Documente Academic
Documente Profesional
Documente Cultură
Índice
RESUMEN EJECUTIVO y CONCLUSIONES MÁS COMPORTAMIENTO DE LOS DEFENSORES..................... 42
RELEVANTES....................................................................... 3 Vulnerabilidades en declive en 2016............................. 42
INTRODUCCIÓN.................................................................. 8 Middleware: los adversarios ven oportunidades en el
LA EXPANSIÓN DE LA SUPERFICIE DE ATAQUE............. 10 software sin parches..................................................... 44
COMPORTAMIENTO DE LOS ATACANTES.......................13 Tiempo para aplicar parches: fin del marco temporal
de recuperación............................................................ 45
La fase de reconocimiento............................................ 13
ESTUDIO COMPARATIVO SOBRE CAPACIDADES DE
Métodos de ataque en la Web: las amenazas de la
SEGURIDAD DE CISCO 2017............................................ 49
"cola corta" ayudan a los adversarios a establecer la
base de las campañas................................................... 13 Percepciones: los profesionales de la seguridad que
confían en las herramientas, menos seguros de
La fase de armamentización......................................... 15 utilizarlas de forma eficaz.............................................. 49
Vectores de ataque en la Web: Flash se desvanece, Limitaciones: el tiempo, el talento y el dinero afectan
pero los usuarios deben permanecer alerta.................. 15 a la capacidad para responder a las amenazas............. 51
Seguridad en aplicaciones: administración del riesgo Impacto: más organizaciones que sufren pérdidas
de las conexiones OAuth en medio de la proliferación debidas a las brechas.................................................... 55
de aplicaciones............................................................. 16
Resultados: un mayor escrutinio público desempeñará
La fase de distribución.................................................. 20 un papel importante en las mejoras en seguridad......... 58
La desaparición de los exploit kits principales Confianza frente a costes: ¿qué fomenta las compras
presenta oportunidades para agentes menores y en materia de seguridad?.............................................. 61
nuevos aspirantes.......................................................... 20
Resumen: revelaciones del estudio comparativo........... 62
Malvertising: los adversarios emplean agentes para
aumentar la velocidad y la agilidad................................ 22 SECTOR............................................................................. 64
La investigación revela que el 75 por ciento de las Seguridad en la cadena de valor: el éxito en el
organizaciones se ven afectadas por infecciones de mundo digital depende de la mitigación del riesgo
adware.......................................................................... 23 de terceros.................................................................... 64
El spam global aumenta, al igual que el porcentaje Actualización geopolítica: cifrado, confianza y una
de archivos adjuntos maliciosos.................................... 25 llamada a la transparencia............................................. 65
Cifrado de alta velocidad: una solución escalable para
La fase de instalación.................................................... 30
a protección de los datos en tránsito............................. 66
Métodos de ataque en la Web: una instantánea de
El rendimiento y la adopción de la red frente a la
la "cola larga" revela las amenazas que los usuarios
madurez de la seguridad............................................... 67
pueden evitar fácilmente............................................... 30
Riesgo de los mercados verticales de encontrarse CONCLUSIÓN................................................................... 71
con malware: los atacantes perciben el valor en Una superficie de ataque de rápida expansión requiere
todos los ámbitos.......................................................... 31 un enfoque interconectado e integrado acerca de la
Descripción general regional sobre la actividad de seguridad...................................................................... 71
bloqueos web................................................................ 32 El objetivo principal: reducción del espacio operativo
Tiempo de detección: una métrica esencial para de los adversarios......................................................... 73
medir el progreso de los defensores............................. 33
INFORMACIÓN ACERCA DE CISCO................................. 74
Tiempo para evolucionar: en algunas amenazas,
Colaboradores del Informe de ciberseguridad anual de
el cambio es constante................................................. 34
Cisco 2017.................................................................... 75
APÉNDICE......................................................................... 78
2 Índice
Informe de ciberseguridad anual de Cisco 2017
Resumen ejecutivo
A medida que la superficie de ataque aumenta, los defensores deben centrarse en
su objetivo más importante: la reducción del espacio operativo de sus adversarios.
Los adversarios tienen más herramientas a su disposición intentan aprovechar. Examinamos los datos recopilados por
que nunca. También tienen una idea muy clara de cuándo los investigadores de amenazas de Cisco y otros expertos.
utilizar cada una de ellas para conseguir el máximo efecto. Nuestra investigación y nuestros datos tienen como fin ayudar
El rápido crecimiento de los terminales móviles y del tráfico a las organizaciones a responder eficazmente a las amenazas
online les favorece. Tienen más espacio en el que actuar y actuales sofisticadas y de rápida evolución.
más opciones de objetivos y enfoques.
Los defensores pueden utilizar una serie de estrategias Este informe se divide en las secciones siguientes:
para afrontar los retos de un entorno de amenazas en
constante aumento. Pueden adquirir las mejores soluciones Comportamiento de los atacantes
que funcionen de manera independiente para proporcionar En esta sección, examinamos el modo en que los atacantes
información y protección. Además, pueden competir por reconocen las redes vulnerables y distribuyen el malware.
el personal en un mercado donde el talento escasea y los Explicamos el modo en que herramientas como el correo
presupuestos son ajustados. electrónico, las aplicaciones de terceros en la nube y el
adware son utilizadas como armas. Además, describimos los
Es posible que no se detengan todos los ataques. Sin métodos que los ciberdelincuentes emplean durante la fase de
embargo, puede minimizar el riesgo y el impacto de instalación de un ataque. En esta sección también se presenta
las amenazas limitando el espacio operativo de sus nuestra investigación sobre el "tiempo para evolucionar"
adversarios y, por tanto, su capacidad para poner en riesgo (TTE), que muestra el modo en que los adversarios renuevan
los recursos. Una medida que puede tomar es simplificar sus tácticas y eluden la detección. Asimismo, ofrecemos una
su colección de herramientas de seguridad en una actualización de nuestros esfuerzos para reducir el tiempo
arquitectura de seguridad integrada e interconectada. de detección (TTD) medio. Además, presentamos la última
Las herramientas de seguridad integrada que funcionan investigación de Cisco sobre el riesgo de malware en los
conjuntamente en una arquitectura automatizada pueden distintos sectores y regiones geográficas.
simplificar el proceso de detección y mitigación de las
amenazas. De ese modo dispondrá de tiempo para Comportamiento de los defensores
abordar problemas más complejos y persistentes. Muchas En esta sección ofrecemos actualizaciones de las
organizaciones emplean al menos media docena de vulnerabilidades. El foco se centra en las debilidades
soluciones de otros tantos proveedores (página 53). En emergentes de las bibliotecas de middleware, que
muchos casos, los equipos de seguridad pueden investigar presentan oportunidades para que los adversarios utilicen
solo la mitad de las alertas de seguridad que reciben en un las mismas herramientas en numerosas aplicaciones,
día concreto. con lo que reducen el tiempo y el coste necesario para
poner en riesgo a los usuarios. También compartimos la
El Informe de ciberseguridad anual de Cisco 2017 presenta investigación de Cisco sobre las tendencias en la aplicación
estudios, datos y perspectivas del grupo de investigaciones de parches. Insistimos en la ventaja de ofrecer a los
de seguridad de Cisco. Destacamos la dinámica incesante usuarios actualizaciones de forma periódica para fomentar
de tira y afloja entre los adversarios, que intentan ganar la adopción de versiones más seguras de los navegadores
más tiempo para actuar, y los defensores, que trabajan para web y las soluciones de productividad habituales.
anular los márgenes de oportunidades que los atacantes
Introducción
Los adversarios tienen una amplia y variada cartera de acceso a los recursos valiosos de la empresa y realizar sus
técnicas para obtener acceso a los recursos organizativos actividades sin ser detectados.
y para conseguir un tiempo ilimitado para actuar. Sus
estrategias cubren todos los aspectos básicos e incluyen: La automatización es fundamental para lograr este
objetivo. Le ayudará a comprender qué actividad normal
●● Aprovechar los lapsos en la aplicación de parches y se desarrolla en el entorno de red, de manera que pueda
actualizaciones centrar los limitados recursos en investigar y resolver
●● Atraer a los usuarios hacia trampas de ingeniería social las auténticas amenazas. Simplificar las operaciones de
●● Inyectar malware en contenido en línea supuestamente
seguridad también le ayuda a ser más eficaz al eliminar
legítimo, como publicidad el espacio operativo ilimitado de los adversarios. Sin
embargo, el estudio comparativo muestra que la mayoría
Hay muchas otras funciones, desde explotar las de las organizaciones utilizan más de cinco soluciones de
vulnerabilidades de middleware a lanzar spam malicioso. más de cinco proveedores diferentes (página 53).
Una vez que han conseguido sus objetivos, pueden acabar
rápidamente y silenciosamente sus operaciones. Esta compleja mezcla de tecnología y la abrumadora
cantidad de alertas de seguridad se convierten en una
Los adversarios trabajan sin descanso para perfeccionar fórmula para estar menos protegido. Sin duda alguna,
sus amenazas, moverse a más velocidad y encontrar agregar más talento en seguridad puede ayudar. Con más
formas para ampliar su espacio operativo. El vertiginoso expertos, lo lógico es que cuanto mejor sea la estabilidad
crecimiento en el tráfico de Internet, impulsado en de una organización para gestionar y ofrecer tecnología,
gran parte por las más rápidas velocidades móviles y la mejor serán los resultados. Sin embargo, el escaso talento
proliferación de dispositivos online, les favorece y les en seguridad y los limitados presupuestos de seguridad
ayuda a ampliar la superficie de ataque. A medida que esto hacen que contratar sin miramientos sea inverosímil. En
sucede, los desafíos de las empresas aumentan. El estudio cambio, la mayoría de las organizaciones deben hacer lo
comparativo de capacidades de seguridad de Cisco 2017 posible con el talento que ya tienen. Dependen de talento
reveló que más de un tercio de las organizaciones que se subcontratado para añadir fortaleza a sus equipos de
han visto afectadas por un ataque han perdido al menos seguridad, sin salirse del presupuesto.
el 20 por ciento de sus ingresos. El 49 por ciento de los
encuestados afirmó que su negocio se había enfrentado al La respuesta real para afrontar estos desafíos, como
escrutinio público debido a una violación de la seguridad. explicaremos más adelante en este informe, es
operacionalizar a las personas, procesos y tecnología de
¿Cuántas empresas pueden sufrir estos daños en sus manera integrada. Para operacionalizar la seguridad se
resultados y mantenerse en un buen estado? Los defensores debe comprender de verdad lo que la empresa necesita
deben centrar los recursos en reducir el espacio operativo de proteger, así como qué medidas se deben utilizar para
los adversarios. Los atacantes encontrarán muy difícil obtener proteger los recursos esenciales.
El Informe de ciberseguridad anual de Cisco 2017 presenta nuestros últimos avances en el sector de la seguridad,
diseñados para ayudar a las organizaciones y los usuarios a defenderse de los ataques. También analizamos
las técnicas y estrategias utilizadas por los adversarios para abrirse paso a través de esas defensas. Además, el
informe resalta las conclusiones principales del estudio comparativo sobre capacidades de seguridad de Cisco
2017, el cual analiza la condición en materia de seguridad de las empresas y sus percepciones en lo concerniente
a su grado de preparación para defenderse frente a ataques.
8 Introducción
La expansión de la
superficie de ataque
Informe de ciberseguridad anual de Cisco 2017
La expansión de la
superficie de ataque
Dispositivos móviles. Nube pública. Infraestructura de IP global y ha analizado los factores dinámicos que facilitan
nube. Comportamiento del usuario. Los profesionales de el crecimiento en la red. Tenga en cuenta las estadísticas
la seguridad que participaron en el estudio comparativo del informe más reciente, La era zettabyte: tendencias y
de capacidades de seguridad anual citaron todos estos análisis:²
elementos como fuentes principales de preocupación
●● El tráfico IP global anual pasará el umbral del zettabyte (ZB)
cuando piensan en el riesgo que corren sus organizaciones
a finales de 2016 y alcanzará los 2,3 ZB anuales para el año
a exponerse a ciberataques (figura 1). Esto es comprensible:
2020. (Un zettabyte son 1000 exabytes, o mil millones de
la proliferación de dispositivos móviles crea más terminales terabytes). Esto representa un aumento del umbral del tráfico
a los que hay que proteger. La nube está ampliando el IP global en los próximos 5 años.
perímetro de seguridad. Los usuarios son, y siempre serán,
●● El tráfico de dispositivos inalámbricos y dispositivos móviles
un punto débil en la cadena de seguridad.
supondrá las dos terceras partes (66 por ciento) del tráfico
A medida que se adopta la digitalización, e Internet of IP total en 2020. Los dispositivos por cable supondrán solo
el 34 por ciento.
Everything (IoE)¹ comienza a tener forma, los defensores
tendrán aún más de lo que preocuparse. La superficie de ●● A partir del año 2015 hasta el 2020, las velocidades de
ataque se ampliará, dando a los adversarios más espacio banda ancha medias casi se doblarán.
para actuar. ●● En el 2020, el 82 por ciento de todo el tráfico de Internet del
consumidor global será de tráfico de vídeo IP, hasta alcanzar
Durante más de una década, el Visual Networking Index el 70 por ciento en 2015.
de Cisco® (VNI) ha proporcionado estimaciones del tráfico
Figura 1 Mayores fuentes de preocupación de los profesionales de la seguridad en relación con los ciberataques
Figure 1 Security Professionals’ Biggest Sources of Concern Related to Cyber Attacks
El malware de redirección de navegador rondó los cinco Se han clasificado entre los 10 tipos de malware más
primeros puestos del tipo de malware que se observó con frecuentes de 2016. El malware Loki, que aparece al final de
más frecuencia en 2016. Como se debatió en el Informe de la lista de amenazas de la cola corta de la figura 2 (consulte la
ciberseguridad semestral de Cisco de 2016,⁶ las infecciones página anterior), es especialmente problemático porque puede
del navegador pueden exponer a los usuarios a publicidad replicar e infectar otros archivos y programas.
maliciosa (malvertising), que los adversarios utilizan para
configurar el ransomware y otras campañas de malware. Los La figura 3 ayuda a ilustrar las tendencias de malware que
investigadores de amenazas de Cisco advierten que el adware los investigadores de amenazas de Cisco han observado
malicioso, que incluye inyectores de anuncios, secuestradores desde finales de 2015. Muestra que los adversarios han
de las configuraciones del navegador, utilidades y hecho un cambio definitivo en la fase de reconocimiento
descargadores, es un problema cada vez mayor. De hecho, de ataques basados en la Web. Cada vez más amenazas
hemos identificado infecciones de adware en el 75 por ciento buscan específicamente los navegadores y los plug-
de las empresas que hemos investigado recientemente como ins vulnerables. Este cambio se corresponde con la
parte de nuestra investigación sobre el problema de adware. dependencia cada vez mayor de los adversarios en el
(Para obtener más información sobre este tema, consulte malware, ya que cada vez es más difícil abarcar un número
"Las investigaciones concluyen que el 75 por ciento de las de usuarios a través de los vectores de ataque en la Web
organizaciones se ven afectadas por infecciones de adware", tradicionales. (Consulte la siguiente sección, "Vectores de
página 23.) ataque en la Web: Flash se desvanece, pero los usuarios
deben permanecer alerta" página 15.)
