sin clasificar dsti/iccp/reg(2007)5/finalconsecuencias del malware y, por lo tanto, el problema del...

1

Sin clasificar DSTI/ICCP/REG(2007)5/FINAL

Organización de Cooperación y Desarrollo Económico 28-Abril-2008

Español - Or. InglésDIRECCIÓN PARA LA CIENCIA, LA TECNOLOGÍA Y LA INDUSTRIACOMITÉ DE POLÍTICA DE LA INFORMACIÓN, INFORMÁTICA Y COMUNICACIONES

Grupo de Trabajo de Seguridad de la Información y Protección de la Privacidad

SOFTWARE MALICIOSO (MALWARE)UNA AMENAZA DE SEGURIDAD PARA LA ECONOMÍA DE INTERNET

JT03244862

El documento completo está disponible en OLIS en el formato original

Español – Or. Inglés

DST

I/ICC

P/RE

G(2007)5/FIN

AL

Sin clasificar

DSTI/ICCP/REG(2007)5/FINAL

PREFACIO

Dirigido principalmente a legisladores, este informe fue elaborado en 2007 por el Grupo de Trabajo

de Seguridad de la Información y Protección de la Privacidad (WPISP) en colaboración con el Grupo de Trabajo de Telecomunicaciones e Información del Foro de Cooperación Económica Asia-Pacífico (APEC TEL) y el Equipo de Dirección de Seguridad y Prosperidad (SPSG).

El 6 de marzo de 2008, el informe fue desclasificado por el Comité de Política de la Información,

Informática y Comunicaciones (ICCP). El informe se publicó bajo la responsabilidad del Secretario General de la OCDE. Para la elaboración de este informe, Audrey Plonk y Anne Carblanc, miembros de la Secretaría de la OCDE, han dispuesto de la ayuda de un grupo de expertos cuya contribución ha sido de gran utilidad. Este grupo estaba formado por Graham Ingram y Kathryn Kerr (AusCERT), Colin Whittaker (APACS, UK Trade Association), Gilles André y Fabian Pouget (CERTA Francia), Kevin Houle y Jeffrey J. Carpenter (CERT/CC), Erka Koivunen y Kauto Huopio (CERT-FI Finlandia), Pei-Wen Liu (China Taipei), HyunCheol Jeong y Jinhyun Cho (KrCERT/CC Corea), David Pollington, Jean-Christophe Le Toquin y Uwe Manuel Rasmussen (Microsoft), Christophe Birkeland (NORCERT Noruega), Bill Woodcock (Packet Clearing House) y Jeremy Ward (Symantec Corporation). La Secretaría también se benefició de la ayuda de delegados de la OCDE y del APEC, entre ellos Keith Besgrove y Sabeena Oberoi (Australia), Shamsul Jafni Shafie (Malasia), Jean-Jacques Sahel y Geoff Smith (Reino Unido) y Jordana Siegel y Joshua Goldfarb (Estados Unidos).

Se reconoce gratamente la contribución especial del gobierno holandés para los trabajos sobre la

economía del malware. Las diferentes fases del informe fueron revisadas por un amplio grupo de voluntarios de la OCDE y delegados del APEC de Austria, Canadá, China, China CERT, China Taipei, Finlandia, Francia, Japón, JPCERT/CC, Malasia, Noruega, Reino Unido, Estados Unidos y el Comité Consultivo Empresarial e Industrial de la OCDE (BIAC).

© OECD / OCDE 2008.

ÍNDICE


PREFACIO 2 IDEAS PRINCIPALES 6 CONTEXTO 8 Objetivos comunes de la OCDE y del APEC 8 DEFINICIÓN DE MALWARE 10 ¿Qué es el malware? 10 ¿Cómo funciona el malware? 11 ¿Para qué se utiliza el malware? 14 Tendencias de los ataques de malware 19 Origen de los ataques de malware 20 El MALWARE EN INTERNET: LAS BOTNETS 22 ¿Qué es una botnet? 22 ¿Para qué se utilizan las botnets? 23 Modelos de Comando y Control (C&C) de Botnets 24 Cifras sobre las botnets 25 Las botnets y la banda ancha 26 El spam y las botnets 27 El papel de las listas negras en la lucha contra las botnets 28 LA ECONOMÍA DEL MALWARE 30 Los agentes maliciosos 30 El modelo de negocio del malware 32 ¿POR QUÉ DEBERÍAMOS CONCIENCIARNOS SOBRE EL MALWARE? 36 Factores favorables para el malware 36 Consecuencias del malware 38 Desafíos para combatir el malware 43 ¿CÓMO ACTUAR CONTRA EL MALWARE? 46 El papel de particulares, empresas y gobiernos – Puntos clave 46 Incentivos y desincentivos – Puntos clave 47 ¿Qué medidas se están tomando? – Puntos clave 50 Posibles acciones futuras 51 CONCLUSIÓN 54 ANEXO A – DATOS SOBRE EL MALWARE 55 Descripción general 55 Datos proporcionados por los CSIRT 55 Datos de vendedores de software y antivirus 62 Observaciones sobre los datos 66

4


ANEXO B – INFORMACIÓN ADICIONAL SOBRE LOS TIPOS DE ATAQUES DE MALWARE 67 Ataques contra el DNS 67 Ataques que utilizan el DNS 67 Ataques que modifican datos 68 Ataques contra la identidad 69 Ataques contra la autentificación uni y multifactorial 70 Ataques contra certificados digitales y capas de conexión segura (SSL) 71 ANEXO C – INSTRUMENTOS DE MUESTRA, ESTRUCTURAS E INICIATIVAS PARA COMBATIR EL MALWARE 73 Concienciación 73 Convenios 76 Detección y respuesta 76 Cumpliento normativo 79 Legislación 81 Estructuras públicas y privadas 82 Normas y directrices 84 Soluciones y recursos técnicos 86 ANEXO D – EJEMPLOS DE VECTORES DE PROPAGACIÓN DEL MALWARE 89 ANEXO E – GLOSARIO DE TÉRMINOS 90 Tipos de malware 90 Más información de utilidad sobre términos de seguridad 91 ANEXO F – ÁREAS DE MEJORA Y MAYOR INVESTIGACIÓN 95 Concienciación 95 Mejorar los marcos legales 95 Intensificar el cumplimiento normativo 96 Mejorar la respuesta 97 Medición del malware 97 Medidas para tratar las vulnerabilidades del software 97 Medidas técnicas 98 Investigación y desarrollo 98 Normas, directrices y buenas prácticas 99

Intercambio de información y necesidad general de coordinación y cooperación transfronterizas 99 Aspectos económicos 99

BIBLIOGRAFÍA 100

5

Cuadros


Breve historia del malware 10 El malware en dispositivos móviles 14 El caso de Estonia 16 Un ejemplo de ransom: el Arhiveus 17 El caso de Michael y Ruth Haephrati 17 El caso de la botnet holandesa 26 FTC contra Dugger 28 Resumen de los datos de muestra sobre malware 66 Un análisis más detallado del DNS 68 El ataque del token bifactorial 71 Un análisis más detallado de los certificados digitales y las capas de conexión segura (SSL) 72

6


IDEAS PRINCIPALES Es necesaria una estrategia para la unión global contra el malware y evitar que, en los próximos

años, se convierta en una grave amenaza para la economía de Internet y la seguridad nacional. Hoy en día, las comunidades involucradas en la lucha contra el malware ofrecen fundamentalmente una respuesta local fragmentada ante esta amenaza global.

El software malicioso, conocido como malware, es un programa que se instala en un sistema de información causando daños en ése u otros sistemas o utilizándolos para usos diferentes de los previstos por sus propietarios. En los últimos 20 años, el malware ha evolucionado de los ocasionales exploits a una industria delictiva que factura miles de millones de dólares.

El malware afecta a todos los sectores. Es una creciente preocupación que comparten gobiernos, empresas e individuos de los países miembros de la OCDE y de las economías del APEC. Puesto que los gobiernos confían cada vez más en Internet como un medio para prestar servicio a los ciudadanos, se enfrentan a complejos retos para asegurar sistemas y redes de información, debido al ataque o penetración de agentes maliciosos. Los ciudadanos exigen a los gobiernos que actúen y protejan a los consumidores de las amenazas electrónicas, como, por ejemplo, el robo de identidad. En los últimos años, se ha producido un auge en el uso del malware para atacar sistemas de información con el objetivo de recopilar información, robar dinero e identidades, o incluso negar el acceso a recursos electrónicos fundamentales. De forma significativa, el malware también tiene la capacidad de perturbar el funcionamiento de grandes sistemas de información, modificando de forma casi imperceptible la integridad de los datos y atacando los sistemas de información que controlan y/o utilizan importantes sistemas de la infraestructura crítica.

Este informe, elaborado con la colaboración de expertos, pretende informar a los legisladores sobre

las consecuencias, crecimiento y evolución del malware y las medidas necesarias para combatirlo. Su objetivo es analizar algunos de los puntos clave relacionados con el malware y decidir qué debe hacer la comunidad internacional para unirse y abordar el problema. Entre los puntos más importantes se encuentran:

• El spam ha pasado de ser una simple molestia a un medio de fraude y una forma para

distribuir malware. El malware, en forma de botnets, se ha convertido en una parte esencial de un sistema autosuficiente de “ciberataques”. El uso del malware se ha vuelto más sofisticado y selectivo. Los ataques son menores e intentan permanecer por debajo del radar de las comunidades de seguridad y del orden público.

• La efectividad de las actuales tecnologías de seguridad y otras protecciones para detectar y

contener el malware está amenazada por la reducción del tiempo entre el descubrimiento de las vulnerabilidades de los productos software y su explotación.

• El comportamiento de los actores del mercado que se enfrentan al malware (ya sean

proveedores de servicios de Internet, empresas de comercio electrónico, registradores, vendedores de software o usuarios finales) está influenciado por diversos incentivos con el objetivo de fomentar o reducir la seguridad. Existen varios casos en los que los costes del malware son exteriorizados por actores, en la primera fase de la cadena de valor, a otros actores de la cadena.

• Una amplia gama de comunidades y actores (desde legisladores hasta proveedores de

servicios de Internet o usuarios finales) desempeñan un papel clave en la lucha contra el malware. Sin embargo, el conocimiento, entendimiento, organización y definición de los papeles y responsabilidades de esta gran comunidad de actores es aún limitado.

7


• La respuesta y solución actuales son principalmente reactivas. Es necesaria una coordinación más estructurada y estratégica a nivel nacional e internacional, en la que participen todos los actores implicados, para evaluar los riesgos de forma más adecuada y mitigar el peligro del malware.

• Ninguna entidad posee un entendimiento global del alcance, tendencias, desarrollo y

consecuencias del malware y, por lo tanto, el problema del malware, en general, resulta difícil de cuantificar. Los datos sobreel malware no son consistentes y la terminología para catalogar y medir su incidencia no es unánime.

• Aunque el impacto económico y social pueden ser difíciles de cuantificar, ya que el uso

directo o indirecto del malware puede dañar infraestructuras críticas de información, provocar pérdidas económicas y desempeñar un papel erosivo en la confianza hacia la economía de Internet.

Es importante que los legisladores hagan frente a las limitaciones de las acciones actuales contra

el malware e investiguen más en profundidad sobre cómo combatir este fenómeno y ayudar a todas las comunidades implicadas a trabajar satisfactoriamente de forma conjunta y transfronteriza. Este informe define diversas áreas en las que se han llevado a cabo mejoras, incluyendo la concienciación, marcos legales, el cumplimiento normativo, la respuesta mejorada, la medición del malware, medidas para tratar las vulnerabilidades del software, medidas técnicas, incentivos económicos, la investigación y desarrollo, y normas, directrices y buenas prácticas.

En vista de la necesidad de un enfoque holístico y global del malware, para reducir la actividad

maliciosa en Internet, este informe sugiere organizar una “Asociación Anti-Malware” en la que participen gobiernos, el sector privado, la comunidad técnica y la sociedad civil, con el objetivo de elaborar políticas conjuntas de orientación para combatir el malware en todas las áreas, ya sean educativas, técnicas, legales o económicas.

8


CONTEXTO

El Grupo de Trabajo de Seguridad de la Información y Protección de la Privacidad (WPISP) de la Organización para la Cooperación y Desarrollo Económico (OCDE), el Grupo de Trabajo de Telecomunicaciones e Información del Foro de Cooperación Económica Asia-Pacífico (APEC TEL) y el Equipo de Dirección de Seguridad y Prosperidad (SPSG) poseen tanto experiencia como conocimiento en el desarrollo de políticas de orientación para la seguridad de sistemas y redes de información.

En 2002, la OCDE adoptó las Directrices para la Seguridad de Sistemas y Redes de Información (las llamadas Directrices de Seguridad) que ofrecen un esquema claro de los principios de los niveles políticos funcionales para impulsar propuestas nacionales consistentes con el fin de hacer frente a los riesgos de la seguridad de la información en una sociedad globalmente interconectada. En líneas generales, las Directrices de Seguridad reflejan la ambición común de desarrollar una cultura de la seguridad que vaya más allá de la sociedad, de tal forma que la seguridad se convierta en una parte esencial de la rutina diaria de particulares, empresas y gobiernos, cuando utilicen las Tecnologías de la Información y la Comunicación (TIC), y llevar a cabo actividades online.1 En 2003 y 2005, la OCDE dirigió los esfuerzos de los gobiernos por implementar programas de políticas nacionales acordes a las Directrices de Seguridad, incluyendo medidas para combatir la ciberdelincuencia, desarrollar Equipos de Respuesta a Incidentes de Seguridad (CSIRT), sensibilizar a la opinión pública y fomentar la educación, entre otros factores.2 En 2006 y 2007, la OCDE se centró en el desarrollo de políticas para proteger las infraestructuras de información crítica.3

Del mismo modo, en 2002, el Foro de Cooperación Económica Asia-Pacífico (APEC) publicó una

Estrategia de Ciberseguridad que define seis áreas de cooperación entre las economías del APEC, incluyendo aspectos legales, el intercambio de información y cooperación, pautas técnicas y de seguridad, concienciación pública, formación y educación. Para complementar la Estrategia de Ciberseguridad, el APEC TEL adoptó una Estrategia para Asegurar un Ambiente En Línea Seguro, Sostenible y de Confianza, con el fin de incentivar a las economías del APEC para que tomen medidas para la seguridad de sistemas y redes de información. Objetivos comunes de la OCDE y del APEC

En 2005, el APEC y la OCDE organizaron de forma conjunta un taller para intercambiar información sobre la evolución de los riesgos de la seguridad de la información e indagar en áreas para lograr una mayor cooperación entre organizaciones y poder así enfrentarse mejor a la dimensión internacional de los riesgos de la seguridad de la información. En 2006, ambas organizaciones acordaron que la necesidad de fomentar un ambiente en línea más seguro era más urgente que nunca, debido al constante crecimiento económico y a las actividades sociales llevadas a cabo en Internet, y a la creciente gravedad y sofisticación de la actividad maliciosa online.

1 Las Naciones Unidas, el Consejo de la Unión Europea, la Cooperación Económica del Asia-Pacífico (APEC) y el Encuentro Asia-Europa (ASEM) reconocen y usan las Directrices de Seguridad. 2 Véase DSTI/ICCP/REG(2005)1/FINAL. 3 Véase DSTI/ICCP.REG(2006)15/FINAL y DSTI/ICCP/REG(2007)16/FINAL. 4 Más información sobre el Taller de Malware organizado por el APEC y la OCDE disponible en: http://www.oecd.org/document/34/0,3343,en_2649_34255_38293474_1_1_1_1,00.html

9


Como consecuencia, decidieron organizar talleres 4 y elaborar un informe analítico para examinar las cuestiones relacionadas con el software malicioso, más conocido como malware, con el objeto de:

• Informar a los legisladores nacionales de las consecuencias del malware.

• Catalogar tendencias sobre el crecimiento y evolución del malware.

• Examinar la economía del malware y los modelos de negocio que se esconden tras esta

actividad maliciosa.

• Evaluar las contramedidas técnicas y no técnicas para combatir el malware e identificar carencias.

• Definir áreas de acción clave y futuro trabajo.

Elaborado por la Secretaría de la OCDE, en estrecha colaboración con expertos y voluntarios de la OCDE y del APEC, así como el sector privado, este informe no aborda todos los aspectos del malware o todos los vectores de propagación, sino que más bien se centra en cuestiones de mayor interés y en áreas que pueden plantear problemas en el futuro. De forma similar, no se analizan las posibles estrategias relativas a la prevención, detección y respuesta ante el malware, sino que se hace hincapié en elementos de importancia para los países miembros de la OCDE, las economías del APEC y otros gobiernos y organizaciones en general. Finalmente, se hace referencia a distintas formas de ciberdelincuencia, como por ejemplo el spam o el phishing 5, que no implican directamente el uso del malware, pero que ponen de manifiesto cómo éste puede ser usado indirectamente para llevar a cabo delitos informáticos.

5 El phishing hace referencia a ataques de ingeniería social en los que el atacante, que tiene bajo control un sitio web, manipula al usuario para poder obtener datos de acceso a su cuenta en Internet o, más comúnmente, para conseguir sus datos personales. Según esta definición, el phishing no implica directamente el uso de malware. Sin embargo, cuando el término se usa para referirse, por ejemplo, a cierto tipo de ataques con troyanos, el malware suele desempeñar un papel importante.

10

Cuadro 1. Breve historia del malware Los virus y los gusanos tienen su origen en los inicios de la informática, cuando los virus eran creados como mediode diversión y los gusanos se utilizaban para realizar el mantenimiento de los sistemas informáticos 9. Los virus maliciosos no aparecieron hasta los años 80, cuando surgió el primer virus para ordenadores personales, Brain(1986), que se propagaba cuando el usuario iniciaba el ordenador desde un disquete 10. Años después, en 1988, el gusano Morris consiguió llamar la atención de los medios al infectar a más de 6.000 ordenadores. Aunque a mediados de los 80 aparecieron otros tipos de software malicioso, el panorama de finales de los 80 y principios delos 90 estuvo claramente dominado por los virus. Hasta aproximadamente 1999, la mayoría de la gente relacionaba los virus con el ejemplo de un joven hacker que se introdujo en los sistemas del Pentágono, como se puede ver enla película de 1983 titulada Juegos de Guerra. A mediados de los 90, la situación empezó a cambiar debido al crecimiento del uso de Internet y del ordenador personal, el desarrollo de las redes y la adopción de sistemas decorreo electrónico. Los llamados “gusanos de gran expansión” empezaron a llegar al público de formas bastanteoriginales. El uso cada vez mayor del correo electrónico produjo gusanos de macro como Melissa (1999), I Love You(2000), Anna Kournikova (2001), SoBig (2003) y Mydoom (2004), que llenaron titulares y llegaron al conocimiento público. Este tipo de gusanos duplicó el número de víctimas de una a dos horas, alcanzando rápidamente su máxima actividad en las 12-18 horas posteriores a su aparición, lo que marcó un aumento similar en los ataquesorganizados y, en algunas ocasiones, coordinados. El auge de las transacciones bancarias por Internet causó el incremento de las incidencias de seguridad y la aparición de nuevos tipos de software y ataques maliciosos. En la actualidad, los brotes masivos de virus y gusanos son cada vez más escasos, mientras que el “software silencioso”, como los troyanos y las puertas traseras, está en auge. Muchos ataques se encuentran por debajo del radar de las comunidades de seguridad y del orden público. De hecho, el objetivo actual de los atacantes es obtener gananciaseconómicas. Así pues, estas nuevas tendencias permiten explicar las razones por las que el malware es hoy en día una industria delictiva internacional que factura miles de millones de dólares.


DEFINICIÓN DE MALWARE ¿Qué es el malware?

Malware es un término general para definir una pieza de software insertada en un sistema de información para dañar ése u otros sistemas o utilizarlos con otros fines.6

El malware puede acceder de forma remota a un sistema de información, registrar y enviar datos de un sistema a un tercero sin el permiso o conocimiento del usuario, ocultar que el sistema de información haya sido comprometido, deshabilitar medidas de seguridad, dañar el sistema de información o afectar a la integridad de los datos y del sistema. Existen distintos tipos de malware, tales como los virus, gusanos, troyanos, puertas traseras, keyloggers, rootkits o programas espía. Estos términos hacen referencia a la funcionalidad y comportamiento del malware, por ejemplo, un virus se “autopropaga” y un gusano se “autoreplica” 7. Los expertos normalmente dividen el malware en dos categorías: familiar y variante. El familiar hace referencia a la pieza original e inconfundible de malware y el variante describe una versión diferente del código malicioso original, o familiar, con cambios menores 8.

Características generales del malware

Aunque el malware no es el único medio por el cual los sistemas de información pueden verse

comprometidos, aporta a los atacantes comodidad, facilidad de uso y la automatización necesaria para realizar ataques a una escala antes nunca vista. 6 Las Directrices para la Seguridad de Sistemas y Redes de Información, elaboradas en 1992 por la OCDE, definen sistema de información como los ordenadores, servicios de comunicación, redes de comunicación, datos e información que pueden ser almacenados, procesados, recuperados o trasmitidos (incluyendo programas, especificaciones y procedimientos) para su funcionamiento, uso y mantenimiento. 7 Véase el Anexo E - Glosario de Términos. 8 Por ejemplo, W32.Sober@mm (también conocido como Sober), fue el código fuente original de la familia Sober. Sober.X es una variante de Sober. (Véase Symantec 2006 pág.67). 9 NIST pp. 2-10. 10 SOPHOS (2006a) pág.1. 11 Tippett (2006) y BBC News online (2004).

11


El malware es multifuncional y modular, es decir, existen diversos tipos de malware que pueden ser usados de forma conjunta o individual con el fin de alcanzar el objetivo de un actor malicioso. Se pueden añadir de forma sencilla nuevas características y habilidades para alterarlo y mejorar su funcionalidad e impacto12. El malware puede auto-insertarse en un sistema y comprometerlo para después descargar código malicioso adicional de Internet que aumente su funcionalidad. El código malicioso también puede ser usado para controlar una red o equipo anfitrión (host) 13, sortear medidas de seguridad (como cortafuegos o programas antivirus) o utilizar la encriptación para evitar ser detectado u ocultar su funcionamiento.

El malware está a disposición del público y es usable: está disponible en Internet a un precio asequible, por lo tanto casi cualquier persona podría adquirirlo. De hecho, existe incluso un fuerte mercado clandestino de compra-venta. Además, el malware es usable y permite a los atacantes llevar a cabo ataques sofisticados que están por encima de su nivel de destreza.

El malware es persistente y eficiente: cada vez resulta más difícil de detectar y eliminar, y consigue sortear las contramedidas de seguridad de la información. Algunos tipos de malware pueden vencer fuertes formas de autentificación multifactorial y otros han sido capaces de disminuir la eficacia de los certificados digitales 14.

El malware puede afectar a una amplia gama de dispositivos: puesto que no es más que una pieza de software, puede afectar a una amplia gama de dispositivos (que abarcan desde dispositivos personales, como ordenadores personales (PC) o agendas electrónicas (PDA), hasta servidores 15), a través de diferentes tipos de redes. Todos estos dispositivos, incluyendo routers que permiten al tráfico moverse por Internet hacia otros puntos finales, son potencialmente vulnerables a los ataques maliciosos.

El malware forma parte de un sistema de ciberataque más amplio: se usa como una forma básica de ciberataque y como soporte de otras formas de actividad maliciosa y ciberdelincuencia, como son el spam o el phishing. A la inversa, el spam y el phishing pueden usarse para propagar el malware.

El malware produce beneficios: ya no consiste en un simple juego de diversión para crackers inexpertos (script kiddie)16 o en un campo de estudio para los investigadores. En la actualidad, supone un negocio bastante serio y una fuente de ingresos para agentes maliciosos y delincuentes de todo el mundo. El malware, junto con otras herramientas y técnicas informáticas, ofrece un bajo coste y un método reutilizable para desarrollar formas altamente lucrativas de ciberdelincuencia.

¿Cómo funciona el malware?

El malware puede comprometer sistemas de información, debido a la combinación de factores que incluyen el diseño de sistemas operativos y vulnerabilidades relacionadas con el software. El malware funciona ejecutándose o auto-instalándose en un sistema de información de forma manual o automática 17.

12 Danchev, Dancho (2006) pág.3. 13 Un equipo anfitrión (host) es un ordenador que se encuentra en una ubicación específica de la red. 14 Véase el Anexo B sobre los certificados digitales. 15 Los servidores son ordenadores potentes que aceptan conexiones de clientes y les prestan servicios. Sin embargo, los ordenadores domésticos y las estaciones de trabajo (workstations) también pueden actuar como servidores, sobre todo si se ven comprometidos. Algunos tipos de servidores son los servidores web, los de correo electrónico o los de bases de datos.

16 Script Kiddie hace referencia a crackers inexpertos que utilizan programas desarrollados por otros para atacar sistemas informáticos y desfigurar sitios web. Normalmente, se entiende que los script kiddies son jóvenes que no saben crear programas de hacking sofisticados y, por tanto, su intención es sorprender a sus amigos o ganar credibilidad en las comunidades clandestinas de crackers.

17 El malware también puede explotar vulnerablidades del hardware, aunque su número es mucho menor en comparación con el número de vulnerabilidades del software que se pueden explotar en un tiempo dado.

12


El software puede contener vulnerabilidades o “agujeros” en su estructura, debido a una codificación defectuosa. Además, aparte de haber sido codificado de forma errónea, su funcionalidad puede no estar disponible, usarse de forma no compatible con los usos propuestos o haber sido configurado de forma incorrecta con otro software. Todas éstas son posibles vulnerabilidades y vías de ataque, de modo que una vez que se descubren, el malware puede desarrollarse para explotarlas con fines maliciosos antes de que la comunidad de la seguridad pueda desarrollar un parche (patch) para repararlas. El malware también puede comprometer los sistemas de información debido a factores no tecnológicos, como son la poca práctica del usuario o políticas y procedimientos de seguridad inadecuados.

Muchos tipos de malware, como los virus o los troyanos, requieren algún tipo de nivel de interacción

con el usuario para comenzar el proceso de infección, como por ejemplo, hacer clic en el enlace de un correo electrónico, abrir un archivo ejecutable adjunto a un correo electrónico o visitar el sitio web donde se aloja el malware. Tras haber violado la seguridad con la infección inicial, algunas formas de malware instalan de forma automática funcionalidades adicionales, como por ejemplo, programas espía (p.ej. keyloggers), puertas traseras, rootkits u otro tipo de malware, como, por ejemplo, cargas dañinaa (payload). 18

La ingeniería social 19, en forma de misteriosos mensajes de correo electrónico o que parecen provenir de organismos legítimos, se usa normalmente para persuadir a los usuarios para que hagan clic en un enlace malicioso o para que descarguen malware. Por ejemplo, el usuario puede creer haber recibido un aviso del banco o una advertencia de virus por parte del administrador del sistema, cuando en realidad lo que ha recibido es un gusano de envío masivo de correo electrónico (mass-mailing worm). Otros ejemplos son mensajes de correo electrónico afirmando ser una tarjeta electrónica de un amigo no especificado para que los usuarios abran la tarjeta adjunta y descarguen el malware. Los usuarios también pueden descargar malware involuntariamente de páginas web. Un reciente estudio elaborado por Google, que examinó varios miles de millones de URL, analizando de forma exhaustiva 4,5 millones, descubrió que de la muestra, 700.000 parecían maliciosas y 450.000 podían producir descargas maliciosas 20. Otro estudio encontró que sólo aproximadamente uno de cada cinco sitios web analizados tenían un diseño malicioso, lo que lleva a la conclusión de que aproximadamente el 80% de todo el malware de las páginas web se encuentra alojado de forma imperceptible en páginas web cuyos dueños no son conscientes de su presencia 21.

Otro estudió descubrió que el 53,9% de todos los sitios maliciosos analizados se encontraba alojado en

China 22, seguido de Estados Unidos que representaba el 27,2% de todos los sitios web observados. Además, los datos del Anexo A muestran que el malware de las páginas web representa el 52,8% de los incidentes reportados a mediados de 2007 por el Equipo de Respuesta a Incidentes de Seguridad de Estados Unidos (US-CERT).

18 Véase el Anexo E - Glosario de Términos. 19 La ingeniería social hace referencia a técnicas diseñadas para persuadir a los usuarios y conseguir información o para llevar a cabo acciones que suponen la violación de la seguridad de los sistemas de información. 20 Google Inc. pág.2. 21 Sophos (2007) pág.4. 22 Sophos (2007) pág.6.

13


Vectores de propagación del malware

Los vectores de propagación del malware hacen referencia a medios telemáticos, a través de los cuales el malware es trasmitido a los sistemas de información, plataformas o dispositivos que pretende infectar. El correo electrónico y las aplicaciones de mensajería instantánea son algunos de los medios más utilizados para difundir el malware mediante técnicas de ingeniería social. Sin embargo, cualquier soporte que permita difundir o compartir software, puede ser un vehículo para difundir malware. Algunos ejemplos de vectores de propagación y distribución de malware son la World Wide Web (WWW), soportes extraíbles (como memorias USB), sistemas y redes de intercambio de ficheros (P2P), el IRC, el bluetooth o las redes locales inalámbricas (WLAN). 23

El Bluetooth es el vector de propagación de malware en dispositivos móviles más significativo.

Consiste en una red inalámbrica de área personal (PAN) que permite que dispositivos, como, por ejemplo, teléfonos móviles, impresoras, cámaras digitales, consolas de videojuegos u ordenadores personales y portátiles, se conecten a través de radiofrecuencia de corta distancia. Algunas técnicas, como el bluejacking o el bluesnarfing 24 pueden comprometer este dispositivo, el cual es aún más vulnerable cuando se encuentra en modo visible, permitiendo que sea descubierto por otros dispositivos Bluetooth cercanos.

23 Véase el Anexo D para información sobre vectores de propagación. 24 El bluejacking consiste en enviar mensajes no deseados a dispositivos Bluetooth conectados. El bluesnarfing permite el acceso no autorizado a información desde un dispositivo inalámbrico a través de una conexión Bluetooth.

