Documente Academic
Documente Profesional
Documente Cultură
T
TENDENCIAS TENDENCIAS
RCRIMEN CIBERCRIMEN
COLOMBIA
2019 - 2020
EQUIPO DE INVESTIGACIÓN
ADRIANA CEBALLOS LÓPEZ
TENDENCIAS
CARLOS ARGÁEZ QUINTERO
CIBERCRIMEN
TC ALEX DURÁN SANTOS
CIBERCRIMEN
LUNA BAUTISTA VARGAS
CONTENIDO
CONTENIDO
1. 2. 3.
Cibercrimen en Principales modalidades de ataques a empre- Ataque BEC
cifras 2019 sas en Colombia
4. 5. 6.
Ransomware Ataque DDoS Malware
7. 8. 9.
Sim Swapping Cryptojacking Tendencias 2020
1.
CIBERCRIMEN
EN CIFRAS
Tendencias de Cibercrimen en Colombia | Cibercrimen en cifras 8
A través de los canales de atención a empresas y ciudadanos dispuestos Esta cifra representa un incremento del 54% respecto del 2018, cuando
por la Policía Nacional fueron registrados 28.827 casos durante el 2019. fueron gestionados 8.363 casos.
54%
fraudes en medios de pago en línea con 16%.
esta cifra corresponde al 57% del total de casos
informados.
Respecto al 2018 las denuncias disminuyeron DELITOS INFORMÁTICOS QUE MÁS AFECTAN A LOS COLOMBIANOS:
un 5.8 % tras una variación negativa de 983 Incremento en el número de
incidentes respecto al 2018
casos.
El principal interés de los Cibercriminales en Colombia se basa en la moti-
*Tipifica las conductas de Delitos Informáticos en Colombia. vación económica y la posterior monetización de las ganancias genera-
das en cada Ciberataque.
2015 2016 2017 2018 2019
80%
En segundo lugar, se encuentra la Violación
Finalmente, en quinto lugar se sitúa el delito de Uso de Software
Malicioso con 2.387 casos.
de datos personales con 8.037 casos.
Este dato revela que la segunda amenaza en Co- DELITOS INFORMÁTICOS POR CIUDADES:
lombia para empresas y ciudadanos es el Robo
de Identidad.
Correos Fraudulentos Personalizados La concentración del fenómeno criminal en 2019 sitúa a Bogotá,
(Spear Phishing). Cali, Medellín, Barranquilla y Bucaramanga como las ciudades con
El tercer delito más denunciado es el Acceso abusivo a
mayor afectación por esta problemática con un 55% de los casos
sistema informático con 7.99437%
53% casos, y esto se explica
registrados.
en razón a que, en las fases primarias de los Ciberata-
Sitio infectado
ques, los cibercriminales buscan comprometer los sis- Si bien la cifra obedece a los centros urbanos con mayor densidad
temas informáticos logrando ganar el acceso a los poblacional y penetración de internet en el país, el factor de desa-
mismos. rrollo económico influye en los objetivos de los cibercriminales,
que enfocan su actuar hacia PYMES, entidades financieras y gran-
Enmascaramiento de correos Infección de sitios frecuentemente visitados
En cuarto lugar,
(Spoofing). con 3.425 casos se empleados
por encuentra(Watering
la Trans-Hole). des compañías con asiento en estas ciudades.
ferencia no consentida de activos, conducta criminal
que facilita al atacante sustraer el dinero o transferir
valiosos activos financieros de las víctimas
BOGOTÁ
5.308 casos
Las Money Mules prestan su nombre o su cuenta bancaria para recibir transferencias CALI
de dinero producto de la actividad ilícita de los cibercriminales.