Otros tipos de malware enumerados en la figura 3, como
el malware de abuso iFrame y JavaScript en el navegador, El mensaje para los usuarios individuales, los profesionales
también se han diseñado para facilitar las infecciones en los de la seguridad y las empresas está claro: asegurarse
navegadores. Los troyanos (instaladores y descargadores) de que los navegadores estén protegidos y desactivar o
también aparecen entre los cinco tipos de malware principales eliminar los plug-ins de navegador innecesarios puede
observados con más frecuencia, lo que indica que siguen ser un gran paso para la prevención de infecciones por
siendo herramientas populares para obtener un acceso inicial malware. Estas infecciones pueden derivar en ataques más
a los ordenadores de los usuarios y a las redes organizativas. significativos, complejos y costosos, como las campañas
de ransomware. Estos sencillos pasos pueden reducir
Otra tendencia que se debe vigilar: el alto uso del malware que considerablemente la exposición a las amenazas basadas en
tiene como objetivo a los usuarios de la plataforma operativa la Web más comunes, así como evitar que los adversarios
Android. Los troyanos de Android han avanzado sin parar en la encuentren espacio operativo para llevar a cabo la siguiente
lista de amenazas de la cola corta durante los últimos 2 años. fase de la cadena de ataque: la militarización.
50K
40K
Recuento de muestra
30K
20K
10K
0K
Troyanos
iFrame
Troyanos de
Android (lop)
Descargas
y redirecciones
de navegador
Enlaces de
suplantación
de identidad
Redirección de
navegador (JS)
Bloques
heurísticos
(Win32)
Descargadores
de troyanos
(JS)
Secuestro de
Facebook
PUA y archivos
binarios
sospechosos
Empaquetado
(multi-
empaquetado)
Redirección
de navegador
Instaladores
de troyanos
(VBS)
Descargadores
de troyanos
(scripts)
Enlaces de
estafas de
Facebook
Descargadores
de iFrame
Cuarto trimestre de 2015 Primer trimestre de 2016 Segundo trimestre de 2016 Tercer trimestre de 2016
Los atacantes combinan malware de acceso remoto con exploits en contenidos distribuibles.
Vectores de ataque en la web: Flash se desvanece, pero los usuarios deben permanecer
alerta
Adobe Flash ha sido durante mucho tiempo un vector de Los usuarios deben seguir siendo cautelosos y deben
ataque en la Web atractivo para los ciberdelincuentes que desinstalar Flash a menos que lo necesiten por motivos
querían explotar y comprometer los sistemas. Sin embargo, a empresariales. Si necesitan usarlo obligatoriamente, deben
medida que continúa disminuyendo la cantidad de contenido estar al tanto de las actualizaciones. Utilizar navegadores
web que dispongan de capacidades de parcheado puede
en Adobe Flash en la Web, y el conocimiento sobre las
ayudar. Como se muestra en "Métodos de ataque en la Web:
vulnerabilidades de Flash aumenta, cada vez resulta más
las amenazas de la "cola corta" ayudan a los adversarios a
complicado para los ciberdelincuentes explotar a los usuarios establecer la base de las campañas" en la página 13, utilizar
de la misma forma en la que lo hacían anteriormente. navegadores seguros, así como desactivar o eliminar plug-
ins de navegador innecesarios, reducirá significativamente la
Adobe está abandonando el desarrollo y el soporte de la
exposición a las amenazas derivadas de la Web.
plataforma de software y ha animado a los desarrolladores
a adoptar nuevos estándares, como HTML5.⁷ Los
Java, PDF y Silverlight
proveedores de navegadores web más importantes
Tanto el tráfico de Internet de Java como de archivos PDF
también se están posicionando fuertemente en Flash. Por
ha experimentado descensos notables en 2016. El tráfico
ejemplo, Google anunció en 2016 que sustituirá el soporte
de Silverlight ha alcanzado un nivel que los investigadores
completo para Adobe Flash en su navegador de Chrome.⁸ de amenazas consideran que no merece la pena seguir con
Firefox sigue respaldando el contenido Flash, pero bloquea regularidad.
"cierto contenido Flash que no es fundamental para la
experiencia del usuario."⁹ Java, que una vez fue el vector de ataque dominante en
la Web, ha visto su condición en materia de seguridad
Flash puede desvanecerse, pero los desarrolladores mejorada de manera significativa en los últimos años. La
de exploit kits ayudan a que resista como vector de elección de Oracle de principios de 2016 de eliminar el
ataque. Sin embargo, hay signos de que esto puede estar plug-in de navegador Java ha contribuido a hacer que Java
cambiando. Después de que los tres exploit kits más sea un vector de ataque en la Web menos atractivo. Los
importantes (Angler, Nuclear y Neutrino) desaparecieran ataques de archivos PDF también son cada vez menos
habituales. Por ese motivo, pueden ser más fáciles de
repentinamente del panorama de amenazas en 2016,
detectar, motivo por el cual muchos adversarios utilizan
nuestros investigadores observaron un descenso
ahora esta estrategia con menos frecuencia.
significativo en el tráfico de Internet relacionado con Flash.
(Consulte "La desaparición de los principales exploit kits Sin embargo, como con Flash, los ciberdelincuentes siguen
ofrece oportunidades para agentes menores y nuevos utilizando Java, PDF y Silverlight para atacar a los usuarios.
aspirantes", página 20.) Los actores detrás del exploit kit Los usuarios individuales, las empresas y los profesionales
Angler tienen como objetivo las vulnerabilidades de Flash de la seguridad deben ser conscientes de estos posibles
para poner en riesgo a los usuarios. El exploit kit Nuclear procesos de exposición a riesgos. Para reducir el riesgo de
sufrir a estas amenazas, deberían:
también afectaba de manera similar a Flash. Y Neutrino
confió en los archivos Flash para distribuir exploits. ●● Descargar parches
●● Utilizar tecnología web actualizada
●● Evitar contenido web que pueda suponer un riesgo
⁷ "Flash, HTML5 and Open Web Standards" ("Estándares de Flash, HTML5 y Open Web"), Adobe News, noviembre de 2015:
https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html.
⁸ "Flash and Chrome" ("Flash y Chrome"), por Anthony LaForge, blog The Keyword, Google, 9 de agosto de 2016: https://blog.google/products/chrome/flash-and-chrome/.
⁹ "Reducing Adobe Flash Usage in Firefox" ("Reducción del uso de Adobe Flash en Firefox"), por Benjamin Smedberg, blog Future Release, Mozilla, 20 de julio de 2016:
https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/.
Tras categorizar aplicaciones en la nube de terceros mediante el CARI, CloudLock asigna una puntuación de
riesgo a cada aplicación en una escala del 1 (el riesgo más bajo) al 5 (el riesgo más alto).
Una aplicación que obtenga una puntación de 1 en la escala podría disponer de, por ejemplo, ámbitos de
acceso mínimos (solo puede ver correo electrónico), una tasa de confianza de la comunidad del 100 % y un
historial sin brechas.
Una aplicación que obtenga una puntuación de 5 en la escala podría ser una que disponga de acceso total a las
cuentas (puede ver correos electrónicos, documentos, el historial de navegación, el calendario y mucho más),
de una tasa de confianza del 8 por ciento (lo que implica que solo el 8 por ciento de los administradores confían
en ella) y que no disponga de una certificación de seguridad.
15%
Riesgo bajo
222 000
aplicaciones
de terceros
58%
Riesgo medio
Compartir
12 10 11
15
31 30 32 30
América
del Norte LATINOAMÉRICA EMEA APAC
54 58 58 59
8 10 16 16 17 8
35 33 28 31 31 31
57 57 56 53 52 61
16 10 14 12 16
28 32 30 30 32
56 58 56 58 52
Anomalías
Actividades sospechosas
0,02% de todas las actividades
Compartir
A través del uso malicioso del correo electrónico, los archivos adjuntos, las páginas web y otras herramientas, los
atacantes dirigen sus ciberarmas a sus objetivos.
Feb
Mar
Abr
Jul
Ago
Sep
Oct
Nov
Mayo
Jun
la escena en 2016, dependía de archivos Flash para
distribuir las vulnerabilidades. (Consulte la figura 11 de la
Fuente: Grupo de investigación de seguridad de Cisco
página siguiente para obtener una lista de las principales
vulnerabilidades en los exploit kits conocidos de 2016).
Un gigante se desvanece
Angler, el mayor y más avanzado entre los exploit kits Ahora que tres de los exploit kits dominantes han dejado
conocidos, también tenía como objetivo las vulnerabilidades la escena, los agentes menores y nuevos aspirantes
de Flash y estaba vinculado a diversas campañas pueden ampliar su cuota de mercado. De hecho, se están
destacadas de malvertising y ransomware. Sin embargo, volviendo más sofisticados y ágiles. Los exploit kits que
a diferencia de la desaparición de Nuclear y Neutrino, la aparecían estar preparados para el crecimiento a finales
desaparición de Angler en 2016 no es ningún misterio. de 2016 eran Sundown, Sweet Orange y Magnitude. Estos
kits, al igual que RIG, eran conocidos por centrarse en las
La pasada primavera, aproximadamente 50 hackers y
vulnerabilidades de Flash, Siverlight y Microsoft Internet
ciberdelincuentes fueron arrestados en Rusia. El grupo
Explorer. (Consulte la figura 11.) La desinstalación de Flash
estaba vinculado con el malware Lurk, un troyano bancario
y la inhabilitación o eliminación de los plug-ins innecesarios
que tenía como objetivo principal los bancos rusos.¹⁰ Los
de los navegadores, ayudará a los usuarios a reducir el
investigadores de amenazas de Cisco identificaron las
riesgo que implican estas amenazas.
claras conexiones entre Lurk y Angler, incluido el hecho de
que Lurk se estaba suministrando en gran medida a través
de Angler a las víctimas de Rusia. Tras las detenciones,
Angler desapareció del mercado de exploit kits.¹¹
Figure 11 Vulnerabilidades
Figura 11 Top Vulnerabilities in Exploit
principales Kitsexploit kits
en los
Angler
Neutrino (1,2)
Magnitud
RIG
Nuclear
Sundown
Hunter
CVE- 2015- 2015- 2015- 2016- 2016- 2016- 2016- 2016- 2015- 2015- 2015- 2015- 2015- 2015-
7645 8446 8651 0034 1019 1001 4117 0189 5119 5122 3043 0318 3113 2419
Compartir
¹⁰ "Russian Hacker Gang Arrested Over $25M Theft" ("Grupo de hackers rusos arrestados por robo de más de 25 millones de USD"), BBC News, 2 de junio de 2016:
http://www.bbc.com/news/technology-36434104.
¹¹ Para obtener más información sobre este tema, consulte la publicación del blog de Cisco Talos de julio de 2016, Siguiendo el rastro se revela la reorganización del software malicioso.
Los usuarios son dirigidos a los exploit kits de dos usuarios de Norteamérica, Europa, Asia-Pacífico y
formas principales: a través de sitios web no seguros Oriente Medio. El alcance global de la campaña y el
y a través de malvertising. Los adversarios colocarán uso de diversas lenguas son considerables.
un enlace en la página de inicio de un exploit kit en
un anuncio malicioso o una página web no segura, o ShadowGate, que utilizaba el sombreado de
bien empleará un enlace intermedio, conocido como dominios, se observó por primera vez a principios
agente. (Estos enlaces, que se posicionan entre de 2015. En ocasiones se mantenía sin actividad
páginas web no seguras y servidores de exploit kits, y después se volvía a iniciar de forma aleatoria
también se conocen como "puertas"). El agente para dirigir el tráfico a las páginas de inicio de los
actúa como intermediario entre la redirección inicial exploit kits. Inicialmente, ShadowGate se utilizaba
y el exploit kit real que propaga el contenido del únicamente para dirigir a los usuarios al exploit kit
malware a los usuarios. Angler. Pero después, cuando Angler desapareció
en verano de 2016, dirigía a los usuarios al exploit kit
La táctica más reciente está ganando popularidad ya Neutrino, hasta que este se desvaneció también, unos
que los atacantes se han dado cuenta de que deben meses después. (Para obtener más información sobre
moverse con más rapidez para mantener su espacio esta historia, consulte "La desaparición de los exploit
operacional y evitar ser detectados. Los agentes kits principales presenta oportunidades para agentes
permiten que los adversarios cambien rápidamente menores y nuevos aspirantes", en la página 20.)
de un servidor malicioso a otro sin cambiar de
redirección inicial. Puesto que no necesitan modificar A pesar de que ShadowGate experimentó un alto
constantemente las páginas web o los anuncios volumen de tráfico web, solo una fracción minúscula
maliciosos para desencadenar la infección, los de las interacciones consiguió dirigir a un usuario
operadores de los exploit kit pueden llevar a cabo a un exploit kit. Los anuncios maliciosos solían ser
campañas más largas. principalmente impresiones (anuncios que aparecen
en la página y que no requieren ninguna interacción
por parte del usuario). Este modelo de publicidad
ShadowGate: una campaña rentable
en línea permitía que los actores responsables de
A medida que se vuelven más difícil comprometer ShadowGate pudieran poner en marcha su campaña
la seguridad de grandes cantidades de usuarios a de un modo más rentable.
través únicamente de los vectores de ataque web
tradicionales (consulte la página 15), los adversarios Nuestra investigación de ShadowGate condujo a un
confían más en el malvertising para exponer a los esfuerzo conjunto con una empresa de alojamiento
usuarios a los exploit kits. Nuestros investigadores web principal. Trabajamos conjuntamente para
de amenazas doblaron una reciente campaña global mitigar la amenaza reclamando cuentas de usuarios
"ShadowGate" de malvertising. Esta campaña registrados que los adversarios habían utilizado para
ilustra cómo los anuncios maliciosos ofrecen a los alojar la actividad. A continuación, desmantelamos
adversarios más flexibilidad y oportunidades de todos los subdominios aplicables.
atacar a usuarios de distintas regiones geográficas a
escala. Para obtener más detalles sobre la campaña
de ShadowGate, consulte la publicación del
ShadowGate implicaba páginas web cuyo contenido blog de Cisco Talos de septiembre de 2016,
abarcaba desde cultura popular, retail y pornografía Desmantelamiento de ShadowGate: boicot a la
hasta noticias. Afectó potencialmente a millones de campaña global de malvertising.