25 Aunque el Bluetooth tiene un rango de alcance de 100 metros para ordenadores portátiles con potentes transmisores, su rango es más limitado para los teléfonos móviles (aproximadamente 10 metros).

14


Cuadro 2: el malware en dispositivos móviles Existe un debate sobre la actual gravedad de las amenazas a dispositivos móviles, como teléfonos móviles, PDA y teléfonos inteligentes (smartphones). 26 Por ejemplo, algunos factores parecen indicar que las amenazas a dispositivos móviles son aún limitadas. Estos factores incluyen: a) algunas de las formas actuales de ataque a teléfonos móviles sólo pueden tener lugar dentro de un rango de 10 metros con un alcance global; b) los dispositivos móviles están limitados por el ancho de banda, ya que la cantidad de espectro asignada par su uso es limitada; c) la pequeña interfaz de usuarios es aún un obstáculo para llevar a cabo operaciones bancarias y otras transacciones de valor a través de Internet – hasta que los dispositivos móviles se conviertan en un medio popular para realizar transacciones, hay pocos incentivos para que los atacantes desarrollen malware para la plataforma de teléfonos móviles; 28 d) el coste asociado al uso del servicio general de paquetes de radio (GPRS) para conectarse a redes de datos IP puede también provocar que el dispositivo móvil sea menos popular si se compara con un ordenador conectado a Internet que utiliza tecnologías del tipo ADSL , con cable o banda ancha inalámbrica. Sin embargo, también se tiene en cuenta que cuando surgen estas amenazas, son bastantes reales. 29 Algunos datos muestran que aunque siguen siendo relativamente pequeñas respecto a la cantidad de malware en ordenadores, el malware de los teléfonos móviles, que apareció por primera vez en 2004, aumentó de tan sólo algunos casos aislados a más de 300 en un periodo de dos años. 30 Además, la preocupación por la seguridad aumenta a medida que los dispositivos móviles son cada vez más frecuentes y más utilizados para acceder a servicios críticos y “valiosos”. 31 Por ejemplo, se prevé que para el año 2009, el uso de los teléfonos inteligentes llegará a la cifra de 350 millones. 32 En 2006, Apple anunció que un número de videos de iPods, infectados con el virus RavMonE 33, había sido enviado a sus clientes. A muchos expertos les inquieta el hecho de que el malware de los teléfonos móviles se convertirá en una verdadera amenaza para los propios dispositivos móviles, las redes inalámbricas por las que se comunican estos dispositivos y las redes corporativas, servidores y/o ordenadores que intercambian información con estos dispositivos. El malware no detectado en un teléfono inteligente podría ser transferido a una red corporativa y usado para llevar a cabo otras acciones maliciosas. 34

¿Para qué se utiliza el malware? Los numerosos tipos de malware pueden usarse de forma individual o conjunta para poner en

riesgo la confidencialidad, integridad y disponibilidad de sistemas y redes de información. Del mismo modo, una amplia gama de ataques puede llevarse a cabo para alcanzar diferentes objetivos, como por ejemplo negar el acceso a sistemas de información crítica, realizar espionaje, extorsionar (ransom) o robar información (robo de identidad).

26 Un teléfono inteligente (smartphone) es un teléfono móvil con características similares a las de un ordenador personal.

27 Una red de área personal (PAN) es una red de ordenadores utilizada para comunicarse entre dispositivos informáticos, incluyendo teléfonos móviles y PDA, cercanos a una persona. Estos dispositivos pueden o no pertenecer a la persona en cuestión. Normalmente, el alcance de una red PAN es de pocos metros y suele utilizarse para que los propios dispositivos se comuniquen entre sí o para conectarse a una red de nivel superior o a Internet.

28 Según ha demostrado el mercado japonés, estas transacciones son posibles (véase BBC).

29 Hypponen, Mikko (2006) pág.73 (4 de 8).

30 Hypponen, Mikko (2006) pág. 72 (2 de 8).

31 Por ejemplo, las entidades financieras que deseen implementar la firma de transacciones y evitar tener que proporcionar a sus clientes un lector individual de tarjetas inteligentes pueden reforzarla a través del uso de un teléfono móvil-PDA por parte del cliente. De esta forma, la PDA móvil se utilizará para atentar contra el proceso de firma de transacciones. Como se puede observar en el glosario, la firma de transacciones sólo es efectiva si el hash codificado para la transicción se calcula en un dispositivo de confianza.

32 Hypponen, Mikko (2006) pág. 73 (3 de 8).

33 Hay que señalar que el virus fue transmitido al dispositivo a través de un ordenador de Windows de la linea de producción Véase http://www.apple.com/support/windowsvirus/.

34 iGillottResearch Inc (2006) pág.8.

15


El malware también puede usarse para comprometer la autenticidad y el no repudio, o para atacar al Sistema de Nombres de Dominio (DNS).35

Denegar el acceso

Denegar el acceso a datos digitales, recursos de redes, ancho de banda u otros servicios de redes (denegación de servicio, DoS) es un objetivo común de los ataques de malware. Los blancos más populares de estos ataques son las empresas que realizan negocios en Internet y se arriesgan a perder una cantidad significante de ingresos por cada minuto que su sitio web o red no está disponible, y los gobiernos que confían en los sitios web para proporcionar servicios esenciales a los ciudadanos. Normalmente, estos ataques se utilizan para el sabotaje (por ejemplo, dañar a un competidor u organización contra la cual el atacante tiene algún tipo de queja o “rencilla”), extorsión36o motivos de tipo político o ideológico. Ataques de Denegación de Servicio Distribuido (DDoS)

El método más conocido, y quizás el más común, de denegación de acceso son los ataques de denegación de ataque distribuido (DDoS). Los ataques DDoS pretenden inhabilitar el sitio web de una organización, u otros servicios de la red, sobrecargándolos con un volumen de tráfico inhabitual.37 El malware contribuye indirectamente a los ataques DDoS creando un suministro renovable de ordenadores comprometidos (bots38) a través de los ataques que se perpetran. El tráfico DDoS puede estar compuesto de paquetes falsos, relativamente fáciles de identificar, o “peticiones de servicio” adecuadamente formuladas y aparentemente legítimas. Esta sobrecarga de tráfico pretende exceeder la capacidad del ancho de banda de la red o de los recursos informáticos del servidor seleccionado, o bien de ambos, inhabilitando para ello el servicio a la mayoría de sus usuarios legítimos, o al menos, degradando el rendimiento para todo el mundo. Los ataques DDoS simples utilizan una red distribuida de bots (llamada botnet) para atacar un objetivo particular. Los ataques DDoS más complejos usan numerosas botnets para atacar el objetivo simultáneamente. En los ataques DDoS tradicionales, las botnets se utilizan para enviar cantidades masivas de preguntas y sobrecargar el sistema. Sin embargo, los ataques bajos y lentos, que se han convertido en una nueva tendencia observada por algunos expertos de seguridad, tienen lugar durante un mayor periodo de tiempo y utilizan una pequeña cantidad de ancho de banda de miles, por no decir, millones de ordenadores comprometidos. A menudo, el atacante coordina el ataque para que no todas las bots ataquen el objetivo de forma simultánea, sino de forma rotativa. La víctima y el proveedor de servicios de Internet pueden no ser conscientes de que el tráfico de la red ha aumentado, pero con el tiempo notarán pérdidas en sus infraestructuras y recursos.

Los ataques DDoS han sido lanzados contra los gobiernos por varios motivos de tipo político o ideológico. Por ejemplo, los sitios web del gobierno sueco fueron atacados en el verano de 2006, como una protesta contra las medidas anti-piratería implementadas en el país. 35 Véase el Anexo B sobre los tipos de ataques.

36 Messmer, Ellen y Pappalardo, Denise (2005).

37 Es posible causar una denegación de servicio en un dispositivo o aplicación de red expotando las vulnerabilidades de un sistema operativo o aplicación software. Por ejemplo, un atacante podría llevar a cabo esta acción enviando paquetes, especialmente diseñados, al dispositivo o aplicación donde se encuentre la vulnerabilidad. Sin embargo, este tipo de ataques DoS puede corregirse aplicando un software o parche firmware, o implementando cualquier otra solución temporal. En el caso de los ataques por inundación (flood attacks), la capacidad para mitigar el problema es más compleja y prolongada y, por tanto, el impacto es potencialmente más grave. 38 Véase el capítulo de este informe titulado “El malware en Internet: las botnets” para un mejor entendimiento de los bots y las botnets.

16

DSTI/ICCP/REG(2007)5/FINAL Los recientes acontecimientos que tuvieron lugar en Estonia han suscitado un interesante debate

sobre la importancia que un ciberataque de esta naturaleza supone para un país.39

Cuadro 3: el caso de Estonia 40

En mayo de 2007, una serie de ciberataques fueron perpetrados contra el Gobierno estonio y sitios web comerciales. Algunos ataques consistían en “desfigurar” sitios web (defacing) y sustituir las páginas por propaganda rusa o información falsa. Se llegaron a inhabilitar hata seis sitios web en diversos puntos, incluyendo los sitios de los Ministerios de Justicia y Asuntos Exteriores. La mayoría de los ataques utilizaban botnets que comprometían varios miles de ordenadores. El Equipo de Respuesta a Incidentes de Seguridad de Estonia (EE-CERT) actuó rápidamente y, en colaboración con socios de la comunidad internacional, pudo hacer frente a un grave ataque que sólo causó daños menores. En principio, el ataque fue neutralizado a través de conexiones de bloqueo y filtrado desde fuera del país. Por ejemplo, el segundo banco más importante de Estonia, el SEB Eesti Uhispank, bloqueó el acceso externo a sus servicios de banca online, aunque permanecía abierto para los clientes locales41. Una de las principales razones de la estabilidad de los servicios internos durante el ataque fue el hecho de que Estonia posee dos puntos neutros en Internet (IXP).42 Tres semanas después de los ataques, un experto identificó al menos 128 ataques distintos en nueve sitios web diferentes. De esos 128 ataques, 35 estaban dirigidos contra el sitio web de la policía estonia, otros 35 contra el sitio web del Ministerio de Economía y Hacienda y 36 contra los sitios web del parlamento, primer ministro y del gobierno en general43. Se ha estimado que algunos de los ataques duraron más de 10 horas y superaron los 95Mbps, llegando a casi millones de paquetes por segundo. Aunque esta cifra pueda parecer elevada, otros ataques, considerados de “descomunales” por los expertos en seguridad, suelen alcanzar aproximadamente 20 millones de paquetes por segundo, lo que supone 5 veces más que el ataque contra Estonia. Esto ha llevado a la conclusión de que el atacante no pretendía conseguir un impacto máximo o dañar la red, sino más bien lanzar un comunicado y demostrar que se tenía.

Extorsión (ransom) Algunos tipos de malware están diseñados para cifrar o codificar los datos de los usuraos, de

forma que su propietario no pueda recuperarlos. En este caso, el dueño deberá pagar un rescate (ransom) por la clave utilizada para cifrar sus datos, necesaria para invertir el proceso y restablecer los datos.44

Aunque este tipo de malware no es tan frecuente como otros, en 2006 se dieron varios casos de considerable importancia que llamaron la atención sobre esta cuestión.45 Estos ataques no sólo deniegan el acceso del usuario/propietario a sus propios datos, sino que dañan la confidencialidad e integridad de éstos, debido al cifrado y al acceso no autorizado por parte de los atacantes.

39 Por ejemplo, un oficial mayor entrevistado por The Economist afirmaba que “si el centro de comunicaciones de un Miembro Estado fuese atacado por un misil, se diría que ha sido un acto de guerra. Pero, ¿cómo se denominaría, si la misma instalación fuese inhaabilitada por un ciberataque?”; Véase The Economist (2007).

40 The Economist (2007)

41 The Sydney Morning Herald (2007)

42 Un punto neutro (IX o IXP) es una infraestructura física que permite que Proveedores de Servicios de Internet (ISP) intercambien el tráfico de Internet entre sus redes a través de acuerdos de peering que hacen que el tráfico se intercambie sin nigún coste. Los puntos neutros reducen la cantidad de tráfico de un proveedor de servicios, la cual debe distribuirse a través de los proveedores inmediatos (Upstream Transit Providers), reduciendo para ello el Coste Medio de Entrega Por Bit (APBDC) de los servicios. Además, los puntos neutros mejoran la eficacia y la tolerancia a fallos del enrutamiento.

43 Lemos, Robert (2007).

44 Se ha valorado que estos ataques no son para ganar popularidad, puesto que cualquier organización con un nivel básico de preparación debería poseer copias de seguridad de sus datos. Sin embargo, también es posible que los individuos no sean conscientes de este riesgo o que simplemente carezcan de un nivel básico de educación en seguridad para protegerse contra el malware.

45 Sophos (2007a) pág.8

17


Cuadro 4: un ejemplo de ransom: El Arhiveus46

En junio de 2006, un troyano atacó los archivos de la carpeta “Mis Documentos” de los usuarios de Microsoft Windows. Los archivos fueron cifrados, de forma que los usuarios sólo podían acceder a ellos pagando un rescate para poder recuperarlos. Cuando los usuarios intentaban acceder a sus archivos, eran dirigidos a un archivo que contenía instrucciones sobre cómo recuperar los datos. Las instrucciones decían:

INSTRUCCIONES SOBRE CÓMO RECUPERAR SUS ARCHIVOS. LEA ATENTAMENTE, SI NO LAS ENTIENDE, VUELVA A LEERLAS.

Este es un informe automático generado por un software de auto-archivado. Su ordenador se infectó con nuestro software al navegar por páginas ilegales de contenido pornográfico. Todos sus documentos, archivos de texto y bases de datos de la capeta “Mis Documentos” han sido encriptados con una contraseña. No puede averiguar la contraseña, ya que su longitud excede 30 símbolos, lo que hace imposible que los programas de recuperación de contraseñas puedan descubrirla (incluso intentando todas las combinaciones posibles).

No intente buscar un programa que haya encriptado su información, simplemente ya no existe en su disco duro. No acuda a la policía, porque no le serviría de nada, ya que no conoce la contraseña. Informar de nuestra cuenta de correo electrónico tampoco le ayudará a recuperar sus archivos. Además, esto supondría la pérdida de contacto con nosotros, y por tanto, la pérdida de toda su información. En muchos casos, los atacantes cifran archivos, como por ejemplo, fotografías, cartas o el presupuesto familiar. Para recuperar los datos, los usuarios necesitan introducir una contraseña de 30 caracteres que conseguirán tras realizar una compra en una de las tres farmacias online de los atacantes.

Espionaje

El malware puede y ha sido usado para accedar o espiar las operaciones de las empresas y gobiernos, y recopilar información que podría ser crítica para las transacciones comerciales o la seguridad nacional. Recientemente, el Reino Unido informó de un número determinado de ataques con troyanos perpetrados contra partes de la infraestructura de la información pública y privada del país. Se asumió que estos troyanos pretendían recopilar y transmitir información privilegiada.47 Este tipo de malware puede ser utilizado por empresas y otras organizaciones para recopilar información sobre sus competidores, como se puede ver en el siguiente ejemplo:

Cuadro 5: el caso de Michael y Ruth Haephrati

En marzo de 2006, Michael y Ruth Haephrati fueron extraditados de Gran Bretaña a Israel, donde fueron acusados de crear y distribuir un troyano que llevaba a cabo espionaje industrial contra algunas de las empresas más importantes del país.48 Al parecer, Michael Haephrati se encargaba de desarrollar y perfeccionar el programa, mientras que su esposa, Ruth, negociaba con empresas de investigación privadas que compraban el software y lo instalaban en los ordenadores de los clientes competidores. En concreto, se cree que el troyano se utilizó para espiar la agencia de relaciones públicas Rani Rahav, cuyos clientes incluyen el segundo mayor operador de teléfonos móviles de Israel (Partner Communications) y el grupo de televisión por cable HOT. Otra supuesta víctima fue Champion Motor, que importa motores de vehículos Audi y Volkswagen. Ruth Brier-Haephrati fue formalmente acusa de fraude con agravantes, acceso ilegal a un sistema informático, introducción de virus, instalación de un equipo de escucha, invasión de la intimidad, administración de una base de datos ilegal y conspiración. Michael Haephrati sólo fue acusado de delitos menores, ya que la fiscalía lo consideraba el ayudante de Ruth, puesto que su trabajo sólo consistía en perfeccionar el programa y adaptarlo a las necesidades específicas de los clientes.49

46 Sophos (2007b).

47 Centro para la Protección de la Infrestructura Nacional del Reino Unido (2005).

48 Messagelabs (2006) pág.11.

49 Sophos (2006c).

18


Robo de información En los últimos cinco años, el robo de información, y especialmente el robo de identidad, 50 ha

provocado la creciente preocupación de empresas, gobiernos y particulares. Aunque el malware no desempeña un papel directo 51 en el robo de identidad, su uso para llevar a cabo este delito se ha vuelto cada vez más común, debido al aumento de troyanos backdoor y otros programas de robo que se ocultan en el sistema infomático y recopilan información de forma imperceptible.

Como se observa en la Figura 1, los ataques robo de identidad por Internet que hacen uso del malware pueden ser complejos y utilizar numerosos servidores de Internet para distribuir spam y malware, así como comprometer los sistemas de información de los usuarios para después registrar los datos robados en otro sitio web controlado por el atacante o enviarlos a la cuenta de correo de éste. Por lo general, el atacante opera bajo diversos nombres de dominio y numerosas direcciones IP para cada nombre de dominio, las cuales cambia de manera constante durante el ataque (por ejemplo, véanse los sitios de botnets nº 1 y 2 que alojan malware en la Figura 1).52 El uso de diversos nombres de dominio, equipos anfitriones (hosts) y bots (y sus respectivas direcciones IP) está diseñado para aumentar el tiempo disponible para recopilar información sensible y reducir la efectividad de los esfuerzos de las organizaciones afectadas (como, por ejemplo, bancos), Equipos de Respuesta a Incidentes de Seguridad (CSIRT) y Proveedores de Servicios de Internet (ISP) para cerrar sitios web fraudulentos. Bajo el sistema de nombres de dominio (DNS), los atacantes pueden cambiar de manera fácil y rápida las tablas DNS 33, reasignar nuevas direcciones IP a la web fraudulenta y registrar sitios web que operan bajo un dominio determinado.54 La consecuencia es que al cerrar una dirección IP, no tiene sentido que el sitio web permanezca activo bajo otra dirección IP en la tabla DNS del atacante. Por ejemplo, en un caso reciente, las direcciones IP que operaban bajo un único nombre de dominio cambiaban de forma automática cada 30 minutos y nuevos servicios DNS han hecho posible reducir este tiempo a cinco minutos o menos. Los atacantes pueden usar dominios legítimos existentes para alojar sus ataques o registrar dominios fraudulentos creados especialmente para este fin. La única solución posible para esta situación es “desregistrar” el dominio. 55

50 Véase DSTI/CP(2007)3/FINA, donde el robo de identidad se define como una transferencia ilega, posesión o mal uso de información personal con el objeto de cometer un fraude u otro delito relacionado.

51 Es cada vez más frecuente que los ataques de robo de identidad utilicen técnicas de ingeniería social para convencer al usuario de la necesidad de proporcionar información personal a una fuente considerada de confianza. Esta técnica, conocida como phishing, no hace un uso directo del malware, sino que utiliza correos electrónicos falsos y engañosos, o sitios web fraudulentos haciéndose pasar por sucursales bancarias, minoristas que operan en Internet (e-retailer) y empresas de tarjetas de crédito, para engañar a los usuarios de Internet y conseguir que revelen información personal. Sin embargo, dado que muchos ataques de phishing se realizan a través de correos spam enviados por las botnets, el malware está implicado de forma indirecta, puesto que se usa para crear botnets que a su vez son utilizadas para enviar correos spam y llevar a cabo los ataques de phishing. El malware estaría implicado de forma directa, si el correo spam contuviese malware o un enlace a un sitio web en el que éste fuese descargado de manera automática.

52 Técnica conocida como “flujo rápido” (fast flux).

53 Una tabla DNS proporciona un registro de los nombres de dominio y sus respectivas direcciones IP.

54 Véase el Anexo B sobre los ataques que utilizan DNS o contra el DNS.

55 AusCERT (2006) pp.19-20.

19

4

Fig. 1. Sistema de robo de identidad online que utiliza malware56

Capturas de información intercambiada,

incluyendo banca por Internet, pagos de

impueston online (e-tax), e-salud, etc.

El spam es enviado a miles de usuarios

2 Botnet que

aloja un sitio de

registro Sitio de resgistro para datos capturados cuando el PC se

conecta a Internet.

7

Relays de spam 3

mai Interacción del usuario necesaria para comenzar el

proceso de infección haciendo clic en el enlace

de la URL.

5 Dropper dirigido al segundo sitio de malware para conseguir el malware principal.

El troyano captura datos protegidos y los transmite a un

servidor de registro, pero también espera a que el usuario se conecte a diversos

sitios web para capturar los datos y enviarlos al sitio de

registro.

64 Primera infección.

Dropper instalado. Un dropper es un programa que instala troyanos.

Botnet que aloja malware sitio nº 1

Infección original con el troyano principal

Atacantewww.clickhere.com

Servidor dropper - fase 1

Principal servidor troyano – Fase 2

Distribuye exploits personalizados a ordenadores comprometidos

Botnet que aloja malware sitio nº 2 www.gotyou.com/cgi-

56 AusCERT (2006) at 7.

P

binrleadmin.cgi

www.clickhere.com/suck er.php contiene javascript ofuscado

lifeisfine. attacker-do

org mai

n 3

PC Víctima

1

Múltipl es

(ordenadores comprometidos)


Tendencias de los ataques de malware La naturaleza dinámica del malware hace que los expertos en seguridad estén constantemente

alerta de los nuevos tipos de malware y formas de ataque. Dada su compleja naturaleza, es necesario analizar las tendencias generales de los ataques para entender mejor su evolución. Como se ha mencionado anteriormente, el uso del malware es cada vez más sofisticado y preciso. Los atacantes utilizan con mayor frecuencia técnicas engañosas de ingeniería social para alentar a los usuarios a visitar páginas web aparentemente legítimas que en realidad están infectadas y/o comprometidas con malware. La Figura 2 ilustra los tipos de ataques que parecen estar en aumento, aquéllos que han decaído y otros cuya tendencia está poco clara o no ha cambiado.

20

Fig. 2 Tendencias generales de los ataques

Leyenda

Tendencias más frecuentes o en alza

Tendencias que han decaído

Tendencias cuya dirección no está clara

Uso de correo spam para atraer a usuarios a sitios web maliciosos

Ataques masivos indiscriminados

Malware en sitios web legítimos

Brotes graves de virus y gusanos

Spam distribuido por las botnets

Ataques DDoS

Ingeniería social

Malware en dispositivos móviles

Ataques “dirigidos” a pequeña escala

Adolescentes que practican hacking por diversión

Ataques combinados, polifacéticos o multifase


Origen de los ataques de malware El origen hace reference tanto al lugar desde el cual los atacantes perpetran los ataques como a la

ubicación de los sistemas informáticos a los cuales va dirigido el ataque. En la mayoría de los casos, es fácil saber dónde están ubicados los sistemas informáticos gracias a su protocolo de Internet o direcciones IP. Sin embargo, no suele bastar con identificar a la persona responsable del ataque. Por ejemplo, el spoofing es una técnica diseñada para engañar a un usuario sin conocimientos del origen de un correo electrónico o sitio web. 37

37 Cuando se utiliza el spoofing, normalmente no sirve de nada identificar el origen de la dirección IP de un correo electrónico o sitio web. Del mismo modo, también es posible suplantar el origen de la dirección IP de un datagrama IPv4, lo que complica aún más averiguar la identificación real de la dirección IP. Hay que indicar que esto no suele ser necesario para que el ataque se perpetre o que pueda ser contraproducente para el atacante, si el objetivo es robar los datos de un ordenador. El uso de tecnologías de anonimización podría suponer un problema aún mayor a la hora de identificar el origen de los ataques, aunque su uso aún no está muy extendido entre los delincuentes, probablemente debido a que el hecho de utilizar ordenadores comprometidos ajenos proporciona al atacante suficiente protección.

21


Además, no suele ser habitual que el atacante se encuentre en la misma región geográfica en la que tienen lugar los ataques. Es una práctica común entre los ciberdelincuentes58 el uso de ordenadores comprometidos, y en menor medida de proxies anónimos59, alojados en una jurisdicción extranjera para perpetrar el ataque. Esto protege la identidad y proporciona recursos informáticos que de otra forma, los atacantes no podrían permitirse. Los delincuentes son muy conscientes de las barreras legales que obstaculizan o incluso impiden que se lleve a cabo una investigación del delito informático, en caso de que los éstos se cometan de forma intencionada.

El malware se propaga por todo el mundo y los rankings60suelen mostrar que un gran número de

países desarrollados y en vías de desarrollo alojan ciberdelincuentes que utilizan código malicioso. Aunque los ataques procedentes de un país pueden estar dirigidos a objetivos locales, la tendencia predominante es que los ataques se perpetren de forma intencionada según sus objetivos. Además, el papel de la geografía depende del objetivo final de los atacantes. Por ejemplo, la velocidad de la banda ancha de Internet varía de un país a otro. Si un atacante desea maximizar el daño en la red, puede utilizar ordenadores comprometidos ubicados en países donde la banda ancha es frecuente. Si el objetivo es degradar el servicio o robar información, el atacante puede utilizar ordenadores procedentes de una gran varidedad de lugares geográficos. La distribución geográfica permite que aumente el anonimato de los ataques e impide que se pueda identificar, investigar y juzgar a los atacantes.

58 Aquí se hace referencia a ciberdelincuentes que orquestran ataques constantemente con fines económicos de manera ilegal y que pueden tener un área de especialización y estar involucrados en una gran variedad de operaciones comerciales, tales como phishing, troyanos, distribución de spam, el fraude del clic (clickfraud), desarrollo de malware, etc.

59 En las redes informáticas, un servidor proxy es un servidor (un sistema informático o una aplicación) que administra las peticiones de los clientes enviándolas a otros servidores. Un cliente se conecta a un servidor proxy solicitando servicios, como, por ejemplo, archivos, conexiones, páginas web u otros recursos disponibles en un servidor diferente. El servidor proxy proporciona el recurso conectándose al servidor específico y solicitándolo en nombre del cliente. Un servidor proxy que elimina información de la petición del cliente para preserver su intimidad, es denominado servidor proxy anonimizante o anonimizador.

60 Véase Symantec (2007) pág. 9.

22


EL MALWARE EN INTERNET: LAS BOTNETS

¿Qué es una botnet? Una nueva forma de malware cada vez más frecuente son las botnets, herramientas clave que los

atacantes utilizan para llevar a cabo una gran variedad de actividades maliciosas y delitos informáticos. Una botnet es un grupo de ordenadores infectados de malware, también denominadas zombies o bots, que se pueden usar de forma remota para atacar otros ordenadores.61

Los bots se crean encontrando vulnerabilidades en sistemas informáticos, explotando esas

vulnerabilidades con malware e insertándolo en esos sistemas. Las botnets están controladas de forma remota por agentes maliciosos, denominados comúnmente bot herders o bot masters. Luego, los bots son programados y dirigidos por el bot herder para llevar a cabo una serie de ciberataques, incluyendo ataques que implican una mayor distribución e instalación de malware en otros sistemas informáticos. El malware, cuando se usa en conjunto con las botnets, permite que los atacantes crean suministros autosuficientes y renovables de recursos informáticos contectados a Internet que facilitan los delitos (Véase la Fig. 3). Algunos de los tipos de malware, anteriormente mencionados en este informe, se propagan a través de las botnets. Por tanto, hay una relación cíclica: el malware se usa para crear botnets y las botnets se usan para distribuir más malware y spam.

La Figura 3 muestra la relación entre el ciclo de vida del malware y la botnet. Cuando el malware infecta un sistema de información, pueden ocurrir dos cosas, que se robe algo (información, dinero, credenciales de autentificación, etc.) y que el sistema de información infectado pueda formar parte de la botnet. Si un sistema de información forma parte de una botnet, es utilizado para analizar vulnerabilidades en otros sistemas de información conectados a Internet, creando para ello un ciclo que rápidamente infecta sistemas de información vulnerables.

61 En este informe, el término bot hace referencia a ordenadores infectados con malware controlados por un agente malicioso de manera remota y transformados en un “robot” o máquina zombie. Por tanto, las botnets deberían entenderse como redes de máquinas bots. Sin embargo, el término bot puede aparecer en otros contextos, ya que en general hace referencia a una serie de programas o scripts que ejecutan tareas automatizadas. El término es muy usado en el contexto del IRC (Internet Relay Chat), en el que los usuarios crean y usan bot scripts para jugar online, coordinar la transferencia de ficheros y automatizar el comando “admin” (EggDrop es uno de los tipos de bots benignos del IRC más antiguos). El hecho de que los botmasters utilizen los bots del IRC para dar órdenes y controlar las botners podría explicar por qué el término bot es tan popular en la información y debates sobre el malware.

23

Infecta

1. Malware

Infección y ciclo de generación de la botnet

2. Robar algo (dinero, información, credenciales de autenticación de usuarios)

3. Forma parte de una botnet

Botnet

Robar información, por ejemplo, alojar un sitio de phishing con direcciones IP rotantes

Enviar spam Comprometer otros ordenadores con malware

Organizar ataques DDoS Alojar sitios “mule” con

direcciones IP rotantes

DSTI/ICCP/REG(2007)5/FINAL Figura 3. El ciclo de vida de las botnets

¿Para qué se usan las botnets?

Normalmente, las botnets se usan con los siguientes fines:

1. Localizar e infectar otros sistemas de información con programas bot u otro tipo de

malware. En particular, esta funcionalidad permite que los atacantes mantengan y establezcan un suministro de nuevas bots que les permita, entre otras, llevar a cabo las siguientes funciones:

2. Llevar a cabo ataques de denegación de servicio distribuido (DDoS).

3. Actuar como un servicio que puede comprarse, venderse o alquilarse.

4. Rotar direcciones IP bajo uno o más nombres de dominio con el objeto de aumentar la longevidad de los sitios web fraudulentos que, por ejemplo, alojan sitios de phishing o malware.