1.190 casos
Contacto grupo APPS Facilita su cuenta como
mensajería receptora de dinero de MEDELLÍN
Ofertas laborales con cibercrimen
apariencia legal 1.186 casos
Inmigrantes
Estudiantes
Contacto personal a través Desempleados BARRANQUILLA
del reclutador
Money Mule: Transfiere 643 casos
ilegalmente dinero
Contacto en redes
sociales (grupos cerrados)
BUCARAMANGA
Las Money Mules o mulas monetarias se convierten en el eslabón primario de la 397 casos
cadena criminal del Cibercrimen, perciben generalmente un 10% a 15% del total de
ganancias.
Algunos pueden ser engañados con esquemas de teletrabajo y las redes del Ciber-
crimen pueden estar en otros continentes.
Tendencias de Cibercrimen en Colombia Principales modalidades de cibercrimen en Colombia: Ataque BEC
3.
ATAQUE BEC
Compromiso de cuentas empresariales
Cerca del 90% de los ciberataques que sufren las empresas en Colombia se deben
a ingeniería social.
BEC
300 a 5.000
Los Ataques BEC son una de las principales millones de pesos
En Colombia, el monto promedio de las cifras de en pérdidas
amenazas a la cadena de suministros, com-
pérdidas por ataque puede oscilar entre 300 millo- Dependiendo del tamaño
ponente fundamental en la actividad diaria (por sus siglas en inglés) nes y 5.000 millones de pesos, según el tamaño de de las empresas
de una empresa. Las comunicaciones con afectadas.
Business Email la empresa afectada.
proveedores externos y socios de confianza
requieren de entornos seguros, que garanti- Compromise
cen la integridad de correos electrónicos y Las modalidades más utilizadas por los cibercriminales:
servicios de mensajería instantánea utiliza-
dos.
6.
80%
80% 80%80% 60% 60%
60% 60%
Sitio infectado
3.
Correos Fraudulentos Personalizados Suplantación de identidad.
5.
Correos
Correos FraudulentosFraudulentos
Personalizados
Correos
(Spear Phishing).
Personalizados
Fraudulentos SuplantaciónSuplantación
Personalizados identidad. de
deSuplantación deidentidad.
identidad. BANCO
(Spear Phishing).
(Spear Phishing).
(Spear Phishing). 1. 2.
x 4.
53% 53%53% 37% 37%
37% 37% Financiero
Sitio infectado Sitio infectado
Sitio infectado Sitio infectado
GERENTE
COMPAÑÍA TOTAL
$
$
COMPAÑÍA 5. 3.
1. FACTURA
$
$
2. TOTAL
$
$
$
1. 3. B ANCO
PRODUCCIÓN
x 5.
CARTERA
4.
PR
OV
EE
DO
R
4.
RANSOMWARE
Una ciberamenaza subestimada en Colombia
Aunque no se trata de una modalidad reciente, este tipo de ataque que deriva su
nombre de la combinación de las palabras Ransom ó rescate en inglés y ware alusi-
vo a Software (Ransomware: Software de Rescate), ha tenido un auge en los últimos
dos años en Colombia muy vinculado al creciente uso de las Criptomonedas como
medio para monetizar las ganancias del Cibercrimen a nivel mundial.
Tendencias de Cibercrimen en Colombia | Ransomware 20
RANSOMWARE
Colombia recibió el 30% de los ataques de Ransomware
en Latinoamérica en el último año, seguido de Perú (16%),
México (14%), Brasil (11%) y Argentina (9%).
Las PYMES fueron el blanco preferido por los cibera-
83%
De las empresas carecen
Los vectores utilizados por los cibercriminales apuntan generalmente
al envío masivo de correos electrónicos con llamativos y alarmantes
asuntos que consiguen en un porcentaje muy alto que las víctimas den
clic sobre los enlaces incluídos en los mensajes que notifican.
tacantes, pues conocen que los niveles de seguridad de protocolos de
respuesta a la violación
suelen ser más bajos en este tipo de compañías. de políticas de seguridad El principal medio de propagación del Ransomware de tipo Lockscreen
de la información.
(caracterizado por impedir el acceso y el uso del equipo mediante una
pantalla de bloqueo), sigue siendo el correo electrónico, puesto que una
Empresas reportaron ataques de Ransomware
717 exitosos contra sus sistemas en 2019. vez engañado el usuario es dirigido a un servidor para descargar el
malware.