La investigación revela que el 75 por ciento de las organizaciones se ven afectadas por
infecciones de adware
El adware, cuando se utiliza con fines legítimos, es un Hemos categorizado el adware en cuatro grupos, en
software que descarga o muestra publicidad a través función del comportamiento principal de cada componente:
de redirecciones, ventanas emergentes e inyectores
●● Inyectores de anuncios: este adware normalmente reside
de anuncios y genera ingresos para sus creadores. Sin en el navegador y puede afectar a todos los sistemas
embargo, los ciberdelincuentes también usan el adware operativos.
como una herramienta que les ayude a aumentar su flujo ●● Secuestradores de las configuraciones del navegador:
de ingresos. Hacen uso del adware malicioso no solo para este componente de adware puede cambiar la configuración
beneficiarse de la publicidad de inyección, sino también del ordenador para hacer que el navegador sea menos
como un primer paso para facilitar la implementación seguro.
de otras campañas de malware, como el malware ●● Utilidades: se trata de una gran categoría de adware en
DNSChanger. El adware malicioso se suministra a través de pleno crecimiento. Las utilidades son aplicaciones web que
paquetes de software; los publicadores crean un instalador ofrecen un servicio útil a los usuarios, como optimización
del PC. Estas aplicaciones pueden inyectar publicidad, pero
con una aplicación legítima vinculada a decenas de su objetivo principal es convencer a los usuarios para que
aplicaciones de adware malicioso. paguen por el servicio. Sin embargo, en muchos casos, las
utilidades son simplemente estafas y no ofrecen ningún
Los ciberdelincuentes utilizan el adware para: beneficio a los usuarios.
●● Inyectar publicidad, lo que puede provocar infecciones o una ●● Descargadores: este adware puede suministrar otro
mayor exposición a los exploit kits software, como una barra de herramientas.
●● Cambiar la configuración del navegador y el sistema Hemos determinado que el 75 por ciento de las
operativo para debilitar la seguridad
organizaciones de nuestro estudio se vieron afectadas por
●● Fracturar el antivirus u otros productos de seguridad infecciones de adware.
●● Obtener el control completo del host para poder instalar otro
software malicioso
●● Realizar un seguimiento de los usuarios según su
ubicación, identidad, servicios utilizados y lugares visitados Figure 12 Porcentaje
Figura 12 Percentagede of Organizations
organizaciones with
con
habitualmente infecciones
Adware de adware
Infections
●● Exfiltrar información como datos personales, credenciales e
información de infraestructura (por ejemplo, las páginas de
ventas internas de una empresa)
En los últimos 12 meses
Para evaluar el alcance del problema que supone el adware
para las empresas, los investigadores de amenazas de
>75%
Cisco examinaron 80 variantes diferentes de adware.
Alrededor de 130 organizaciones de mercados verticales
participaron en nuestra investigación, que tuvo lugar de
noviembre de 2015 a noviembre de 2016.
Compartir
La figura 13 muestra los tipos de incidentes que Todos los componentes de adware que hemos identificado
hemos observado en las organizaciones incluidas en durante nuestra investigación pueden suponer un riesgo de
nuestra investigación. Los inyectores de anuncios son la actividad maliciosa para los usuarios y las organizaciones.
principal fuente de infección. Esta conclusión indica que Los equipos de seguridad deben reconocer la amenaza
la mayoría de esas aplicaciones no deseadas centran que suponen las infecciones de adware y asegurarse de
su objetivo en los navegadores web. También hemos que los usuarios de la organización son completamente
observado un aumento de las infecciones basadas en el conscientes de los riesgos.
navegador durante los últimos años, lo que indica que
Para obtener información adicional sobre este tema,
los ciberdelincuentes están alcanzando el éxito con esta
consulte la publicación del blog de seguridad de Cisco de
estrategia de comprometer a los usuarios.
febrero de 2016 Brote de DNSChanger relacionado con la
base de instalación de adware.
Figure 13 Desglose
Figura 13 Breakdown of Total Incidents
de incidentes bycomponente
totales por Adware Component
de adware
2,0%
Porcentaje de usuarios infectados
1,5%
1,0%
0,5%
0
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Porcentaje de usuarios infectados por adware
60%
50%
40%
30%
20%
10%
0%
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Empresas de servicios públicos Secuestradores de las configuraciones del navegador Descargadores Inyectores de anuncios
Alemania
414K | 548K Rusia
343K | 352K
Francia
Estados Unidos 222K | 467K
1351K | 2046K Japón
China 194K | 286K
903K | 760K
Vietnam
México 990K | 1684K
214K | 495K
Brasil India
252K | 587K 254K | 1662K
Compartir
¹² Los bloques de conexión IP son mensajes de spam que se bloquean inmediatamente a través de una tecnología de detección de spam, puesto que el emisor de spam tiene una
puntuación de mala reputación. Los ejemplos incluyen mensajes que se han originado desde botnets de envío de spam o desde redes no seguras que son conocidas por participar en
ataques de spam.
El gráfico que representa un período de cinco años de spam observado en 2016. Este gráfico muestra el tamaño
Composite Blocking List (CBL), una "lista negra" basada en general de la lista SpamCop Block List (SCBL) desde
DNS de las infecciones informáticas sospechosas de envío noviembre de 2015 a noviembre de 2016. Cada fila de
de spam,¹³ también muestra un notable aumento en el SCBL representa una dirección IP distinta.
volumen total de spam a lo largo de 2016 (figura 15).
Entre noviembre de 2015 y febrero de 2016, el tamaño
Una revisión de datos de diez años de CBL (no mostrada) de SCBL estaba por debajo de las 200 000 direcciones IP.
sugiere que en 2016 el volumen de spam se ha aproximado En septiembre y octubre, el tamaño de SCBL superó las
a los niveles récord observados en 2010. Las nuevas 400 000 direcciones IP antes de su disminución en octubre,
tecnologías antispam y los desmantelamientos destacados lo que nuestros investigadores de amenazas atribuyen a un
de botnets relacionadas con spam han ayudado a mantener descanso de los operadores de Necurs. También se aprecia
unos niveles bajos de spam durante estos años. Nuestros una disminución significativa en junio. A finales de mayo, se
investigadores de amenazas atribuyen el reciente aumento en produjeron arrestos en Rusia relacionados con el troyano
el volumen de spam global a la botnet Necurs. Necurs es uno bancario Lurk (consulte la página 21). Posteriormente,
de los principales vectores del ransomware Locky. También numerosas amenazas destacadas, incluida Necurs,
distribuye amenazas como el troyano bancario Dridex. desaparecieron. Sin embargo, 3 semanas más tarde, Necurs
volvió a la acción añadiendo más de 200 000 direcciones IP
La figura 16 es un gráfico interno generado por el servicio a SCBL en menos de 2 horas.
SpamCop de Cisco que ilustra el cambio en el volumen de
3,5K
3K
2,5K
2K
1,5K
1K
0,5K
0
2012 2013 2014 2015 2016
Fuente: CBL
Figure 16 Tamaño
Figura 16 Overalltotal
SizedeofSCBL
SCBL
500k
400k
Filas
300k
200k
100k
0
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov
2015 2016
Fuente: SpamCop
Compartir
Muchas de las IP de host que enviaban spam de Necurs Los patrones con archivos .wsf durante 2016 (consulte
habían estado infectadas durante más de 2 años. Para la figura 17) proporcionan un ejemplo de cómo los
tratar de mantener el alcance general de la botnet oculta, adversarios evolucionan sus tácticas de spam malicioso
Necurs enviaba spam únicamente a un subconjunto de con el transcurso del tiempo. Este tipo de archivo rara
los hosts infectados. Un host infectado podía usarse entre vez se utilizó como archivo adjunto malicioso antes de
2 y 3 días e incluso, a veces, no podía volver a utilizarse febrero de 2016. A continuación, el uso de este tipo
durante 2 o 3 semanas. Este comportamiento complica de archivo comienza a crecer a medida que la botnet
el trabajo del personal de seguridad que responde a Necurs se vuelve más activa. En julio, los archivos de
los ataques de spam. Pueden llegar a pensar que han .wsf representaban el 22 por ciento de todos los archivos
encontrado el host infectado y lo han limpiado con éxito. adjuntos de spam malicioso. Esto también se produjo
Sin embargo, los agentes que se encuentran detrás de alrededor del periodo en el que la actividad global de spam
Necurs están haciendo tiempo hasta lanzar otro ataque. aumentó de forma drástica (consulte la sección anterior),
un incremento que se debió en gran medida a la botnet
El setenta y cinco por ciento del spam total observado en Necurs.
octubre de 2016 contenía archivos adjuntos maliciosos.
La mayor parte del spam había sido enviado por la En agosto, septiembre y octubre observamos fluctuaciones
botnet Necurs. (Consulte la figura 17.) Necurs envía los en los porcentajes de archivos .wsf. Esto indica que los
archivos adjuntos maliciosos de .zip que incluyen archivos ciberdelincuentes retrocedían cuando el tipo de archivo se
ejecutables integrados como descargadores JavaScript, detectaba con más frecuencia.
.hta, .wsf, y VBScript. Para el cálculo del porcentaje de
spam total que contiene archivos adjuntos maliciosos,
registramos tanto el archivo "contenedor" (.zip) como
Figure 17 Porcentaje
Figura 17 Percentagede of Total
spam Spam
total Containing
que contiene
los archivos "secundarios" integrados (como un archivo
JavaScript) con archivos adjuntos maliciosos individuales. Malicious Attachments
archivos adjuntos maliciosos
80%
Los atacantes experimentan con los tipos de archivos
adjuntos para mantener actualizadas sus campañas de Contiene archivos adjuntos maliciosos
spam malicioso Contiene archivos .hta maliciosos
Nuestros investigadores de amenazas examinaron cómo los
60%
ciberdelincuentes utilizan diferentes tipos de archivos adjuntos
Porcentaje del spam total
Jul
Ago
Sep
Oct
Nov
Dic
2016 Ene
Feb
Mar
Abr
Mayo
Jul
Ago
Sep
Oct
Jun
Jun
Figure 18Comparación
Figura 18 Comparisonde
oflos
Hailstorm
ataques and Snowshoe
de spam Spam yAttacks
tipo Hailstorm Snowshoe
50 000
25 000
0
16 18 20 22 24 26 28 30 2 4 6 8 10 12 14
Sep Oct
Consultas de DNS/hora
Compartir
Los adversarios también pueden evitar la detección de La figura 19 muestra las alertas principales de brotes de
contenido mutando el texto y usando distintos tipos de amenazas. Se trata de una descripción general de los
archivo. (Para obtener más información sobre cómo los mensajes de spam y suplantación de identidad observados
ciberdelincuentes desarrollan sus amenazas para eludir a los que los ciberdelincuentes actualizaban con frecuencia en
defensores, consulte la sección "Tiempo para evolucionar" 2016 para sobrepasar los controles y reglas de seguridad
de la página 34). Para obtener más información sobre cómo para el correo electrónico. Es importante saber qué tipos de
experimentan con archivos adjuntos maliciosos para el amenazas de correo electrónico son más frecuentes para
spam, consulte la sección anterior. tratar así de evitar el engaño de estos mensajes maliciosos.
Figura 19
Figure 19 Alertas principales
Top Threat de brotes
Outbreak de amenazas
Alerts
Fecha de
Identificador Nombre y URL Tipo de Archivo publicación
Versión de publicación de publicación Resumen de mensajes Adjunto Idioma más reciente
Pedido de compra,
74 38971 RuleID15448 .zip, .gz Inglés 08/08/2016
pago, recepción
Pedido, pago,
72 41513 RuleID18688 .zip Inglés 01/09/2016
seminario
Pedido de compra,
70 40056 RuleID6396 .rar Inglés 07/06/2016
pago, recepción
Una vez que la amenaza consigue su posición, instala una puerta trasera en un sistema de destino, lo que
otorga acceso permanente a los adversarios.
Riesgo de los mercados verticales de encontrarse con malware: los atacantes perciben el
valor en todos los ámbitos
En el Informe de ciberseguridad semestral de Cisco de 2016 Al centrarnos en los mercados verticales y sus tasas de
se menciona un mensaje clave sobre el riesgo del malware bloqueos a lo largo del tiempo (figura 21), observamos
que indica que "ningún mercado vertical está a salvo". que, en algún momento en el transcurso de los meses,
A juzgar por el análisis periódico de nuestros investigadores todos los sectores han estado relacionados con el tráfico
con respecto al tráfico de ataques ("tasas de bloqueos") y de ataques y a niveles variables. Es obvio que los ataques
el tráfico "normal" o esperado por sector, este mensaje ha no son estables, afectan a sectores verticales diferentes en
reflejado la realidad en la segunda mitad del año. momentos distintos, pero ninguno se libra de ellos.
Figure 21 Porcentaje
Figura 21 Percentage of Monthly
de las tasas de Vertical
bloqueo Block
verticalRates
mensuales
0% 0% 0% 0%
Contabilidad Agricultura y minería Automoción Aviación
0% 0% 0% 0%
Banca y finanzas Instituciones benéficas y ONG Educación Electrónica
0% 0% 0% 0%
Energía, petróleo y gas Ingeniería y construcción Entretenimiento Alimentos y bebidas
0% 0% 0% 0%
Gobierno Sanidad Calefacción, fontanería y aire acondicionado Industrial
0% 0% 0% 0%
Aseguradoras TI y telecomunicaciones Servicios jurídicos Fabricación
0% 0% 0% 0%
Medios de comunicación Farmacéutico y productos químicos Servicios profesionales Bienes inmuebles
y publicaciones y gestión del suelo
40% 40% 40% 40%
0% 0% 0% 0%
Minoristas y mayoristas Transportes y envíos Viajes y ocio Empresas de servicios públicos
Compartir
3,88 Alemania
0,94 Rusia
Francia 0,87
Canadá 2,11
1,47 Ucrania
Belice 1,54
1,07 Vietnam
Panamá 1,46 1,15 Venezuela
2,84 Indonesia
Perú 1,43
1,60 Australia
1,00 Turquía
Chile 0,83
Malasia 3,52
Rumanía 2,77
Compartir
Tiempo de detección: una métrica esencial para evaluar el progreso de los defensores
Cisco perfecciona constantemente nuestro enfoque para TTD promedio, sino también para estudiar la forma en que
evaluar el TTD de forma que podemos asegurarnos de que evolucionan las amenazas con el tiempo. Hay numerosas
estamos siguiendo e informando sobre los cálculos más amenazas que son especialmente esquivas y puede pasar
precisos de nuestro TTD promedio. Los ajustes recientes de mucho tiempo hasta identificarlas, aunque se conozcan en
nuestro enfoque han aumentado la visibilidad en archivos la comunidad de la seguridad.
que se clasificaban como "desconocidos" la primera
vez que se identificaban y después como "problemas Los hackers desarrollarán determinadas familias de
conocidos" tras repetidos análisis y observaciones globales. malware para evitar que los identifiquen y aumentar el
Con una perspectiva más holística de los datos, tenemos tiempo disponible para actuar. Esta táctica dificulta el
mayor capacidad para detectar la primera vez que surge progreso de los defensores para obtener un perímetro
una amenaza y el tiempo que les ha llevado a los equipos de y mantenerlo a la hora de detectar muchos tipos de
seguridad determinar que era una amenaza. amenazas conocidas. (Para obtener más información sobre
este tema, consulte la sección "Tiempo para evolucionar:
Esta nueva perspectiva nos ha ayudado a determinar que en algunas amenazas, el cambio es constante", página 34).
nuestro TTD promedio era de 39 horas en noviembre de Sin embargo, el hecho de que los ciberdelincuentes
2015. (Consulte la figura 23.) En enero de 2016 redujimos el desarrollen sus amenazas con frecuencia y rapidez indica
TTD promedio a 6,9 horas. Tras recopilar y analizar los datos que se enfrentan a una presión intensa y constante para
en octubre de 2016, nuestros investigadores de amenazas encontrar formas de las que dichas amenazas sigan
determinaron que los productos de Cisco habían alcanzado un funcionando y siendo rentables.