5. Enviar spam que, a su vez, puede propagar más malware.

6. Robar información sensible de cada uno de los ordenadores comprometidos que forman parte de la botnet.

7. Alojar al propio sitio malicioso de phishing, normalmente junto con otros miembros de la botnet, para proporcionar redundancia.

8. Muchos clientes de botnets permiten que el atacante elija cualquier código adicional,

haciendo que se conviertan en objetivos muy flexible para añadir nuevos ataques.

24

Fig. 4. Comando y control de botnets


Modelos de Comando y Control (C&C) de Botnets Normalmente, los bots se comunican con el bot master a través de un servidor de comando y

control (C&C) del IRC que proporciona las instrucciones que dirigen la operación de la botnet. Con frecuencia, el servidor C&C es asimismo un ordenador comprometido que dirige varios servicios de redes. Después de que un programa bot infecta y compromete un sistema informático, el bot vuelve a conectarse de manera periódica al servidor C&C para comprobar las instrucciones. Aunque hay varios modelos C&C, el más popular es el modelo centralizado (véase la Figura 4), en el que todos los bots informan de una única ubicación mientras esperan las órdenes. El modelo centralizado es popular entre los bot masters porque ofrece herramientas de software que hacen más fácil operar. Además, este modelo causa muy poco retraso entre el bot master y los bots.62 A medida que los atacantes usan protocolos web HTTP y HTTPS63, también aumentan los métodos de comunicación entre los bots y el servidor C&C, lo que significa que es más difícil que los operadores de redes puedan detectar y bloquear comunicaciones de bots hacia o desde su red, ya que está escondida entre un gran volumen de tráfico web normal. Un nuevo modelo alternativo C&C diseñado para impedir que los practicantes de seguridad puedan detener los ataques alojados por las botnets es el creciente modelo de uso P2P (peer to peer) (véase la Figura 4).64 El modelo P2P carece de una jerarquía central de comunicación, lo que hace que sea más difícil desmantelar la botnet. 65 Por tanto, es extremadamente complicado detener los ataques organizados desde botnets que se comunican a través de P2P, puesto que no hay ningún punto de fallo.

62 Trend Micro (2005) pág.8.

63 Éste es el mismo protocolo que permite que tanto comunicaciones web cifradas (https) como no cifradas (http) tengan lugar. Bloquear este tráfico evitaría el acceso web a una red.

64 Govcert.nl (2007) pp. 11-12.

65 Trend Micro (2005) pp. 8-9.

25


Además de los modelos anterores, las botnets utilizan con mayor frecuencia las llamadas redes de flujo rápido (fast flux) para evitar ser detectadas. Las redes fast flux son redes de sistemas informáticos comprometidos que utilizan registros DNS públicos que cambian constantemente, lo que hace que sean más difíciles de detectar y de detener la actividad maliciosa.66 Además, este modelo no usa el servidor centralizado C&C, sino que utiliza proxies para ocultar los servidores que controlan las redes fast flux.

Cifras sobre las botnets

Mientras que las botnets varían en tamaño, normalmente suelen contar con cientos de miles de

ordenadores comprometidos, aunque ha habido alguna excepción, como, por ejemplo, un grupo de atacantes de los Países Bajos que afirmó controlar 1,5 millones de bots.67 Normalmente, el número de bots controlados por un único atacante varía dependiendo de si los ordenadores comprometidos están conectados a Internet, si han sido “limpiados” o si el atacante está utilizando su botnet para localizar y atacar más sistemas de información para añadirlos a la red. Además, existen incentivos para que los bot herders utilicen botnets más pequeñas y así perpetrar ataques más dirigidos que eviten la detección. Por ejemplo, las botnets grandes que envían spam o dirigen ataques DDoS generan un gran volume de tráfico que suele ser detectado por los proveedores de servicios de Internet y los administradores de la red, mientras que los ataques pequeños que utilizan menos ancho de banda suelen pasar desapercibidos.

La prevalencia de las botnets ha aumentado. Aunque se estima que el número de botnets puede

variar sobremanera, la mayoría de los expertos coinciden en que su número es bastante grande. Por ejemplo, en 2006, el Centro Nacional de Coordinación de Respuesta a Emergencias de Redes Informáticas de China (CNCERT/CC) informó de que 12 millones de direcciones IP eran controladas por botnets.69 También se descubrieron más de 500 botnets y más de 16.000 servidores de comando y control de botnets fuera del país.

Las botnets se han convertido en un artículo que se contrata. Los agentes maliciosos pueden alquilar o comprar un bot master para perpetrar un ataque. Un informe calculó la media semanal de alquiler de botnets en 50-60 dólares por cada 1.000-2.000 bots y 33 céntimos por cada ordenador comprometido68, lo que supone un coste extraordinariamente bajo comparado con el coste que representa un ordenador en términos de hardware, software y ancho de banda.

66 The Honeynet Project (2007) pág.1.

67 Govcert.nl (2006) pág. 8.

68 MessageLabs (2006) pág. 4.

69 Dr. Du, Yuejun (2007) pág.13.

26


Cuadro 6. El caso de la botnet holandesa En octubre de 2005, la policía holandesa arrestó a tres hombres, miembros de una red de ciberdelincuentes, sospechosos de hacking a gran escala. Este grupo controlaba varias botnets que se cree estaban formadas por más de 1,5 millones de ordenadores infectados.70 Las botnets desempeñaban un papel clave en gran cantidad de delitos informáticos, incluyendo phishing, robo de identidad, fraude y extorsión en Internet. A su debido tiempo, se hizo evidente que las botnets tenían una función esencial en las actividades de los ciberdelincuentes, actuando como la infraestructura básica que permitía que los ataques fueran perpetrados con éxito. En junio de 2005, un informe para la comunidad CERT de los Países Bajos comunicaba que un importante centro informático con sede en los Países Bajos había sido atacado. La comunidad CERT, a su vez, informó del incidente a la Unidad de Delitos de Alta Tecnología (el antiguo Centro Nacional Holandés de Delitos de Alta Tecnología), perteneciente a la policía holandesa. Basándose en información que combinaba direcciones IP y el nombre del sospechoso, quien utilizaba una conexión a Internet de banda ancha en su domicilio, el fiscal ordenó interceptar el tráfico de Internet para recoger más pruebas. Con el fin de determinar el tamaño de la botnet y las actividades ilegales del sospechoso, se analizó todo el tráfico del protocolo IRC de los datos interceptados. Como era de prevenir, la botnet era bastante grande y utilizaba una gran cantidad de canales IRC en numerosos servidores IRC. En esta investigación, se averiguó que los delincuentes controlaban al menos dos grandes botnets que eran utilizadas para llevar a cabo delitos informáticos y que incluso, tras arrestar a los delincuentes, cabía la posibilidad de que las botnets siguieran operativas. En colaboración con la comunidad CERT y grandes proveedores de servicios de Internet, se pudo desmantelar la botnet, evitando así su crecimiento e interrumpiendo su actividad maliciosa. Así pues, se acordó que el mejor momento para desmantelar la red era justo después de los arrestos.

Las botnets y la banda ancha Esta creciente amenaza de botnets puede explicarse en parte por el uso cada vez mayor de

conexiones de banda ancha para acceder a Internet. Así pues, se necesitan mayores esfuerzos por parte del usuario y de los proveedores para proteger la seguridad y privacidad del entorno online. Para 2004, las conexiones de Internet de banda ancha estaban bastante extendidas en los países miembros de la OCDE.Por ejemplo, en Corea, en 2004, el 86% de los hogares y el 92% de las empresas poseían una conexión de banda ancha a través del ordenador o teléfono.71 En los dos años siguientes, estas cifras siguieron aumentando. A finales de 2005, había aproximadamente 265 millones de abonados a conexiones fijas de banda ancha en los países miembros de la OCDE. De esta cifra, el 60% utilizaba un acceso de banda ancha y los abonados de banda ancha han aumentado en más de un 60% al año en los últimos cinco años. Para mediados de 2006, había más de 178 millones de abonados de banda ancha en la zona de la OCDE. Los países europeos han seguido progresando, con Dinamarca, los Países Bajos e Islandia superando a Corea y Canadá en términos de índices de penetración de banda ancha durante el pasado año.72

La transición de la banda ancha a un ancho de banda de subida más rápido a través de fibras

podría agravar aún más el problema de las botnets. La potencia de un ordenador de conexión de fibra que resulte infectado podría equivaler a 31 ordenadores infectados de DSL y 44 de redes cableadas.73 Ésta es una de las áreas clave en la que se centran los legisladores encargados de las redes de telecomunicaciones y de la seguridad en un futuro cercano.

70 Govcert.nl (2006) pág.8.

71 OCDE (2005).

72 OCDE (2007) pág. 130.

73 Un ordenador de conexión de fibra con una capacidad de subida de 100Mbit/s que resulte infectado podría teóricamente dañar a 390 ordenadores infectados con una capacidad de subida de 256 Kbits/s. Las velocidaddes medias de subida para la banda ancha en los países miembros de la OCDE en octubre de 2006 eran 1 Mbit/s para DSL, 0.7 Mbit/s para cable y 31 Mbit/s para FTTx.

27


El Spam y las botnets Existe una equivalencia entre las botnets y el spam debido a cambios en las técnicas de spamming

en los últimos años. Normalmente, el spam hace referencia al correo electrónico masivo, no deseado, no solicitado y potencialmente dañino.74 Los atacantes han creído conveniente cooperar con los spammers usando sus listas de distribución para enviar cantidades masivas de spam, que a menudo contienen otro tipo de malware como correo electrónico adjunto75, a través de la botnet. Por ejemplo, la segunda mayor familia de código malicioso de la que se informa entre enero y junio de 2006, Bomka, era un troyano que se descargaba de un enlace incluido en un correo spam que utilizaba técnicas de ingeniería social para convencer al usuario de que el enlace era un sitio web de clips de video.76 El problema del spam y del malware es también cíclico y autosuficiente. Los sistemas de información comprometidos por el malware se utilizan para distribuir spam y una parte del spam que se distribuye está diseñado para distribuir malware a nuevas víctimas cuyos sistemas de información se utilizarán para llevar a cabo más actividades maliciosas online.

Hay que señalar que no todo el spam contiene malware, ya que a menudo resulta difícil determinar

cuánto spam contiene malware de forma directa. El análisis manual llevado a cabo por el Centro de Seguridad de Tecnologías de la Comunicación e Información (ICST) de China Taipei, realizado durante dos años en 417 correos electrónicos sospechosos, descubrió que de esos 417 correos analizados, 287 (68%) contenían malware. Otros datos muestran que en 2006 únicamente el 1,5% o 1 de cada 67,9 correos analizados contenía un virus o troyano y según este mismo estudio, en 2005, la media anual era de un 2,8% en cada 36,1.78 Es probable que la naturaleza dispar de estos resultados pueda deberse a una falta de técnicas comparativas para determinar cuándo el spam contiene malware.

Recientemente, el Grupo de Trabajo de Mensajería y Anti-Abuso (MAAWG) informó de que el porcentaje de correos electrónicos identificados como “abusivos”79 había estado oscilando entre un 75% y un 80%80. Este grupo atribuía la fluctuación a proveedores de servicios que se ocupaban de nuevos esquemas introducidos por aquéllos que pretendían eludir los métodos de detección de los proveedores de servicios, incluyendo filtros. No obstante, está ampliamente aceptado que la gran mayoría del spam se envía desde las botnets. La efectividad y la amplia disponibilidad de los sistemas de información comprometidos, con conexiones de banda ancha de alta velocidad, hacen que el spam se encuentre en sus niveles más altos, a pesar de las muchas iniciativas para reducir y evitar que éste se distribuya.

74 OCDE (2006) pág. 25.

75 SOPHOS (2006a) pág. 2.

76 Symantec (2006) pág. 68.

77 Liu, Pei-Wen (2007) pág. 3 afirma que estos datos están basados en un spam auto-seleccionado que encaja con una cierta categoría o tipo y, por tanto, es representativo de un conjunto de muestras más pequeño. Además, estos datos no incluyen los virus o gusanos de correo masivo.

78 MessageLabs (2006) at 7.

79 El MAAWG utiliza el término “abusivo”, ya que la definición de spam puede variar en gran medida en cada país.

80 Messaging Anti-Abuse Working Group (MAAWG) (2007) pág. 2.

28


Cuadro 7. FTC contra Dugger En un caso reciente, la Comisión Federal de Comercio de los Estados Unidos (FTC) intentó detener el uso subyacente de las botnets para enviar spam (FTC contra Dugger). La FTC alegó que los acusados transmitían correos electrónicos comerciales de contenido sexual a través de los ordenadores de otros usuarios sin su conocimiento o consentimiento. Más tarde se alegó que la conducta de los acusados infringía la Ley CAN-SPAM.81 De acuerdo a la sentencia final, se acusó a los juzgados de infringir la Ley CAN-SPAM y se les exigió que devolvieran más de 8.000 dólares de los beneficios conseguidos a través de la botnet. También se les ordenó obtener la autorización del dueño del ordenador antes de usarlo para enviar correos comerciales y de informarle sobre el uso del ordenador.

Aunque la ley civil contra el spam es importante, como en el caso anterior, la mayoría de los casos de malware son intrínsecamente delitos, y, por tanto, es más aconsejable el papel de las autoridades criminales para detener las operaciones delictivas.

El papel de las listas negras en la lucha contra las botnets

Las listas negras hacen referencia a una práctica denominada Listas Negras DNS (DNSBL) para filtrar el tráfico entrante de Internet. Los servidores de correo pueden configurarse para rechazar el correo que proviene de direcciones IP, rangos IP o redes enteras listadas en una DNSBL específica. De hecho, existe una gran variedad de listas negras que pueden usarse en diferentes combinaciones.

La mayoría de las listas son gratuitas y administradas por voluntarios a través de operaciones que

pueden financiarse por medio de fuentes externas. Cada DNSBL tiene sus propios criterios para incluir una dirección IP en la lista y su propio procedimiento para conseguir una dirección de la lista. Spamhaus, una organización internacional sin ánimo de lucro financiada a través de patrocinadores y donaciones, mantiene varias listas negras conocidas, aunque prefiere utilizar el término “listas de bloqueo”, el cual afirma se usa para proteger a más de 600 millones de usuarios de la bandeja de entrada. Una de las listas contiene direcciones de fuentes de spam, incluyendo spammers, grupos de spam, operaciones de spam y servicios de apoyo de spam. Otra lista se centra en las botnets que controlan proxies abiertos. En este punto, hay que indicar que las listas negras, aunque son potencialmente poderosas, han suscitado sus propias críticas con respecto, entre otras cosas, al “vigilantismo” de sus operadores, al listado de falsos positivos, al daño colateral que puede aparecer con las listas negras de ciertas direcciones o rangos IP y a los motivos económicos de algunos operadores. Además, las listas negras han hecho frente a los desafíos legales de los spammers, quienes en ocasiones lograron con éxito obtener veredictos favorables para no ser incluidos en las listas negras. Según estudios empíricos82 recientes, la mayoría de los proveedores de servicios de Internet utilizan listas negras.

Las listas negras y los proveedores de servicios de Internet (ISP)83

Las listas negras proporcionan un incentivo para invertir en seguridad, ya que tienen un impacto

directo en el modelo de negocio de los ISP. Por ejemplo, un ISP mediano informó de un incidente de seguridad en el que 419 spammers84

configuraron más de 1.000 cuentas de correo electrónico en su dominio y después empezaron a enviar spam, incluyendo servidores de correo de los ISP en las l is tas negras, lo que provocó un gran número de llamadas a los centros de atención al cliente, por parte de los afectados que habían notado que sus correos electrónicos no llegaban. 81 Para más información sobre la ley CAN-SPAM: http://www.ftc.gov/bcp/conline/pubs/buspubs/canspam.shtm (información disponible en inglés)

82 OCDE (2007b) pág. 33.

83 Nota: este texto es parte del informe original. Véase OCDE (2007b) pp. 33-34.

84 Se trata de un fraude en el que se convence a la víctima de que adelante cantidades relativamente pequeñas de dinero para conseguir más dinero. Este tipo de fraude tiene muchas variantes, siendo la más conocida las Cartas Nigerianas o timo 419, que hace referencia al artículo 419 del Código Penal Nigeriano que se encarga de este tipo de fraudes.

29


Este número no incluye las notificaciones de abuso entrantes, cuyo número era supuestamente aún mayor. En otro ejemplo, un agente de seguridad de un gran proveedor de servicios de Internet explicó que estar en una lista negra llevó a un enfoque más proactivo para eliminar bots de la red, incluyendo la adquisición de equipamientos que automatizan el proceso de identificar máquinas infectadas en la red.85 A mediados de 2007, este proveedor en particular identificó unos 50 clientes al día y si el cliente no solucionaba el problema, se suspendía la conexión.

Existen varios niveles de listas negras que se utilizan para incitar una respuesta por parte del

proveedor. En el nivel más bajo, se encuentra una lista negra de direcciones IP individuales, es decir, un cliente individual. Según un experto de seguridad, “esto no tiene ningún impacto en el proveedor”. Únicamente cuando el número de direcciones IP listadas alcanza un cierto límite, el problema podría llamar la atención del proveedor. Según los expertos, los proveedores suelen ignorar las direcciones IP individuales que han sido listadas, debido a los costes relativamente altos de hacerse cargo de ellas, por ejemplo, la atención al cliente. Además, las direcciones IP particulares desaparecen de las listas negras si los spammers o atacantes pasan a otras máquinas infectadas.

Otros incentivos más poderosos son las listas negras de rangos IP enteros y de servidores de correo

salientes, que normalmente llaman la atención de los proveedores y llevan a una acción de saneamiento, aunque la efectividad varía según el grado de vigilancia aplicado por el proveedor. La forma más extrema es incluir toda una red en una lista negra, es decir, todas las direcciones IP de un proveedor. Esto sólo se usa contra proveedores semi-legítimos que no actúan ni contra el spam ni contra paraísos de spam.

Listas negras y registradores de nombres de dominio

Los registradores que ofrecen alojamiento y servicios de correo electrónico están sujetos a listas

negras en las mismas condiciones que los proveedores de servicios. Los operadores de listas negras también vigilan a los registradores y su respuesta ante las quejas de abuso. En casos extremos, las listas negras pueden incluir al propio registrador. Un famoso caso fue el reciente conflicto entre el operador de listas negras Spamhaus y el registro/registrador australiano Nic.at. Spamhaus había solicitado a Nic.at que eliminara nombres de dominio que según afirmaba estaban asociados con el phishing a través de la banda “rock phish”. Nic.at no cumplió con la solicitud, alegando restricciones legales. El registrador argumentó que legalmente no podía eliminar los sitios, a menos que Spamhaus proporcionara una clara prueba de que los nombres de dominio habían sido registrados usando información falsa.86 El conflicto se agravó cuando Spamhaus incluyó el servidor de correo saliente de Nic.at en una de sus listas negras, listándolo como “soporte de spam” para que el correo electrónico de los registradores no fuese aceptado por la multitud de servidores que utilizan esta popular lista de correo. Unos diez días después de que Spamhaus cambiara el listado de Nic.at por un listado simbólico, ya no bloqueaba las direcciones IP, pero las mantenía en la lista de “soporte de spam”. Varios de los dominios ofendidos habían sido eliminados, pero Nic.at negó que hubiese incumplido la petición de Spamhaus y asumió que los proveedores de alojamiento tomaran medidas.87

85 OCDE (2007b) pág. 34.

86 Sokolov, D.A. (2007). 87 ORF (2007) y Spamhaus (2007).

30


LA ECONOMÍA DEL MALWARE

Los agentes maliciosos

¿Quiénes son los agentes maliciosos? Estudios demuestran que la variedad de agentes maliciosos que desarrollan y distribuyen malware

va desde aficionados que buscan la fama hasta importantes ciberdelincuentes organizados. También se afirma que las naciones estado poseen las mismas capacidades. La Figura 5 representa los agentes maliciosos, desde los “Innovadores” hasta el “Crimen Organizado”88, basándose para ello en un reciente estudio sobre la actividad delictiva en Internet. Sin embargo, es importante señalar que hay una categoría entera de agentes cuyas motivaciones son políticas o ideológicas, en vez de simplemente económicas.

Mientras que ciertos delitos son siempre “locales”, la gran mayoría de los delitos online transpasan

las fronteras jurisdiccionales e internacionales, reduciendo así el riesgo de identificar y juzgar a los delincuentes. Dado que no es posible localizar a los autores de muchos de los ataques de malware, resulta difícil ofrecer un enfoque auténtico de la naturaleza de los grupos o individuos implicados en la distribución de diversos tipos de delitos. Sin embargo, algunas instituciones financieras y del orden público están involucradas de forma activa en el control e investigación del dinero procedente de transferencias de fondos fraudulentas, resultado de ataques de phishing y troyanos de robo de identidad. Estas investigaciones implican la identificación de “mulas de dinero” (money mules), es decir, individuos que losdelincuentes reclutan voluntaria o involuntariamente para facilitar las transferencias ilegales de fondos entre cuentas bancarias.

La Figura 6 representa la evolución del malware en términos de intentos maliciosos llevados a cabo

por los autores, mostrando una clara evolución de la búsqueda de fama por parte de los techies hasta delincuentes cuya motivación son las ganancias económicas. ¿Cuáles son sus destrezas y motivaciones?

Como se ha demostrado anteriormente en este este estudio, los ataques que usan malware son cada

vez más complejos. Sin embargo, mientras que la sofisticación de los vectores de ataque aumenta, el concimiento necesario para llevarlos a cabo disminuye considerablemente. Aunque esto podría parecer contraintuitivo, puede deberse en gran medida al creciente mercado de malware. La mayoría de los atacantes actuales son adversarios motivados, capaces de adquirir malware o subcontratar a atacantes para llevar a cabo ataques más sofisticados.

38 El término "crimen organizado" se utiliza libremente en este contexto y suele hace referencia a un grupo de delincuentes con fines lucrativos que intercambian servicios en un mercado abierto.

31

89 McAfee Inc. (2006) pág.9.

Crimen organizado ¿Quién? Altamente motivados, altamente organizados, “ciberladrones” del mundo real (cyber-crooks), de número limitado pero de poder ilimitado ¿Por qué? Beneficios ¿Cómo? Un núcleo concentrado de genios centrados en beneficiarse a través de cualquier medio posible, rodeándose de los recursos humanos e informáticos necesarios para que esto ocurra.

Privilegiados ¿Quién? Trabajadores descontentos o exempleados, contractores y consultores ¿Por qué? Venganza o robo ¿Cómo? Aprovecharse de una seguridad inadecuada gracias a los privilegios que les aporta su posición en el lugar de trabajo.

Imitadores ¿Quién? Hackers o autores de malware ¿Por qué? Deseo de un estatus de celebridad dentro de la comunidad de los delitos informáticos ¿Cómo? Interesados en recrear ataques sencillos

Innovadores ¿Quién? Individuos que dedican su tiempo a encontrar agujeros de seguridad en los sistemas o a explorar nuevos entornos para ver si son adecuados para el código malicioso ¿Por qué? Desafío ¿Cómo? Aceptar el desafío de violar las medidas de protección existentes

Aficionados que buscan la fama ¿Quién? Novatos con s conocimientos informáticos y de programación limitados ¿Por qué? Deseo de llamar la atención de los medios ¿Cómo? Utilizar herramientas y trucos prefabricados


Fig. 5. Agentes maliciosos89

32


Fig. 6. La visibilidad del malware contra el propósito malicioso90

El modelo de negocio del malware

Recientemente, un experto afirmó que “crear tu propio bot y establecer una botnet es hoy en día una

tarea relativamente sencilla. No se necesita conocimiento especializado, simplemente hay que descargar las herramientas disponibles o incluso el código fuente.91 Además, los kits listos para ser usados (off-the-shelf) con troyanos prefabricados pueden descargarse de Internet. Algunas versiones poseen la garantía del autor de que no serán detectadas por los sistemas de seguridad y otras incluso incluyen un”acuerdo del nivel de servicios”, por el cual el autor garantiza crear durante un cierto periodo de tiempo nuevas versiones para el delincuente, una vez que el malware haya sido detectado. Se ha estimado que este servicio puede costar como mínimo 800 dólares.92 Además, muchos servicios maliciosos, como, por ejemplo, las botnets, pueden alquilarse.93

El malware, y por extensión su principal vector de propagación, el spam,94 se combinan cada vez más como piedras angulares de las técnicas delictivas, que evolucionan con gran rapidez para conseguir beneficios en la “economía de Internet”. El malware se ha convertido en un “mercado masivo” para hacer dinero, ya que ofrece un rentable modelo de negocio. Las técnicas del malware son cada vez más sofisticadas, pero algunos usuarios siguen careciendo de la protección adecuada. Entender el modelo de negocio del malware puede ayudar a los participantes de la industria y a los legisladores a combatir de manera más efectiva las amenazas si atacan su rentabilidad económica. La propagación de malware está motivada por la posibilidad real de conseguir beneficios económicos, aunque la información que los atacantes fijan como objetivo puede deberse a una gran variedad de propósitos (por puro robo de identidad o espionaje industrial para tener acceso a información privilegiada o confidencial, o para denegar el acceso a sistemas de información crítica).

Mientras que los atacantes siguen organizando ataques de manera satisfactoria, la economía del

malware se autoperpetúa. Los spammers, phishers y otros tipos de ciberdelincuentes se están enriqueciendo y, por tanto, poseen mayor poder económico para crear grandes motores de destrucción.

90 Gráfico ofrecido por Govcert.nl (www.govcert.nl).

91 McAfee Inc. (2006) pág.6.

92 MessageLabs (2006) pág. 14.

93 Véase infra pág. 25.

94 Como se mencionó anteriormente, no todo el spam contiene malware. Sin embargo, la mayoría del spam se envía desde sistemas de información que han sido comprometidos con malware.

33

DSTI/ICCP/REG(2007)5/FINAL Es un gran negocio, a menudo dirigido por individuos acaudalados, que cuenta con numerosos

empleados y grandes cantidades de dinero ilícito. Además de una creciente frecuencia y sofisticación de los ataques, el daño es significativo.95

Los ataques modernos muestran un mayor nivel de convergencia, con una combinación de spam e

ingeniería social diseñados para reportar el mayor nivel de rentabilidad al atacante. Además, los ataques actuales consisten en una serie de olas, cada una de ellas con un propósito específico. Un simple ataque tiene por objetivo crear una lista de direcciones de correo electrónico válidas, seguido de un correo electrónico a las cuentas infectadas de virus con una carga dañina que hace que el sistema del usuario pase a formar parte de una botnet. Una vez que forma parte de la botnet, los ordenadores se suelen utilizar para propagar correos de phishing que, a su vez, generan un rendimiento monetario.

Justificación económica del malware

El correo electrónico no se considera un equilibrio económico entre el emisor y el receptor, ya

que virtualmente no cuesta nada enviarlo. Todos los costes del spam y del malware pasan al proveedor de Internet y a los receptores “no dispuestos” que se encargan de medidas protectivas, del ancho de banda y otros costes de conexión, por encima de los costes de reparación del ordenador o de haber perdido dinero en estafas. Al mismo tiempo, los delincuentes minimizan los costes al máximo: no pagan impuestos, evitan el coste de dirigir un negocio genuino y sólo pagan comisiones a otros delincuentes a nivel intenacional y a un bajo precio de manera comparativa.

El coste de los agentes maliciosos sigue disminuyendo a medida que aumenta de manera gratuita

el espacio disponible para almacenar correo electrónico. Además, el uso de las botnets facilita y hace más barato enviar malware a través del correo electrónico. Normalmente, los delincuentes actuales tienen acceso a técnicas baratas para recopilar direcciones de correo electrónico, así como un acceso más fácil al malware y a los servicios subcontratados de spamming. Las técnicas de anti-detección están evolucionando de manera constante para que operar sea más barato y los agentes maliciosos puedan así cambiar fácilmente de proveedor de servicios si se detecta su actividad y se termina su servicio.

Tanto el propio malware como los ordenadores comprometidos utilizados para perpetrar ataques

suponen un bajo coste, están fácilmente disponibles y son un recurso asequible y renovable. Las conexiones de Internet de alta velocidad y el aumento del ancho de banda permiten la creación masiva de sistemas de información comprometida que engloban un sistema de ataque autosuficiente como se puede ver en la Figura 7. Además, los agentes pueden reemplazar los sistemas que han sido desconectados o limpiados, así como expandir el número de sistemas de información comprometidos a medida que la demanda de recursos (concretamente malware y sistemas de información comprometidos) para cometer delitos informáticos también aumenta.

95 Véase ”Malware: ¿Por qué deberíamos concienciarnos?” sobre las consecuencias del malware.

34

malware

Ordenadores comprometidos conectados a Internet (bots)

Otros ciberdelitos: distribución de spam, phishing o DDoS

Ciberataques y cibercrimen causados

directamente por el malware

Ciberataques y cibercrimen causados indirectamente por el

malware


Figura 7. SIstema de ataque autosuficiente que utiliza malware

Nota: este diagrama muestra cómo se utiliza el malware para crear un recurso autosuficiente de ordenadores comprometidos que actúan como base de la actividad maliciosa online y del cibercrimen. Los sistemas de información conectados a Internet pueden infectarse de malware. Luego, esos sitemas de información se usan para analizar y comprometer otros sistemas de información.

Proceso de negocio subyacente

Los procesos de negocio subyacentes para el spam y el malware siguen en gran medida los

mismos patrones:

– Desarrollar o adquirir software de spam que distribuya malware.

– Recopilar direcciones, seleccionadas o no, y/o desarrollar o adquirir el control de una botnet.

– Distribuir spam, con o sin malware, desde ordenadores ajenos a través de botnets.

– Publicar sitios web fraudulentos para obtener datos de los usuarios.

Siguiendo estos patrones, ciertos grupos de atacantes son activos en toda la cadena de valor, empezando por el desarrollo de malware y la distribución de spam o malware para blanquear el dinero en una cuenta “limpia”. Sin embargo, gran parte del mercado delictivo está dividido en grandes bloques de especialización, lo que permite controlar socios a nivel global, sobre todo a través del IRC, boletines electrónicos clandestinos y foros online.