Una vez ejecutado el archivo infectado, este cifra la información, evitan-
do cualquier acción por parte de diferentes sistemas de seguridad
Esta problemática mundial ahora ocupa el esfuerzo por igual de com-
como antivirus, Sandbox, firewall, para exigir una posterior suma de
pañías de ciberseguridad, servicios antimalware y fuerzas de ley respon-
dinero a cambio de posiblemente restablecerla.
sables de la lucha contra el cibercrimen global como lo es EUROPOL e
INTERPOL.
3. consultacomparendos.co
Servidor web donde se
Pese a todos estos esfuerzos la posibilidad de acceder a la información almacena el archivo
DESCARGAR
secuestrada sigue siendo muy baja, en parte porque a diario se detec- infectado
DESCARGAR
INFECTADO
INFECTED
2. 5.
En todos los casos, bien sea por archivos adjuntos a correos electrónicos Oops, sus archivos han sido encriptados
o redireccionamientos a enlaces se consigue la infección del sistema a 1. Sus archivos importantes están encriptados!
Tiempo restante
06:23:58:55
pago.
DATOS COMPAÑÍA DATOS COMPAÑÍA
3.
DATOS COMPAÑÍA
$ $
$ $ $
$
Ransomware de dispositivos móviles Los que perciben los atacantes depende de la cotización de la criptomoneda.
dispositivos móviles (principalmente An- La dificultad en la trazabilidad de las transacciones de Criptomonedas, se
droid) pueden infectarse mediante des- ha convertido en un aliciente para las redes de cibercriminales que, en el
cargas no oficiales.
modelo de ecuación criminal, entienden que siempre las ganancias perci-
bidas serán mayores a las probabilidades de ser arrestados o condenados.
Uliwis CryptoWall
Satan TeslaCrypt
Para los casos que fueron atendidos por el laboratorio, se ha podido
Ryuk Mamba evidenciar un notorio crecimiento en este tipo de ataques, debido a
Darma Petya
que los ciberdelincuentes utilizan diversos métodos criptográficos
Crysis Grandcrab
Reveton WannaCry
para poder incorporar nuevos mecanismos de dificultan la detección.
TottentLocker
5.
ATAQUE DDOS
Ataque de denegación de servicio
Las páginas y demás aplicaciones Web, son activos esenciales para el Bien sea por competencia desleal, empleados inconformes o ciber-
negocio de muchas empresas en Colombia, pues desde allí se atienden criminales, los Ataques DDoS consiguen saturar los recursos de los
a terceros y clientes o se convierten en las principales plataformas infor- sistemas que alojan los servicios que se quieren degradar hasta el
mativas de sus productos y servicios online (eCommerce). punto de dejarlos en estado no funcional.
convierten en las principales plataformas informativas de sus productos y servicios
Un ataque de denegación de servicios dis-
tribuído DDoS, inhabilita el uso de un siste-
eCommerce
ma,ataque de denegación
una aplicación o unde servicioscon
servidor, DoS,elinha
fin Colombia
bilita el uso deel
unservicio
sistema,para
una aplicación o un ser ATAQUE DE DENEGACIÓN DE SERVICIO
de bloquear el que está
vidor, con el fin de bloquear el servicio para el que 1.5% PIB
destinado. Estos ataques pueden tener su
está destinado. Estos ataques pueden tener su
origen en fallas de configuración o- em-
origen en fallas de configuración o empleados 1.
pleados inconformes.
2.
En los últimos años los ciber atacantes han evolucionado sus técnicas hasta 4.
el punto de utilizar complejas redes maliciosas o BOTNETS con las que consi-
guen elevar de manera considerable el número de peticiones al servicio 5.
online que se quiere afectar.