TTD promedio de 14 horas para el periodo de noviembre de
Figure 23 Median TTD by Month
2015 a octubre de 2016. (Nota: la figura del TTD promedio de
Figura 23 TTD medio por mes
2016 es la media de los promedios del periodo observado).
40
El TTD medio fluctuó en 2016 pero en general tendía 39,16
a la baja. Los aumentos del TTD promedio indican los
momentos en los que los ciberdelincuentes lanzaron una
30
nueva ola de amenazas. Los posteriores descensos reflejan
Horas medias
Dic
2016 Ene
Feb
Mar
Abr
Mayo
Jun
Jul
Ago
Sep
Oct
de TTD semestral, podemos señalar que el TTD disminuyó en
unas 9 horas en el periodo de mayo a octubre de 2016.
Cisco define "tiempo para la detección" o "TTD" (del inglés "Time To Detection") como el intervalo de tiempo
entre un compromiso y la detección de una amenaza. Este intervalo de tiempo se calcula usando telemetría de
seguridad opcional recopilada a partir de los productos de seguridad de Cisco implementados en todo el mundo.
Gracias a nuestra visibilidad global y a un modelo de análisis continuo, podemos medir desde el momento en que
se ejecute el código malicioso en un terminal hasta el momento en que se determine el carácter de amenaza en
todo el código malicioso no clasificado en el momento del encuentro.
TTE y TTD
Las seis familias de malware que hemos analizado en nuestro Las amenazas antiguas y generalizadas en las que los
estudio de TTE se muestran en la figura 24. El gráfico adversarios no se preocupan mucho o nada en su desarrollo
representa el TTD promedio de las 20 principales familias también suelen detectarse por debajo del TTD promedio.
de malware (por número de detecciones) que nuestros Algunos ejemplos son familias de malware como Bayrob
investigadores han estudiado desde noviembre de 2015 hasta (malware botnet), Mydoom (un gusano informático que
noviembre de 2016. Nuestra media de TTD promedio de ese afecta a Microsoft Windows) y Dridex (el troyano bancario).
periodo fue de unas 14 horas. (Para obtener más detalles
En las siguientes secciones, presentamos aspectos
sobre cómo calcular el TTD, consulte la página 33).
destacados sobre el TTE y el TTD de las familias de
Muchas de las familias de malware que los productos malware Locky, Nemucod, Adwind RAT y Kryptik. Los
de Cisco detectan en el TTD promedio son amenazas resultados detallados de Cerber y Dridex se incluyen en el
industrializadas que se propagan rápidamente y que, por apéndice de la página 78.
lo tanto, son más frecuentes. Un ejemplo de ello serían
Cerber y Locky, dos tipos de ransomware.
Figure 24Promedio
Figura 24 TTD Medians
de TTDofde
Top
las Malware Families
principales familias(Top 20 Families
de malware by Detection
(principales Count)
20 familias por recuento de
detección)
35
nemucod
Porcentaje de detecciones totales
30
25 bayrob
20
15
10
docdl
locky dridex
5 donoff
insight
fareit kryptik
mabezat adwind
mydoom cerber mamianune razy upatre
0 hancitor adnel zbot zusy
0 5 10 15 20 25 30 35 40 45 50
Compartir
100%
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Vectores únicos
doc y application/msword 75%
exe y application/msdownload
sin extensión y text/plain
exe y application/msdos-prog... 50%
xls y application/vnd.ms-excel
js y text/plain
zip y application/zip 25%
doc y text/plain
sin extensión y application/zip 0%
aspx y application/zip Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
jsp y application/zip 2015 2016
Porcentaje de volumen
lib y text/plain
sin extensión y application/dosexec
total de hash
Compartir
Horas medias
sigan siendo activas y eficaces. (La figura 24, analizada 80
60
anteriormente, muestra que los productos de Cisco
40
detectaron tanto el ransomware Locky como Cerber en el
20 7,1 5,9
TTD promedio en 2016). 4,7
0
La figura 27 muestra el TTD promedio del ransomware Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Locky, que se redujo drásticamente de unas 116 horas en
noviembre de 2015 a tan solo 5 horas en octubre de 2016. Fuente: Grupo de investigación de seguridad de Cisco
Análisis del TTE: Nemucod Una razón por la que el malware Nemucod estuvo tan
En 2016, Nemucod fue el malware detectado con mayor extendido en 2016, según nuestros investigadores
frecuencia de entre las 20 familias mostradas en la de amenazas, es que sus creadores modificaban con
figura 24. Los ciberdelincuentes utilizan este malware frecuencia esta amenaza. Cisco identificó más de
descargador para distribuir ransomware y otras amenazas 15 extensiones de archivos y combinaciones MIME
como troyanos de puerta trasera que facilitan el fraude por relacionadas con la familia Nemucod que se empleaban
clic. Algunas variantes de Nemucod también sirven como para distribuir el malware por la Eeb. Se utilizaban muchas
motores para distribuir el contenido del mismo malware. más combinaciones para distribuir la amenaza a los
usuarios a través del correo electrónico (figura 28).
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
aspxx y application/zip
100%
periodo hash < 24 horas
xls y application/zip
aspx y application/zip 75%
cgi y application/zip
wsf y text/html
sin extensión y application/archive 50%
html y application/archive
cgi y application/archive
js y text/x-makefile 25%
js y text/x-c
jsp y application/zip
sin extensión y text/html 0%
jse y text/plain Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
zip y application/archive 2015 2016
lib y text/plain
lib y text/x-makefile
lib y text/x-c
lib y text/x-pascal 50%
total de hash
gif y application/zip
jpg y application/zip
pdf y application/zip
25%
docx y application/zip
tiff y application/zip 0%
zip y application/x-rar
wrn y text/plain Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
wrn y text/x-c 2015 2016
wrn y text/x-pascal
vbs y text/plain
js y text/html Fuente: Grupo de investigación de seguridad de Cisco
tgz y application/x-gzip
wsf y application/xml Figure 30 TTD for the Nemucod Malware Family
docx y application/vnd.open...
doc y application/zip
Figura 30 TTD de la familia de malware Nemucod
rar y application/zip
php y application/javascript 85,0
zip y application/x-gzip 80
Horas medias
cab y application/vnd.ms-cab...
hta y text/html 60
asp y application/zip
40 46,3 21,8
cgi y audio/wav
13,9
hta y application/zip 20 7,3
0
Correo electrónico Web
Nov Dic Ene Feb Abr Apr Mayo Jun Jul Ago Sep Oct
2015 2016
Fuente: Grupo de investigación de seguridad de Cisco
Fuente: Grupo de investigación de seguridad de Cisco
100%
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores únicos
jar y application/java-archive 75%
jar y application/zip
jar y application/archive
zip y application/zip 50%
sin extensión y application/archive
sin extensión y application/zip 25%
class y application/x-java-applet
0%
Correo electrónico Web
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Fuente: Grupo de investigación de seguridad de Cisco
1,5%
total de hash
1%
Descargue los gráficos de 2017 en: 0,5%
www.cisco.com/go/acr2017graphics 0%
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
80 70,7
Horas medias
60
40
20 30,0 25,3 13,0
0 16,2
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Análisis del TTE: Kryptik En nuestro análisis de las seis familias de malware,
Kryptik, como el malware Adwind RAT, tenía un TTD descubrimos que los adversarios deben cambiar las
promedio que era sistemáticamente mayor (unas 20 horas) tácticas con frecuencia para aprovechar el pequeño
que otras familias de malware que Cisco analizó para el intervalo de tiempo durante el cual sus amenazas
estudio de TTE desde noviembre de 2015 hasta octubre de pueden actuar con eficacia. Estos ajustes indican que
2016 (figura 36). Sin embargo, en octubre, los productos los defensores están mejorando rápidamente en la
de Cisco redujeron el intervalo del TTD promedio del detección del malware conocido, incluso después de que
malware Kryptik a menos de 9 horas (figura 36). una amenaza haya evolucionado. Los atacantes están
sometidos a presión para encontrar nuevas formas de
La familia de malware Kryptik también utilizó una variedad más evitar la detección y mantener rentables las campañas.
amplia de periodos hash que las otras familias de malware
que analizamos, especialmente durante la primera mitad de En este complejo panorama caracterizado por su rápida
2016. La capacidad de los creadores de Kryptik para confiar evolución, donde todas las familias de malware se comportan
en hashes más antiguos durante tanto tiempo indica que a los de forma diferente, la experiencia humana y las soluciones
defensores les resultaba difícil detectar este tipo de malware. para momentos específicos no bastan para identificar y
responder rápidamente a las amenazas. Para mejorar el TTD
Durante el periodo observado, los creadores de y garantizar una remediación veloz cuando se produzcan
Kryptik emplearon una amplia variedad de métodos de las infecciones, es esencial una arquitectura de seguridad
propagación de contenido a través del vector de ataque integrada que ofrezca una perspectiva en tiempo real de las
en la Web. Los creadores utilizaron archivos JavaScript y amenazas, junto con la detección y la defensa automatizadas.
archivos de almacenamiento como los archivos .zip en las
extensiones de archivo y combinaciones MIME para la Web
y el correo electrónico. (Consulte la figura 34.) Algunas de Figure 35 Hash Ages for the Kryptik Malware
Figura
Family35andPeriodos
Percenthash de la Hash
of Total familiaVolume
de malware
las combinaciones datan de 2011.
Kryptik y porcentaje
Observed Per Month del volumen total de hash
observado por mes
Porcentaje de volumen Porcentaje de hashes Kryptik,
100%
periodo hash <24 horas
Figura 34
Figure 34 Extensión de archivos
File Extension y combinaciones
and MIME Combinations 75%
MIME de Kryptik (vectores de web
for Kryptik (Web and Email Vectors) y correo
electrónico) 50%
Mayo
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
25%
Jul
Vectores únicos
js y application/javascript
gif y image/gif 0%
jpg y image/jpeg Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
html y text/html 2015 2016
js y text/javascript
sin extensión y text/html
htm y text/html
total de hash
2%
php y text/html
ico y text/html
png y image/png 1%
zip y application/x-zip-comp...
0%
zip y application/zip
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
exe y application/msdownload
2015 2016
doc y application/msword
sin extensión y application/exe
sin extensión y application/zip Fuente: Grupo de investigación de seguridad de Cisco
js y text/plain
rar y application/x-rar
scr y application/x-dosexec
Figure 36 TTD for Kryptik Malware Family
exe y application/x-dosexec
jar y application/zip Figura 36 TTD de la familia de malware Kryptik
gif y text/html
sin extensión y application/archive 80
Horas medias
Figura
Figure37
37Número total de
Cumulative alertas
Annual acumuladas
Alert Totals anuales
9K
8K
7K
6380
6K 5976
5483
5K 4969
Alertas
4407
4K 3811
3K 2992
2193
2K
1327
1K
634
0
Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov Dic
174 162 28 25 10 8 5 3 3 3
Cisco emplea ahora clasificaciones de gravedad/impacto (SIR), en las que los niveles de clasificación son "crítico", "alto", "medio" y "bajo". Las
clasificaciones reflejan una priorización simplificada de puntuaciones a partir del Sistema de puntuación de vulnerabilidad común (CVSS). Además, Cisco ha
adoptado la versión 3.0 de CVSS, la sucesora de la versión 2.0. Debido a este cambio, algunas vulnerabilidades pueden tener puntuaciones más altas que
antes, por lo que los profesionales de la seguridad pueden ver un pequeño aumento en las vulnerabilidades clasificadas como "críticas" y "altas", frente a
"medias" y "bajas". Para obtener más información sobre este cambio de puntuación, lea la publicación del post de seguridad de Cisco, La evolución de la
puntuación de las vulnerabilidades de seguridad: la secuela.
Por supuesto, un descenso en las vulnerabilidades no Vulnerabilidad de ejecución del código remoto de 8 de febrero
corrupción de memoria de Adobe Acrobat y Acrobat Reader de 2016
debería dar paso a un exceso de confianza en el ámbito
de las amenazas; nadie debería adoptar la postura de que Vulnerabilidad de corrupción de memoria de 28 de julio
Adobe Acrobat y Acrobat Reader de 2016
la atención dedicada a las amenazas puede decaer, ni
siquiera en ausencia de vulnerabilidades destacadas. Vulnerabilidad de corrupción de memoria de 18 de julio
Adobe Acrobat y Acrobat Reader de 2016
Como hemos aconsejado en informes anteriores, los Vulnerabilidad de corrupción de memoria de 23 de junio
profesionales de la seguridad deberían hacer un esfuerzo Adobe Acrobat y Acrobat Reader de 2016
conjunto para dar prioridad a los parches. Si la falta de Vulnerabilidad de corrupción de memoria de martes, 24 de
personal y de otros recursos impide la instalación oportuna Adobe Acrobat y Acrobat Reader mayo de 2016
de todos los parches disponibles, evalúe cuáles son los Vulnerabilidad de corrupción de memoria de martes, 23 de
más importantes para la seguridad de la red y sitúelos en lo Adobe Acrobat y Acrobat Reader mayo de 2016
más alto de la lista de tareas pendientes.
Fuente: Grupo de investigación de seguridad de Cisco
20 12 10 9 11
Compartir
Las organizaciones pueden apostar a que el middleware Tiempo para aplicar parches: fin del marco
es seguro y pueden dedicar un mayor esfuerzo a actualizar
soluciones destacadas. Pero pueden perder la apuesta si
temporal de recuperación
piensan que los ciberdelincuentes no buscarán una entrada Muchos usuarios no descargan e instalan los parches
a las redes a través de estas rutas discretas. Por lo tanto, a tiempo. Los adversarios pueden utilizar estas
el middleware se convierte en un punto débil para los vulnerabilidades sin parches para ganar acceso a las
defensores y en una oportunidad para los atacantes. redes. En nuestra última investigación, descubrimos que
la clave para fomentar que los usuarios descarguen e
El reto de actualizar bibliotecas de middleware está
instalen parches puede encontrarse en la cadencia de las
estrechamente relacionado con los problemas del
actualizaciones de software de los proveedores.
software de código abierto (que se debatió en el Informe
de seguridad semestral de Cisco 2015), ya que muchas La aparición de un parche de seguridad es una clara señal
soluciones de middleware proceden de desarrolladores para los atacantes de que hay una vulnerabilidad que
de código abierto. (Sin embargo, el problema en merece la pena explotar. Aunque los atacantes sofisticados
cuestión puede afectar tanto a los desarrolladores de probablemente se hayan estado aprovechando de las
middleware patentado como a los de código abierto). vulnerabilidades durante algún tiempo, la notificación de un
Por lo tanto, es posible que las bibliotecas de middleware parche confirma a muchos otros que tienen vía libre en las
dependan de un gran número de desarrolladores para versiones anteriores.
que puedan mantenerse actualizadas. En la lista de
tareas que un equipo de TI o de seguridad sobrecargado Cuando los proveedores de software lanzan nuevas
necesita gestionar, las actualizaciones de la biblioteca versiones de acuerdo con un esquema periódico, los
de middleware probablemente no sean una prioridad usuarios se ven obligados a descargar e instalar las
importante, aunque deberían recibir mayor atención. actualizaciones. En cambio, cuando las versiones de las
actualizaciones de los proveedores son irregulares, es
¿Cuál es el posible impacto de una vulnerabilidad de menos probable que los usuarios las instalen. Continuarán
middleware que los ciberdelincuentes están explotando? utilizando soluciones obsoletas que pueden contener
Dadas las conexiones entre el middleware y otros sistemas vulnerabilidades explotables.
esenciales, como correo electrónico o mensajería, un
atacante puede moverse lateralmente por dichos sistemas Otros comportamientos que afectan al ciclo de
y enviar mensajes de suplantación de identidad o spam. actualizaciones son:
Asimismo, los atacantes pueden disfrazarse de usuarios
●● Lo molesto que sea el recordatorio
autorizados y aprovecharse de las relaciones de confianza
entre usuarios para disfrutar de un mayor nivel de acceso. ●● La facilidad con la que se cancela la suscripción
●● La frecuencia con la que se utiliza el software
Para evitar convertirse en víctima de un ataque lanzado a
través de una vulnerabilidad de middleware, debe: Hay ventanas de tiempo diferentes en las que los usuarios
suelen instalar una actualización cuando es el proveedor el que
●● Mantener de forma activa una lista de dependencias y
la lanza. Nuestros investigadores examinaron las instalaciones
bibliotecas conocidas en las aplicaciones que utiliza
de software en los terminales que utilizan nuestros clientes.