Los delincuentes desarrollan, mantienen y venden malware, botnets, software de transmisión de

spam, CD repletos de direcciones recogidas de páginas web, listas de servidores proxy abiertos y listas de open relays de protocolos simples de transferencia de correo (SMTP)96 . Las listas de direcciones o controles de una botnet son alquiladas o vendidas.

Analizar y comprometer más ordenadores

instalando malware o alojando sitios de

troyanos creando así más bots

35

DSTI/ICCP/REG(2007)5/FINAL Estas listas cuestan apenas unos 100 dólares para 10 millones de direcciones. Una operación

criminal online podría llevarse a cabo bajo ningún coste, siendo los únicos costes algunas “utilidades”, tales como el ancho de banda, la conexión a Internet, direcciones de correo electrónico o el alojamiento de sitios web, aunque incluso todo esto podría financiarse de manera ilegal.

Mientras que el uso del malware para facilitar la ciberdelincuencia ha aumentado, sobre todo los

delitos que buscan un beneficio económico de manera ilícita, el dinero obtenido a través de esta actividad maliciosa online se ha vuelto cada vez más difícil de localizar. Al igual que en las investigaciones criminales tradicionales, localizar el dinero a través del análisis del flujo de efectivo podría proporcionar información esencial sobre los atacantes. Sin embargo, cada vez es más frecuente solicitar a las víctimas de la actividad maliciosa online pagos a través de transferencias bancarias (46% de las transacciones de estafas online en los Estados Unidos en 2006), seguido de pagos con tarjeta (28%), ambos preferibles por la velocidad y posibilidad de ocultar rastros fácilmente, en comparación con cheques o dinero en efectivo, que actualmente representan menos del 10% de los pagos.97 Este tipo de pagos son rápidos y pueden hacerse casi de forma anónima a través del uso de numerosas cuentas bancarias de todo el mundo. Sistemas alternativos de pago como e-Gold o Paypal hacen aún más difícil localizar los movimientos económicos. Los usuarios de estos servicios de pago por Internet pueden abrir una cuenta con un nombre falso y utilizar un servidor proxy para proteger la dirección IP de origen.

95 El Protocolo Simple de Transferencia de Correo (SMTP) es la norma común para las transmisiones de correo electrónico por Internet.

96 United States National Consumer League / National Fraud Information Center (2006) pág. 2.

36


¿POR QUÉ DEBERÍAMOS CONCIENCIARNOS SOBRE EL MALWARE?

El aumento del malware y de las formas cada vez más innovadoras en las que es utilizado para robar datos personales, llevar a cabo espionaje, afectar gobiernos y operaciones comerciales o negar el acceso del usuario a la información y servicios es una potencialmente seria amenaza para la economía de Internet, así como para promover la e-Administración en los servicios para los ciudadanos, para las actividades sociales de los individuos online y para la seguridad nacional.

Factores favorables para el malware

Las capacidades del malware lo convierten en una frecuente “herramienta ciberdelictiva”. Sin

embargo, existen otros factores económicos y sociales que pueden contribuir a su mayor frecuencia y al sólido estado de su economía. A continuación, se describen algunos de estos factores que, aunque aportan importantes beneficios a la sociedad, también facilitan la existencia y propagación del malware.

Internet de banda ancha y los usuarios

En 2005, la Unión Internacional de Telecomunicaciones estimó que existían 216.108.600 abonados

“fijos” a Internet de banda ancha en el mundo.98 Además, está generalmente aceptado que actualmente hay una media de 1.000.000.000 de usuarios de Internet en el mundo. A medida que el número de abonados y usuarios aumenta, también aumenta el número de los posibles objetivos del malware. La creciente prevalencia de Internet de alta velocidad y la disponibilidad de conexiones sin cable de banda ancha facilitan que los agentes maliciosos perpetren ataques de manera satisfactoria, ya que pueden comprometer ordenadores rápidamente, utilizar el ancho de banda para enviar cantidades masivas de spam y llevar a cabo ataques DDoS. Además, estas conexiones permanentes permiten a los agentes maliciosos ser móviles y atacar desde cualquier ubicación, incluyendo lugares públicos como cybercafés, bibliotecas, cafeterías o incluso desde una PDA o dispositivo de telefonía móvil.99 Operar desde lugares públicos permite a los atacantes perpetrar sus actividades de forma anónima, haciendo, por tanto, aún más difícil detectarlas y localizarlas.

Hay que señalar que aunque las tecnologías de banda ancha son un factor favorable, el verdadero

problema son los comportamientos asociados a estas tecnologías. Por ejemplo, normalmente no se suelen adoptar las medidas de seguridad adecuadas al utilizar tecnologías de banda ancha, dejando, de hecho, la conexión abierta sin tener instalado el software de seguridad apropiado.100

Más servicios disponibles en Internet

La mayoría de los gobiernos, consumidores y empresas dependen de Internet para llevar a cabo su

actividad diaria. En 2004, la OCDE descubrió que en la mayoría de sus países miembros más del 90% de las empresas de 250 o más empleados tenían acceso a Internet. Aquéllas de 50 a 249 empleados presentaban también índices bastante altos de acceso.101 Los usuarios domésticos utilizan Internet en sus actividades diarias, como son la compra, la banca o simplemente el intercambio de información o para realizar trámites con la e-Administración o transacciones de comercio electrónico. A medida que el número de estos servicios sigue aumentando, también aumenta la comunidad de usuarios que tiene acceso a estos servicios online. Esto, a su vez, aumenta los objetivos disponibles para ser atacados o explotados, lo que proporciona un mayor incentivo para que los delincuentes lleven a cabo su actividad maliciosa. 98 Unión Internacional de Telecomunicaciones (ITU) (2007) pág. 23.

99 McAfee Inc. (2007) pág. 02 y 10.

100 Éste podría ser el caso de una conexión a Internet, la banda ancha u algo similar.

101 OCDE (2005) E-7.

37


El sistema operativo y las vulnerabilidades del software

Cuanto más vulnerable es la tecnología, más probabilidades existen de explotarla a través del

malware. Por ejemplo, la compañía de seguridad Symantec102 informó de un aumento del 12% en el número de vulnerabilidades conocidas desde la primera mitad de 2006 (Enero-Junio de 2006) hasta la segunda mitad (Junio-Diciembre de 2006) que atribuyeron en su mayoría al continuo crecimiento de vulnerabilidades en las aplicaciones web. Microsoft tambió anunció un aumento de casi 2.000 vulnerabilidades encontradas desde 2005 hasta 2006.103 El aumento de vulnerabilidades se corresponde con un aumento de las incidencias. Microsoft también informó sobre un incremento en el número de ordenadores desinfectados con su Herramienta para la Eliminación de Software Malicioso (Malicious Software Removal Tool) de menos de 4 millones a comienzos de 2005 a más de 10 millones a finales de 2006.104

Hay que señalar que la ausencia de vulnerabilidades de un producto software conocidas y denunciadas no

significa necesariamente que el producto sea más seguro que otro cuyas vulnerabilidades se han hecho públicas, puede simplemente significar que no se han llevado a cabo esfuerzos similares para detectarlas. Además, las herramientas que detectan y explotan vulnerabilidades son cada vez mejores, las empresas las denuncian con mayor frecuencia y el número de “investigadores” que prueban el software para detectarlas es cada vez mayor. Finalmente, la mayor complejidad del software, es decir, más funciones interconectadas que necesitan colaborar con un creciente universo de software, hace que también sean mayores las posibilidades de detectar vulnerabilidades.

El usuario medio de Internet como blanco fácil

A medida que aumenta la confianza de los usuarios domésticos de Internet en las Pymes, también

aumentan las amenazas de malware a las que se enfrentan. Los consumidores y las empresas están cada vez más expuestos a una nueva gama de ataques complejos y dirigidos que utilizan el malware para robar información personal y bancaria.

Muchos usuarios de Internet no están bien informados de cómo gestionar sus sistemas de seguridad de

forma segura. Esta falta de concienciación y las posteriores acciones o falta de ellas contribuyen a una creciente prevalencia de código malicioso. La mayoría del malware necesita algún tipo de acción por parte del usuario o aceptación para propagarlo. Estudios recientes de varias organizaciones muestran que aunque cada vez más usuarios toman medidas para proteger sus sistemas de información, un gran porcentaje de la población carece de las medidas básicas de protección. Por ejemplo, un estudio de 2005 encomendado por el gobierno australiano, Trust and Growth in the Online Environment (Confianza y Crecimiento en el Entorno Online), descubrió que uno de cada siete ordenadores del país utilizaba un cortafuegos y aproximadamente uno de cada tres utilizaba un software antivirus actualizado.105 Además, se estima que 59 millones de usuarios de los Estados Unidos tienen programas espía (spyware) u otros tipos de malware en sus ordenadores.106

En 2006, el Eurobarómetro de la Encuesta a Hogares sobre Comunicaciones Electrónicas de la Comisión Europea 107 observó un aumento de concienciación por parte de los consumidores con respecto al spam y a los virus. En algunos Estados Miembros, hasta el 45% de los consumidores había experimentado problemas significativos.

102 Symantec (2007) pág. 38.

103 Microsoft (2006b) pág. 8.

104 Microsoft (2006b) pp. 20-21.

105 OCDE (2007c) pág. 33-34.

106 Brendler, Beau (2007) pág. 4.

107 Eurobarómetro de la Comisión Europea (2007) pág. 89.

38

DSTI/ICCP/REG(2007)5/FINAL En el 40% de los casos, el rendimiento informático disminuyó considerablemente y en un 27% de ellos se

obsevó un incidente. En la misma encuesta, el 19% de los consumidores no tenían ningún sistema de protección en sus equipos. Otros datos también sugerían que los usuarios domésticos eran un blanco mayor en todos los sectores 108

representando el 93% de todos los ataques dirigidos109y poniendo por tanto de manifiesto que la débil seguridad del usuario es un importante factor favorable para el malware.

Consecuencias del malware

En muchos casos, las consecuencias de unas medidas de seguridad inapropiadas son “externas” o

asumidas por otros en la sociedad. Por ejemplo, si el ordenador de un usuario conectado a una red o a Internet no está adecuadamente protegido y se infecta, puede tener consecuencias directas en la seguridad de otros sistemas informáticos interconectados. Un ejemplo de esto, es el uso de las botnets para perpetrar ataques DDoS contra los sitios web de terceras partes, servidores de correo u otras redes de ancho de banda o recursos.

Mientras que muchas de las tendencias están aumentando, sigue estando poco claro cómo esas

tendencias están relacionadas con el daño general causado por el malware. Detectar un gran número de troyanos no significa necesariamente que el daño es mayor, ya que también podría suponer una respuesta a programas de seguridad mejorados. De manera similar, afirmar que las botnets a gran escala están disminuyendo en tamaño no significa necesariamente que las contramedidas sean efectivas, sino que los atacantes han encontrado botnets más pequeñas y más beneficiosas. En definitiva, dado que las tendencias de ataques malicosos son altamente dinámicas, es difícil sacar conclusiones fiables con respecto al daño económico.

Sin embargo, teniendo en cuenta la creciente proporción de sistemas de información conectados a

Internet en un único país y los crecientes desafíos para detectar y eliminar el malware, es bastante probable, por tanto, que las consecuencias del malware en la sociedad también estén aumentando.

Consecuencias económicas – datos de muestra

Aunque es difícil recopilar datos exactos sobre la actividad delictiva en Internet y las correspondientes pérdidas económicas, está generalmente aceptado que el malware contribuye de forma significativa a estas pérdidas.110 Además, si existen datos sobre la ciberdelincuencia y sus consecuencias económicas, normalmente las empresas y gobiernos son reacios a hacerlos públicos.

Una asociación bancaria del Reino Unido valoró las pérdidads directas causadas por el malware a sus

organizaciones miembros111en 12,2 millones de libras esterlinas en 2004, 23,2 millones en 2005 y 33,5 en 2006, lo que supone un aumento del 90% desde 2004 y del 44% desde 2005. Hay que señalar que estas pérdidas directas no son representativas para las consecuencias económicas actuales, ya que no miden la reducción de confianza por parte del consumidor en las transacciones por Internet, la pérdida de reputación, las consecuencias en la marca y otros costes de oportunidad directos o indirectos que son difíciles de cuantificar. Del mismo modo, no se incluyen costes como gastos laborales para analizar el malware, reparar y limpiar los equipos infectadas; costes referidos a la adquisición de herramientas de seguridad (programas antivirus y anti-malware) o pérdidas de productividad debidas a la incapacidad de los empleados para interactuar con un sistema cuando sufre un ataque.

108 Symantec (2007) pág. 5.

109 Con el objetivo de medir esto, Symantec define el “ataque dirigido” como una dirección IP que ataca al menos tres sensores Symantec en un sector concreto excluyendo el resto de sectores durante un cierto periodo. Véase Symantec (2007) pág. 85.

110 Un informe de 2004 del Consejo Conjunto de Información sobre la Edad-Delito de Estados Unidos (Joint Council on Information Age Crime) mostró que el 36% o menos de las organizaciones encuestadas informó de delitos informáticos a las autoridades policiales. Véase US Joint Council (2004) pág. 8.

11 Whittaker, Colin (2007) pág.11.

39

DSTI/ICCP/REG(2007)5/FINAL Una encuesta reciente de 52 profesionales y gestores de tecnologías de la información estimó un

ligero descenso en los daños directos asociados al malware112 de 12,2 millones de euros en 2004 a 10.000 millones de euros en 2005 y 9,3 millones en 2006.113 Este descenso es en gran medida atribuido a la sospecha de que las pérdidas indirectas o secundarias están en realidad aumentando.114 Además, la misma encuesta descubrió que la mayoría de las organizaciones tienen en cuenta la frecuencia de los incidentes de malware pero no las consecuencias económicas.115 Otra encuesta valoró la pérdida anual de las empresas estadounidenses en 67,2 millones de dólares.116

Aunque los costes de medidas de seguridad relacionadas con el malware se consideran proprietarios,

las valoraciones realizadas por los actores del mercado en un reciente estudio empírico variaban del 6 al 10% del coste del capital de las operaciones. Aunque no existían claras valoraciones de las consecuencias del malware en los gastos de operaciones, el estudio descubrió que la mayoría de las organizaciones experimentaban tales consecuencias. La investigación empírica puso de manifiesto que existía desconcierto sobre la importancia de las consecuencias, aunque no se publicó ningún dato que hiciera evidente su magnitud.

El coste para los consumidores es incluso más difícil de calcular, aunque probablementes es

significativo. Un ejemplo son los Estados Unidos, donde los consumidores pagaron unos 7,8 millones de dólares durante dos años para reparar o sustituir sistemas de información infectados de virus o programas espía.118

Aunque la mayoría de los datos no son comparables entre estudios y el alcance de las encuestas es a

menudo limitado, sí que ilustran la magnitud de las consecuencias económicas derivadas del malware, tanto para empresas como para consumidores.

Consecuencias en los actores del mercado119

A continuación se expone brevemente cómo algunos actores clave del mercado hacen frente al

malware.

112 Computer Economics (2007), pág. 5.

113 En este caso, los daños directos hacen referencia a costes laborales para analizar, reparar y limpiar sistemas infectados, pérdida de productividad del usuario, pérdida de ingresos debido a la pérdida o disminución de rendimiento del sistema y otros costes que se derivan directamente de los ataques de malware. Los daños directos no incluyen costes preventivos de hardware o software antivirus, costes permanentes del personal de seguridad de tecnologías de la información, costes secundarios de ataques posteriores al ataque de malware original, costes de seguro, el daño a la marca de la organización o pérdidas de valor de mercado. [Nota: estas cuestiones incluyen el tamaño limitado de la muestra, respuestas limitadas, la incapacidad para estimar de manera exacta los costes de incidencias de malware o la dificultad de detectar incidencias de malware. En todos los casos, debería hacerse referencia a pérdidas estimadas.]

114 Nota: estas pérdidas no se estimaron en la encuesta.

115 Computer Economics (2007) pág. 9.

116 United States Government Accountability Office (2007), pág. 2.

117 OCDE (2007b).

118 Brendler, Beau (2007) (Fuente: StopBadware Project).

119 OCDE (2007b).

40


Proveedores de Servicios de Internet (ISP) Tanto los costes como los ingresos de los proveedores de servicios de Internet (ISP) y, por tanto, su

rentabilidad, están afectados de forma directa e indirecta por el malware. El mayor coste inmediato del malware es la atención al cliente y la gestión del abuso. Estos costes pueden aumentar si los ISP resultan afectados por las listas negras en la lucha contra los ordenadores infectadas de su red. Las formas de malware que aumentan el volumen de tráfico, como las botnets que generan cantidades masivas de spam, si no se controlan provocan costes de oportunidad para el proveedor de servicios. El nivel de estos costes de oportunidad depende de la capacidad de utilización de la red existente. Si la red tiene capacidad de sobra, los costes de oportunidad del tráfico adicional resultarán bajos para el proveedor de servicios. Sin embargo, si la utilización de la capacidad de la red es limitada, los costes de oportunidad pueden ser significativos a medida que el aumento de tráfico con malware inducido puede expulsar otro tráfico a corto plazo y necesitar inversiones adicionales en las instalaciones de la red (en concreto routers y la capacidad de transmisión) a medio y largo plazo. El malware también puede afectar al ISP de manera indirecta a través de ingresos reducidos, en caso de que la marca o la reputación del cliente se vean afectadas, por ejemplo, a causa de listas negras o conectividad reducida. Los proveedores de servicios deben invertir en medidas preventivas para reducir el malware, como, por ejemplo, filtros para el tráfico entrante o tecnologías que les permitan poner en cuarentena a los clientes, únicamente si el coste es menor que el coste causado por el malware, de manera directa o indirecta.

Empresas de comercio electrónico

Las empresas de comercio electrónico resultan afectadas por el malware en gran variedad de formas. Muchas tienen que hacer frente a ataques DDoS que a menudo les exigen adquirir servicios más costosos de sus proveedores, así como proteger la disponibilidad de los servicios. Además, el malware se ha utilizado para recopilar datos confidenciales de los clientes, tales como información de tarjetas de crédito registrada en las cuentas de los clientes de empresas de comercio electrónico. Algunas formas sofisticadas de malware han conseguido sortear las medidas de seguridad de los sitios de banca online que confían en la denominada autentificación multifactorial en lugar de simplemente en las credenciales de inicio de sesión del usuario. Incluso si la información del usuario no permite el acceso inmediato a los recursos financieros, se puede utilizar para personalizar correos electrónicos de phishing que tratan de persuadir a los clientes para que revelen información financiera. Existen también casos en los que el malware se ubica en los servidores de las empresas de comercio electrónico, las cuales no son conscientes de que sus sitios web alojan contenidos maliciosos que son distribuidos a los visitantes. Normalmente, son los propios clientes de comercio electrónico quienes resultan perjudicados, aunque de forma directa o indirecta la empresa de comercio electrónico también puede resultar afectada. A menudo, los proveedores de servicios financieros compensan a sus clientes por los daños sufridos. Otras empresas pueden sufrir repercusiones en su reputación.

Vendedores de software

Los vendedores de software resultan afectados de manera directa e indirecta. El malware utiliza las vulnerabilidades de sus productos para infectar los equipos. El daño derivado de estas vulnerabilidades no afecta directamente a los vendedores de software, aunque puede tener repecusiones en su reputación y requerir costosas medidas de respuesta. Desarrollar, probar y aplicar parches que eliminan vulnerabilidades resulta muy costoso, tanto para el vendedor como para el cliente Con frecuencia, los desarrolladores de software hacen frente a intercambios de desarrollos entre la seguridad, la apertura del software como plataforma, la usabilidad y los costes de desarrollo. Las inversiones en seguridad pueden retrasar la comercialización y, por tanto, suponer costes de oportunidad adicionales que resultan en la pérdida de ventajas al ser los primeros actores en entrar al mercado. Por otra parte, si la reputación afecta al trabajo, los vendedores de software cuyos productos tienen reputación de pobre seguridad pueden experimentar costes en forma de pérdida de ingresos. Sin embargo, estas consecuencias se mitigan por el hecho de que muchos mercados de software tienden a contar con firmas importantes y, por tanto, encasillan a los clientes en productos específicos.

41

DSTI/ICCP/REG(2007)5/FINAL Registradores

Los registradores se han convertido en una parte del ecosistema de seguridad. Sus prácticas de

negocio y políticas afectan los costes del malware, así como los modelos de negocio delictivos que se crean a su alrededor. Los registradores pueden obtener ingresos adicionales de los registros de nombre de dominio, aunque estén relacionados con el malware, pero no pueden sufrir ningún coste específico directamente. No obstante, si los dominios están relacionados con una actividad maliciosa, podría dar lugar a un aumento en el número de notificaciones de abuso, tanto formales como informales. Hacer frente a tales notificaciones de abuso resulta costoso, lo que supone que los registradores se deben comprometer a formar al personal. La suspensión de los dominios podría suponer responsabilidades legales. Además, muchos registradores puede que no estén bien equipados para hacer frente a las peticiones de “desregistro” de malware. El “desregistro” de dominios de malware puede resultar muy complejo en comparación con los “desregistros” de phishing, que normalmente suponen una clara violación de la marca o de los derechos de autor. Algunos expertos afirman que el abuso del registrador encargado de un equipo siempre hará mención a la falta de pruebas para llevar a cabo la petición de “desregistro”, aunque se hayan aportado pruebas suficientes para muchos equipos de respuesta a incidentes. Dado el riesgo de la acción legal, si un dominio legítimo no fuese correctamente “desregistrado”, los registradores defenderían a sus clientes antes que a los demandante.

Uno de los costes económicos a los que se enfrentan los registradores es probar la identidad de los

registrados. Algunos dominios, como por ejemplo .com.au, requieren rigurosos tests para el registro de la empresa y la elegibilidad de un nombre antes de concedérselo. Estas restricciones prueban que el número de registros fraudulentos en el dominio .com.au ha disminuido.

Usuarios finales

Los usuarios finales componen el grupo más diverso de actores, desde usuarios domésticos hasta

grandes empresas u organizaciones gubernamentales. Los equipos de los usuarios finales, desde ordenadores domésticos hasta servidores web corporativos, son un blanco típico para el malware. Las consecuencias económicas de los ordenadores infectados se propagan a través de todo el sistema de valor. Algunas de las repercusiones las sufren los actores del mercado, no los propietarios de equipos infectados, aunque también existe malware que afecta directamente a los dueños, por ejemplo, el robo de información sensible del equipo comprometido. Pérdida de confianza

La fuerte confianza de la sociedad en los sistemas de información hace que las consecuencias del

fallo de éstos, o de que resulten atacados, sean potencialmente serias. El malware es un medio eficaz y efectivo para que los atacantes comprometan un gran número de sistemas de información, así como una ponderosa herramienta para mermar y disminuir la capacidad de la sociedad para confiar en la integridad y confidencialidad de la información de estos sistemas. La falta de una protección adecuada para la confidencialiad e integridad de las transacciones en Internet puede tener consecuencias para los gobiernos, empresas y consumidores. Por ejemplo, los servicios de la e-Administración, como por ejemplo, el registro online de impuestos o beneficios, incluyen normalmente datos personales que si resultan comprometidos, podrían usarse para cometer fraude. Los sistemas de información de las pequeñas empresas o de las organizaciones del sector público y privado podrían utilizarse para acceder a los servicios de la e-Administración o del comercio electrónico.

La naturaleza del malware es tal, que no es posible confiar en la confidencialidad o integridad de

los datos enviados o a los que tiene acceso cualquier ordenador anfitrión comprometido con código malicioso. A menudo resulta difícil distinguir un ordenador anfitrión comprometido de uno que no lo está y, por lo tanto, en un entorno como Internet, en el que el malware ha tomado poder, las conexiones de ordenadores anfitriones infectados deben considerarse como potencialmente sospechosas. Así pues, la capacidad para confiar en las transacciones en Internet puede disminuir aún más, ya que los mecanismos tradicionales de confianza en la economía de la información, como, por ejemplo, la autentificación, cifrado y certificados digitales pueden ser dañados, sorteados o manipulados por el malware.120

42


En los últimos años, se ha llevado a cabo un número de encuestas que muestran el desconcierto de los consumidores con respecto a los riesgos de seguridad y privacidad que conlleva proporcionar información online o realizar operaciones por Internet. 121 El punto clave de estas encuestas es que si la preocupación con respecto a la seguridad y privacidad fuesen mejor tratadas, muchos consumidores utilizarían el comercio electrónico, la banca online y varios servicios de la e-Adminsitración con mayor frecuencia de la actual, mejorando así los beneficios económicos y la efectividad que se espera de estas plataformas.

Sin embargo, a pesar del desconcierto, existen otros estudios que muestran que la comodidad y

eficacia de Internet están aumentando el uso del comercio electrónico y de la banca online. En 2006, RSA Security anunció el primer Índice de Confianza en Internet, diseñado para medir cambios en la confianza de Estados Unidos y Europa en las transacciones seguras online entre consumidores y empresas.122 En ese momento, el índice anual, basado en datos recogidos de empresas y consumidores de Estados Unidos, Reino Unido, Alemania y Francia, reveló que la disposición para llevar a cabo operaciones en Internet estaba por lo general superando a la confianza, y que consumidores y empresas estaban asumiendo los riesgos de beneficiarse de las operaciones online.

Estas dos piezas aparentemente contradictorias ponen de manifiesto que el papel e importancia de

la confianza no se tienen en cuenta tanto como deberían y que, de hecho, resulta difícil medir la confianza del usuario en el entorno online. Sin embargo, las pruebas empíricas muestran que las empresas de comercio electrónico se benefician en gran medida de la capacidad para llevar a cabo operaciones en Internet123. Por ejemplo, dadas las estimadas ganancias en eficiencia del sector financiero, el ahorro de costes relativos al enorme volumen de transacciones se convierte en un incentivo bastante poderoso para mover el mayor volumen posible de estos servicios en Internet. Rei teradamente en e l es tudio, las empresas de comercio elec trónico indicaron que los niveles de inversiones de seguridad eran mucho más al tos que lo que just i f icaban las pérdidas directas , normalmente en uno o dos órdenes de magnitud.124 Obviamente, las pérdidas directas no se consideran un indicativo del problema general. Sería mucho más devastador, si, por ejemplo, el fraude online minara la confianza del consumidor o desacelerara el consumo de servicios financieros en Internet.

Riesgo para las infrastructuras de información crítica

Las infrastructuras críticas de nuestra sociedad, como redes eléctricas o plantas de agua, dependen

normalmente del funcionamiento de las redes IP subyacentes para su instrumentación y control. La mayoría de los sistemas de control que supervisan y controlan procesos críticos no fueron diseñados teniendo en cuenta la seguridad, quedando aislados de un entorno globalmente conectado. Sin embargo, ahora están cada vez más conectados a Internet, de forma directa o indirecta (a través de redes corporativas) y, por tanto, se enfrentan a nuevas amenazas. A medida que estos sistemas se basan en estándares más abiertos, que utilizan Ethernet, TCP/IP y tecnologías web, se vuelven más vulnerables a las mismas amenazas de seguridad existentes para otros sistemas de información.

120 Véase el Anexo B sobre cómo el malware daña las tecnologías de seguridad y las contramedidas.

121 Australian Government, Office of the Privacy Commissioner (2004); Consumer Reports WebWatch (2005), Gartner (2005); RSA Security (2006); TriCipher (2007).

122 RSA Security (2006).

123 OCDE (2007b) pág. 43; Por ejemplo, dos encuestados del sector financiero estimaron que las operaciones online eran 100 veces más baratas que procesar esas mismas transacciones en bancos, por correo o por teléfono.

124 OCDE (2007b) pág. 48.

43

DSTI/ICCP/REG(2007)5/FINAL Por tanto, la alteración de los sistemas de infrastructuras de información crítica a través del

malware tiene el potencial de afectar al sector público y privado y a la sociedad en general. Existen muy pocos casos en los que los ataques con malware hayan afectado directa o

indirectamente la infraestructura de información crítica. Por ejemplo, en Rusia, los hackers maliciosos usaron un troyano para controlar una gasoducto propiedad de Gazprom.125 En enero de 2003, el gusano Slammer, que causó importantes problemas en sistemas informáticos de todo el mundo, penetró el sistema de supervisión de la seguridad de una central nuclear estadouniense durante casi cinco horas.126 La Comisión Americana Reguladora de Energía Nuclear investigó el suceso y descubrió que un contratista había establecido una conexión desprotegida en su red corporativa, a través de la cual el gusano pudo infectar de manera satisfactoria la red de la central.127 Más recientemente, Estados Unidos acusó a James Brewer de controlar una botnet de más de 10.000 ordenadores en todo el mundo, incluyendo ordenadores ubicados en los servicios sanitarios Cook County Bureau of Health Services (CCBHS). El malware hizo que los ordenadores infectados, entre otras cosas, no respondieran o se reiniciaran constantemente, lo que causó retrasos significativos en la prestación de servicios médicos y en el acceso a los datos del personal del centro.128

Aunque los gobiernos se muestran a menudo reacios a hacer públicas las cifras de ataques contra infraestructuras críticas, es obvio que proteger los sistemas de información que las mantienen es cada vez más importante.129 A pesar de que sólo se ha informado de unos pocos casos, es ampliamente conocido que los sistemas de información crítica son vulnerables a los ataques. Por ejemplo, aunque el apagón de 2003, ocurrido en el noreste de Estados Unidos y Canadá, se atribuyó a un fallo del software, el análisis del incidente demostró que los sistemas eran vulnerables a los ataques, incluyendo los que utilizaban malware.130

Desafíos para combatir el malware

Protegerse contra, detectar y responder ante el malware se ha vuelto cada vez más complejo a

medida que el código malicioso y la actividad delictiva subyacente que lo financia evolucionan rápidamente y se aprovechan de la naturaleza global de Internet. Muchas organizaciones e individuos no poseen los recursos, destrezas o especialización para evitar y/o responder de manera efectiva a los ataques de malware o delitos secundarios que surgen de otros ataques, como, por ejemplo, el robo de identidad, el fraude o los ataques DDoS. Además, el alcance del control de las organizaciones para combatir el problema del malware es limitado.