2019
Esto, hasta lograr la caída e interrupción del ser-
-
vicio, ocasionando graves daños reputacionales Ataques DDos
y operativos a las compañías. Esta variante se Aumentó la demanda de CARGANDO
Correo Electrónico
2. Utilización de redes Botnet para lanzar ataques dirigidos a los servi-
Fecha: Miércoles, 15 Feb 2019 12:42:31 +000
cios online. From: DDoS team <ddosteam@safe-mail.net>
btw: Ataque temporalmente detenido.
Si el pago no se recibe en 5 horas, el ataque se reinicia y el precio se doblará.
3. Interrupción de los servicios para los usuarios y terceros (clientes).
------------ Original Message ----------------
Los cibercriminales en
promedio pueden exigir
montos que oscilan
entre 4- 10 BTC.
Dado el impacto generado en las compañías y la necesidad de poder En algunos casos, el cibercriminal aprovecha la proximidad de fechas
restablecer oportunamente la operación, el Cibercrimen ha incorpora- clave para el negocio de la empresa objetivo del ataque y envían co-
do extorsión o Ciberchantaje a la cadena criminal de este ataque. rreos electrónicos o chats a los responsables de TI o directivos de com -
pañías, para que transfieran pagos a cuentas y billeteras electrónicas y
Según INTERPOL, acceder a las pretenciones de los cibercriminales así suspender los ataques.
sólo contribuye a que estas redes dispongan de más recursos para
sofisticar sus ataques.
Tendencias de Cibercrimen en Colombia Principales modalidades de cibercrimen en Colombia: Malware
6.
MALWARE
Software malicioso
MALWARE
El malware o software malicioso hace referencia a cualquier tipo de
software maligno que trata de afectar a un ordenador, a un teléfono
57%
57% tados en el país corres-
ponden a hurtos por
celular u otro dispositivo. medios informáticos. 3.
COLOMBIA FINANCIERO
Robo de Datos
TRÁNSITO
32% SECRETARIO
63%
63% 5%5% El vector más utilizado para la infección de Malware en las compañías sigue
63% siendo el envío masivo de correos electrónicos con archivos adjuntos que
Redireccionamiento hacia sitios
5% esconden el programa malicioso a instalar por el atacante.
Redireccionamiento
web infectados hacia sitios
por el atacante.
web infectados por el atacante.
Los asuntos más utilizados como señuelo para conseguir que la víctima
Redireccionamiento hacia sitios
Correos con notificaciones web infectados por el atacante. abra el correo, siguen siendo las alertas, notificaciones y citaciones judicia-
Correos con notificaciones Descarga de aplicaciones maliciosas.
suplantando entidades públicas. Descarga de aplicaciones maliciosas.
suplantando entidades públicas. les, siendo nuevamente la suplantación de identidades gubernamentales
Correos con notificaciones
Descarga de aplicaciones maliciosas.
por tercer año consecutivo.
suplantando entidades públicas.
La infección de Malware sigue en crecimiento, pasando de 99 casos de En 2019, el Centro Cibernético Policial ha analizado
empresas que reportaron infección de malware en su infraestructura en 447 muestras nuevas de Malware, con una tasa de
30% de éxito en el compromiso de sistemas de em-
el año 2018 a más de 705 casos registrados durante el año 2019. Siendo presas en Colombia.
las PYMES las más afectadas por estos ataques.
Tendencias de Cibercrimen en Colombia | Malware 36
123
120
100
Para el año 2019, se han logrado analizar un total de 447 muestras, de las 100
71
correspondientes a: Virus, Troyanos, Backdoors, Rootkit, RAT, Dropper y 60
50
Ransomware.