●● Supervisar de forma activa la seguridad de estas El software se clasificaba en tres categorías:
aplicaciones y reducir los riesgos todo lo posible
●● Introducir un acuerdo de nivel de servicio en los contratos ●● Versiones nuevas: el terminal ejecutó la última versión
con los proveedores de software para proporcionar los disponible del software
parches a tiempo ●● Versiones recientes: el terminal ejecutó una de las tres
●● Auditar y revisar de forma rutinaria las dependencias de versiones anteriores del software, pero no la última
software y el uso de la biblioteca ●● Versiones antiguas: el terminal ejecutó un software que
●● Pedir información a los proveedores de software acerca de estaba más de tres versiones por detrás de la versión actual
cómo mantener y probar sus productos
Por ejemplo, si un proveedor de software lanzó la versión
En resumen: los retrasos en la aplicación de parches aumentan 28 el 1 de enero de 2017, la versión 28 sería la nueva; la
el espacio operativo de los atacantes y les concede más versión 26 sería la reciente y la versión 23 sería la antigua.
tiempo para obtener el control de los sistemas críticos. En la (Las figuras de la página siguiente contienen los requisitos
siguiente sección, analizaremos este impacto y las tendencias de los periodos de tiempo semanales en los que se
en la aplicación de parches de soluciones comunes para lanzaron una o varias versiones del software).
aumentar la productividad, como navegadores web.
Al examinar a los usuarios de Adobe Flash (figura 42) Al analizar las actualizaciones para el navegador web Google
observamos que, en la primera semana de una versión Chrome, observamos otro patrón diferente. En este caso,
de actualización, casi el 80 por ciento de los usuarios refleja actualizaciones de forma periódica, así como una
instalaron la última versión del software. Es decir, tan solo política sólida para cancelar las suscripciones, lo que hace que
se necesita alrededor de una semana para que la población ignorar las notificaciones de actualizaciones resulte difícil para
de usuarios se ponga al día con la última versión. Este los usuarios. Como se muestra en la figura 42, los terminales
periodo de "recuperación" de una semana representa la que cuentan con la versión más reciente permanecen
puerta a las oportunidades de los hackers. relativamente estables a lo largo de varias semanas.
Al observar el cuarto trimestre de 2015 en el gráfico Los datos de Chrome muestran que los usuarios se recuperan
de Adobe Flash, podemos ver un fuerte descenso relativamente rápido. En el caso de las actualizaciones
en el número de usuarios que disponen de la versión periódicas, una semana es el plazo aproximado de
más reciente de la solución. En el periodo de tiempo recuperación. En un periodo de 9 semanas entre el
que analizamos, Adobe lanzó cinco versiones de Flash segundo y tercer trimestre de 2016, sin embargo, hubo
de manera sucesiva y rápida, lo que representa una siete actualizaciones. Durante este tiempo la población se
combinación de incorporaciones de funcionalidad, recuperó, pero el cansancio de las actualizaciones empezó
correcciones de errores y actualizaciones de seguridad. a instaurarse. El porcentaje de usuarios que permaneció con
Esta ráfaga de actualizaciones puede confundir a los una versión anterior aumentó de forma constante a pesar de la
usuarios. Es probable que se planteen por qué deben recuperación de la mayor parte de la población.
descargarse tantas actualizaciones; pueden cansarse
debido al número de notificaciones de actualizaciones El navegador Firefox de Mozilla también ofrece actualizaciones
y, además, pueden pensar que se han descargado según una programación periódica, pero el periodo de
una actualización fundamental e ignorar las nuevas recuperación tras el lanzamiento de una actualización
notificaciones. Independientemente de lo que provoque su parece tardar hasta un mes. En otras palabras, los usuarios no
falta de interés a la hora de instalar una actualización, se descargan e instalan las actualizaciones con tanta frecuencia
trata de una mala noticia para los defensores. como lo hacen los usuarios de Chrome. Uno de los motivos
podría ser que algunos usuarios no utilizan el navegador
con regularidad y, por tanto, no ven ni descargan las
actualizaciones. (Consulte la figura 43 en la página siguiente).
Adobe
Flash
Versiones 83% 67% 99% 94% 88%
63% 69% 67% 70% 68% 76% 77% 94% 88% 80% 88% 94% 94% 92% 82% 86%
obsoletas: 78% 93%
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
May. 2015
Google
Chrome
Versiones 97% 70% 95%
8% 63% 48% 87% 54% 94% 98% 94% 97%
obsoletas: 98% 54% 98% 97% 98%
Semana: 0 5 10 15 20 25 30 35 40 45 50 55
May. 2015
Compartir
Observamos que Firefox actualizó sus versiones actualizaciones después del lanzamiento de una versión.
aproximadamente cada dos semanas, y que la frecuencia En algún momento, hubo dos versiones en 5 semanas,
de las actualizaciones aumentó a lo largo del periodo de que afectaron a la población de usuarios durante más de
observación. Este aumento en la frecuencia se refleja 3 meses, como se puede ver entre el cuarto trimestre de
en el crecimiento de las versiones antiguas de Firefox 2015 y el primer trimestre de 2016.
en la población. El tiempo de recuperación es de,
aproximadamente, 1,5 semanas, pero los tiempos se Microsoft anunció el fin de ciclo de vida de Silverlight en
superponen. La población que intenta estar al día representa 2012, aunque los parches y correcciones de errores se
solo el 30 por ciento de la base de usuarios. En algún siguen lanzando. Sin embargo, plantea el mismo problema
momento, dos tercios de los usuarios han optado simplemente que Internet Explorer: el software obsoleto y sin parches
por ejecutar un navegador de más de cuatro versiones invita a los atacantes a explotarlo fácilmente.
anteriores a la más reciente. Por tanto, aunque Firefox
El periodo de recuperación de los usuarios de Java muestra
responde a los problemas y los corrige con rapidez, la base de
que la mayoría de versiones del software operativas están de
usuarios no se actualiza ni reinicia con la misma frecuencia.
una a tres versiones por detrás de la más reciente. El tiempo
Para el software, el nivel de uso también parece ser un de recuperación es de aproximadamente 3 semanas. Un
indicador de sus vulnerabilidades. Cuando los usuarios patrón inusual con Java es que las poblaciones dominantes
no acceden al software con frecuencia y, por tanto, no son aquellas que utilizan versiones recientes. El ciclo de
son conscientes de la necesidad de aplicar parches y actualización de Java es de 1 a 2 meses.
actualizarlo, el software ignorado proporciona espacio y
A grandes rasgos, lo que se concluye de los ciclos de
tiempo a los atacantes para que puedan actuar.
tiempo para aplicar parches es que los patrones de la
Podemos observar esto en la investigación sobre Microsoft versión de actualización son un factor determinante en la
Silverlight, que muestra un periodo de recuperación condición en materia de seguridad de los usuarios, lo que
de hasta 2 meses para que los usuarios instalen las puede poner en riesgo a las redes.
Firefox
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
May. 2015
Silverlight
Versiones 26% 88% 93% 91%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55
May. 2015
Java
Versiones 84% 99% 93% 99% 96% 91% 98% 97% 99% 98%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
May. 2015
Los profesionales de la seguridad quieren que sus aunque esa confianza parece estar reduciéndose un poco
organizaciones sean más seguras, pero de forma que responda desde los últimos años. En 2016, el 58 por ciento de los
al complejo panorama de los atacantes y a los esfuerzos de encuestados afirmó que su infraestructura de seguridad
sus adversarios para ampliar su espacio operativo. Numerosas estaba al día y que se actualizaba constantemente con
organizaciones dependen de muchas soluciones de varios las últimas tecnologías. El treinta siete por ciento afirmó
proveedores. Esta táctica se añade a la complejidad y la que sustituye o actualiza las tecnologías de seguridad
confusión de proteger las redes a medida que Internet no para periódicamente, pero que no está equipado con las mejores y
de crecer en términos de velocidad, dispositivos conectados y más recientes herramientas (figura 44).
tráfico. Las organizaciones deben centrarse en la simplicidad y Figure 44 Percentages of Security
la integración si quieren protegerse.
Professionals Who Feel
Figura 44 Porcentajes Their Securityde la
de profesionales
Infrastructure Is Up que
seguridad que creen to Date
su infraestructura de
Percepciones: los profesionales de la seguridad está actualizada
seguridad que confían en las herramientas,
menos seguros de utilizarlas de forma eficaz
La mayoría de profesionales de la seguridad creen que
cuentan con soluciones adecuadas y que sus infraestructuras
de seguridad están al día. Sin embargo, según nuestro
estudio, esta confianza esconde algo de incertidumbre. Estos
profesionales no siempre están seguros de contar con los Descrita como sustituida/
Descrita como actualizada a un ritmo regular
presupuestos y las capacidades necesarios para aprovechar muy actualizada No equipada con las
realmente la tecnología de la que disponen. La mejor tecnología disponible mejores y más recientes
herramientas
Las amenazas para las organizaciones proceden de todas
partes. Los adversarios son sagaces y creativos, y pueden ser 58% 37%
más inteligentes que las defensas. Incluso en este entorno 2016 (n=2912)
aleccionador, la mayoría de profesionales de la seguridad
confía en que su infraestructura de seguridad está actualizada,
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
20-29 13
Requisitos de certificación 25% 25%
30-39 8
Falta de personal formado 22% 25%
40-49 6
100-199 9 30 25 33
Compartir 2014 2015 2016
200+ 12
Figure 49Número
Figura 49 Numberdeof Security Professionals
profesionales by por
de la seguridad Sizetamaño
of Organization
de la organización
5%
5% 15%
7%
11%
20% 10% 33%
17%
14% 12% 7%
6%
21% 7% 12%
4%
10% 7% 22%
15% 16%
7% 17%
Segmento de medianas empresas Gran empresa Gran empresa (más de 10 000 empleados)
Compartir
7% 93%
que no experimentó que experimentó
ninguna alerta alguna alerta de
de seguridad seguridad
44% 56%
de alertas NO de alertas
investigadas investigadas
46%
de alertas legítimas
remediadas
28%
54% de las alertas
investigadas
de alertas legítimas
legítimas
NO remediadas
2016 (n=2796)
Si los objetivos de operacionalización no van por el El hecho de que casi la mitad de las alertas se queden
camino correcto, si no se obtiene la máxima eficacia de sin investigar debería despertar cierta inquietud. De
las herramientas y si la mano de obra no es sólida, el entre el grupo de alertas que no se remedian: ¿se trata
resultado es una seguridad quebrada. Los profesionales de amenazas de nivel inferior que simplemente difunden
de la seguridad están obligados a saltarse el paso de spam o, por el contrario, podrían derivar en un ataque
la investigación de las alertas simplemente porque no de ransomware o paralizar una red? Para investigar
cuentan con el talento, las herramientas o las soluciones y comprender mejor el panorama de amenazas, las
automatizadas disponibles para determinar cuáles son organizaciones deben confiar en la automatización,
críticas y por qué se producen. así como en soluciones correctamente integradas. La
automatización puede ayudar a conseguir recursos valiosos
Debido quizá a varios factores, como la falta de un sistema y a eliminar la carga que pesa sobre el equipo de seguridad
de defensa integrada o la falta de tiempo del personal, las en términos de detección e investigación.
organizaciones son solo capaces de investigar algo más
de la mitad de las alertas de seguridad que reciben en La incapacidad para ver tantas alertas plantea dudas
un día determinado. Como se muestra en la figura 52, el acerca del impacto sobre el éxito general de una
56 por ciento de las alertas se investigan y el 44 por ciento organización. ¿Cómo podrían afectar estas amenazas que
quedan sin investigar; de las alertas investigadas, un 28 por no han sido investigadas a la productividad, la satisfacción
ciento se consideran alertas legítimas. El cuarenta y seis del cliente y la confianza en la empresa? Tal y como nos
por ciento de las alertas legítimas se remedian. respondieron los encuestados, incluso las pequeñas
interrupciones de la red y violaciones de seguridad pueden
Para concretar aún más el problema, si una organización tener efectos a largo plazo en el resultado final. Incluso
registra 5000 alertas al día quiere decir que: cuando las pérdidas resultaban relativamente menores
●● 2800 alertas (56 por ciento) se investigan, mientras que
y los sistemas afectados se podían identificar y aislar de
2200 (44 por ciento) se quedan sin investigar manera relativamente sencilla, los líderes de seguridad
consideraban las brechas como significativas, debido a la
●● De las investigadas, 784 alertas (28 por ciento) son
presión que causaban a la organización.
legítimas, mientras que 2016 (72 por ciento) no lo son
●● De las alertas legítimas, 360 (46 por ciento) se remedian,
mientras que 424 (54 por ciento) se quedan sin remediar Compartir
Figura
Figure55
55Funciones
Functionscon másLikely
Most probabilidad de verse by
to Be Affected afectadas
a Publicpor una brecha pública
Breach
Compartir
El daño a las organizaciones va más allá del tiempo que Después de operaciones, las finanzas son las funciones
se necesita para hacer frente a una brecha o interrupción. con más posibilidad de verse afectadas (según el 30 por
Hay impactos reales e importantes que las empresas ciento de los encuestados), seguido de la reputación de
deben intentar evitar. la marca y la retención de clientes (ambas con un 26 por
ciento).