Muchas empresas de seguridad afirman ser incapaces de hacer frente a las abrumantes cantidades de

malware, a pesar de disponer de importantes recursos para analizarlas. Un vendedor utilizó 20 ingenieros para analizar nuevas muestras de malware y encontrar formas de bloquearlo, pero descubrió que ésta era un tarea prácticamente imposible, ya que al día aparecían unas 200 nuevas muestras que iban en aumento.131

Otra empresa informó que recibía una media de 15.000 archivos y un máximo de 70.000 al día que procedían de usuarios de productos, CSIRT y de otros participantes de la comunidad de la seguridad.132

Cuando se recibían las muestras y los archivos, las empresas de seguridad llevaban a cabo un proceso para determinar si el archivo era de hecho malicioso. 125 Denning, Dorothy (2000).

126 Poulsen, Kevin (2003).

127 United States Nuclear Regulatory Commission (2003).

128 United States District Court Northern District Of Illinois Eastern Division (2007).

129 Un reciente studio de la OCDE titulado The Development of Policies to Protect the Critical Information Infrastructure (El Desarrollo de Políticas para Proteger Infraestructuras de Información Crítica) hace hincapié en este punto. Véase DSTI/ICCP/REG(2007)20/FINAL.

130 U.S.-Canada Power System Outage Task Force Final Report pág. 131.

131 Greene, Tim (2007).

132 OCDE (2007c) pág. 7.

44

DSTI/ICCP/REG(2007)5/FINAL Esto tiene lugar recopilando datos de otros vendedores, llevando a cabo análisis automatizados o

manuales, en caso de que otros métodos no puedan determinar la naturaleza maliciosa del código. Un vendedor estimó que cada iteración el ciclo duraba 40 minutos y que se publicaba una media de 10 actualizaciones al día.133 Además, existen muchos vendedores de seguridad que tienen diferentes puntos de vista con respecto al problema del malware.

La mayoría de las tecnologías de seguridad, tales como productos antivirus o anti-espía se basan en

la firma, lo que significa que sólo pueden detectar aquellas piezas de malware para las cuales un identificador, conocido como “firma”, ya existe y ha sido utilizado. Siempre que hay un perido entre el momento en el que el malware es distribuido por los atacantes en “el medio natural”, el momento en el que se descubre, el momento en el que los vendedores de antivirus desarrollan sus firmas y el momento en el que se determina una fecha para esas firmas y los sistemas de información de los usuarios y organizaciones. Los atacantes buscan activamente explotar este periodo de alta vulnerabilidad. Está generalmente aceptado que las soluciones que utilizan la firma, como, por ejemplo, los programas antivirus, no son suficientes para combatir el frecuente y complejo malware actual. Por ejemplo, un análisis134 que explora tasas de detección de antivirus para 17 vendedores diferentes de antivirus pone de manifiesto que en general, sólo se detectó aproximadamente el 48,16% del malware. Pruebas circunstanciales como ésta muestran que los atacantes están activamente probando nuevas creaciones de malware contra populares programas antivirus para garantizar que no puede ser detectado.

Además, los agentes maliciosos explotan la naturaleza distribuida y global de Internet, así como las

complicaciones de la ley y de la jurisdicción, sujetas a las tradicionales fronteras físicas, para disminuir los riesgos de ser identificados y juzgados. Por ejemplo, una gran cantidad de datos recopilados por los atacantes a través de keyloggers se transmite internacionalmente a países en los que las leyes contra la ciberdelincuencia están surgiendo, no existen o no son ejecutables. Aunque la mayoría de los países ha reconocido la gravedad del cibercrimen y muchos han tomado medidas legislativas contra los delincuentes, no todos disponen de marcos legales que permitan juzgar a los culpables.135 Sin embargo, el problema se complica aún más si se compromete información en un país a través de un acto criminal desde otro país, utilizando servidores ubicados en un tercer país.

Las autoridades policiales de todo el mundo han realizado esfuerzos para juzgar a los

ciberdelincuentes. Por ejemplo, la Sección de Propiedad Intelectual y Ciberdelincuencia perteneciente al Departamento de Justicia estadounidense ha informado de acciones penales en 118 casos de delitos informáticos de 1998 a 2006.136Aunque las estadísticas globales sobre las detenciones son difíciles de determinar, una empresa determinó el número de arrestos a nivel internacional en 100 en 2004, varios cientos en 2005 y de nuevo 100 en 2006.137 Aunque estos casos no implicaban necesariamente el uso de malware, ayudaban a ilustrar las actividades de la comunidad policial. Hay que señalar que los individuos procesados son normalmente responsables de multitud de ataques. Estas cifras son bajas considerando la prevalencia de los delitos e incidencias online y ponen de manifiesto los complejos retos a los que hacen frente las autoridades policiales al investigar la ciberdelincuencia. Además, la naturaleza volátil de las pruebas electrónicas y la falta frecuente de información registrada hace suponer que las pruebas se han destruido para cuando las autoridades policiales obtienen la orden necesaria para recuperar los equipos. La burocracia policial ofrece buenos pesos y contrapesos, pero reacciona tarde ante la velocidad de los delitos electrónicos. 133 OCDE (2007c) pág. 7.

134 Información proporcionada a la OCDE por el CERT.br, el CSIRT nacional de Brasil.

135 Un sitio web ofreció una encuesta sobre la legislación de la ciberdelincuencia recopilando 77 países con algún tipo de ley relativa a este tipo de delitos. Véase http://www.cybercrimelaw.net/index.html.

136 United States Department of Justice Computer Crime & Intellectual Property Section.

137 Green, Tim(2007a).

45


Aparte de esto, los afectados por incidencias de seguridad no entendían el por qué del cumplimiento de la ley ni la destrucción accidental de las pruebas electrónicas.

Hoy en día, los beneficios del malware parecen ser mayores para los atacantes que los riesgos de

llevar a cabo una actividad delictiva. El ciberespacio ofrece a los delincuentes un gran número de posibles objetivos y formas de obtener dinero por parte de las víctimas online, así como un abundante suministro de recursos informáticos que pueden ser aprovechados para facilitar esta actividad delictiva. Tanto el malware como los sistemas de información comprometidos, utilizados para perpetrar los ataques, tienen un bajo coste, están fácilmente disponibles y se actualizan frecuentemente. Las conexiones de alta velocidad de Internet y el aumento del ancho de banda permiten que la gran cantidad de sistemas de información comprometidos renueven y expandan el sistema de ataques autosuficientes. Por el contrario, las comunidades involucradas en la lucha con el malware hacen frente a numerosos desafíos que no siempre se pueden resolver de forma efectiva.

46


¿CÓMO ACTUAR CONTRA EL MALWARE?

Muchos estarían de acuerdo en afirmar que los daños del malware son significativos y necesitan ser reducidos, aunque las consecuencias económicas y sociales resulten difíciles de cuantificar. Dichos factores deberían tenerse en cuenta a la hora de valorar las medidas que hay que adoptar contra el malware y quién debería ponerlas en práctica, incluyendo el papel y las responsabilidades de los diferentes actores,138 los incentivos por los cuales operan como actores del mercado y las actividades que se han llevado a cabo por parte de las comunidades involucradas de manera específica en la lucha contra el malware.

El papel de particulares, empresas y gobiernos – Puntos clave

El malware afecta a particulares, empresas y gobiernos de diferentes formas. Todos los implicados pueden desempeñar un papel fundamental para prevenir, detectar y reaccionar contra el malware a diferentes niveles de competencia, recursos, funciones y responsabilidades, como se indica en las Directrices para la Seguridad de los Sistemas y Redes de Información: hacia una Cultura de Seguridad de la OCDE, conocidas como las “Directrices de Seguridad”. Es necesario un mejor entendimiento de las funciones y responsabilidades de los diferentes actores para valorar cómo mejorar la lucha contra el malware.

Entre los diferentes actores, aquéllos afectados por el malware son:

• Usuarios (usuarios domésticos, Pymes y organizaciones de los sectores privado y público), cuyos

datos y sistemas de información son un posible blanco, los cuales disponen de diferentes niveles de competencia para protegerlos.

• Vendedores de software con un papel clave en el desarrollo de programas fiables, seguros y

dignos de confianza.

• Vendedores de antivirus con un papel fundamental en la prestación de soluciones de seguridad para los usuarios, como, por ejemplo, la actualización de programas antivirus con la última información sobre malware.

• Proveedores de Servicios de Internet (ISP) con un papel esencial en la gestión de redes a las que se

conectan los grupos anteriormente mencionados para acceder a Internet.

• Registradores y reguladores de nombres de dominio, quienes determinan si un dominio debe ser registrado, los cuales tienen potencialmente el poder de “desregistrar” un dominio utilizado para cometer fraude u otra actividad delictiva, incluyendo, por ejemplo, la distribución de malware.

• CSIRT, normalmente los nacionales o más importantes (con frecuencia gobiernos), con un papel

principal para detectar, reaccionar y recuperarse de incidencias de seguridad, así como para enviar boletines de seguridad sobre las últimas amenazas de redes informáticas o vulnerabilidades relacionadas con los ataques de malware o para coordinar la resolución de ataques de redes informáticas a nivel nacional e internacional que afectan a su circunscripción o surgen de ella.

138 Según las “Directrices de Seguridad” de la OCDE, el término “actores” hace referencia a gobiernos, empresas u otras organizaciones y usuarios particulares que desarrollan, poseen, proporcionan, gestionan y utilizan sistemas y redes de información.

47


• Las autoridades policiales encargadas de investigar y emprender acciones legales contra los ciberdelincuentes.

• Las administraciones públicas con un papel clave en la gestión de riesgos contra la seguridad de

los sistemas de información gubernamentales y las infrastructuras de información crítica.

• Las organizaciones gubernamentales e intergubernamentales con un importante papel en la elaboración de políticas e instrumentos legales a nivel nacional e internacional para mejorar la prevención, detección y respuesta ante la proliferación del malware y sus correspondientes delitos.

Incentivos y desincentos – Puntos clave139

Una mejor comprensión de cómo los actores del mercado están hoy en día incentivados o no es

importante para entender cómo están reaccionando ante el malware, así como para mejorar la lucha contra este fenómeno. Los incentivos se determinan según los costes y beneficios asociados a las posibles respuestas de cada actor del mercado. En algunos casos, los incentivos son mayores para que un actor del mercado desarrolle enfoques políticos y técnicos que permitan combatir el malware de manera efectiva. En otros casos, los estímulos pueden ser menos obvios o incluso inexistentes. Los actores llevan a cabo sus intercambios según el tipo de medidas de seguridad que consideren apropiadas y racionales de acuerdo a su modelo de negocio.

Existe muy poca información en el ámbito público acerca de cómo los actores particulares toman

decisiones de seguridad, lo que hace difícil evaluar cualquier forma de política pública. Las decisiones económicas con respecto a la seguridad de la información dependen de los estímulos particulares140 que percibe cada actor del mercado. Estos estímulos están arraigados a mecanismos económicos, legales y de otro tipo, incluyendo las condiciones económicas específicas del mercado, la interdependencia con otros actores, las normas legales formales y los estándares informales. De forma ideal, los estímulos más pertinentes deberían asegurar que los costes y beneficios de las decisiones de seguridad se adecuen a los costes y beneficios sociales. Por tanto, cualquier estrategia política para combatir el malware necesita tener en cuenta mecanismos de estímulo y analizar si potencialmente podrían modificarse para producir resultados más eficientes a nivel societal.

Para ilustrar todo esto, un proveedor de servicios financieros online podría decidir que es más

efectivo, desde el punto de vista del coste, compensar los daños de los cliente que han sido víctimas del malware en lugar de introducir nuevas tecnologías de seguridad para reducir el daño. No sólo estas tecnologías podrían resultar más costosas que el daño directo, sino que podrían hacer posible que los clientes adoptaran estos servicios. Los incentivos por los cuales estos proveedores de servicios operan, puede hacer racional, desde el punto de vista económico, mantener el daño a niveles razonables, en lugar de contenerlo. 139 OCDE (2007b).

140 Normalmente, los incentivos se clasifican según factores monetarios (remuneratorio, financiero) y no monetarios (no financieros, morales). Los incentivos financieros incluyen factores tales como vincular el salario de un empleado al rendimiento corporativo, la capacidad de sacar un beneficio supernormal a través de innovaciones arriesgadas o los efectos del daño potencial para la reputación de la firma. Los incentivos no financieros engloban estándares y valores, normalmente compartidos entre iguales, que resultan en el entendimiento común para llevar a cabo las medidas adecuadas o para el conjunto de posibles medidas que deberían evitarse en una situación particular. Normalmente, los incentivos financieros relacionan los grados de consecución de un objetivo con los pagos monetarios. Los incentivos no financieros surgen de la propia autoestima o culpabilidad y del reconocimiento o condena por parte de la comunidad.

48

No externalidades Se trata de casos en los que una unidad de toma de decisiones, ya sea un usuario particular o una organización, evalúa correctamente los riesgos de seguridad, se hace cargo de todos los costes de protección contra las amenazas de seguridad, incluyendo las que están asociadas a esos riesgos, y adopta las contramedidas adecuadas. Los costes y beneficios de las decisiones de seguridad están equiparados. Esta situación sería eficaz desde el punto de vista económico, pero dado el alto grado de interdependencia en Internet, no suele darse el caso. Las medidas adoptadas o rechazadas en una fase de la red de valor afectarán normalmente a todo el sistema, lo que no significa que estas situaciones no existan. En principio, los usuarios finales (ya sean grandes organizaciones o usuarios domésticos con conocimientos especializados) que utilizan polítias de seguridad estrictas y que impiden de forma satisfactoria que sus equipos resulten comprometidos, generan externalidades no negativas para el resto de la red de valor. Por tanto, no es descabellado afirmar que existen casos en los que el malware puede combatirse satisfactoriamente.

Externalidades de las que se hacen cargo agentes de la red de valor Hace referencia a casos en los que una unidad particular evalúa correctamente los riesgos de seguridad, pero debido a la existencia de externalidades positivas o negativas, la decisión resultante se desvía del óptimo social. Tales desviaciones pueden estar basadas en una falta de estímulos para tener en cuenta los costes impuestos sobre otros, pero también puede deberse a la falta de destreza para afrontar los riesgos de seguridad o a las restricciones financieras a las que se enfrentan los individuos u organizaciones. Mientras que uno de los agentes de la red de valor internaliza estos costes y se encuentra en situación de ejercer influencia en ellos (puede incluso ejercer influencia en los intercambios de los agentes que generan la externalidad), el nivel de seguridad adquirido por toda la red de valor no debe desviarsedemasiado del óptimo. Esta situación describe un caso relativamente frecuente, ya que en el estudio empírico aparecieron numerosos ejemplos que confirmaban que las externalidades eran internalizadas por otros actores del mercado.


A nivel societal, la cuestión política clave es saber si las decisiones de los actores tienen en cuenta los costes y beneficios derivados de su respuesta ante el malware. Existen casos en los que los estímulos de los actores no reflejan los costes que sus decisiones suponen para otros, lo que significa que esos costes son externalizados. Un ejemplo muy citado de externalidad es la falta de seguridad de un grupo de usuarios finales cuyos equipos están infectados de malware, pero que no se hacen cargo directamente de los costes de esta infección, ya que el malware no ataca el ordenador anfitrión, sino que se utiliza para atacar otros equipos. Externalidades relacionadas con el malware

Los mercados del mundo real rara vez satisfacen los pre-requisitos que se deben asumir según la teoría económica básica. Por ejemplo, aquéllos que toman decisiones no suelen disponer de información completa, sino que operan en condiciones de racionalidad limitada y se comportan de forma oportunista. Por estas razones, las decisiones individuales del mundo real son con frecuencia un proceso de “buscarse las habichuelas” a través de otro tipo de soluciones, sobre todo en un entorno de rápida evolución tecnológica. Además, muchas externalidades y costes relacionados con el malware tienen su origen en conductas ilegales o delictivas de actores ilegítimos que imponen costes sobre otros actores del mercado.

Valorar el coste económico directo e indirecto del malware y analizar las contramedidas resulta una

cuestión esencial. Puesto que la prestación de seguridad supone un coste, tolerar un cierto nivel de inseguridad es racional desde el punto de vista económico. El nivel de seguridad resultante depende de los costes y beneficios de seguridad. Las cuestiones más importantes que hay que tratar son: ¿tienen en consideración los actores del mercado todos los costes cuando toman decisiones de seguridad? ¿Qué costes se externalizan a otros actores del mercado o a la sociedad en general? Los datos141 sobre incentivos y externalidades con especto a la red de valor de los diferentes actores del mercado que hacen frente al malware ponen de manifiesto tres situaciones: no hay externalidades, externalidades de las que se hacen cargo agentes de la red de valor y externalidades de las que los agentes o la sociedad en general no pueden hacerse cargo.

141 OCDE (2007b) pág. 49.

49

Externalidades de las que los agentes o la sociedad en general no pueden hacerse cargo Una unidad particular evalúa correctamente los riesgos de seguridad según los incentivos percibidos pero, debido a la existencia de externalidades, esta decisión se desvía del óptimo social. Al contrario del caso anterior, los agentes de la red de valor de información y comunicación no se hacen cargo de los costes, y en caso afirmativo, no se encuentran en situación de ejercer influencia en estos costes, es decir, los intercambios de seguridad de los agentes que generan la externalidad. Por tanto, los costes se generan para todo el sector y para la sociedad en general. Se trata de los costes derivados de la actividad ilegal y delictiva correspondiente al malware, los costes de restitución de víctimas, los costes del cumplimiento normativo relativo a estas actividadaes, etc. Además, pueden encargarse de la forma más indirecta de ralentizar el crecimiento del comercio electrónico y de otras actividades. Ralentizar el crecimiento puede suponer un importante coste de oportunidad para la sociedad en general, si el retraso de las actividades contribuyese a ganancias de eficiencia económica, así como a acelerar el crecimiento. Una valoración comprensiva de estos costes adicionales requeriría un esfuerzo concertado, pero sería necesario determinar el grado óptimo de las medidas para combatirlo.


Estructuras generales de incentivos para los actores del mercado Un proyecto de investigación142 llevó al mejor entendimiento de las estructuras actuales de incentivos

y posibles externalidades muestran que la respuesta general ante el malware surge de la interacción de los actores del mercado y del grado de compatibilidad o incompatibilidad de sus respectivas estructuras de incentivos. Parece que los incentivos de muchos de los accionistas comerciales están en línea de manera razonable con la minimización de los efectos de las externalidades en el sector en general. Los incentivos varían en fuerza y en algunos casos son bastante débiles. Sin embargo, el estudio pone de manifiesto que los actores del mercado analizaron las consecuencias que sus intercambios de seguridad tienen sobre otros. En otras palabras, los bucles de retroalimentación devuelven los costes impuestos a otros al agente que los provocó, incluso si la fuerza del bucle de retroalimentación ha sido hasta ahora demasiado débil o demasiado localizada como para equiparar su conducta con el óptimo social.

Para algunos actores, un mecanismo esencial para alcanzar este resultado aproximado es la

interdependencia entre ellos. En otros casos, son los efectos de la reputación los que equiparan los incentivos con una elección óptima desde el punto de vista social. Ambos efectos pueden producirse de manera conjunta o independiente, como ocurre con los proveedores de servicios de Internet. Por ejemplo, un usuario que carece de la suficiente protección contra el malware puede provocar una externalidad cuyo coste es en parte asumido por el proveedor de servicios, en parte por otro proveedor y en parte por la sociedad en general (ya sean los costes del cumplimiento normativo o la reducción general de la confianza en el comercio electrónico). Un proveedor de servicios puede incurrir en costes para permitir que su red aísle usuarios individuales que podrían propagar malware a causa de la insuficiente protección de los equipos. Por tanto, parte de esta externalidad es internalizada por el proveedor, debido a los incentivos por parte de éste para proteger la integridad del servicio, y evitar las listas negras y los efectos negativos que esto supondría para los costes funcionales, para su reputación y, por consiguiente, para sus ingresos y perspectivas de crecimiento.

Entre otros resultados, el estudio también mostró que mientras que algunos efectos externos son

internalizados a nivel de todo el ecosistema de economía de la información, otros debían ser considerados como externalidades para la sociedad en general. Por ejemplo, el malware y sus efectos podrían manchar la reputación de industrias que confían sobremanera en las operaciones electrónicas, como banca o seguros. Si las plataformas electrónicas se usan con menor frecuencia de la que deberían, la falta de mejoras de eficiencia puede considerarse como un coste externo para la sociedad del malware. Además, el malware puede minar la confianza en el funcionamiento y seguridad del comercio electrónico en general. Una vez más, si esto provoca una difusión y crecimiento ralentizados, las potenciales ganancias de eficiencia que no se han logrado podrían considerarse un coste para la sociedad. Tales ganancias potenciales podrían tener lugar a nivel sectorial, pero también podrían manifestarse en forma de bajas tasas de crecimiento económico en general. 142 OCDE (2007b) – Estudio llevado a cabo a través de entrevistas exhaustivas en cinco países con representantes de actores del mercado incluyendo proveedores de servicios de Internet, empresas de comercio electrónico (servicios financieros online, vendedores de software y de hardware, registradores y usuarios finales) complementado con entrevistas a reguladores, CSIRT, la ICANN, proveedores de servicios de seguridad e investigadores.

50

DSTI/ICCP/REG(2007)5/FINAL A través de todo el estudio existen evidencias de preocupación por la importancia de tales efectos,

aunque no hay ninguna indicación específica de su magnitud.

Los problemas de seguridad y los costes económicos relacionados con la sociedad pueden tener dos causas: a) son el resultado de ataques constantes a las infraestructuras de información y comunicación por parte de los atacantes y b) dado el nivel general de amenazas externas, pueden agravarse por discrepancias entre los costes y beneficios privados y sociales que son el resultado de una toma de decisiones descentralizada en un ecosistema altamente interrelacionado. Ambos actores del mundo criminal y del sistema de comunicaciones y de la información responden a los incentivos económicos a los que hacen frente. Para los actores del mercado evaluados en el estudio empírico anteriormente mencionado, existe una estructura de distintos incentivos que incluye incentivos positivos y desincentivos para tomar medidas contra el malware.

¿Qué medidas se están tomando? – Puntos clave

Un mejor entendimiento de la naturaleza, éxitos y limitaciones de las medidas actuales llevadas a cabo

por comunidades involucradas especialmente en la lucha contra el malware resulta también importante para valorar cómo mejorar la prevención y la respuesta ante este fenómeno. Los esfuerzos substanciales de varios actores se han llevado a cabo en países miembros de la OCDE, en economías del APEC y a nivel internacional para concienciar, medir el malware, elaborar y modificar marcos legales, reforzar el cumplimiento normativo, mejorar la respuesta, etc.143 Por ejemplo:

• Existen muchos sitios web y recursos que permiten a los usuarios y Pymes asegurar sus sistemas de

información. • Muchas entidades localizan, miden y en ocasiones incluso publican datos de su experiencia con el

malware y otras amenazas relacionadas.144 Además, existen esquemas145 que porporcionan identificadores únicos y comunes de nuevas amenazas de virus y de las amenazas de virus más frecuentes del medio informático para reducir la confusión durante incidencias de malware.

• Se han creado varias redes informales que son el elemento clave de la capacidad de respuesta de la

comunidad ante los incidentes de malware. CERT/CC ha catalogado 38 CSIRT nacionales, 19 de los cuales se encuentran en países de la OCDE y 16 que se encuentran en economías del APEC.146

Además, estas redes celebran encuentros anuales para los CSIRT nacionales con el objetivo de recopilar y compartir información sobre numerosas cuestiones, incluyendo el malware.

• Numerosos países de todo el mundo disponen de instrumentos legales contra el hacking, el spam y la interferencia de datos y de sistemas. Además, el Convenio sobre Ciberdelincuencia del Consejo de Europa es el primer tratado multilateral jurídicamente vinculante que trata los problemas que supone la propagación de la actividad delictiva online. Actualmente, lo forman 43 países de todo el mundo.

143 Para una explicación detallada de los esfuerzos específicos, véase el Anexo C.

144 Véase el Anexo A – Cifras sobre Malware.

145 Un ejemplo de este esquema es la Enumeración Común de Malware (CME), cuya última notificación se publióc el 19 de enero de 2007 (véase http://cme.mitre.org/data/list.html) - es difícil saber si el retraso en la asignación de referencias de la CME es consecuencia de problemas políticos con el proyecto, de una falta de cooperación por parte de los vendedores o de ataques cada vez más dirigidos y que, por tanto, se salen del alcance original de la CME. Algunos expetos consideran que seguir la pista del malware de forma consistente por toda la industria es un problema de la misma envergadura de años atrás o incluso mayor en la actualidad debido al importante aumento en el número de muestras en “estado salvaje”. Por tanto, el problema de los identificadores comunes de malware es una cuestión que aún debería tratarse de manera práctica.

146 CERT Coordination Center (2006).

51


• Las autoridades policiales y las organizaciones de todo el mundo han realizado importantes esfuerzos para localizar agentes maliciosos y llevarlos a juicio por los delitos cometidos. La comunidad policial ha creado redes de puntos de contacto y otros esquemas similares para la cooperación transfronteriza en el reconocimiento de la mayoría de estos crímenes, más allá de las fronteras legales y jurisdiccionales. Normalmente, las fuerzas y cuerpos de seguridad y las empresas utilizan herramientas que implementan el protocol Whois para cuestionar servidores de bases de datos controlados por registradores de nombres de dominio y Registros Regionales de Internet para datos sobre dueños de nombres de dominio, direcciones IP y asignaciones de Números de Sistema Autónomo que pueden identificar las supuestas ubicaciones físicas en las que tiene lugar la actividad ilegal y los proveedores de servicios más importante quienes, a su vez, pueden proporcionar información con respecto a los clientes.

• Los proveedores de servicios operan en mercados altamente competitivos y llevan a cabo acciones proactivas en la lucha contra el malware, como, por ejemplo, poner en cuarentena los equipos infectados.

• Los vendedores de software han aumentado sus esfuerzos para mejorar la seguridad de sus

programas. Más argumentable es el hecho de que muchos vendedores de software coloquen procesos de desarrollo de software en lugares que les desconciertan cada vez más y se centren en cuestiones de seguridad.

• Los gobiernos de los países miembros de la OCDE y de las economías del APEC están tomando

medidas políticas, legislativas y técnicas para hacer frente al malware147. En concreto, están trabajando en colaboración con el sector privado para proteger las infrastructuras de información crítica de los gobiernos de los ataques electrónicos. Estas comunidades han realizado importantes esfuerzos para abordar la cuestión del malware y

pruebas anecdóticas sugieren una mayor concienciación con respecto al problema que años atrás. Sin embargo, la naturaleza de la actividad maliciosa y delictiva online es tal que estas comunidades siempre están al tanto de las acciones maliciosas. Este estudio pone de manifiesto que no es posible ni económicamente racional eliminar todo el malware, aunque se puede conseguir que los agentes maliciosos fracasen en sus intentos (a través de una prevención y detección temprana) y responsabilizarlos de sus actos (a través de mejores políticas, procedimientos, marcos legales o cumplimiento normativo), acciones que forman parte del papel y de las responsabilidades de las comunidades que se encargan de la lucha contra el malware y que podrían ayudar a solucionar este problema. Posibles acciones futuras

Este estudio no es más que la base para comprender el fenómeno del malware y su evolución. Un mayor trabajo en otras áreas podría y debería llevarse a cabo para alcanzar un mejor entendimiento. La lucha contra el malware es compleja y podría beneficiarse de medidas más exhaustivas y de soluciones políticas y de coordinación. Aunque muchas de las actuales iniciativas148 están contribuyendo con importantes recursos para combatir el malware, siguen quedando muchas áreas de mejora.

Asociación global contra el malware

La necesidad de un enfoque consistente para este problema global no es algo nuevo. Sin embargo, el malware presenta complejidades específicas debido a la variedad de actores responsables de la lucha contra este fenómeno. 147 Véase el Anexo C.

148 Ibídem.

52

DSTI/ICCP/REG(2007)5/FINAL Las comunidades involucradas en la lucha contra el malware, ya sean gobiernos, empresas,

usuarios o la comunidad técnica, necesitan mejorar el entendimiento de los retos a los que hacen frente cada uno de ellos y cooperar dentro y a través de sus comunidades para tratar el problema. Además, esta colaboración debe tener lugar a nivel global, ya que no es suficiente que un país o comunidad se organice de manera efectiva si los demás no lo hacen también.

A la luz de la necesidad de un enfoque holístico y exhaustivo contra el malware, un punto de partida

común para la cooperación y acción colectiva podría lanzar a nivel internacional una “Asociación Anti-Malware” en la que participen gobiernos, el sector privado, la comunidad técnica y la sociedad civil. Esta colaboración entre diferentes comunidades involucradas en la lucha contra el malware podría beneficiarse de la experiencia adquirida al desarrollar El Kit de Herramientas Antispam de la OCDE (Anti-Spam Toolkit). Diferentes organizaciones públicas y privadas incluyendo la OCDE y el APEC podrían asociarse y liderar el trabajo en su área de competencia, así como elaborar pautas políticas conjuntas para combatir el malware desde todos los frentes (estrategias de prevención proactiva, cooperación como respuesta, marcos políticos/cumplimiento normativo, medidas técnicas, aspectos económicos, medición del malware o cooperación global). De manera específica, la “Asociación Anti-Malware” podría analizar los siguientes elementos149: Estrategias de prevención proactiva Este punto podría analizar parte o la totalidad de las siguientes cuestiones:

• Reducción de las vulnerabilidades de software (p. ej. podrían fomentarse desarrollos de software

seguros; los gobiernos podrían maximizar su influencia como compradores requiriendo productos de software como parte de su proceso de contratación).

• Concienciación y educación (p. ej. deberían llevarse a cabo más esfuerzos para mejorar la concienciación de los usuarios sobre los riesgos relacionados con el malware y las medidas que deberían tomarse para mejorar la seguridad de sus sistemas de información).

• Posibilidad de incluir la gestión de la seguridad y del abuso en los procedimientos y contratos de acreditación de registradores.

• Normas y directrices (p. ej. actualizaciones de manuales de seguridad como el “IETF Security

Handbook RFCs” que debería incluir nuevos retos, como, por ejemplo, los que supone el malware).