40 34
30
20
15
14
10 10 10
6 7
1 2 1
0 0 0
15% 2%
MALWARE “ZEBROCY”:
Correo Electrónico
De: Fiscalía General <fiscaliageneraldelanacion-2019@outlook.com>
“ET TROJAN APT28 / Sofacy Zebrocy Go Variant CnC Activity”
Date: jue, 12 sept 2019 a las 12:32
Subject: BOLETA CITA FISCAL No. 004741
To:
Mediante análisis realizado a un correo electrónico que contenía una
De: FISCALÍA GENERAL DE LA NACIÓN N0. 07 Sede Bogotá
Enviado 11/09/2019 dirección URL, se logró detectar la presencia del Malware Zebrocy de tipo
Asunto: IMPORTANTE BOLETA CITA FISCAL
Número de Proceso: 0091-002018.0917764
Backdoor, potencialmente catalogado como peligroso, debido al alto nivel
El presente es un requerimiento enviado a declarar por el proceso 0091-002018.0917764 con fecha de sofisticación en su estructura, puesto que puede ocultar componentes
de inicio 27 agosto de 2019. Respectivamente anexamos su boleta de citación a la Fiscalía 07 con
motivos de declaraciones donde se detalla lugar, fecha y hora de ésta misma, y así mismo toda la maliciosos como Downloader´s y Troyanos en el sistema operativo Win-
información necesaria para usted.
Éste archivo está protegido por su seguridad. dows, además de contar con un tipo de inteligencia artificial que no le per-
VISUALIZAR A TRAVÉS DE UN COMPUTADOR
mite ejecutarse bajo ambientes controlados.
Descargar su Proceso Judicial en: https://fiscaliagen.gov.co/proceso-0091-002018.0917764
CriptoMiner ción del usuario, para que ejecute la acción deseada y así lograr infectar el
3%
1 dispositivo móvil.
Exploits
5%
2
Gusanos
3%
1
Spyware
11%
4
Backdoors
24%
9
Adware
3%
1
Virus
5%
2
Porcentaje de afectación
Malware analizado
Muestras de Malware Analizadas - Fuente Laboratorio Informática Forense Este malware hace que se deteriore la vida útil del dispositivo, toda vez
que requiere utilizar un 100% de los recursos físicos con que cuenta el
mismo, para poder realizar procesos de minería en la creación de mone-
Es de anotar que la muestra más analizada pertenece a Malware de tipo das virtuales.
Troyano, siendo este un indicador de compromiso de alto riesgo, ya que
por su comportamiento pueden poner en riesgo la infraestructura tecno- En segundo puesto con un 27% le siguen los ejecutables con extensión
lógica de cualquier organización. .IPA con un total de 122 muestras analizadas propias de sistemas operati-
vos iOS.
Tendencias de Cibercrimen en Colombia Principales modalidades de cibercrimen en Colombia: SIM Swapping
7.
SIM
SWAPPING
Secuestro o cambio de SIM CARD
Este tipo de estafa explota una de las mayores vulnerabilidades de las tarjetas
SIM: el hecho de que funcionan en cualquier plataforma. Lo hace gracias a lo
que se conoce como “ingeniería social”, la técnica de los cibercriminales para
llevar a cabo el SIM swaping, el cual consiste en confundir a los vendedores de
empresas de celulares y lograr que transfieran los números a tarjetas controla-
das por ellos.
Tendencias de Cibercrimen en Colombia | Sim Swapping Tendencias de Cibercrimen en Colombia | Sim Swapping 44
Los cibercriminales pueden conseguir datos de las víctimas en mercados ile- SEGURIDAD APLICADA AL FORTALECIMIENTO DE LAS EMPRESAS
Colombia en 2019.
de dos factores a través de mensajes
de texto (2FA).
La autenticación de dos factores (2FA),
6.
Nuevo password
X X X X proporciona seguridad adicional en el datos 3.
proceso de inicio de sesión. Utiliza la con-
BANC O
Autenticación de Usuario
Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi
enim ad minim veniam, quis nostrud exerci tation
SIM
ficación que muchos bancos utilizan para autorizar pagos y transferen- Posteriormente, consiguen suplantar al usuario en el sistema financiero y ob-
cias a sus clientes, generalmente un código es enviado vía SMS al teléfo- tener el código 2FA para realizar transacciones y afectar los activos económi-
no celular del usuario para poder finalizar estas transacciones. cos de las empresas.
