicación Comercio minorista Tecnología Viajes, hostelería Otros

Riesgo bajo Riesgo medio Riesgo alto

Fuente: Cisco CloudLock

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

18 Comportamiento de los atacantes

Supresión del ruido

Figura 9 Identificación de patrones de comportamiento del usuario con automatización (proceso)

Todo el comportamiento de los usuarios

113 Amenaza real

Fuente: Cisco CloudLock

19 Comportamiento de los atacantes

Reconocimiento Armamentización Entrega Instalación

Figure 10 Exploit Kit Landing Page Blocks,

de su abandono por parte de sus autores es todo un 0

Flash continúa siendo un vector de ataque web atractivo

20 Comportamiento de los atacantes