• I+D (p. ej. detección y análisis de malware, usabilidad de la seguridad, es decir, cómo se interactúa con los equipos, software y recursos online).

Cooperación como respuesta

Este punto podría analizar, entre otras, las siguientes cuestiones:

• Cooperación entre CSIRT (por ej. CSIRT con un grado de responsabilidad podrían compartir puntos de contacto y trabajar conjuntamente para mejorar el intercambio de información).

• Códigos de conducta (p. ej. podría elaborarse un código de conducta común para los proveedores de servicios de Internet a nivel nacional e internacional, en colaboración con los gobiernos, al igual que un código de conducta para registradores de nombres de dominio, también a nivel nacional e internacional, en colaboración con la ICANN, la comunidad de Internet y otros actores, si fuese necesario).

149 Véase el Anexo F para sugerencias preliminares sobre estos temas.

53

DSTI/ICCP/REG(2007)5/FINAL Marcos legales /Cumplimiento normativo Este punto podría analizar, entre otras, las siguientes cuestiones:

• Los esfuerzos de los gobiernos para proporcionar asistencia mutua y compartir información

para la imputación y procesamiento satisfactorios de los ciberdelincuentes. • Cooperación entr1e CSIRT y autoridades policiales.

• Los recursos necesarios para las autoridades policiales encargadas de la ciberdelincuencia, para

que puedan investigar y emprender acciones legales en colaboración con las partes interesadas, tanto públicas como privadas.

Medidas técnicas

Este punto podría analizar, entre otras, las siguientes cuestiones:

• Medidas técnicas como el filtrado, extensiones de seguridad DNS (DNSSEC), el sinkholing y otras que podrían analizarse para entender cómo combatir el malware.

• Cómo los usuarios podrían disponer de mejores herramientas para controlar y detectar actividades con códigos maliciosos, tanto en el momento en el se comprometen sus equipos como después.

La economía del malware Este punto podría analizar, entre otras, las siguientes cuestiones:

• Cómo intensificar los incentivos existentes para mejorar la seguridad de los actores del mercado. • Introducción de incentivos para mejorar la seguridad a través de formas alternativas y niveles de

derechos y obligaciones legales de las diferentes partes implicadas. • Eficacia de las medidas para internalizar externalidades por parte de los actores del mercado en

lugar de generar el coste externo.

Medición del problema del malware Este elemento podría analizar y promover esfuerzos para medir de manera más exacta y efectiva la existencia y las consecuencias del malware.

Cooperación global

Este punto podría analizar las siguientes cuestiones:

• La necesidad interrelacionada del intercambio de información, la coordinación y la cooperación transfronteriza.

• Sugerencias para difundir guías anti-malware a nivel global y el seguimiento de su implementación.

Sólo un enfoque holístico que implique la combinación de políticas, procedimientos funcionales y

defensas técnicas puede asegurar que el intercambio de información y la coordinación y cooperación transfronterizas serán abordadas e integradas de manera efectiva. El éxito de esta “Asociación Anti-Malware” requiere el compromiso de todas las partes implicadas. Así pues, tal esfuerzo mostraría grandes avances en la capacidad de la comunidad internacional para superar obstáculos y hacer frente a una amenaza global, como es el caso del malware, a través de una acción global coordinada.

54


CONCLUSIÓN

No existe ninguna solución simple a los complejos problemas que presenta el código malicioso. Aunque la transparencia del entorno informático y la naturaleza distribuida de Internet son factores importantes para el crecimiento y la innovación, presentan desafíos para la seguridad de las redes y sistemas de información. El malware tiene el potencial de afectar negativamente a todos y cada uno de los usuarios de Internet, desde empresas hasta los gobiernos o usuarios finales. Aunque a menudo el malware se propaga a través de Internet, es importante recordar que se trata de un software que puede ser introducido en sistemas informáticos conectados o no a Internet. Independientemente de si se usa directa o indirectamente para llevar a cabo la actividad maliciosa online, el malware merma la confianza en Internet y la economía digital.

Las Directrices de la OCDE para la Seguridad de Sistemas y Redes de Información,

publicadas en 2002, proporcionan una amplia lista de los principios de la seguridad de la información más relevantes y aplicables en la lucha contra el malware. Los nueve principios (Concienciación, Responsabilidad, Respuesta, Ética, Democracia, Evaluación del Riesgo, Diseño e Implementación de la Seguridad, Gestión de la Seguridad y Reevaluación) están dirigidos a participantes de todos los niveles, incluyendo los niveles político y funcional. Las Directrices pueden y deben aplicarse a los retos actuales que han surgido a consecuencia del malware.

La rápida evolución de la naturaleza del código malicioso hace que la cooperación

internacional sea imprescindible para abordar el problema. Esta cooperación debe ser promovida y potenciada por una exacta y cuantitativa medición del problema y de la economía subyacente. Si bien el documento enumera muchos de los problemas que presenta el malware, éste no deja de ser sólo el primer paso para avanzar hacia la solución. Para aprovechar todas las oportunidades de mejora de las diferentes comunidades que hacen frente al malware, es necesario aplicar un enfoque holístico, proactivo y multilateral.

55


ANEXO A – DATOS SOBRE EL MALWARE

Descripción general

Aunque el malware, tal y como lo conocemos hoy en día, es un fenómeno relativamente nuevo en comparación con los gusanos y los virus, está creciendo y evolucionando a niveles alarmantes. Las tendencias de los datos muestran que mientras las categorías de malware utilizadas para llevar a cabo la actividad maliciosa (es decir, virus frente troyanos), cambian y evolucionan en el tiempo, el uso del malware aumenta continuamente.

Los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), los Equipos de Respuesta

a Emergencias Informáticas (CERT), los proveedores de software y programas antivirus, y más generalmente, las empresas de seguridad, son ejemplos de entidades que hacen el seguimiento y controlan la existencia de malware. Aunque los datos que figuran a continuación son útiles para la comprensión de los elementos del malware, no es fácil compararlos en términos reales y absolutos. Así pues, el presente documento no pretende establecer comparaciones o sacar conclusiones sobre diferentes conjuntos de datos. El objetivo principal de esta sección es mostrar el tipo de información disponible y las diferentes perspectivas analíticas de las organizaciones que se mencionan a continuación.

Datos proporcionados por los CSIRT

AusCERT

AusCERT es el Equipo Nacional de Respuesta a Emergencias Informáticas de Australia. AusCERT

facilita la prevención de incidencias informáticas, así como la respuesta y estrategias de mitigación para sus miembros.

En la Figura 1, cada incidencia representa una única URL o nombre de dominio administrado por uno o más ordenadores comprometidos con la finalidad de robar información sensible y credenciales de acceso desde otros ordenadores. Las incidencias múltiples pueden estar asociadas a un ataque que representa un conjunto de ordenadores comprometidos necesarios para atacar y recoger los datos robados. El número de direcciones IP asociado a una sola incidencia y a un solo ataque es cambiante, pudiendo variar de 1 a 100.

56

Incidencias de robos de identidad online con troyanos atendidas por el AusCERT500 450 400 350 300 250 200 150 100

50 0


Figura 1

La Figura 1 sólo incluye URL y nombres de dominio, quedando excluidos los equipos

anfitriones comprometidos e involucrados en un ataque o incidente. Tampoco se representa el número de infecciones informáticas (equipos anfitriones comprometidos) producidas en cada ataque, de las cuales suelen darse varios cientos o miles.

Las elevadas cifras de julio de 2007 se deben a la invasión de troyanos, denominados a menudo

erróneamente como gusanos, los cuales no se propagan automáticamente y disponen, entre otras, de la funcionalidad C&C (Comando y Control) propia de las botnets P2P.

CERT Brasil (CERT.BR)

CERT.br es el CERT nacional de Brasil encargado de recoger estadísticas públicas sobre incidencias

de las que se informa de modo voluntario. Por ejemplo, un usuario doméstico puede informar de que ha recibido un correo electrónico que es un claro intento de fraude con un enlace que lleva al malware ejecutable. CERT.br comprueba si el ejecutable está todavía online e informa de ello al equipo anfitrión del sitio web. Además, envía una muestra de este código malicioso a varios proveedores de antivirus para garantizar su completa detección.

Los datos del CERT.br se dividen en cuatro categorías: intrusiones, ataques web, denegación de servicio y fraude.

57

Año

Número total de incidencias

Gusanos150

DoS

Intrusiones151

Fraude152

2004

75 722

42 268

104

248

4 015

2005

68 000

17 332

96

448

27 292

2006

197 892

109 676

277

523

41 776


Tabla 1. Informes de Incidencias del CERT.BR

CERT/CC, Estados Unidos

El Centro de Coordinación del Equipo de Respuesta a Incidentes Informáticos (CERT/CCT) de

Carnegie Mellon recopila datos sobre malware de fuentes públicas y privadas. Desde el año 2006, el CERT/CC recoge, analiza y cataloga todos y cada uno de los códigos maliciosos que han sido distribuidos a través de Internet o encontrados en los sistemas informáticos. Si bien muchos artefactos maliciosos tienen una funcionalidad similar, cada uno de ellos se considera una variante singular si genera un único MD5 o función hash SHA1.153 Por tanto, algunas de las variedades de malware que se propagan libremente, tales como los virus y gusanos que producen miles de réplicas idénticas, se considerarían una única variante154.

Así pues, las cifras del CERT/CC citadas a continuación (aunque no necesariamente completas) proporcionan una descripción importante de las tendencias del malware, mostrando un crecimiento exponencial de los artefactos maliciosos155 desde enero de 2006 hasta marzo de 2007. Como se muestra a continuación en la Figura 2, el número total de artefactos pasó de 50.000 en enero de 2006 a 350.000 en marzo de 2007. 150 La categoría “gusanos” incluye informes sobre la progación de gusanos y bots, p. ej. el escaneo de los puertos más comunes utilizados para su propagación (445, 135, 5900, etc). Estos informes suelen ser enviados por los administradores de cortafuegos e incluso por usuarios domésticos que utilizan cortafuegos personales. Es importante señalar que esta categoría no tiene en cuenta los equipos infectados de gusanos, sino las incidencias relacionadas con intentos de propagación.

151 Según la clasificación del CERT.BR, una intrusión es una violación del sistema determinada por el propietario/administrador del sistema y de la cual se informa al CERT.BR. Por ejemplo, un administrador del servidor Linux envía un informe al CERT.BR notificando que su equipo ha sido atacado, que ha encontrado un rootkit, etc.

152 La categoría “fraude” incluye diversos tipos de fraude: violación de los derechos de autor, fraude con tarjetas de crédito y los fraudes tradicionales relacionados con el phishing y el malware. Estos últimos se dan en la mayoría de los casos de Brasil.

153 Normalmente, los atacantes generan una nueva variante de malware partiendo del malware existente con un simple cambio en la manera en la que el código está “comprimido y empaquetado”, en lugar de cambiar el propio código malicioso. Véase http://us.trendmicro.com/us/threats/enterprise/glossary/c/compression/index.php. A estas nuevas variantes no se les asigna un número CME. Múltiples variantes, consideradas idénticas en funcionalidad y forma, tienen asignado el mismo número CME, mientras que incluso a las variantes mínimas del código byte del malware se les asigna un nuevo número CME. Véase: http://cme.mitre.org/cme/process.html

154 Este enfoque es importante, ya que el recuento de cada una de las infecciones, desde un simple gusano a un brote de virus, puede sesgar los resultados y no reflejar el nivel real de desarrollo de las nuevas variantes generadas por los atacantes para evitar que sean detectadas por los productos antivirus. 155 Un artefacto es un archivo o conjunto de archivos usado durante ataques que comprometen sistemas informáticos en red, Internet y tecnologías similares.

58

400000

350000

300000

250000

200000

150000

100000

50000

0 2006-01 2006-03 2006-05 2006-07 2006-09 2006-11 2007-01 2007-03

Mes

100000

90000

80000

70000

60000

50000

40000

30000

20000

10000

0 2006-01 2006-03 2006-05 2006-07 2006-09 2006-11 2007-01 2007-03

Mes

DSTI/ICCP/REG(2007)5/FINAL La Figura 3 muestra la proporción mensual de artefactos descubiertos recientemente por el

CERT/CC durante el mismo período. A pesar de que el aumento representado en la Figura 3 es menos constante, el descubrimiento de nuevos artefactos alcanzó un máximo histórico en marzo de 2007 de 90.000.

Figura 2 – Número mensual de artefactos desde enero de 2006 a marzo de 2007

Figura 3 – Número mensual de nuevos artefactos de enero de 2006 a marzo de 2007

CERT-FI, Finlandia

El CERT-FI es el Equipo Nacional de Respuesta a Emergencias Informáticas de Finlandia

encargado de promover la seguridad en la sociedad de la información mediante la prevención, análisis y resolución de incidencias de seguridad informática, así como de difundir información sobre las amenazas contra la seguridad de la información. La Figura 4 representa los casos atendidos por el sistema Auto-Registrador del Abuso del CERT-FI, un procesador automatizado de casos de abuso. El gráfico a continuación muestra la correlación casos-meses, normalizada con respecto a 100 = 1/2006.

59

Figura 4


KrCERT/CC

El KrCERT/CC reúne datos de honeynets156 e informes de incidencias. Entre los años 2005 y 2006,

los datos procedentes de los informes de incidencias y honeynets reflejaron una disminución de gusanos y un aumento en el número de troyanos (véanse las Figuras 5 y 6).

159 En terminología informática, un honeypot (tarro de miel) es una especie de trampa utilizada para detectar o contrarrestar de alguna manera los intentos de utilizar sistemas de información sin autorización. Normalmente, un honeypot consiste en un ordenador, datos o un sitio de red que aparentemente pertenece a una red, pero que en realidad está aislado, (des)protegido y controlado y que supuestamente contiene información o un recurso que resultaría de gran ayuda para los atacantes. Dos o más honeypots de una red forman una honeynet (red de miel).

60

2005 2006

6.49 8.32 8.15 Virus

Worm

Trojan horse

Other

Virus

Worm

Trojan horse

Other

33.6839.24 33.4220.85 49.84


Figura 5: Incidencias mensuales notificadas al KrCERT/CC (2005-2006)

Figura 6: Información obtenida de las honeynets del KrCERTr

NorCERT, Noruega

El NorCERT es el Equipo de Respuesta a Emergencias Informáticas de Noruega que coordina la

prevención y la respuesta a las violaciones de seguridad de las tecnologías de la información dirigidas a la infraestructura vital del país. NorCERT es un departamento de la Autoridades Noruegas encargadas de la Seguridad Nacional (Nasjonal sikkerhetsmyndighet - NSM).

61


Figura 7

157 United States Computer Emergency Response Team (US-CERT).

Equipo de Disponibilidad ante Emergencias Informáticas de Estados Unidos (US-CERT)

El US-CERT es una asociación entre el Departamento de Seguridad Nacional y los sectores público y privado. Creado en 2003 para proteger la infrestructura de Internet del país, el US-CERT coordina la defensa y respuesta ante ciberataques en toda la nación. Esta organización interactúa con organismos federales, administraciones regionales y locales, profesionales de la industria y otras organizaciones con el fin de mejorar el intercambio de información y la coordinación de la respuesta a incidentes y reducir así las ciberamenazas y vulnerabilidades.

La Figura 8 muestra la distribución general de las incidencias de ciberseguridad de acuerdo a las

notificaciones enviadas al US-CERT a través de las seis categorías principales señaladas en la Publicación Especial 800-61157 del Instituto Nacional de Normas y Tecnología (NIST). El número de incidencias relacionadas con el malware ha aumentado de manera significativa durante el período de 2006 a 2007.

62

Acceso no autorizado Denegación de servicio Código malicioso Uso inadecuado Escanes, sondeo e intentos de acceso Bajo investigación / Otros Total:

10.8%3.2%

11.8%9.7%

29.0%35.5%

100.0%

Acceso no autorizado Denegación de servicio Código malicioso Uso inacdecuado Escaneo, sondeo e intentos de acceso Bajo investicgación / Otros Total:

7.1%0.9%

35.3%4.5%

22.6%29.6%

100.0%

Figura 9: Las 5 Subcategorías principales de malware - 2007

Sitios Web maliciosos Malware Bot/Botnet Spyware/ Adware Otros Total:

58.2%19.3%17.5%

3.6%1.5%

100.0%


Figura 8: Tendencias de las Incidencias notificadas al US-CERT en los meses de enero de 2006 a agosto de 2007

Distribución general de incidencias de ciberseguridad en las seis categorías principales

Años 2006-2007 (pasando por el 31 de agosto)

La Figura 9 describe las cinco subcategorías principales de malware notificadas al US-

CERT. La categoría denominada “Malware” incluye troyanos, gusanos y virus. Este gráfico muestra las “páginas web maliciosas” como la categoría con el mayor número de notificaciones.

Datos de vendedores de software y antivirus

Asociaciones de servicios de pago

La Asociación de Servicios de Pago y Compensación (APACS) del Reino Unido es una asociación de comercio cuyas funciones están dirigidas a instituciones que prestan servicios de pago a consumidores finales. Esta asociación facilita un foro para abordar aspectos cooperativos de pagos y su desarrollo. Asimismo, es la representante principal de la industria en cuestiones relacionadas con tarjetas de crédito, fraudes con tarjetas, la seguridad de la banca electrónica, pagos electrónicos y dinero en efectivo. Los Grupos de Trabajo se encargan de áreas cooperativas, como, por ejemplo, el desarrollo de soluciones de autentificación y la respuesta a ataques contra clientes de banca electrónica. La Figura 10 muestra el número de incidentes con troyanos dirigidos a bancos del Reino Unido de febrero de 2005 a diciembre de 2006.

63

Figura 10

Kaspersky Lab

Figura 11: Aumento en el número de nuevos programas maliciosos

100000

80000

60000

40000

20000

02001 2002 2003 2004 2005 2006

Año

158 Kaspersky Labs (2006).

Mashevsky, Yury (2007). 159

Cant

iidad


Kaspersky Lab es un proveedor internacional de software de seguridad de la información con sede en Moscú.

Este Laboratorio informó de un aumento exponencial de programas maliciosos antes desconocidos de 2001 a 2006, como se puede observar en la Figura 11. Asimismo, también comunicaron un aumento constante en el número de programas espía diseñados para robar información de las cuentas de los clientes online.158

64

Figura 12: - Actividad del Software Malicioso de enero a junio de 2006162

45000 40000 35000 30000 25000 20000 15000 10000

5000

0 Backdoor Keyylogger Downloader Troyano Correo masivo Peer to Peer Exploit IM Rootkit

Categorías de Malware

Virus

SOPHOS

160 Microsoft (2006a) pág. 1.

Microsoft (2006a) pág. 1.

Microsoft (2006a) pág. 6.

Supra Sophos (2007a) pág.

161

162

163

Nuev

as v

aria

ntes

de

mal

war

e


Microsoft Microsoft recopila datos de varios productos y servicios anti-malware utilizados por los sistemas de

información que ejecutan sus productos.160 Basándose en la actividad observada de enero a junio de 2006, Microsoft informó de la existencia de más de 43.000 nuevas variantes de malware entre enero y junio de 2006.161

Esto puede deberse, al menos en parte, a la posibilidad de comprar malware en Internet, ya que para los atacantes es más fácil modificar una parte del código malicioso ya existente que crear una nueva “familia” de código malicioso.

Microsoft también informó de que las puertas traseras (backdoors) representaban el número más

alto de las nuevas variantes de malware (véase la Figura 12). El Figura 12 muestra que las cuatro categorías más comunes en las que se han creado las nuevas variantes no pertenecen a variedades auto-propagables, las cuales están normalmente asociadas a ciberataques de menor escala dirigidos a obtener ganancias financieras ilícitas entre las que destaca el fraude financiero.

SOPHOS recopila datos de 35 millones de usuarios de 150 países que utilizan sus productos. El 80%

de todo el malware detectado por esta empresa en 2006 fue atribuido a troyanos (véase la Figura 13). 163

65

Figura 13: losTroyanos contra los Gusanos y Virus de Windows en 2006

Symantec

Figura 14 – Tipos de código malicioso por volumen165

164 Esta caída puede atribuirse en gran medida a la disminución de la información en los informes sobre los gusanos más importantes, tales como Sober.X, Blackmal y Netsky.P75 desde el primer semestre del año 2006.

Symantec (2007) pág. 55. 165

Troyanos

Gusanos de Windows

Otros

Symantec recopila información de los 40.000 sensores con los que cuenta en 180 países, los 120

millones de antivirus instalados y los 2 millones de “cuentas trampa” de su red de sondeo (Symantec Probe Network). Las operaciones de Symantec se llevan a cabo desde cuatro centros de operaciones de seguridad y ocho centros de investigación. A nivel mundial, el Software Symantec está implementado en más de 370 millones de ordenadores o cuentas de correo electrónico.

Recientemente, Symantec elaboró un informe sobre la disminución de la cantidad de gusanos164 y

puertas traseras, y el aumento de virus y troyanos (véase la Figura 14).

66

166 Symantec (2007) pág.

Cuadro 8. Resumen de los datos de muestra sobre malware Tabla 1: Número total de incidencias notificadas ~ +225%

Figura 2: Número total de artefactos en el pasado año ~ +250%

Figura 6: Disminución de incidentes con los gusanos ~ -25%/; Aumento de los incidentes con troyanos: ~ + 30% Figura 11: Incremento de un 800% de los programas maliciosos en los últimos 5 años


Además de estos datos, Symantec elaboró un informe sobre el aumento de malware previamente inédito o “familias” nuevas. Entre julio y diciembre de 2006, los honeypots de Symantec descubrieron 136 familias de código malicioso antes desconocidas, así como 98 de ellas a lo largo de estos seis meses166. Cabe destacar que si bien la información obtenida de los honeypots y honeynets es útil, no es necesariamente representativa de la tendencia global. Observaciones sobre los datos

Los datos sobre malware previamente mencionados provienen de fuentes distintas e incomparables (CSIRT nacionales y proveedores de software y de seguridad). Las definiciones, tipos de incidentes, daño, margen de tiempo y campo de aplicación no están estandarizados en todas estas organizaciones y, por tanto, es necesario ser prudentes en las comparaciones de estos datos tan dispares.

Sin embargo, es más o menos posible destacar ciertas tendencias que parecen ser compartidas: a)

un importante y notable aumento de los incidentes de seguridad relacionados con el código malicioso; y b) los troyanos que cada vez predominan más en comparación con otros tipos de malware. Como se ha informado en muchas ocasiones, el número de brotes importantes de gusanos y virus es menor y, por tanto, la mayor parte del aumento de las variantes de malware se debe en general a las variedades que no se reproducen, los efectos y funcionalidades de las cuales, por lo general, son más dañinos y tienden a tener una motivación económica.

Un acuerdo por parte de ciertos participantes interesados en la medición del malware por

definiciones y metodología general para la recopilación de datos, ayudaría a evaluar más sistemáticamente la magnitud de esta realidad y su papel en el siempre cambiante universo de Internet y de las TIC.

Partiendo de algunos datos, se pueden resumir y destacar varios aspectos con el objetivo de

demostrar que el problema del malware se hace cada vez más importante.

A pesar de que la mayoría de las tendencias de ataques va en aumento, no está clara la relación de

estas tendencias con el daño global causado por el malware. El hecho de que se haya detectado un número alto de variantes de troyanos no significa necesariamente que exista más daño, y podría explicarse como una respuesta a la mejora de las defensas de seguridad. De la misma manera, la reducción de tamaño de las botnets de gran escala no manifiesta necesariamente la eficacia de las contramedidas. Esto podría atribuirse a que los atacantes han encontrado botnets más pequeñas y focalizadas para que sean más rentables, es decir, que debido al gran dinamismo de las tendencias de los ataques maliciosos, se hace difícil sacar conclusiones fiables de las propias tendencias.

67

167 Twomey, Paul pág. 8-9.

Anycast es una forma de direccionamiento en la que la información es enrutada al destino “mejor” o “más cercano” desde el punto de vista de la topología de la red.

168


ANEXO B – INFORMACIÓN ADICIONAL SOBRE LOS TIPOS DE ATAQUES DE MALWARE

Ataques contra el DNS

Al igual que otros sistemas, los servidores de nombres de dominio (DNS) pueden ser vulnerables a los ataques de malware. Por ejemplo, los agentes maliciosos pueden intentar saturar los servidores DNS perpetrando un ataque DDoS. Si una parte de los servidores DNS se cae o se pierde la conexión, se perderá el acceso a páginas web y al correo electrónico. Las amenazas contra la infraestructura de los DNS incluye pérdida de servicio, hijacking y pérdida de coherencia.167 Aunque se está realizando un esfuerzo considerable para proteger la infraestructura, la tarea de abordar el problema plenamente es muy costosa.

Los ataques contra los DNS no son nuevos y pueden ser lanzados contra objetivos de alto

valor, tales como los servidores raíz DNS. Por ejemplo, en 2002, se perpetró un ataque de gran magnitud contra los servidores raíz DNS. Sin embargo, el sistema en su conjunto seguía funcionando, a pesar de la degradación o deterioro en el rendimiento de los principales servidores individuales. Más recientemente, el 5 de febrero de 2007, varios de los principales servidores raíz DNS experimentaron un aumento significativo de tráfico, causando que 2 de los 13 servidores no enrutados168 sucumbieran al ataque. A pesar de la enorme capacidad y la aparentemente coordinada naturaleza del ataque, el sistema DNS mostró ser resistente. Aunque ambos ataques contra los servidores raíz fracasaron en su mayor parte, es bien sabido que la continuación de los ataques de esta naturaleza podría perjudicar el funcionamiento del sistema DNS y el backbone crítico de Internet.

Ataques que utilizan el DNS

Asimismo, recientemente han tenido lugar una serie de ataques contra el DNS que utilizan

“resolvedores recursivos”. Aunque estos ataques usan “resolvedores recursivos” para multiplicar su fuerza, no tienen por qué ser dirigidos a los objetivos de los DNS, si bien es allí donde causan el mayor daño, ya que pueden simplemente usar los DNS para llevar a cabo ataques DDoS contra otros objetivos. Este tipo de ataque utiliza los DNS como arma contra otros servidores, mientras que el ataque contra los servidores raíz DNS, descrito anteriormente, utiliza otros servidores como arma contra los DNS. Estos ataques se producen a menudo debido a una mala configuración del servidor DNS de la organización, lo cual permite gestionar peticiones DNS desde cualquier lugar de Internet y no sólo desde su propia red. Los ataques DNS de tipo recursivo están relacionados indirectamente con el malware sólo en caso de que utilicen un pequeño número de sistemas de información comprometida para el envío de peticiones DNS falsas. A diferencia de otros tipos de ataques DDoS, la eficacia del trabajo no depende del gran número de bots. Cabe señalar que el propósito de los ataques de amplificación o recursivos no consiste en denegar el servicio al sistema DNS en sí, sino más bien al servidor DNS de la organización. Esto provoca que el enrutamiento IP quede sin resolver para el nombre de dominio de la entidad y dificulta las peticiones de DNS salientes debido al consumo de los recursos del servidor DNS de la organización. A pesar de que el malware no siempre está involucrado directamente, esto también sirve de ejemplo de cómo la configuración de un usuario o entidad puede tener un impacto negativo sobre su seguridad.

68


Otra de las tendencias en las que el malware puede estar implicado, aunque no directamente, es la práctica de la prueba de nombres de dominio. La prueba de nombres de dominio es una práctica empleada por usuarios registrados para hacer uso del “período de gracia” (add-grace period)169 y registrar nombres de dominios para comprobar su rentabilidad. Durante el período de prueba, los usuarios registrados realizan un análisis coste-beneficio para determinar si los nombres de dominio devuelven suficiente tráfico como para compensar la tasa de inscripción pagada al registrarse. La prueba del dominio permite a los usuarios registrados hacer uso del período de gracia. Si el dominio tiene una rentabilidad insatisfactoria, es devuelto antes del quinto día y reembolsado en su totalidad. Originariamente, el período de gracia se creó con el propósito de permitir a los usuarios registrados recibir un reembolso en caso de error o compensar a los registradores en el supuesto de que la tarjeta de crédito del usuario fuera denegada. El proceso se ha utilizado para permitir el registro masivo de los nombres de dominios. Aunque difícil de demostrar, es probable que los dominios implicados en esta prueba se utilicen para distribuir malware.

Cuadro 9. Un análisis más detallado del DNS170

El Sistema de Nombre de Dominio (DNS) es como una agenda de direcciones de Internet. Con su ayuda, el usuario puede navegar, enviar y recibir información a través de Internet. Todos los ordenadores conectados a Internet utilizan una única dirección, en forma de cadena de números, denominada “dirección IP” (entendiendo por IP “Protocolo de Internet” (Internet Protocol))171. Dado que las direcciones IP son difíciles de recordar, el DNS simplifica el uso de Internet, permitiendo el uso de una cadena familiar de letras, denominada “nombre de dominio”, en lugar de una dirección IP numérica. Por ejemplo, en lugar de teclear 193.51.65.37, el usuario puede teclear www.oecd.org. Se trata de un dispositivo mnemónico que hace que las direcciones de los ordenadores hosts sean más fáciles de recordar. Un dominio consta de varias partes, tales como dominios de nivel superior (TLD) y subdominios. Los TLD son nombres que encabezan la jerarquía de los nombres DNS. Los dominios genéricos de nivel superior, comúnmente utilizados, incluyen .com, .net, .edu, etc. Además, actualmente existen 244 dominios de nivel superior correspondientes a códigos de países (ccTLD), tales como .jp, .au, .de, etc. El administrador de TLD controla los nombres de segundo nivel reconocidos en estos TLD. Los administradores del “dominio raíz” o de la “zona raíz” supervisan el proceso de reconocimiento de los TLD por los DNS. Los servidores raíz contienen las direcciones IP de todos los registros TLD, entre ellos registros globales tales como .com o .org y las 224 de los registros nacionales específicos, tales como .fr (Francia) o .cn (China). Esta es una información crítica: si los datos no son correctos al 100% o son ambiguos, tal vez no sea posible localizar un servicio clave en Internet. En el DNS, la información debe ser única y auténtica. Los datos de los DNS se almacenan en conjuntos de máquinas jerárquicos y ampliamente distribuidos, denominados “servidores de nombres”, los cuales pueden ser consultados a través de un “resolvedor”. Los “resolvedores“son con frecuencia parte del sistema operativo o del software del ordenador del usuario y se utilizan para responder a la petición del usuario de resolver el nombre de dominio, es decir, encontrar la dirección IP correspondiente. Ataques que modifican datos

Debido a su naturaleza, cuando el malware infecta o compromete un sistema informático se produce un ataque contra la integridad del sistema de dos formas fundamentales. En primer lugar, las medidas utilizadas para comprometer el sistema dan lugar a cambios no autorizados en el propio sistema y, potencialmente, en todos los datos almacenados que han sido incorporados o a los que se ha accedido a través de este sistema, incluyendo dispositivos de entrada (teclado o ratón), de salida (pantalla o impresora) y de almacenamiento (USB, disco duro o memoria). En segundo lugar, una vez que el sistema es atacado, se produce una pérdida completa de integridad y de fiabilidad. 169 El “periodo de gracia” (Add Grace Period o AGP) hace referencia a un periodo de cinco días naturales, que comienza a contarse a partir de la operación de Registro de un nombre de dominio, en los cuales el registrdor puede cancelar el registro del dominio y recibir un reembolso.