Como se observa en la figura 55, el 36 por ciento de
los profesionales de la seguridad afirmaron que las Ninguna organización que planea ampliar y triunfar quiere
operaciones eran las funciones con más posibilidad de estar en la posición de tener departamentos vitales
verse afectadas. Esto significa que los sistemas principales afectados por violaciones de seguridad. Los profesionales
de la productividad, que afectan a sectores como el de la seguridad deben observar los resultados de la
transporte, la atención sanitaria y la fabricación, pueden encuesta con un ojo puesto en su propia organización y
ralentizarse o incluso detenerse por completo. preguntarse: "Si mi organización sufre este tipo de pérdidas
debido a una brecha, ¿qué le sucedería a los negocios con
el tiempo?".
Descargue los gráficos de 2017 en: Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
www.cisco.com/go/acr2017graphics
Figure 56Porcentaje
Figura 56 Percentage of Business Opportunity
de oportunidades empresariales Figure 58Porcentaje
Figura 58 Percentage of Customers
de clientes Lost
perdidos porby
Lost as the Result from
perdidas como resultado deanunAttack
ataque Companies Due to Attacks
empresas debido a ataques
Perdió menos Perdió del Perdió del Perdió del Perdió del Perdió menos Perdió del Perdió del Perdió del Perdió del
del 20% 20 al 40% 40 al 60% 60 al 80% 80 al 100% del 20% 20 al 40% 40 al 60% 60 al 80% 80 al 100%
42% 39%
Experimentó una pérdida de oportunidades considerable Experimentó una pérdida de clientes considerable
(n=625) (n=641)
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
Compartir
Aumentaron la inversión en la
37% formación del personal de seguridad
Compartir
Reducción significativa Reducción parcial Mantenimiento en el mismo nivel Aumento ligero Aumento significativo
Compañías
Reguladores Inversores Pulse
aseguradoras
70% 69% 67% 60%
2016 (n=2912)
A medida que las organizaciones dan pasos para El 74 por ciento de los profesionales de la seguridad afirmó
fortalecer su condición en materia de seguridad, pueden que el escrutinio vendrá de líderes ejecutivos; el 73 por
esperar que se preste más atención a sus esfuerzos. ciento, de clientes y consumidores; y el 72 por ciento, de
Este escrutinio vendrá del público influyente y, por tanto, los empleados, como se muestra en la figura 62.
no se puede ignorar. La manera en la que se abordan
estas preocupaciones del público puede tener un impacto
significativo en la capacidad de la organización para
defenderse.
Sector
Seguridad en la cadena de valor: el éxito en el mundo digital depende de la mitigación del
riesgo de terceros
La seguridad de la cadena de valor es un elemento esencial ●● Desarrollar una arquitectura de seguridad flexible que pueda
para el éxito de una economía conectada. Garantizar que haya compartirse e implementarse con una variedad de terceros
una seguridad adecuada en todo lugar y en todo momento en en ese ecosistema
la cadena de valor (el ciclo de vida de extremo a extremo del ●● Evaluar si estos terceros funcionan con los niveles de tolerancia
hardware, software y servicios), es fundamental. establecidos por la arquitectura de seguridad de la organización
●● Estar alerta ante los nuevos riesgos para la seguridad que
Las ocho etapas de la cadena de valor se muestran en la pueda presentar el ecosistema a medida que aumenta la
figura 64. digitalización
La tecnología de la información y la tecnología de operaciones Las organizaciones deben pensar en la seguridad antes
convergen en este mundo digitalizado. No es suficiente de introducir un nuevo modelo de negocio o una oferta
que las organizaciones se centren solo en proteger sus que requiera una implicación por parte del ecosistema de
modelos de negocio, ofertas e infraestructuras internas. terceros, o que lo afecte. Cualquier posible ganancia de
Las organizaciones deben observar la cadena de valor de valor y productividad debe compararse con los riesgos
manera holística y analizar si cada tercero involucrado en potenciales, especialmente en lo referente a la protección
el modelo de negocio o que está en contacto con su oferta y privacidad de los datos.
pone en riesgo la seguridad.
La concienciación sobre la importancia de la cadena de valor
La respuesta breve es que es probable: investigaciones aumenta globalmente y en sectores específicos. La reciente
del Instituto SANS constataron que el 80 por ciento de las legislación de contratación de TI de EE. UU. exigía una
brechas de datos se debían a terceros.¹⁵ Para reducir el evaluación de 1 año por parte del Departamento de defensa
riesgo, las organizaciones deben fomentar una cadena de de EE. UU. en relación a los estándares tecnológicos en
valor donde la confianza no sea implícita y la seguridad es contrataciones para adquisiciones de tecnología de la
responsabilidad de todo el mundo. Como paso fundamental información y ciberseguridad.¹⁶ En el altamente convergente
para conseguir este objetivo, las organizaciones deben: sector energético, la Corporación de fiabilidad eléctrica
de Norte América (North American Electric Reliability
●● Identificar a los protagonistas del ecosistema de terceros y Corporation, NERC) está desarrollando activamente nuevos
comprender qué ofrecen requisitos que abarquen la cadena de valor.¹⁷
Diseño Planificación Fuente Realización Calidad Entrega Mantenimiento Fin de vida útil
Fuente: Cisco
Compartir
¹⁵ Combatting Cyber Risks in the Supply Chain (Combatir los ciberataques en la cadena de suministros), SANS Institute, 2015:
https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252.
¹⁶ Derecho público: 114-92 §
¹⁷ La comisión reguladora de energía federal estadounidense solicitó a NERC asignarse esta tarea, código 18 de regulaciones federales, parte 40 [expediente n.º RM15-14-002; pedido
n.º 829].
64 Sector
Informe de ciberseguridad anual de Cisco 2017
Las organizaciones, junto con los terceros, deben Los gobiernos de la era posterior a Snowden se han
responder a preguntas tales como, "¿Cómo se generan mostrado cada vez más insistentes en su deseo de
los datos y por quién?" y "¿Deben extraerse los datos regular las comunicaciones digitales y de acceder a los
digitalmente?" Para ver este tema con una mayor claridad datos cuando lo necesiten. Sin embargo, los usuarios se
se necesita encontrar las respuestas a preguntas como han mantenido igual de insistentes en su demanda de
"¿Quién posee los recursos digitales que recopilamos privacidad. Sucesos como la reciente disputa entre Apple
o creamos?" y "¿Con quién debemos compartir esa y el FBI sobre un iPhone que pertenecía a un terrorista no
información?" Otra pregunta fundamental que se debe han hecho nada más que aumentar las preocupaciones
responder es: "¿Quién tiene la responsabilidad y obligación de los usuarios sobre la privacidad. En todo caso, han
cuando se produce una brecha?" servido para poner frente a una generación de usuarios
digitales, especialmente en Estados Unidos, el cifrado de
Este enfoque centrado en la cadena de valor ayuda a extremo a extremo. Muchos usuarios demandan un cifrado
garantizar que las consideraciones de seguridad se de extremo a extremo a sus proveedores de tecnología, y
integren en cada fase del ciclo de vida de las soluciones. quieren conservar las claves de cifrado.
La arquitectura adecuada, combinada con el cumplimiento
de los estándares de seguridad apropiados, ayudará a Esto supone un cambio fundamental en el panorama de la
impulsar la seguridad generalizada y a crear confianza en ciberseguridad tal y como lo conocíamos. Las organizaciones
toda la cadena de valor. necesitarán diseñar sus entornos de modo que puedan
gestionar y responder a sus competitivas agendas.
65 Sector
Informe de ciberseguridad anual de Cisco 2017
Cifrado de alta velocidad: una solución escalable para la protección de los datos en tránsito
Tal como se explicaba en la sección geopolítica Otro enfoque observado de mayor tracción se basa
de la página 65, el cifrado de extremo a extremo en capacidades de cifrado integradas en una red
seguirá siendo un tema de debate y consternación o servicio en la nube para proteger los datos en
entre los gobiernos y el sector en el futuro cercano. tránsito. Esta es una evolución del modelo tradicional
Independientemente de cualquier tensión derivada de de gateway de VPN, una solución que aborda la
este problema, la demanda de cifrado de datos de naturaleza dinámica de las redes y las tasas de
extremo a extremo por parte del usuario con claves transmisión de alta velocidad del tráfico del Data
gestionadas por el cliente se encuentra al alza. Center. Las empresas emplean las eficiencias
operativas y de costes que ofrecen las nuevas
Los expertos geopolíticos de Cisco prevén que algunos
capacidades para proteger los datos provenientes de
flujos y conjuntos de datos probablemente seguirán
cualquier aplicación del entorno cuando se transfieren
estando encriptados con claves administradas por el
a gran velocidad a otra ubicación.
proveedor, al menos a corto plazo, particularmente
en los modelos de negocio impulsados por anuncios. Sin embargo, el cifrado basado en la red es
En otras circunstancias, sin embargo, esperaríamos únicamente una herramienta para proteger datos.
observar un mayor uso del cifrado de extremo a extremo Para garantizar la máxima implicación en la
con claves gestionadas por el usuario, por el contrario protección de los datos que están en tránsito o
encontramos la ausencia de un mandato legal. en reposo, las organizaciones deben concebir el
reto holísticamente. Un buen paso para comenzar
Mientras tanto, centrémonos en las organizaciones
consiste en plantear a los proveedores de tecnología
para buscar más control en el modo de protección
preguntas básicas pero fundamentales como:
de los datos que se encuentran en tránsito,
particularmente cuando se transfieren a gran ●● ¿Cómo se protegen los datos que se encuentran en
velocidad de un Data Center a otro. Hubo un tiempo tránsito?
en el que suponía una ardua tarea para las empresas, ●● ¿Cómo se protegen cuando están en reposo?
debido a las limitaciones de las tecnologías antiguas y ●● ¿Quién tiene acceso a los datos?
el impacto en el rendimiento de la red. Sin embargo,
●● ¿Dónde se almacenan los datos?
los nuevos enfoques están facilitando este proceso.
●● ¿Cuál es la política para eliminar datos, cuándo y si
Una solución consiste en implementar la seguridad en deben eliminarse?
la capa de aplicaciones, en la que estas mismas se
modifican para cifrar los datos. La implementación de Una vez más insistimos en que estas preguntas son
este tipo de seguridad puede requerir gran cantidad de solo el punto de inicio para establecer un diálogo más
recursos, presentar complejidad de implementación y amplio acerca de la protección de datos que debería
suponer altos costos operativos en función del número incluir posteriormente una discusión de temas como
de aplicaciones que una organización utilice. la resistencia y disponibilidad de los datos.
66 Sector
Informe de ciberseguridad anual de Cisco 2017
Figure 65Madurez
Figura 65 Security
deMaturity and yGrowth
la seguridad Rates
tasas de crecimiento
300%
250%
Porcentaje de crecimiento
200%
150%
100%
50%
0%
Australia Brasil Canadá China Francia Alemania India Italia Japón México Rusia Reino Estados Información
Unido Unidos general
Madurez de la seguridad Tráfico total Dispositivos Usuarios de Internet fijos Tráfico de Internet móvil Velocidad móvil
Fuente: grupo de investigación de seguridad de Cisco, Cisco VNI y estudio comparativo sobre capacidades de seguridad de Cisco 2017
Compartir
67 Sector
Informe de ciberseguridad anual de Cisco 2017
Determinados sectores también se retrasan en cuanto IP total cuando se adopte el 5G de manera general. El
a la madurez de la seguridad en comparación con otros tráfico móvil global supuso el 5 por ciento del tráfico IP
sectores, como se muestra en la figura 66. En concreto, total en 2015, según la previsión de VNI; se prevé que sea
los sectores farmacéutico, de atención sanitaria y de el 16 por ciento del tráfico IP total en el año 2020.
transporte están por detrás de otros sectores.
Sin duda alguna las organizaciones de seguridad deben
Es importante tener en cuenta que el gran aumento en avanzar en sus esfuerzos de madurez rápidamente, si
las velocidades móviles es el resultado de una amplia desean adaptarse al crecimiento del tráfico de Internet,
adopción de redes 4G y LTE por parte de los proveedores que augura un crecimiento en la posible superficie de
de telecomunicaciones. Cuando las implementaciones ataque. Además, las organizaciones deben responder ante
a gran escala de redes 5G estén disponibles al final de el crecimiento del uso de terminales que no estén fijos
esta década, se espera que las velocidades móviles sean o conectados a las redes corporativas. También deben
comparables a las velocidades de redes fijas. Según adaptarse a un uso más extendido de los dispositivos
la previsión actual del VNI móvil, el tráfico móvil global personales desde los que los trabajadores acceden a los
probablemente obtendrá una mayor proporción del tráfico datos corporativos.
5 4 7 14 5
36 29
30 31 39 30
39 27
48
31
18 27 29
29 23
9 5 3 5 5
30 32 30
30 42 24 38 33
38
39
21 27
34 28 24
68 Sector
Informe de ciberseguridad anual de Cisco 2017
Figure 67Madurez
Figura 67 SecuritydeMaturity by Country
la seguridad por país
4 4 7 5 5
28 28
41 25 25 34
41 31 36 Reino 38
EE. UU. Brasil Alemania Italia Unido
29 30 31 29
28
5 13 3 7 4
31 31 17
35 21
31
Australia China 47 India Japón
32 47 México
35
31 26
34 21 26
4 6 7
32 33
39 30
35
Rusia Francia Canadá 36
27 26 23
La mayor velocidad no es el único factor que impulsa el Para obtener más información sobre Cisco VNI Forecast,
crecimiento del tráfico de Internet. El IoT está haciendo que visite el sitio Web de Cisco o lea la publicación del blog de
el número de dispositivos conectados a Internet crezca a Cisco sobre la previsión anual de VNI para el periodo de
un ritmo más rápido, no solo contribuye al crecimiento del 2015 a 2020.
tráfico, también crea rutas posibles para los atacantes.
69 Sector
Conclusión
Informe de ciberseguridad anual de Cisco 2017
Conclusión
Una superficie de ataque de rápida expansión requiere un enfoque interconectado e
integrado en torno a la seguridad
Al analizar los datos con el estudio comparativo sobre ●● Política: la política está estrechamente ligada a la
capacidades de seguridad de Cisco (consulte la página 49), mitigación. Controlar los derechos de acceso a las redes, los
podemos examinar los patrones y las decisiones que ayudan sistemas, las aplicaciones, las funciones y los datos afectará
a las organizaciones a minimizar el riesgo. De este modo en la capacidad para mitigar el daño causado por violaciones
de la seguridad. Además, las políticas para garantizar una
podemos ver en qué puntos deberían invertir en seguridad
revisión periódica de las prácticas de seguridad ayudarán a
para que puedan obtener una diferencia importante en prevenir ataques.
lo referente a la exposición al riesgo. Medimos el riesgo
observando la duración de las brechas además de los ●● Protocolos: los protocolos adecuados pueden ayudar a
prevenir y detectar brechas, pero también están muy ligados
porcentajes de interrupciones del sistema (consulte la figura
a la mitigación. En concreto, las revisiones periódicas de las
53 en la página 55 sobre la duración de las brechas y los actividades de conexión de las redes para garantizar que
sistemas afectados). las medidas de seguridad funcionan son clave tanto para la
prevención como la mitigación. También resulta beneficioso
Para entender cómo las organizaciones crean mecanismos revisar y mejorar las prácticas de seguridad de forma
de seguridad eficaces frente a los riesgos, tenemos que periódica, formal y estratégica con el paso del tiempo.
examinar cuáles son los impulsores que intervienen en
●● Herramientas: la aplicación correcta y acertada de
su capacidad para prevenir, detectar y mitigar el riesgo.
las herramientas es lo que está más relacionado con la
(Consulte la figura 68.) Los impulsores deben incluir los mitigación. Con la disposición de herramientas, los usuarios
siguientes elementos: pueden revisar y proporcionar comentarios vitales para la
detección, la prevención y también la mitigación.