Las apps de los bancos son muy seguras, y disponen El SIM Swapping también es usado en la
SWAPPING 55%
de claves de acceso, cifrado de las comunicaciones cadena criminal del BEC y permite crear
y teclados virtuales. Sin embargo, los ciberdelin- chats falsos suplantando a gerentes
cuentes a través de ingeniería social, consiguen en- Ce rca del 90% de los ante las áreas financieras, consiguiendo me- De los ciberdelitos denuncia-
ciberataques que dos en Colombia son por -
gañar por medio de técnicas de persuación y mani- sufren las empresas diante engaño la transferencia de activos a hurto informático.
en Colombia se deben
pulación psicológica. a ingeniería social.
cuentas bajo control del criminal.
Tendencias de Cibercrimen en Colombia Principales modalidades de cibercrimen en Colombia: Cryptojacking
8.
CRYPTOJACKING
Minería de criptomonedas
El uso de un hardware del visitante de una página web sin su permiso, para minar
criptomonedas es un problema para usuarios y compañías que se financian con la
publicidad (el 90% de Internet). Y más ahora que el Bitcoin está batiendo récords.
Tendencias de Cibercrimen en Colombia | Cryptojacking 48
43%
Monero en circulación ha
43%
SITIO WEB
Monero
sido generado en circulación
mediante
cryptojacsido
king. generado median
4.4. cryptohacking.
3.3. En una segunda modalidad, el Centro Cibernético Policial (CCP) analizó
muestras de malware encontradas en correos electrónicos enviados a
SITIOSITIO
WEB WEB
distintas empresas en Colombia. El resultado permitió identificar el
www
1. 2. malware “Trojan.Nymeria.12”, que se hace pasar por el Host de servicios
nativos de Windows “Svchost.exe”, bajo el nombre de “Scvhost.exe”.
9.
TENDENCIAS
CIBERCRIMEN
2020
2020
TENDENCIAS 2020
BEC basado en Deepfake
Las empresas en Colombia podrán recibir audios e inclu-
so videos, en los cuales los cibercriminales suplanten a
ejecutivos, clientes y proveedores para conseguir trans-
En 2020 el Cibercrimen seguirá sofisticando su actuar de- ferencias de dinero o despacho de productos.
lictivo y utilizará las capacidades tecnológicas disponibles
a su favor. La tecnología Deepfake es una técnica basada en Inteli-
gencia Artificial, que coloca imágenes o videos sobre
otro video, así como imitación de voces.
10.
RECOMENDACIONES
Otro aspecto para considerar en las compañías guarda una re- L a C i b e r s e g u r i d a d e m p r e s a r i a l e x i g e q u e l a s organizaciones sean diná-
l a c i ó n d i r e c t a c o n l a política de proveedores y clientes y su relacionamiento micas e innovadoras. P o r e l l o , c a m b i a r l a s e s t r u c t u r a s t r a d i c i o n a l e s
con la Ciberseguridad empresarial. E l f r a u d e B E C , a p r o v e c h a p o r e n d e puede ser una importante decisión a la hora de enfrentar ame-
cualquier duda o espacio que exista como punto débil de las nazas, de acuerdo con su tamaño y activos a proteger las com-
comunicaciones entre una empresa y sus partes interesadas p a ñ í a s d e b e n e s t u d i a r l a i n c o r p o r a c i ó n d e l a fi g u r a d e l C I S O ( O -
en la cadena productiva. fi c i a l o D i r e c t o r d e S e g u r i d a d d e l a I n f o r m a c i ó n ) .
GLOSARIO GLOSARIO
EXPLOIT: Tipo de software, fragmento de datos, o una secuencia de comandos que aprove-
cha un fallo o una vulnerabilidad en el sistema con el fin de tomar el control total, una
escalada de privilegios o un ataque de denegación de servicio.
Barret, B., “ATM Hacking Has Gotten So Easy, The Malware’s A Game”,
https://www.wired.com/story/atm-hacking-winpot-jackpotting-game/,
2019.