170 Información disponible en http://www.icann.org/general/glossary.htm.

171 El Protocolo de Internet (IP) permite que las grandes y heterogéneas redes de ordenadores, distribuidas geográficamente, se comuniquen entre ellas de manera rápida y económica través de direfentes vínculos físicos. Una dirección IP es una dirección numérica por la que se identifica un ordenador anfitrión o dispositivo de Internet. Los ordenadores conectados a Internet utilizan las direcciones IP para encaminar el tráfico y establecer conexiones entre ellos.

69

DSTI/ICCP/REG(2007)5/FINAL Los ataques contra la integridad son, por lo general, precursores de otros ataques, como el

robo de información sensible, pero también podrían ser indicio de un ataque contra la autenticación. Sin embargo, estos ataques pueden tener un objetivo final. Por ejemplo, la modificación de las entradas de la base de datos para facilitar el fraude, la eliminación de la base de datos de los clientes de la compañía como parte del sabotaje comercial o la modificación de la configuración del sistema SCADA, utilizado para la distribución de gas, pueden ser diseñados para causar el mal funcionamiento del sistema.172 Otro de los ataques más habituales hoy en día que modifica datos consiste en comprometer un sitio web e insertar un IFrame173 para atraer a los visitantes habituales de ese sitio. Los Iframes pueden insertarse en sitios web legítimos para enlazar con los que almacenan malware para posteriormente comprometer al usuario.

Ataques contra la identidad

Existen diferencias sustanciales entre la información estadística sobre los robos de identidad, recopilada con fines políticos por las autoridades públicas, y la información recogida con fines comerciales por las empresas privadas. Algunas fuentes indican que el número de robos de identidad se ha reducido en los últimos años, dando lugar a un aumento de confianza del consumidor. Por otro lado, los datos proporcionados por otras fuentes reflejan un crecimiento de los robos de identidad. Además, algunas de las instituciones financieras que declaran que los precios son relativamente módicos, no desean revelar sus propias pérdidas económicas. Por otra parte, otros organismos privados proporcionan cifras que reflejan el crecimiento de los robos de identidad. Para complicar más el panorama, algunas instituciones financieras afirman incluso que ninguno de sus clientes ha sido jamás afectado por un ataque de phishing.174 Los datos abajo indicados describen el debate en torno al robo de identidad:

• En 2006, la barra de herramientas Netcraft, una herramienta antiphishing, desarrollada por Netcraft Toolbar Community,175 bloqueó más de 609.000 URL de phishing confirmadas, lo cual fue un salto sustancial de las tan sólo 41.000 existentes en 2005.176

Netcraft considera que este espectacular aumento, concentrado principalmente entre noviembre y diciembre de 2006, se debe a las recientes técnicas aplicadas por los phishers con el fin de automatizar y propagar las redes de páginas fraudulentas para permitir un rápido despliegue de redes enteras de páginas de phishing en los servidores web atacados por crackers. 177

• En 2006, el Grupo de Trabajo Anti-Phishing (APWG) notificó un aumento de los ciberataques de julio a agosto de 2006.178 En noviembre de 2006, fueron detectados 37.439 nuevos sitios web de phishing, lo que supone un incremento del 90% desde septiembre de 2006. Sin embargo, en su informe de diciembre de 2006, el APWG señala una disminución en el número de nuevos sitios phishing (que se redujeron a 28.531).179

172 Sólo se trata de una propuesta teórica. Los autores no son conscientes de que tales ciberataques han sido causados por el uso del malware.

173 “IFrame” resulta de la union de inline frame y describe un elemento HTML que permite embedir otro documento HTML en el documento principal. Normalmente se usa para insertar contenido, p. ej. publicidad, de un sitio web en la página actual.

174 Devillard, Arnaud (2006).

175 La Netcraft Toolbar Community es una red de vigilancia de la comunidad digital en la que los miembros expertos trabajan para proteger a todos los usuarios de Internet contra el phishing. Una vez que los primeros receptores de un correo electrónico de phishing notifican la URL, ésta se bloquea para que los usuarios de la barra de herramientas no puedan tener acceso a ella.

176 Netcraft Toolbar Community (2007).

177 Cada uno estos paquetes, conocidos como Rockphish o R11, incluyen docenas de sitios web destinados a cometer fraude contra los principales bancos.

178 APWG, 2006a pág. 1.

179 APWG, 2006b pág. 1.

70


• La Comisión Federal de Comercio de los Estados Unidos elaboró un informe en 2003 constatando que el robo de identidad afectó aproximadamente a 10 millones de estadounidenses cada año.180 En 2007, otro informe reveló que el fraude de identidad se redujo en un 12% pasando de 55,7 a 49,3 millones de dólares.181 • Sin embargo, el informe de Javelin fue criticado por intentar convencer de que “las empresas están haciendo un trabajo adecuado al proteger los datos personales de los consumidores y de que son los consumidores los que deben protegerse a sí mismos”.182 Un reciente estudio de McAfee tomó nota de esta discrepancia y señaló que los porcentajes de Javelin son “sorprendentemente bajos”, comparándolos con la estadística de Gartner, según la cual, en 2007, 15 millones de estadounidenses fueron víctimas de robo de identidad.183

Ataques contra la autentificación uni y multifactorial Los ataques de malware contra la autentificación unifactorial, tales como el nombre de

usuario o la contraseña reutilizable, están muy extendidos y son bastante eficaces. Estos ataques, al igual que los ataques contra la integridad, son precursores del robo de información de valor a través del ordenador comprometido. Las credenciales unifactoriales de las cuentas de ordenador, las cuentas bancarias online o el acceso remoto a la red privada virtual (Virtual Private Network o VPN) son vulnerables a la hora de ser capturados a través del teclado, pantalla, ratón o desde un almacenamiento protegido (o áreas similares) dentro del sistema de información, y pueden ser utilizados con facilidad por los atacantes con el objetivo de acceder a las cuentas o sistemas relevantes.

Los ataques contra algunos tipos de autentificación multifactorial también son posibles y han

tenido lugar. Por ejemplo, las formas más simples de autentificación multifactorial, incluyendo el uso del token de seguridad, que genera una contraseña de un solo uso y un desafío-respuesta de un corto período de vida, son vulnerables a los ataques de malware. Así pues, los troyanos, una vez instalados en el ordenador del usuario, simplemente esperan a que éste inicie sesión con su banco, usando sus credenciales multifactoriales. A continuación, los troyanos llevan a cabo una transferencia de fondos sin la autorización ni conocimiento del usuario. Para la institución financiera, los fondos aparecen como transferidos con la autorización del usuario de cuenta. 184

La primera y la última muestra de la viabilidad de este tipo de ataque de malware tuvieron

lugar en 2005 y en mayo de 2007185 respectivamente. De esta forma, los troyanos fueron capaces de comprometer el sistema E-gold payment 186 al esperar que la víctima se autentificase con éxito en el sitio web de E-gold para después crear una sesión de navegación oculta y vaciar la cuenta de la víctima con ayuda de diversos trucos de spoofing. Debido a que el robo y el spoofing se iniciaron después de que la autentificación se completara, no se tuvieron en cuenta las autenticaciones posteriores. Aunque el troyano e-gold no atacó la autentificación multifactorial per se, se considera un ejemplo precoz de cómo el malware es capaz de transferir fondos de forma no autorizada después de que el usuario se registre legítimamente en la cuenta e-gold, lo cual podría haber inhabilitado cualquier tipo de autentificación de acceso multifactorial que no implementara la firma de la transacción.187 180 US FTC, 2003, pág. 4 (Nota: se incluye cualquier tipo de robo de identidad, online y offline).

181 Javelin Research and Strategy pág. 1.

182 Shin, Anneys (2007).

183 McAfee (2007) pág. 11.

184 F-Secure (2007b).

185 Dearne, Karen (2007).

186 E-Gold es “dinero digital” cuyo valor está garantizado en forma de oro y plata almacenados en bancos de Europa y Oriente Medio. E-Gold puede utilizarse como un intermediario de confianza a través del cual el dinero se transfiere sólo cuando el producto o servicio comprado se haya recibido.

187 Stewart, Joe (2004).

71

Cuadro 10. El ataque del token bifactorial Al parecer, recientemente tuvo lugar una ligera variación del ataque del token bifactorial contra los clientes online del grupo bancario ABN AMOR, en el que se combinaba un ataque de phishing y malware. El atacante envió a las posibles víctimas un correo electrónico aparentando ser el representante de su banco (es decir, ABN AMRO). Si los destinatarios abrían el archivo adjunto al correo, el malware se instalaba en el ordenador sin su conocimiento. Cuando, posteriormente, los clientes visitaban su sitio web de banca, el malware les redirigía al sitio web controlado por el atacante, el cual les pedía sus datos de seguridad, p. ej. el PIN y la contraseña de un solo uso (OTP) generada por el token de seguridad. Tan pronto como los atacantes recibían estos datos, podían acceder a la cuenta del cliente del verdadero sitio web de ABN AMRO antes de que caducara el número generado automáticamente, el cual les permitía transferir el dinero del cliente. 188 Debido a que la autentificación unifactorial, utilizada para transacciones de alto valor, se ha sustituido por una multifactorial, este tipo de ataque será cada vez más habitual.


Ataques contra certificados digitales y capas de conexión segura (SSL) Los certificados digitales y las conexiones SSL (Secure Socket Layer) se utilizan, por lo

general, para proteger la confidencialidad y la integridad de los datos enviados a través de Internet y para verificar la autenticidad del anfitrión remoto (más comúnmente para autentificar el servidor remoto). Si bien estas protecciones son de utilidad, no ofrecen seguridad en los puntos finales de la transacción, limitándose, por lo general, al canal del medio. Mientras se establece la sesión SSL, es necesario cifrar y descifrar los datos, dado que son transferidos continuamente entre ambos puntos de la transacción. Si el ordenador del usuario es atacado por el malware189, los datos enviados pueden ser capturados antes de ser cifrados, al igual que los datos recibidos, después de ser descifrados. Los esfuerzos para proporcionar un nivel mayor de garantía para algunos tipos de certificados digitales no abordan este problema.

Los certificados SSL ofrecen a los consumidores la posibilidad de verificar la identidad de

un sitio web. Sin embargo, existen varios problemas asociados al uso actual de estos certificados, entre ellos:

• Errores y advertencias a causa de certificados SSL no válidos, o a menudo muy técnicos,

y que, por lo tanto, confunden al usuario. • Según un estudio de usabilidad, los consumidores generalmente hacen caso omiso a la

falta de conexión SSL y a las advertencias antes de introducir sus datos personales. 190

• En caso de que las organizaciones usen certificados autofirmados, pueden aparecer advertencias de un “firmante no fiable” que puede generar confusión en los usuarios.

188 Outlaw.com y The Registar.

189 La mayoría (si no todas) de las variantes de troyanos que se utilizan para obtener ganancias económicas de forma ilícita poseen la capacidad de capturar datos transmitidos durante una sesión y no sólo aquellos que incluyen la función de inyección HTML.

190 Dhamija, Rachna (2007).

191 Krebs, Brian (2006).

192 Una Autoridad de Certificación es una entidad, como por ejemplo Verisign, que expide certificados.

72


Cuadro 11. Un análisis más detallado de los certificados digitales y de las conexiones de capa segura (SSL)

Un certificado digital193 es un mecanismo utilizado para establecer las credenciales de la persona o de la entidad que lleva a cabo operaciones o transacciones online. El uso frecuente de los certificados digitales en las sesiones SSL194 protegidas es un medio para fomentar confianza en las transacciones del comercio electrónico y de la e-Administración. Sin embargo, algunas formas de malware, una vez instaladas en el ordenador del usuario, pueden esperar a que se establezca una sesión SSL legítima con un sitio web concreto (p. ej. el sitio de un banco online) e inyectar código HTML dentro de la interfaz del navegador antes de que la página del sitio web remoto aparezca en el ordenador del usuario. A consecuencia de esto, se cambia el contenido y apariencia de la página web (aun cuando el sitio web remoto no haya sido modificado), al mismo tiempo que el ordenador del usuario sigue manteniendo una conexión SSL válida con el anfitrión remoto. Una comprobación por parte del usuario del certificado digital SSL mostrará que se trata de un certificado válido para el host remoto. Lo que el usuario ve en pantalla, al igual que los datos introducidos por éste al ser incitado, no coinciden con la información del sitio remoto legítimo. Al manipular la interfaz del navegador del ordenador comprometido, los atacantes hacen que a los usuarios les sea prácticamente imposible saber con certeza si existe una conexión segura con el host remoto, al igual que tener la seguridad de que el contenido que aparece en la ventana del navegador es enviado por el anfitrión remoto legítimo. Por lo tanto, el uso de los certificados digitales en las sesiones SSL protegidas, como un medio fiable para verificar la identidad del dominio web remoto, ha sido prácticamente descartado. 195

193 Un certificado digital es un medio para autentificar una entidad que lleva a cabo negocios u otras transacciones en Internet u online. Los certificados digitales son parte de la infraestructura de clave pública (PKI) que utiliza la criptografía de clave pública y la infraestructura jerárquica asociada de las Autoridades de Certificación y de Registro para procesar peticiones y expedir y revocar certificados. Incluso si el certificado digital es válido, no se debe confiar por igual en todos los certificados. Algunos certificados son autofirmados y, por tanto, no poseen un tercero independiente para verificar si realmente representan una entidad comercial legítima o si poseen un dominio particular. Otro tipo de certificados, que podrían ser expedidos por las Autoridades de Certificación (AC), poseen niveles bajos de calidad, es decir, la AC sólo ha ofrecido una verificación muy básica para comprobar que la entidad es verdadera. Un certificado contiene el nombre de la entidad, el número de serie, la fecha de caducidad, una copia de la clave pública del titular del certificado (utilizada para cifrar mensajes y verificar firmas digitales) y la firma digital de la autoridad que lo expidió para que el destinatario pueda comprobar que el certificado es auténtico y que ha sido expedido por una Autoridad de Certificación.

194 SSL es un protocolo criptográfico utilizado para proporcionar comunicaciones seguras en Internet al, por ejemplo, navegar por la web, utilizar el correo electrónico, enviar un fax por Internet, hacer uso de la mensajería instantánea o transmitir datos.

195 Las versiones más recientes del troyano Haxdoor también tienen la capacidad de usar la inyección HTML. Véase AusCERT (2006).

73


ANEXO C – INSTRUMENTOS DE MUESTRA, ESTRUCTURAS E INICIATIVAS PARA COMBATIR EL MALWARE

Esta sección incluye un ejemplo ilustrativo, o mejor dicho, una lista de instrumentos,

estructuras e iniciativas, a nivel nacional e internacional, para hacer frente al malware.

Concienciación

La concienciación es una parte importante de la defensa ante el malware y ante los delitos derivados de su uso. Tanto el sector público como el privado, actuando por separado o de forma conjunta, han tomado medidas para educar a los usuarios de Internet sobre esta amenaza. Australia – Agenda Nacional de eSeguridad (ESNA)

El gobierno australiano creó la ESNA (E-Security National Agenda) en 2001 con el fin de establecer un entorno electrónico seguro y de confianza, tanto para el sector público como para el privado. El estudio, realizado por la ESNA en 2006, descubrió que el entorno online está altamente interconectado y que no se puede hacer frente de forma aislada a las amenazas contra la eSeguridad de diferentes sectores de la economía australiana. En relación con esto, el gobierno australiano proporcionó 73,6 millones de dólares durante un período de cuatro años para adoptar nuevas medidas con el fin de fortalecer el entorno electrónico para empresas, usuarios domésticos y administraciones.196 Además, el gobierno australiano está llevando a cabo las siguientes iniciativas:

• La “Semana Anual de la Sensibilización sobre eSeguridad” (Anual National E-Security

Awareness Week) se celebrará en colaboración con organizaciones industriales y comunitarias. La semana promueve el comportamiento inteligente online entre los usuarios domésticos y las Pymes. La semana piloto de sensibilización se celebró en octubre de 2006.

• La mejora del sitio web de la eSeguridad del gobierno www.staysmartonline.gov.au es un

mecanismo clave para difundir información básica sobre la eSeguridad, así como para asesorar a los usuarios domésticos y a las pequeñas empresas sobre las medidas para proteger sus ordenadores y adoptar buenas prácticas online.

• El desarrollo del módulo educacional sobre eSeguridad para colegios de Australia

facilitará el aumento de sensibilización entre jóvenes australianos con respecto a la eSeguridad.

• La creación de un servicio asequible y gratuito denominado el Servicio Nacional de

Alerta de eSeguridad (National E-Security Alert Service), que será proporcionado a través del sitio web de eSeguridad del gobierno, y difundirá información sobre amenazas actuales contra la eSeguridad y sus vulnerabilidades.

Asimismo, el gobierno australiano ha elaborado una serie de folletos para promover la

protección contra las amenazas hacia la eSeguridad entre los consumidores y las pequeñas empresas del país.197

196 La versión revisada de la ESNA se encuentra disponible en: http://www.dcita.gov.au/communications_for_consumers/security/e- security.

197 Información disponible en :http://www.dcita.gov.au/communications_and_technology/publications_and_reports.

74


Australia Netalert198

Puesta en marcha en agosto de 2007 por el gobierno de Australia, Netalert es una iniciativa de seguridad en Internet que combina una campaña de información sobre la seguridad en la web (el “Proyecto Nacional de Filtrado”, orientado a proporcionar el acceso gratuito a los filtros de contenidos de Internet con el fin de bloquear los contenidos no deseados), un sitio web y una línea directa de asesoramiento para la protección de los menores en la red, y el acceso a filtros gratuitos provistos de la información sobre su funcionamiento.

Australia Stay Smart Online

El sitio web “Stay Smart Online” ofrece asesoramiento sencillo y gradual para usuarios domésticos y Pymes sobre la protección online. El Programa de la Unión Europea “Safer Internet Plus”199

A nivel europeo, el programa “Safer Internet Plus” promueve un uso más seguro de Internet

y de las nuevas tecnologías online, especialmente para los menores.

Get Safe Online200

“Get Safe Online” (GSO) es el sitio web del gobierno británico, cuyo objetivo es

concienciar sobre las prácticas seguras online para usuarios domésticos de Internet y las Pymes. Este sitio complementa al sitio web Itsafe y se centra en actividades de sensibilización con enlaces a populares sitios web. El material educativo ofrece información sobre el correo electrónico, el malware, el phishing y el spyware. Este sitio web fue puesto en marcha a raíz del acuerdo común entre el gobierno del Reino Unido y el sector privado, los cuales actúan como patrocinadores en el campo de la tecnología, del comercio minorista y de las finanzas.

La semana “Get Safe OnlineWeek” (GSOW) comenzó en octubre de 2006, incluyendo diversas actividades de sensibilización. Las actividades de esta semana incluían una cumbre sobre la seguridad en Internet, con el objetivo de establecer un vínculo entre el gobierno, la industria y el sector público, con especial enfoque en el tema de la delincuencia en Internet. También se firmó el “Memorándum de Entendimieno” (MOU), cuyos firmantes se comprometían a asesorar a los usuarios sobre la seguridad en el uso de Internet, así como a difundir el sitio web GSO como una fuente de asesoramiento e información libre y actualizada.

El servicio está financiado por el Ministerio del Interior del Reino Unido y utiliza

información proporcionada por el Centro para la Protección de la Infraestructura Nacional (CPNI). Este departamento gubernamental proporciona defensa electrónica al Gobierno del país. El objetivo del sitio web ITsafe es asesorar sobre los mejores métodos de protección de los datos personales y empresariales. ITsafe está dirigido por un equipo de gobierno en representación del CPNI, el Patrocinador Central de la Seguridad de la Información (CSIA).

198 Información disponible en: www.netalert.gov.au.

199 Información disponible en: http://ec.europa.eu/information_society/activities/sip/index_en.htm.

200 Información disponible en: http://www.getsafeonline.org/.

75


New Zealand Netsafe201

Netsafe es una asociación formada por el Grupo de Seguridad en Internet (ISG), una

organizacion independiente sin ánimo de lucro, el responsable de la educación sobre la ciberseguridad en Nueva Zelanda y el Ministerio de Educación de Nueva Zelanda, con la representación y colaboración de la industria, la policía, la banca, etc. El objetivo de Netsafe es hacer llegar información sobre el abuso sexual online y otras amenazas a menores. El sitio web también dispone de información sobre el malware, el mantenimiento de ordenadores, el intercambio de archivos P2P, los riesgos de seguridad del IRC, los hackers y otros contenidos relacionados con la eSeguridad.

Los temas que abarca Netsafe son los siguientes: la seguridad online, tanto para niños y adolescentes como para empresas, el fraude en Internet y el cumplimento de la ley, los juegos de azar online, los derechos de autor, el comercio electrónico y la ley. Además, incluye un sitio web de dibujos animados, Hector´s World, diseñado para educar a los niños acerca de la seguridad online.

ITsafe, Reino Unido202

La iniciativa Itsafe es un sitio web del Reino Unido que facilita alertas de amenazas contra la seguridad, simples y fáciles de entender, tanto para los usuarios domésticos de Internet como para pequeñas empresas. El asesoramiento y la información que forman parte del sitio web son gratuitos e incluyen diversas formas de alertas de amenazas contra la seguridad y advertencias que proporcionan un entorno electrónico más seguro para los usuarios de Internet.

Onguard Online, EstadosUnidos203

El sitio web OnGuardOnline.gov está mantenido por la Comisión Federal de Comercio de

los Estados Unidos y cuenta con los siguientes socios: el Servicio de Inspección Postal, el Departamento de Seguridad Nacional, el Departamento de Comercio y la Comisión de Bolsa y Valores. Su objetivo es facilitar consejos prácticos desde el gobierno federal y desde la industria de la tecnología para ayudar a los usuarios a protegerse del fraude en Internet. Además, OnGuardOnline.gov proporciona información sobre cómo los usuarios pueden proteger sus sistemas de información y su información personal.

StaySafeOnline, Estados Unidos204

El sitio web StaySafeOnline fue puesto a disposición del público por la Alianza Nacional de

Ciberseguridad, una coalición industrial de Estados Unidos que cuenta con el apoyo del Departamento de Seguridad Nacional, con el objetivo de difundir la sensibilización hacia la ciberseguridad entre los usuarios domésticos, las pequeñas empresas, los centros de enseñanza superior y los niños y/o adolescentes. StaySafeOnline facilita ciberseguridad y fuentes de protección para el público, incluyendo alertas, consejos e informes, de manera que los consumidores, las pequeñas empresas y los educadores sepan cómo evitar la ciberdelincuencia.

Semana Nacional de Sensibilización, Estados Unidos

El gobierno de los Estados Unidos, en colaboración con la industria, celebra el Mes

Nacional de Sensibilización sobre la Ciberseguridad (NCSAM). Su objetivo es aumentar la concienciación sobre la seguridad online y los métodos de adopción de prácticas seguras en Internet. 201 www.netsafe.org.nz de NetSafe es una iniciativa del Grupo de Seguridad en Internet (The Internet Safety Group o el ISG).

202 Información disponible en: www.itsafe.gov.uk

203 Información disponible en: http://onguardonline.gov/index.html

204 Información disponible en: http://www.staysafeonline.org

76

DSTI/ICCP/REG(2007)5/FINAL Las actividades y eventos celebrados durante ese mes estaban orientados a usuarios

domésticos de Internet, Pymes, gobiernos y sectores educativos y corporativos.

Teenangels205

Teenangels es un grupo de voluntarios entre 13 y 18 años de Estados Unidos formado en todos los campos de la seguridad (incluyendo la seguridad online y los programas espía) y de la privacidad por las autoridades locales y muchos otros destacados expertos en seguridad. Después de completar la formación necesaria, Teenangels lleva a cabo programas especiales en colegios, promoviendo una navegación responsable y segura entre otros adolescentes, niños, padres y profesores.

Convenios Convenio sobre la Ciberdelincuencia del Consejo de Europa

El Convenio sobre la Ciberdelincuencia del Consejo de Europa es el primer y único tratado multilateral jurídicamente vinculante que aborda los problemas causados por la difusión de la actividad delictiva online. Firmado en Budapest (Hungría) en 2001, el Convenio entró en vigor el 1 de julio de 2004. Orientado hacia la digitalización, convergencia y globalización continua de las redes de ordenadores, obliga a sus firmantes a adoptar una legislación que penalice las violaciones de seguridad causadas por el hacking, la intercepción ilegal de datos y las interferencias del sistema que comprometen la integridad y disponibilidad de la red.

Este instrumento, que menciona las acciones de la OCDE como un medio para fomentar la comprensión internacional y la cooperación en la lucha contra la ciberdelincuencia, tiene por objeto “llevar a cabo una política penal común, encaminada a proteger a la sociedad de la ciberdelincuencia, adoptando una legislación adecuada y fomentando la cooperación internacional”. Para alcanzar estos objetivos, los firmantes se comprometen a introducir ciertas alteraciones sustantivas en su legislación para aplicarlas al delito informático. Aunque el malware no ha sido mencionado en el Convenio como una de las actividades ilegales que debe ser penalizada por los firmantes, está encubierto indirectamente por un listado de delitos, estrechamente relacionados, entre los que figuran el acceso ilícito a los sistemas de información, los datos informáticos y el fraude informático. 206

El Convenio fomenta un enfoque más coherente en la lucha contra los ciberataques, incluyendo la creación de una red para la lucha contra la delincuencia disponible 24 horas al día y 7 días a la semana, y facilitando la cooperación de los sectores público y privado. El Convenio también establece disposiciones para los tratados de extradición y asistencia legal mutua (en caso de ausencia) entre los firmantes.

Hasta la fecha, el Convenio ha sido ratificado por 21 países y firmado por otros 22.207

Algunas empresas del sector privado han tomado determinadas iniciativas para garantizar la aplicación de los principios del Convenio. 208

Detección y respuesta Muchos países tienen la obligación de observar, prevenir y responder a los incidentes,

presentados en forma de CSIRT o CERT. Es importante señalar que no todos los CSIRT o CERT son similares. 205 Información disponible en: http://www.teenangels.org/index.html.

206 Consejo de Europa (2001) Artículos 2, 3, 8.

207 Consejo de Europa.

208 En 2006, Microsoft ofreció una contribución substancial al Cosejo de Europa para financiar el programa de implementación del Convenio.

77


Los hay representados por entidades públicas, que forman parte de la estructura del gobierno, entidades financiadas por los sectores público y privado y organismos asociados con instituciones académicas.209 Está ampliamente aceptada la buena práctica del gobierno orientada a asignar la responsabilidad nacional a los CSIRT o CERT210.

En algunos casos, las entidades de un país están obligadas a comunicar incidencias de seguridad a las autoridades competentes del gobierno central para gestionarlas. En determinados casos, esta entidad está representada por un CSIRT/CERT. Por ejemplo, en Finlandia es obligatorio comunicar al CSIRT nacional del país, CERT-FI211, las violaciones importantes de seguridad de información, los fallos y las interferencias en las telecomunicaciones públicas. Como ejemplo de una “violación importante”, se encuentra la activación del malware en los propios sistemas del proveedor de telecomunicaciones. Con el fin de cumplir con esta normativa de notificación externa de incidencias, el proveedor de telecomunicaciones tiene que contar con procesos internos adecuados para la detección y notificación de éstas, así como para la recuperación de datos sobre los incidentes y amenazas de seguridad de la información. Este modelo ha tenido éxito en Finlandia, ya que el gobierno ha demostrado que las entidades son dignas de confianza y aptas para manejar información sensible y compartirla con los portadores principales en sesiones presenciales.

En los Estados Unidos, todos los organismos gubernamentales civiles están obligados a

comunicar incidencias de seguridad al US-CERT.212. Tanto en Finlandia como en Estados Unidos, se elaboró un formulario estándar para la notificación de incidencias.

Iniciativas internacionales

Foro de los Equipos de Respuesta a Incidentes de Seguridad (FIRST)

El FIRST congrega a varios Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) procedentes de organizaciones gubernamentales, comerciales y educativas de 37 países. El objetivo del FIRST es fomentar la cooperación y la coordinación en la prevención de incidencias, estimular una reacción rápida ante su aparición y promover el intercambio de información entre los miembros y dentro de la comunidad en general213. Al ser miembros del FIRST, los equipos de respuesta a incidentes tienen la posibilidad de contactar con sus homólogos en otros países, lo cual puede ayudarles a responder con más eficacia ante los incidentes de seguridad.

209 La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) facilita un directorio global de los CSIRT/CERT de Europa: http://www.enisa.europa.eu/cert_inventory/index_inventory.htm.

210 En 2006, CERT/CC empezó a celebrar un encuentro anual de los CSIRT de responsabilidad nacional, información disponible en: http://www.cert.org/csirts/national/conference2007.html. También se encuentra disponible un listado de los CSIRT de responsabilidad nacional en: http://www.cert.org/csirts/national/contact.html

211 Autoridad Reguladora y de las Comunicaciones de Finlandia (FICORA) 9 B/2004 M; Información disponible en: http://www.ficora.fi/attachments/englanti/1156489108198/Files/CurrentFile/FICORA09B2004M.pdf. 213 Ley Federal de Gestión de la Seguridad de la Información (FISMA). Información disponible en: http://www.pearlsw.com/resources/Experts/OMBRequirements.pdf.