●● Liderazgo ejecutivo: los líderes principales deben
priorizar la seguridad. Esto es fundamental para mitigar y
prevenir los ataques. El equipo ejecutivo también debería
disponer de unas métricas claras y establecidas para evaluar
la eficacia de un programa de seguridad.
Figura
Figure68
68Impulsores y mecanismos
Drivers and Safeguardsde
forseguridad para
Minimizing minimizar el riesgo
Risk
Factores clave Mecanismos de seguridad
Miden la influencia de la política, el liderazgo Miden la influencia de la capacidad
ejecutivo, los protocolos y las herramientas de la empresa para prevenir,
en la capacidad de la empresa para prevenir, detectar y mitigar los efectos de
detectar y mitigar los efectos de una brecha una brecha en riesgo
Ejecutivos
Impedir
Política
Detectar Riesgo minimizado
Protocolos
Mitigar
Herramientas
71 Conclusión
Informe de ciberseguridad anual de Cisco 2017
Los mecanismos de seguridad utilizados por las ●● Mitigación: contar con unos procesos y procedimientos
organizaciones (prevención, detección y mitigación) se bien documentados para la respuesta ante incidentes y
pueden considerar como medidas que influyen en la realizar un seguimiento de los mismos es clave para una
capacidad de una organización para minimizar el riesgo. mitigación eficaz de las brechas. Las organizaciones también
(Consulte la figura 68.) necesitan protocolos sólidos para gestionar su respuesta a
las crisis.
Estos mecanismos de seguridad deben incluir los Todos estos impulsores y mecanismos de seguridad están
siguientes elementos: interconectados y son independientes. Los profesionales
●● Prevención: para minimizar el impacto de las violaciones
de la seguridad no pueden simplemente manipular un par
de la seguridad, los empleados deben notificar si encuentran de impulsores y uno o dos mecanismos de seguridad y
fallos y problemas de seguridad. También es primordial que pensar que han solucionado un problema de seguridad.
los procesos y procedimientos de seguridad sean claros y se Necesitan cada impulsor y cada mecanismo de seguridad.
entiendan bien. Los equipos de seguridad deben analizar dónde se
●● Detección: los mejores métodos de detección para
encuentran sus debilidades (por ejemplo, escaso respaldo
minimizar el impacto de las brechas son aquellos que por parte de los líderes o falta de herramientas para mitigar
permiten a las organizaciones detectar debilidades en el las brechas) y calcular dónde debe invertirse en seguridad.
ámbito de la seguridad antes de que sean incidentes en
toda regla. Para ello, es fundamental disponer de un buen
sistema de categorización de la información relacionada con
el incidente.
72 Conclusión
Informe de ciberseguridad anual de Cisco 2017
73 Conclusión
Informe de ciberseguridad anual de Cisco 2017
Acerca de Cisco
Cisco proporciona ciberseguridad inteligente para Nuestra infraestructura y nuestros sistemas sofisticados
el mundo real, ya que ofrece una de las carteras de emplean estos datos de telemetría para ayudar a los
soluciones de protección contra amenazas más amplia investigadores y los sistemas de aprendizaje mediante
del sector para el conjunto más grande de vectores de máquinas a llevar a cabo un seguimiento de las amenazas
ataque. El planteamiento para afrontar la seguridad de en las redes, los Data Centers, los terminales, los
Cisco, práctico y centrado en las amenazas, reduce dispositivos móviles, los sistemas virtuales, la Web, los
la complejidad y fragmentación, al mismo tiempo correos electrónicos y la nube con el fin de identificar las
que proporciona una excelente visibilidad, controles causas principales y determinar el alcance de los brotes.
homogéneos y protección frente a amenazas avanzadas La información que se obtiene se convierte en protección
antes y después de un ataque, así como durante este. en tiempo real para nuestras ofertas de servicios y productos,
que se presta de inmediato a clientes de Cisco en todo el
Los investigadores de amenazas del ecosistema de
mundo.
inteligencia de seguridad colectiva de Cisco (CSI) aportan,
bajo un mismo marco, la inteligencia de amenazas líder del Si desea obtener más información acerca del enfoque
sector mediante el uso de datos de telemetría extraídos centrado en las amenazas para la seguridad de Cisco,
de la amplia gama de dispositivos y sensores, de fuentes visite www.cisco.com/go/security.
públicas y privadas, y de la comunidad de código abierto.
Gracias a esto, se registran diariamente datos de miles
de millones de solicitudes web y millones de correos
electrónicos, así como muestras de malware e intrusiones
en la red.
74 Acerca de Cisco
Informe de ciberseguridad anual de Cisco 2017
75 Acerca de Cisco
Informe de ciberseguridad anual de Cisco 2017
76 Acerca de Cisco
Apéndice
Informe de ciberseguridad anual de Cisco 2017
Apéndice
Estudio comparativo sobre capacidades de seguridad de Cisco 2017
Figure 69Estudio
Figura 69 Surveycomparativo
Capabilitiessobre
Benchmark Study
capacidades de la encuesta
Energía/Servicios 4%
públicos 3%
7%
16%
Sector no clave 27%
21% 2016 (n=2912) 2015 (n=2432) 2014 (n=1738)
78 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 70Número
Figura 70 Numberdeof Dedicated Security
profesionales Professionals
de la seguridad dedicados
30-39 8% 9% 8%
40-49 4% 4% 6%
100-199 9% 9% 9%
Percepciones
Figura 71
Figure 71 LaMajority
mayoríaof
deSecurity
los profesionales de la seguridad
Professionals creenInfrastructure
Feel Security que la infraestructura
Is Up tode seguridad está
Date
actualizada
¿Cómo describiría su infraestructura de seguridad?
79 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 72Porcentajes
Figura 72 Percentages of Security Professionals
de profesionales de la seguridad que consideran varias herramientas de seguridad como
Who Perceive Various Security Tools to Be Highly Effective
muy efectivas
Permiso para aplicar políticas de seguridad 2% <1% 28% 49% 22% 71%
Permiso para evaluar riesgos de seguridad potenciales 2% <1% 28% 49% 20% 69%
2016 (n=2912)
Nada No muy Algo Muy Extremadamente % Muy eficaces +
Gráfico redondeado al
eficaces eficaces eficaces eficaces eficaces Extremadamente eficaces
número entero más cercano
2016 1% 4% 37% 59% 96% 1% 4% 41% 55% 96% 1% 4% 43% 53% 96%
2015 1% 4% 35% 61% 96% 1% 4% 36% 58% 95% 1% 4% 40% 55% 95%
2014 2% 4% 32% 63% 94% 2% 5% 35% 58% 94% 2% 4% 36% 57% 93%
2016 (n=2912)
2015 (n=2432) Totalmente en desacuerdo En desacuerdo De acuerdo Totalmente de acuerdo % De acuerdo + Totalmente de acuerdo
2014 (n=1738)
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 51% 94%
80 Apéndice
Informe de ciberseguridad anual de Cisco 2017
2016 0% 4% 42% 53% 96% 0% 4% 41% 55% 95% 0% 4% 43% 53% 95%
2015 1% 4% 40% 56% 96% 1% 3% 40% 56% 96% 1% 3% 39% 57% 96%
2014 1% 4% 38% 56% 95% 1% 5% 37% 57% 94% 2% 4% 36% 58% 94%
Podemos aumentar los controles de La seguridad está bien integrada en los Nuestras tecnologías de seguridad
seguridad de los recursos de gran valor, objetivos y las capacidades empresariales están bien integradas para que
si así lo requieren las circunstancias de la organización funcionen de un modo eficaz juntas
2016 0% 4% 45% 51% 95% 1% 4% 40% 55% 95% 0% 5% 42% 53% 95%
2015 1% 3% 41% 56% 96% 1% 4% 40% 56% 96% 1% 4% 43% 52% 95%
2014 1% 5% 40% 54% 94% 2% 5% 36% 58% 94% 2% 5% 38% 56% 93%
2016 0% 5% 41% 53% 95% 0% 5% 46% 49% 95% 1% 7% 49% 43% 92%
2015 1% 4% 40% 56% 96% 1% 4% 44% 52% 95% 1% 8% 46% 45% 91%
2014 2% 5% 38% 55% 93% 1% 5% 40% 53% 93% 2% 9% 43% 46% 89%
2016 (n=2912)
2015 (n=2432) Totalmente en desacuerdo En desacuerdo De acuerdo Totalmente de acuerdo % De acuerdo + Totalmente de acuerdo
2014 (n=1738)
81 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Limitaciones
Figure 77Número
Figura 77 Number deof Security Vendors
proveedores de seguridad Figure 78Número
Figura 78 Number deof Securityde
productos Products
seguridad
utilizados según el tamaño de
Used by Size of Organization la organización Used by Size
utilizados ofelOrganization
según tamaño de la organización
Gran
Gran ¿Cuántos productos de Mediana Empresa empresa
¿Cuántos proveedores de Mediana Empresa empresa seguridad diferentes empresa (1000- (más de
seguridad diferentes (es decir, empresa (1000- (más de coexisten en su entorno (250-1000 10 000
marcas, fabricantes) coexisten (250-1000 10 000 10 000
10 000 de seguridad? empleados) empleados)
en su entorno de seguridad? empleados) empleados) empleados) empleados)
Organizaciones totales 1435 1082 333 Más de 100 0,8% 1,9% 5,4%
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 Organizaciones totales 1442 1084 334
82 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 79Disminución
Figura 79 Year-over-Year Decrease
año tras of Securityde
año del presupuesto Budget Coming
seguridad Within
dentro IT Budget de TI
del presupuesto
¿El presupuesto de seguridad forma parte del presupuesto de TI?
(Miembros del departamento de TI) 2014 (n=1673) 2015 (n=2374) 2016 (n=2828)
Completamente independientes 6% 9% 9%
Figure 80Disminución
Figura 80 Year-over-Year Decrease
año tras of Security
año del gasto Spend
en seguridad as aproporción
como Proportion ofpresupuesto
del the IT Budget
de TI
Gasto del presupuesto de TI en seguridad como una función 2014 (n=1673) 2015 (n=2374) 2016 (n=2828)
0% 7% 9% 10%
1-5% 4% 3% 4%
51% o más 5% 4% 2%
83 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Impactos
Figure 81Porcentajes
Figura 81 Percentages ofpérdida
de la Organization's
de oportunidades Figure 82
Figura 82 Porcentajes
Percentagesdeof
laOrganization's
pérdida de ingresos
Opportunities Lost
de la organización as aresultado
como Result ofde
Attacks
los ataques Revenue
de Lost as acomo
la organización Result of Attacks
resultado de los ataques
Alguna, pero menos del 20% 58% Alguna, pero menos del 20% 62%
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
Figure 83Porcentajes
Figura 83 Percentages ofpérdida
de la Organization's
de clientes de la
Customers Lost as a Result
organización como resultado deoflos
Attacks
ataques
Ninguna (0%) 1%
Todas (100%) 1%
84 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Resultados
Figure 84Porcentajes
Figura 84 Percentages of Organizations
de organizaciones queRelying on de
dependen Outsourcing
la subcontratación
¿Qué servicios
de seguridad se 2014 2015 2016 ¿Porqué se subcontratan 2015 2016
subcontratan? (n=1738) (n=2432) (n=2912) estos servicios? (n=2129) (n=2631)
Asesoramiento
51% 52% 51% Rentabilidad 53% 52%
y consultoría
Deseo de una perspectiva
Auditoría 41% 47% 46% totalmente objetiva 49% 48%
Inteligencia de
N/D 39% 41% Falta de recursos internos 31% 33%
amenazas
Ninguno/Todos
21% 12% 10%
internos
Figure 85Porcentajes
Figura 85 Percentages ofseguridad
de la Organization's
de la
Security Reliant Upon Third-Party Vendors
organización supeditada a proveedores externos
Ninguna (0%) 4%
Todas (100%) 1%
Personal de seguridad de TI
(n=2595)
85 Apéndice
Informe de ciberseguridad anual de Cisco 2017
¿Qué servicios de seguridad se subcontratan? Mediana empresa (n=1459) Gran empresa (n=1102) Grandes empresas (n=351)
Figure 87Orígenes
Figura 87 Sourcesdeofmayor
Increased Scrutiny
escrutinio
2016 (n=2912)
Gráfico redondeado Nada No muy Algo Muy Extremadamente % Muy escudriñado +
al número entero escudriñado escudriñado escudriñado escudriñado escudriñado Extremadamente escudriñado
más cercano
86 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 88Aumento
Figura 88 IncreasedeoflaOff-Premises PrivateyCloud
nube privada externa and Third-Party
el alojamiento Managedpor
local administrado On-Premises
terceros Hosting
Dónde se alojan las redes 2014 (n=1727) 2015 (n=2417) 2016 (n=2887)
No Sí
Director de seguridad 53%
2016 52%
8% 92%
(n=2754) (CSO) 53%
Director de tecnología 8%
8%
(CTO) 9%
Director de riesgo y 4%
cumplimiento (CRO) o (CCO) N/D
N/D
Director de operaciones 3%
2%
(COO) 4%
1%
Otro cargo 1%
1%
87 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 90 Percentage of Companies That Have a Formal Organization-Wide Security Strategy and
Figura
Follow 90 PorcentajesSecurity
Standardized de empresas
Policyque cuentan con una estrategia de seguridad formal para el conjunto
Practices
de la organización y que siguen procedimientos y políticas estandarizadas de seguridad
Estándares de seguridad Práctica de la política de seguridad estandarizada
2016 1% 4% 38% 58% 96% <1% 4% 40% 55% 96% 1% 4% 43% 52% 95%
2015 1% 4% 33% 62% 95% 1% 4% 39% 57% 95% 1% 5% 40% 55% 94%
2014 3% 5% 32% 61% 92% 3% 6% 36% 56% 91% 3% 5% 39% 53% 92%
Los procesos de seguridad de mi organización Los procesos de seguridad de mi Mi organización ha optimizado sus
nos permiten, de forma proactiva, anticiparnos a organización se miden y controlan procesos de seguridad y ahora se
los posibles problemas de seguridad y mitigarlos mediante datos cuantitativos centra en su mejora
2016 1% 4% 43% 53% 96% 1% 4% 45% 50% 95% 1% 4% 43% 52% 95%
2015 1% 4% 43% 53% 95% 1% 4% 42% 53% 95% 1% 4% 42% 53% 95%
2014 3% 7% 38% 53% 91% 3% 6% 37% 54% 91% 3% 5% 39% 53% 92%
2016 (n=2912)
2015 (n=2432) Totalmente en desacuerdo En desacuerdo De acuerdo Totalmente de acuerdo % De acuerdo + Totalmente de acuerdo
2014 (n=1738)
88 Apéndice
Informe de ciberseguridad anual de Cisco 2017
2016 <1% 3% 41% 55% 97% <1% 4% 40% 56% 96% <1% 4% 41% 55% 96%
2015 1% 3% 38% 59% 97% 0% 4% 38% 57% 96% 1% 4% 40% 56% 96%
2014 2% 4% 33% 61% 94% 2% 3% 35% 60% 95% 2% 4% 36% 57% 94%
2016 <1% 4% 40% 56% 96% <1% 4% 43% 53% 96% <1% 4% 43% 52% 96%
2015 1% 3% 37% 60% 97% 1% 4% 42% 54% 96% 1% 3% 41% 56% 96%
2014 2% 5% 35% 59% 93% 2% 5% 35% 58% 93% 2% 4% 38% 56% 94%
2016 <1% 4% 44% 51% 95% 1% 5% 45% 49% 94% 1% 6% 43% 51% 94%
2016 (n=2912)
2015 (n=2432) Totalmente en desacuerdo En desacuerdo De acuerdo Totalmente de acuerdo % De acuerdo + Totalmente de acuerdo
2014 (n=1738)
89 Apéndice
Informe de ciberseguridad anual de Cisco 2017
2016 <1% 4% 42% 53% 95% <1% 4% 42% 53% 95% 1% 5% 43% 52% 95%
2015 1% 4% 42% 54% 96% 1% 5% 41% 54% 95% 1% 4% 42% 53% 95%
2014 2% 5% 37% 56% 94% 1% 6% 38% 54% 93% 2% 5% 43% 51% 94%
Disponemos de un buen sistema para Disponemos de procesos eficaces para Nos regimos por estándares de respuesta
clasificar la información relacionada con interpretar y priorizar los informes de ante incidentes como RFC2350,
los incidentes incidentes recibidos, así como comprenderlos ISO/IEC 27035:2011 o U.S. Cert
2016 <1% 4% 44% 51% 96% <1% 4% 45% 50% 96% 1% 6% 44% 50% 93%
2015 1% 4% 43% 53% 96% 1% 5% 43% 52% 95% 1% 6% 44% 49% 93%
2014 2% 5% 40% 54% 93% 2% 5% 42% 51% 93% 2% 8% 41% 49% 90%
2015 N/D
2014 N/D
2016 (n=2912)
2015 (n=2432) Totalmente en desacuerdo En desacuerdo De acuerdo Totalmente de acuerdo % De acuerdo + Totalmente de acuerdo
2014 (n=1738)
Figura
Figure94
94Administración
Managementyandeficacia de las
Efficacy oftecnologías de seguridad
Security Technologies
¿Cuáles son las tecnologías de seguridad que ¿Cuáles son las tecnologías de
requieren más tiempo y suponen mayor dificultad seguridad más eficaces utilizadas
para la administración por parte del personal? por la organización?
(Menciones superiores al 10 %) 2016 (n=2895) 2016 (n=2895)
90 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 95Uso
Figura 95 Year-over-Year Use
año tras año de of Security
la defensa Threat
frente Defense
a amenazas de seguridad
Defensas frente Defensas Defensas frente Defensas
a amenazas de proporcionadas a amenazas de proporcionadas
seguridad que por servicios seguridad que por servicios
emplea cada basados en emplea cada basados en
organización la nube* organización la nube*
91 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 96Importancia
Figura 96 Extent ThatdeCustomer Protection
la protección Factors
del cliente into Security
en la toma Decision-Making
de decisiones sobre seguridad
2016 (n=2878)
Gráfico redondeado En absoluto No mucho Algo Mucho Extremadamente % Mucho +
al número entero Extremadamente
más cercano
Riesgos y vulnerabilidades
Figure 97Mayores
Figura 97 IT Security Personnel's
fuentes Biggestdel
de preocupación Sources ofde
personal Concern Related
seguridad to relación
de TI en Cyber Attacks
con los ciberataques
2016 (n=2912)
Gráfico redondeado
Sin riesgo Riesgo leve Riesgo moderado Riesgo alto % Riesgo moderado + Riesgo alto
al número entero
más cercano
92 Apéndice
Informe de ciberseguridad anual de Cisco 2017
¿Dónde emplean los equipos de seguridad la mayoría de su esfuerzo? 23% 29% 47%
93 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure100
Figura 100Porcentajes
Percentages of Security
de alertas Alerts That
de seguridad que Are Investigated
se investigan or Remediated
o remedian
que no ha experimentado
7% una alerta de seguridad
de alertas observadas
56% investigadas
Menos de 5K 50%
50K–100K 8%
1-2 semanas 5%
De 3 semanas a un mes 3%
De 1 mes a 3 meses 1%
1 año o más 0%
94 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 102Grupos
Figura 102 Groups Notified
a los que seinnotifica
the Event of an
cuando seIncident
produce un incidente
31% 23%
Recursos Humanos 33% Relaciones públicas 24%
36% 28%
Figure103
Figura 103KPI
KPI's Used por
utilizados by Organizations to para
las organizaciones
evaluar
AssesselSecurity
rendimiento de la seguridad
Performance
2016 (n=2912)
Tiempo para detectar (p. ej., tiempo desde el que
59%
la amenaza entra en el entorno hasta su detección)
Tiempo para la aplicación de parches (p. ej., tiempo
52%
desde la publicación del parche hasta su implementación)
Tiempo para contener (p. ej., tiempo desde la
44%
detección hasta la contención/cuarentena)
Tiempo para remediar (p. ej., tiempo desde la
30%
cuarentena hasta volver a ser operativos)
95 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 105Uso
Figura 105 Year-over-Year
año tras año delUse of Process
proceso to Eliminate
para eliminar la causathe
de Cause of Security
los incidentes Incidents
de seguridad
Procesos para eliminar la causa de los incidentes de seguridad 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
96 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 106Uso año tras año del proceso para restaurar los sistemas afectados
Figura 106
Procesos para restaurar sistemas afectados 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
Restauración a partir de una copia de seguridad previa al incidente 57% 59% 55%
Figure 107 Attack Simulations: Frequency and Extent of Driving Security Defense Improvements
Figura 107 Simulaciones de ataque: frecuencia y extensión de las mejoras de defensa de seguridad
¿Con qué frecuencia ejecuta su organización simulaciones de ataque? ¿Hasta qué punto los resultados de las simulaciones de ataque
impulsan mejoras en sus políticas de defensa de seguridad,
2016 (n=2868) procedimientos o tecnologías de seguridad?
2016 (n=2736)
Nunca 4%
44% 47%
Semanalmente 28%
Mensual 33%
Trimestralmente 21%
Semestralmente 8%
Anualmente 4% 8%
0% 1%
Con regularidad, 3%
pero menos de
una vez al año 1 2 3 4 5
Nada eficaces En gran medida
Figure 108Importancia
Figura 108 Importancedeof Attributing
atribuir Origin
el origen of aviolación
de una SecuritydeBreach
la seguridad
97 Apéndice
Informe de ciberseguridad anual de Cisco 2017
52%
38%
Longitud de las interrupciones del sistema debido a brechas Porcentaje de sistemas afectados debido a brechas
61% o más 9%
98 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Equipo de seguridad Aumentaron la formación/ Aumentaron la atención Aumentaron la inversión Aumentaron la inversión
separado del concienciación sobre la en el análisis y la en tecnologías o en la formación del
departamento de TI importancia de la seguridad mitigación de riesgos soluciones de defensa personal de seguridad
entre los empleados
99 Apéndice
Informe de ciberseguridad anual de Cisco 2017
¿Qué procesos y políticas de protección de datos y privacidad ¿Qué protección de datos, estándares de privacidad y certificaciones se
son más importantes que tenga un proveedor? requiere que tenga un proveedor para que trabaje con su organización?
Programa de respuesta
33% ISO 27018 34%
ante incidentes de datos
Medición y supervisión/
cumplimiento de auditoría 9% Normas corporativas obligatorias 23%
proactivos
FedRAMP 18%
FISMA 17%
100 Apéndice
Informe de ciberseguridad anual de Cisco 2017
2016 4% 25% 29% 41% 4% 25% 30% 41% 7% 31% 28% 34% 5% 36% 31% 28%
2015 4% 22% 27% 45% 9% 24% 26% 40% 12% 24% 24% 39% 7% 36% 23% 34%
2014 10% 16% 27% 44% 5% 35% 24% 34% 4% 25% 27% 43% 23% 25%13% 38%
2016 5% 38% 29% 28% 5% 31% 34% 31% 13% 35% 21% 31% 5% 17% 31% 47%
2015 14% 32% 22% 32% 5% 29% 36% 29% 6% 37% 25% 32% 4% 21% 34% 40%
2014 16% 18% 25% 41% 16% 35% 19% 30% 3% 29% 32% 36% 10% 16% 20% 54%
2016 7% 32% 26% 35% 4% 21% 26% 47% 4% 30% 27% 39% 6% 35% 26% 32%
2015 16% 34% 16% 32% 14% 20% 16% 50% 14% 27% 26% 32% 15% 35% 20% 29%
2014 22% 40% 14% 24% N/D N/D N/D
Canadá
Repetible Medio- 1%
Nivel 2 Procesos caracterizados para proyectos; Bajo
bajo 2%
a menudo proactivos
4%
Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017 Fuente: Estudio comparativo sobre capacidades de seguridad de Cisco 2017
101 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 119 Most Common Security Measures Among the Healthcare Businesses
Figura 119 Medidas
with Medical DevicedeNetworks
seguridad más comunes entre los negocios del sector sanitario con redes de dispositivos
médicos
¿Cuenta su organización con una red de dispositivos médicos ¿Cuáles de estas medidas de seguridad, si las hubiera, ha implementado
convergente con una red de hospital principal? su empresa para proteger su red de dispositivos médicos?
Empresas con una red de dispositivos médicos en su organización (n=207)
102 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 120Perfil
Figura 120 Sample Profile del
de muestra for sector
Telecommunications
de telecomunicaciones
Figure121
Figura 121Factores
Security
deStrategies Factors
las estrategias for Telecommunications
de seguridad para las telecomunicaciones
Figure 122Prioridades
Figura 122 Security Priorities for Telecommunications
de seguridad para las telecomunicaciones
103 Apéndice
Informe de ciberseguridad anual de Cisco 2017
No, y no
hay planes
inmediatos de
11%
implementar Negocios de Negocios de
un centro de transporte transporte
operaciones (n=179) (n=179)
de seguridad 75% Sí 88% Sí
¿En qué subsector del transporte se ¿En cuál de las siguientes áreas de
ubica principalmente su organización? seguridad tiene responsabilidades?
Negocios de transporte (n=180) Negocios de transporte (n=180)
Seguridad de la tecnología
Transporte y logística 54% 84%
operativa
Seguridad de la infraestructura
Transporte público 11% principal 71%
Carretera 9%
Aviación 7%
Marítimo 5%
Vehículos 5%
104 Apéndice
Informe de ciberseguridad anual de Cisco 2017
42% Nunca 0%
Agencias estatales
31%
Negocios de energía/ o locales
servicios públicos
Negocios de energía/servicios públicos (n=116) Agencias federales 26%
(n=116)
58%
Otros proveedores de
20%
servicios públicos
Figure 125Perfil
Figura 125 Sample Profile del
de muestra for sector
Financial Servicesfinancieros
de servicios
¿En qué subsector de los servicios financieros ¿Cuánto cree que están influyendo las
se ubica principalmente su organización? siguientes tendencias en la seguridad?
Desarrollo y
Aseguradoras 23% 0% 1% 13% 47% 39% 85%
operaciones
105 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Figure 126Protección
Figura 126 Data Security for Retail
de datos de retail
106 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Familias de malware
Mayo
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores únicos 100%
exe y application/msdos-program
doc y application/vnd.openxml... 1%
doc y application/xml
rtf y application/xml
total de hash
rtf y text/plain
rtf y application/msword 0,5%
pdf y application/vnd.openxml...
dot y application/vnd.openxml...
0%
Correo electrónico Web Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
Fuente: Grupo de investigaciones de seguridad de Cisco
Fuente: Grupo de investigaciones de seguridad de Cisco
Figure 129TTD
Figura 129 TTDdefor the Dridex
la familia Malware
de malware Family
Dridex
20,4
20 16,9
Horas medias
15
10,2
10 7,2
5,5
5
0
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
107 Apéndice
Informe de ciberseguridad anual de Cisco 2017
Mayo
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
160
Porcentaje de volumen
0,2%
Horas medias
total de hash
120
0,1%
80
116,1 0%
40 26,2
5,1 5,9 Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016
0
Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2016 Fuente: Grupo de investigaciones de seguridad de Cisco
Figure 133 Hash Ages for the Locky Malware Figure 134 Hash Ages for the Nemucod
Family Per Periodos
Figura 133 Month hash de la familia de malware Malware
Figura 134Family Perhash
Periodos Month
de la familia de malware
Nemucod por mes Nemucod por mes
100% 100%
Porcentaje de hashes Nemucod
Porcentaje de hashes Locky
80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016 2015 2016
< 24 horas 1–2 días 3–10 días < 24 horas 1–2 días 3–10 días
11–30 días 31–90 días Más de 90 días 11–30 días 31–90 días Más de 90 días
Fuente: Grupo de investigación de seguridad de Cisco Fuente: Grupo de investigaciones de seguridad de Cisco
108 Apéndice
Informe de ciberseguridad anual de Cisco 2017
100% 100%
Porcentaje de hashes Adwind RAT
60% 60%
40% 40%
20% 20%
0% 0%
Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr Mayo Jun Jul Ago Sep Oct
2015 2016 2015 2016
< 24 horas 1–2 días 3–10 días < 24 horas 1–2 días 3–10 días
11–30 días 31–90 días Más de 90 días 11–30 días 31–90 días Más de 90 días
Fuente: Grupo de investigaciones de seguridad de Cisco Fuente: Grupo de investigaciones de seguridad de Cisco
Todos los gráficos de este informe pueden Para ver las actualizaciones y correcciones de la
descargarse en: información de este informe, visite:
www.cisco.com/go/acr2017graphics www.cisco.com/go/acr2017errata
109 Apéndice
Sede central en América Sede central en Asia-Pacífico Sede central en Europa
Cisco Systems, Inc. Cisco Systems (EE. UU.) Pte. Ltd. Cisco Systems International BV Amsterdam,
San José, CA Singapur Países Bajos
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones, números de teléfono y fax se encuentran en la Web de Cisco en www.cisco.com/go/offices.
Cisco y el logotipo de Cisco son marcas comerciales o registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Si desea consultar una lista de las
marcas registradas de Cisco, visite: www.cisco.com/go/trademarks. Todas las marcas comerciales de terceros mencionadas en este documento pertenecen a
sus respectivos propietarios. El uso de la palabra "partner" no implica la existencia de una asociación entre Cisco y cualquier otra empresa. (1110R)
Adobe, Acrobat y Flash son marcas registradas de Adobe Systems Incorporated en Estados Unidos y otros países.