214 Información disponible en: http://www.first.org.

78

DSTI/ICCP/REG(2007)5/FINAL CSIRT regionales CERT Asia-Pacífico (APCERT)214

APCERT es una red de contacto de los expertos en seguridad informática de la región de Asia-Pacífico, creada para mejorar la sensibilización y el conocimiento regional en relación con los incidentes de seguridad informática. APCERT trabaja para aumentar la cooperación en la seguridad de la información, facilitar el intercambio de información y tecnología y promover la colaboración en la investigación sobre temas de interés para sus miembros. Además, APCERT colabora en la resolución de cuestiones legales relacionadas con la seguridad de la información y la respuesta ante emergencias más allá de las fronteras regionales.

Unión de Telecomunicaciones del Caribe La Unión de Telecomunicaciones del Caribe (CTU), en representación de la Comunidad

Caribeña (CARICOM), ha participado en el desarrollo del Sistema de Gestión de Internet para el Caribe. La CTU ha celebrado una serie de foros importantes sobre la Gestión de Internet, en los que los delegados plantearon la cuestión de la creación del Equipo de Respuesta a Emergencias Informáticas del Caribe (CERT) para la detección oportuna de los incidentes de seguridad en redes locales de ordenadores, así como la correcta gestión de las mismas y la realización de actividades posteriores a la detección de incidencias. Además, existe un creciente grupo de expertos en TIC que han manifestado la necesidad de crear un CERT en el Caribe. En respuesta, en los próximos meses, la CTU hará participar a los profesionales de las TIC en el análisis de los requisitos de seguridad de la localidad, así como a investigar la necesidad y los medios para crear el CERT.

Grupo de CERT gubernamentales europeos (EGC)

El EGC215 es un grupo informal de CERT gubernamentales que desarrolla una cooperación

eficaz entre sus miembros en materia de respuesta a incidentes, basándose en la similitud de las circunscripciones y conjuntos de problemas entre los CSIRT gubernamentales europeos. Para lograr este objetivo, los miembros del EGC desarrollan conjuntamente medidas para hacer frente a los incidentes de seguridad en redes locales o globales, facilitan el intercambio de información y tecnologías relacionadas con las incidencias de seguridad, amenazas de código malicioso y vulnerabilidades dentro de las tecnologías de la información, comparten conocimientos y experiencia, identifican áreas de colaboración en la investigación y desarrollo de temas de interés mutuo y fomentan la creación de CSIRT gubernamentales en los países europeos.

CERT del Consejo de Coordinación del Golfo (GCC CERT) El objetivo del GCC CERT es supervisar la creación de equipos de respuesta nacionales en

Arabia Saudita, los Emiratos Árabes Unidos, Qatar, Bahrein, Kuwait y Omán.

214 Sitio web del APCERT: http://www.apcert.org/about/structure/members.htm

215 Entre los miembros del EGC se encuentran: Finlandia (CERT-FI), Francia (CERTA), Alemania (CERT-Bund), Hungría (CERT/Hu), los Países Bajos (GOVCERT.NL) Noruega (NorCERT), Suecia (SITIC), Suiza (SWITCH-CERT) y Reino Unido (UNIRAS/NISCC).

79

DSTI/ICCP/REG(2007)5/FINAL Task Force CSIRT (TF CSIRT)216

La actividad del TF CSIRT se centra en Europa y los países vecinos, conforme a los Términos de Referencia aprobados por el Comité Tecnológico de Terena el 15 de septiembre de 2004. TF CSIRT ofrece a los CSIRT europeos un foro de comunicación, el intercambio de experiencia y conocimientos, la implantación de los servicios “piloto” y la colaboración en la creación de nuevos CERT. Otros objetivos del TF CSIRT incluyen:

• Promover normas y procedimientos comunes para responder a los incidentes de

seguridad. • Colaborar en la creación de nuevos CSIRT y en la formación de sus equipos.

Cumplimiento normativo

Estructuras nacionales

En virtud de la legislación europea, las disposiciones detalladas en la página 85 pueden ser aplicadas por los organismos administrativos y/o las autoridades penales. Debido a esto, la Comisión ha hecho hincapié en que las responsabilidades de las distintas autoridades y los procedimientos de cooperación a nivel nacional deben estar claramente definidos. Hasta la fecha, los cada vez más entrelazados aspectos penales y administrativos del spam y otras amenazas no han sido reflejados en el respectivo crecimiento de los procedimientos de cooperación de los Estados Miembros, el cual reúne las destrezas técnicas y de investigación de diferentes organismos. Así pues, se necesitan protocolos de cooperación para cubrir áreas como el intercambio de información e inteligencia, datos de contacto, la asistencia y la transferencia de casos.

En los Estados Unidos, tanto el FBI como los Servicios Secretos tienen autoridad para investigar los delitos de malware relacionados con el incumplimiento de la Ley de Fraude y Abuso Informático (Computer Fraud and Abuse Act, Título 18, Art. 1030 del Código de los Estados Unidos,). Las infracciones de esta Ley son procesadas en los Tribunales Federales por el Departamento de Justicia a través de la Fiscalía y la Sección de Propiedad Intelectual y Ciberdelincuencia de la División Penal. El Departamento de Justicia también procesa delitos relacionados con el malware, como, por ejemplo, el incumplimiento de la Ley CAN-SPAM (Título 18, Art. 1037 del Código de los Estados Unidos), el fraude de dispositivos de acceso (Título 18, Art. 1029 del Código de los Estados Unidos) y el Robo de Identidad Agravado (Título 18, Art. 1028A del Código de los Estados Unidos).

Mecanismos internacionales

Varios de los foros internacionales orientados hacia la seguridad, privacidad y cuestiones de

protección del consumidor, dedican importantes esfuerzos para hacer frente a las múltiples facetas de la ciberdelincuencia.

La Red de Contacto de las Autoridades Competentes en materia de Spam (CNSA217)

A través de esta iniciativa de la Comisión Europea, se ha creado un grupo informal, formado por Autoridades Nacionales involucradas en la aplicación del Artículo 13 de la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas, denominado la Red de Contacto de las Autoridades Competentes en materia de Spam (CNSA). Dentro de esta red, las Autoridades Nacionales intercambian información con respecto a las prácticas habituales para combatir el spam, incluyendo mejores prácticas para recibir y tramitar información y datos sobre reclamaciones, así como la investigación y la lucha contra este fenómeno.

216 Información disponible en: http://www.terena.org/activities/tf-csirt/

217 Información disponible en: http://stopspamalliance.org/?page_id=11

80


La red CNSA ha elaborado un procedimiento de cooperación que tiene como objetivo facilitar la transmisión de información sobre reclamaciones y otros datos de interés entre Autoridades Nacionales, así como la tramitación transfronteriza de denuncias relacionadas con el spam, trabajando al mismo tiempo en cuestiones de spyware y malware.

Red de Ciberdelincuencia G8 24/7

El subgrupo del G8 sobre delincuencia de alta tecnología dispone de la red 24/7, que ofrece

asistencia a las investigaciones que requieren pruebas electrónicas y la cooperación inmediata de las autoridades extranjeras competentes en materia de justicia penal. Esta red, que incluye casi 50 países, fue creada en 2007 por los países del subgrupo G8 con la finalidad de abordar los desafíos excepcionales que las investigaciones sobre la delincuencia de alta tecnología suponían para el cumplimiento normativo. La red ha sido diseñada para complementar, y no sustituir, el marco tradicional de asistencia legal mutua a través de un mecanismo para facilitar la preservación de pruebas electrónicas. Además, su papel ha sido decisivo en la preservación de pruebas para el hacking, el fraude y la investigación de delitos violentos, así como en la formación sobre temas como las botnets.

Interpol

Interpol218 es una organización policial internacional, cuya misión es prevenir o combatir la

delincuencia internacional. Interpol ha distribuido sus equipos de expertos en ciberdelincuencia por todo el mundo, creando Grupos de Trabajo regionales especializados en delincuencia informática para Europa, América Latina, Asia, el Pacífico del Sur y África219. El Grupo de Trabajo Europeo especializado en Delincuencia Informática (EWPITC), perteneciente a la Interpol, ha elaborado una guía de buenas prácticas para los investigadores expertos de las autoridades competentes220. Asimismo, el grupo estableció un rápido sistema de intercambio de información, basado en el esquema internacional de respuesta en 24 horas compuesto por expertos de más de 100 países. El esquema recibió una aprobación especial por parte de red de ciberdelincuencia del G8, la G8 24/7 HTCN.

Plan de Acción de Londres (LAP)221

El objetivo del Plan de Acción de Londres (LAP) es promover la puesta en práctica de la

cooperación internacional contra el spam y hacer frente a sus variantes, tales como el fraude y las estafas online, el phishing y la difusión de virus. El LAP cuenta con la participación de los gobiernos, organismos públicos y el sector privado de más de 27 países.

Red Internacional de Cumplimiento Normativo y Protección de los Consumidores (ICPEN)

La Red Internacional de Cumplimiento Normativo y Protección de los Consumidores

(ICPEN) consiste en una red de organismos gubernamentales involucrados en el cumplimiento del comercio justo y de otras actividades relacionadas con la protección de los consumidores. La ICPEN fue creada en 1992 por 20 países, con la colaboración de la OCDE y la UE, y actualmente cuenta con 29 países participantes. El Memorándum sobre la Creación y el Funcionamiento de la ICPEN es la norma que regula esta red. El objetivo principal de la ICPEN es facilitar un intercambio práctico de acción e información entre sus miembros para prevenir y subsanar prácticas comerciales engañosas a través de las fronteras internacionales. 218 La Interpol incluye 186 países miembros. Información disponible en: www.interpol.int/public/icpo/default.asp.

219 Información disponible en: www.interpol.int/Public/TechnologyCrime/WorkingParties/Default.asp#europa.

220 El Manual sobre la Investigación en materia Ciberdelincuencia (Information Technology Crime Investigation Manual) está disponible en versión digital a través del sitio web restringido de la Interpol. 221 Información disponible en: http://www.londonactionplan.com.

81

DSTI/ICCP/REG(2007)5/FINAL Para lograr este objetivo, la ICPEN promueve esfuerzos conjuntos para abordar los

problemas a los que se enfrentan los consumidores a la hora de realizar transacciones transfronterizas de bienes y servicios. La cooperación de la ICPEN no incluye la regulación de los servicios financieros ni la seguridad del producto, ni tampoco proporciona una plataforma para la obtención de una compensación específica para los consumidores individuales.

La ICPEN ha creado varios grupos de trabajo, entre los que se encuentran el Grupo de

Trabajo del Fraude de Comercialización Masiva, el Grupo de Trabajo de Mejores Prácticas y el Grupo de Trabajo ScamWatch, que cubren algunas de las cuestiones asociadas con el malware. Además, su iniciativa Internet Sweep (“Barrido de Internet”) trata de encontrar y eliminar sitios web fraudulentos y engañosos.

Legislación

Aunque el malware rara vez es mencionado como tal en la legislación, numerosas áreas de la ley contemplan las actividades que utilizan este código malicioso, incluyendo las leyes penales y la normativa correspondientes a la protección del consumidor, la protección de datos, las telecomunicaciones y el spam. Una encuesta realizada a finales del año 2004 por el Grupo de Trabajo sobre Spam de la OCDE, indicó que la mayoría de los países miembros de esta organización había establecido en los últimos años un marco legislativo para combatir el spam, el cual también podría aplicarse al malware en algunos casos.

En la Unión Europea, en virtud de la Directiva sobre la Privacidad y las Comunicaciones Electrónicas y de la Directiva General de Protección de Datos, las autoridades nacionales tienen la facultad de actuar en contra de las siguientes prácticas ilegales:

• Envío de comunicaciones no solicitadas (spam).222 • Acceso no autorizado a equipos terminales, bien sea para almacenar información

(programas adware y spyware), o para acceder a la información almacenada en ese equipo223.

• Infección del equipo a través de la inserción de malware (gusanos y virus), de la transformación de ordenadores personales en botnets o de su uso con otros fines224.

• Engañar a los usuarios para que faciliten información sensible, como contraseñas y datos de la tarjeta de crédito, por medio de los llamados “mensajes de phishing”225. Algunas de estas prácticas también son sancionadas por las leyes penales226, incluyendo la Decisión Marco sobre ataques contra los sistemas de información. Según esto último, los Estados Miembros deberán prever una pena máxima de al menos tres años o de cinco años de prisión, en caso de crimen organizado.

Otros referentes legales más recientes son:

• El Proyecto de Ley de la Policía y Justicia del Reino Unido (The Uk Police and Justice Bill), aprobado en 2006227. Esta normativa modificó, entre otras, la Ley de Uso Indebido del Ordenador de 1990 (the Computer Misuse Act o CMA) con el fin de prohibir el acceso a un programa o a los datos almacenados en un ordenador, así como causar daños en el funcionamiento de los programas o datos almacenados en el equipo. La Ley también aumentó la pena máxima para estos delitos de cinco a diez años y se enmendó la definición de “abuso informático” para incluir los ataques de denegación de servicio.

222 Diario Oficial de la Unión Europea (2002).

223 Diario Oficial de la Unión Europea (2002) Artículo. 5 (3).

224 Ibídem.

225 Diario Oficial de la Unión Europea (1995) Artículo 6 (a).

226 Diario Oficial de la Unión Europea (2005).

227 Introducido en la legislación del Reino Unido en noviembre de 2006.

82

DSTI/ICCP/REG(2007)5/FINAL • La legislación alemana en materia de piratería, en vigor desde agosto de 2007, considera

el hacking228, la denegación de servicio y los ataques de sabotaje informático contra las personas229, como conductas ilegales. Las disposiciones legales amplían la responsabilidad penal a la “preparación deliberada de los delitos”, que consiste en la producción, venta y obtención de dispositivos informáticos, diseñados para tal propósito. Los delincuentes podrían enfrentarse a penas de hasta diez años de prisión en caso de delitos mayores.

• El Congreso de los Estados Unidos está contemplando una legislación que creará una ley, según

la cual el uso del spyware con el fin de recopilar información personal o de cometer una infracción penal será considerado un delito federal. En el supuesto de que esta ley se apruebe, se autorizará la asignación de 40 millones de dólares para el período de 2008 a 2011230

para procesar las infracciones cometidas contra la nueva ley. Además, la Comisión Federal de Comercio (FTC) de Estados Unidos ha perseguido activamente a las empresas que utilizan software espía, haciendo uso de su autoridad según establece el Art. 5 de la Ley de la FTC. Esta Comisión ha llevado a cabo once acciones ejecutorias a lo largo de los dos últimos años contra distribuidores de spyware. Estas acciones han reafirmado tres principios fundamentales. En primer lugar, el ordenador pertenece al consumidor y no al distribuidor de software. En segundo lugar, las “revelaciones ocultas” sobre el software y sus efectos no son adecuadas, al igual que nunca lo han sido, en las áreas tradicionales de comercio. Y en tercer lugar, si un distribuidor instala un programa no solicitado en el ordenador del consumidor, tiene que ser capaz de desinstalarlo o deshabilitarlo.

Estructuras pública y privadas

Iniciativas nacionales Australia – Iniciativa de Seguridad en Internet231

La iniciativa de Seguridad en Internet de Australia, llevada a cabo por la Autoridad Australiana de Medios de Comunicación, facilita información de forma gratuita a los proveedores de servicios de Internet sobre los ordenadores ”zombie” que operan en sus redes. El programa funciona mediante la transmisión de información sobre los ordenadores infectados por bots a los Proveedores de Servicios de Internet232 (ISP) del país, quienes a continuación se ponen en contacto con sus clientes, ayudándoles a desinfectar sus ordenadores.

El proyecto inicial de la Iniciativa de Seguridad en Internet comenzó en noviembre de 2005, con la

participación de seis Proveedores de Servicios de Internet. El proyecto puso de relieve que la gran mayoría de los clientes no se percatan de que sus ordenadores están infectados por programas maliciosos y agradecen la ayuda para proporcionar seguridad a sus ordenadores. Dado que el proyecto puso en marcha el Código de Conducta sobre la Industria del Spam en Internet, el 16 de julio de 2006 entró en vigor un Código de Instrucciones para los Proveedores de Internet y de Servicios de Correo Electrónico. El código complementa la iniciativa de Seguridad en Internet, ya que incluye cláusulas que permiten a los ISP desconectar el ordenador del cliente en caso de que este último no resuelva el problema.

228 La ley define el “hacking” como la penetración en un sistema de seguridad informático y el acceso a datos seguros sin que sea necesario el robo de los mismos.

229 La legislación vigente limita el sabotaje a empresas y autoridades públicas.

230 Resumen de Costes de la Oficina Presupuestaria del Congreso, pág 1.

231 Información disponible en: http://www.acma.gov.au/WEB/STANDARD//pc=PC_100882. 232 Los siguientes proveedores de servicios también se han unido a la iniciativa: Access Net Australia; AUSTARnet, Bekkers, Chariot, iinet, OzEmail, Powerup, ihug, SeNet, Internode, Agile, Neighbourhood Cable, iPrimus, Primusonline, Hotkey, AOL, Reynolds Technology, Riverland Internet y Soul.

83

DSTI/ICCP/REG(2007)5/FINAL Estados Unidos Un ejemplo de la cooperación entre los sectores público y privado de los Estados Unidos se

encuentra en la protección de la infraestructura crítica bajo el marco del Plan Nacional de Protección de la Infraestructura (NIPP), gestionado por el Departamento de Seguridad Nacional. Dentro del marco del NIPP se encuentra el Consejo de Coordinación Gubernamental (GCC), formado por organismos gubernamentales y entidades industriales (Consejo de Coordinación del Sector, SCC) para cada uno de los sectores importantes de la infraestructura, incluyendo el sector de las Tecnologías de la Información y de la Comunicación. El NIPP consiste en un marco para evaluar y gestionar el riesgo para cada uno de los sectores, incluyendo amenazas, vulnerabilidades y sus consecuencias233.

Otro ejemplo de la colaboración nacional entre los sectores público y privado es el programa

INFRAGARD del FBI, dirigido a mejorar y ampliar el intercambio de información entre la industria privada y el gobierno, incluyendo el cumplimiento normativo en lo referente a la infraestructura crítica nacional.

Por último, la Alianza Nacional de Formación e Informática Forense representa una colaboración

conjunta entre las autoridades policiales, los medios académicos y la industria para tratar conjuntamente cuestiones relacionadas con la ciberdelincuencia. Esta Alianza facilita una formación avanzada, promueve la concienciación sobre la seguridad para reducir vulnerabilidades informáticas y lleva a cabo análisis forenses y predictivos, así como simulaciones de laboratorio234.

Iniciativas internacionales

Consejo de Europa/Microsoft

En agosto de 2006, el Consejo de Europa y Microsoft se asociaron para promover la

implementación del Convenio sobre la Ciberdelincuencia.

Grupo de Trabajo Anti-Phishing

El Grupo de Trabajo Anti-Phishing (APWG) es un consorcio entre la industria y las autoridades policiales, gestionado por voluntarios y orientado a eliminar las consecuencias de todos los tipos de phishing, pharming235 y spoofing del correo electrónico. El APWG cuenta con más de 2.600 miembros, entre ellos 1.600 empresas y organismos, así como representantes de las autoridades nacionales y locales. El grupo ofrece un foro para examinar cuestiones sobre el phishing, definir el alcance del problema a nivel de costes y compartir información y mejores prácticas para eliminarlo236. El sitio web del APWG facilita recursos públicos para informar de los ataques de phishing. Cuando se recibe un aviso sobre el ataque, el APWG procede a analizar la información recibida y la añade a su archivo online de phishing. El trabajo del grupo también incluye, en su caso, el intercambio de información sobre ataques de phishing con las autoridades policiales. Además, el APWG mantiene el registro de troyanos, keyloggers y otras formas de malware relacionadas con el phishing. 233 Más información sobre el NIPP en: http://www.dhs.gov/xprevprot/programs/editorial_0827.shtm.

234 Información disponible en: http://www.ncfta.net/default2.asp.

235 El pharming o warkitting utiliza técnicas similares a las de un ataque clásico de phishing, pero, además, redirige a los usuarios desde un sitio web auténtico (p. ej. el sitio web de un banco) a otro fraudulento, que en realidad es una réplica del sitio original. Cuando el usuario se conecta, por ejemplo, al servidor de su banco, empieza el proceso de búsqueda del nombre del host, cuyo objetivo final es convertir el nombre de dominio del banco (p. ej. “banc.com”) en una dirección IP que contiene una serie de números (p. ej. 193.51.65.37). Y es precisamente durante ese proceso cuando los agentes maliciosos interfieren y cambian la dirección IP. Véase el Informe de Factibilidad sobre el Robo de Identidad Onlinet, El Comité de Política del Consumidor de la OCDE y el DSTI/CP(2007)3/FINAL. 236 Información disponible en: http://www.antiphishing.org/index.html

84


Grupo de Trabajo contra el Abuso de la Mensajería (MAAWG)237

El Grupo de Trabajo contra el Abuso de la Mensajería (MAAWG) es una organización global encargada de proteger la mensajería electrónica del abuso online, cuya finalidad es aumentar la confianza del usuario, así como asegurar una transmisión segura de los mensajes legítimos. Gracias a una amplia red de proveedores de servicios de Internet y operadores de redes (que representan más de 600 millones de buzones de correo), así como proveedores de tecnología clave y emisores, el MAAWG trabaja para combatir el abuso de la mensajería, centrando sus actividades en la tecnología, la colaboración industrial e iniciativas de políticas públicas.

Grupo de Trabajo contra las Botnets de Microsoft

A través de su grupo de trabajo internacional para combatir las botnets, reunido por primera vez en 2004, Microsoft ofrece formación a los agentes de la autoridad a escala mundial en cuestiones relacionadas con la investigación de los abusos de las botnets.

PhishTank

PhishTank es un sitio comunitario de acceso libre, creado para enviar, verificar, seguir y compartir datos sobre phishing. Este sitio web es un centro de tratamiento de datos que ofrece información exacta y procesable para todos los que tratan de identificar a agentes maliciosos, ya sea para sí mismos o para otros, es decir, el desarrollo de herramientas de seguridad. PhishTank es un consorcio liderado por OpenDNS, un proveedor comercial de servicios DNS recursivos de acceso público.

Coalición Anti-Spyware (ASC)

La ASC es un grupo compuesto por empresas de software anti-spyware, científicos y grupos de consumidores, que se dedica al desarrollo de definiciones estándares relacionadas con el spyware. El 25 de enero de 2007, la ASC publicó los documentos de trabajo sobre buenas prácticas239 que describen el proceso utilizado por las empresas anti-spyware para identificar programas espías u otras tecnologías potencialmente no deseadas dentro de las aplicaciones de software.

Asociaciones del sector privado

Un ejemplo de asociación del sector privado en Estados Unidos es la creación y el desarrollo continuo del Centro IT-SAC (Information Technology Information Sharing and Analysis Center). El IT-ISAC es un centro de confianza formado por especialistas en seguridad de diferentes empresas de la industria de las tecnologías de la información, cuyo objetivo es proteger la infraestructura de las tecnologías de la información (que mueve la actual economía global) mediante la identificación de las amenazas y vulnerabilidades que pueda sufrir, así como compartir buenas prácticas sobre cómo hacerles frente usando métodos rápidos y adecuados240.

Normas y directrices Instituto de Ingenieros Eléctricos y Electrónicos (IEEE)241

El IEEE es una organización sin ánimo de lucro dedicada a los avances tecnológicos. A

través de su afiliación global, el IEEE es líder en áreas que abarcan desde los sistemas aeroespaciales, ordenadores y telecomunicaciones hasta la ingeniería biomédica, la energía eléctrica o la electrónica de consumo.

237 Información disponible en: www.maawg.org.

238 Charney, Scott (2005).

239 Información disponible en: www.antispywarecoalition.org/documents/BestPractices.htm.

240 Información disponible en: http://www.it-isac.org.

241 Información disponible en: www.ieee.org.

85

DSTI/ICCP/REG(2007)5/FINAL Los miembros depositan su confianza en el IEEE, como fuente de recursos, servicios e

información técnica y profesional. El IEEE es un líder en el desarrollo de estándares para las telecomunicaciones y las tecnologías de la información. Organización Internacional para la Estandarización (ISO)

La Organización Internacional para la Estandarización (ISO) es una federación mundial de

institutos de normas nacionales de más de 145 países (un miembro por país). La ISO, con sede en Ginebra (Suiza), es una organización no gubernamental creada en 1947. Su misión es promover el desarrollo de la normalización, y otras actividades relacionadas, a nivel mundial, con miras a facilitar el intercambio internacional de bienes y servicios, así como desarrollar la cooperación en el ámbito de la actividad intelectual, científica, tecnológica y económica. Los trabajos de esta organización derivan, entre otros, en acuerdos mundiales que son publicados como Normas ISO. Entre las normas ISO/IEC más relevantes se encuentran:

• ISO/IEC 17799:2005. Tecnologías de la Información – Técnicas de Seguridad – Código de Conducta para la gestión de la seguridad de la información.

• ISO/IEC 19770-1 Gestión de los Activos de Software: ¿Estás Preparado? En junio de 2007, el Comité Técnico Conjunto ISO/IEC JTC 1 y el Subcomité SC 27

ISO/IEC (entendiendo por IEC la “Comisión Electrotécnica Internacional”) propusieron un nuevo tema de trabajo sobre las “Directrices para la Ciberseguridad (27032)”242. Esta normativa establecerá pautas generales en materia de ciberseguridad243, tanto para los proveedores de servicios como para los usuarios (organizaciones y usuarios finales), y abordará, en particular, cuestiones de conducta, organización y procedimientos. Más concretamente, se ofrecerá asesoramiento de buenas prácticas para usuarios de diferentes sectores, con la finalidad de lograr y mantener la seguridad en Internet, y se atenderán los requisitos para lograr un nivel alto de cooperación, el intercambio de información y acciones conjuntas dirigidas a abordar cuestiones técnicas en materia de ciberseguridad. Todos estos objetivos deben lograrse tanto entre los individuos como las organizaciones a los niveles nacional e internacional.

Instituto Nacional de Estándares y Tecnología (NIST)

Creado en 1901, el NIST es un organismo federal no regulador del Departamento de

Comercio de los Estados Unidos. Su misión es promover la innovación y la competitividad industrial del país, haciendo uso de los avances de la ciencia, normas y tecnología para mejorar la seguridad económica y la calidad de vida. En noviembre de 2005, el NIST publicó la “Guía para la prevención y gestión de los incidentes de malware” en su publicación especial (SP) 800-83244.

Consorcio World Wide Web (W3C)

El Consorcio World Wide Web (W3C)245 es un consorcio internacional en el que las

organizaciones miembro, personal a tiempo completo y el público en general trabajan conjuntamente para desarrollar estándares web. 242 Este tema de trabajo se encuentra en fase de desarrollo desde abril de 2008. Más información en: http://isotc.iso.org/livelink/livelink/fetch/2000/2122/327993/755080/1054034/2541793/JTC001-N- 8620.pdf?nodeid=6542097&vernum=0.

243 Como se define en la norma propuesta, la ciberseguridad hace referencia a “la protección de activos pertenecientes tanto a las organizaciones como a los usuarios del ciberentorno. El ciberentorno se define en este contexto como el entorno público online (generalmente Internet) por contraposición al “ciber espacio empresarial” (redes internas cerradas propias de organizaciones individuales o grupos de organizaciones).”

244 Información disponible en: http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf.

245 Información disponible en: www.w3c.org.

86


Su misión es “guiar la Web hacia su máximo potencial a través del desarrollo de protocolos y directrices que aseguren su crecimiento futuro”.

Soluciones y recursos técnicos

Ejemplos de iniciativas nacionales Japón - Cyber Clean Center (CCC)

En 2006, el gobierno japonés puso en marcha un proyecto para reducir el número de ordenadores

infectados por bots con el fin de prevenir el spam en los correos electrónicos y los ciberataques. Para lograr este objetivo, Japón ha creado una herramienta de eliminación de software malicioso, conocida como “CCC cleaner”, que se descarga gratuitamente en esta dirección: www.ccc.go.jp

Los resultados actuales del proyecto incluyen 31.000 programas bot capturados (hash único) y

1.300 programas bot reflejados en la herramienta de eliminación. Hasta la fecha, un total de 57.000 usuarios en Japón han descargado esta herramienta. Los próximos pasos para mejorar el proyecto podrían incluir el cambio en la composición de los honeypots y la ampliación del alcance de los proveedores de servicios de Internet (ISP).

Corea – Programa Automatizado de Actualización de la Seguridad (ASUP)

Con el objetivo de reducir los daños producidos por las vulnerabilidades en Microsoft Windows, el Centro para la Seguridad de Internet de Corea (KrCERT/CC) y Microsoft Corea colaboraron para desarrollar e implementar el Programa Automatizado de Actualización de la Seguridad (ASUP) para las Pymes y usuarios domésticos. El programa tiene por objeto lograr que, una vez instalado el ASUP, sea posible instalar los parches de seguridad de Windows en todos los sistemas de información conectados a Internet, sin intervención del usuario. Cuando los usuarios visitan los principales sitios web de Corea, tales como portales o sitios de juegos online, en la pantalla van apareciendo ventanas pop-ups que confirman la instalación del ASUP. Además de ofrecer las mismas actualizaciones automáticas de Windows, ASUP permite a los usuarios confirmar la instalación del programa con un solo clic, sin la modificación previa de la configuración de las actualizaciones Windows246. Microsoft Corea ha distribuido el programa en conformidad con la política centralizada de parches de Microsoft, equiparando la comodidad del usuario y la filosofía de empresa en materia de seguridad.

El Sistema Sinkhole

El sistema Sinkhole intenta prevenir que los bots se conecten a los servidores de comando y control (C&C) de botnets, modificando la dirección IP del servidor C&C. Cuando un zombie, infectado por bots, envía una consulta al servidor DNS, como respuesta (o lo que es lo mismo, la dirección IP para el servidor C&C de la botnet) se recibirá la dirección del Sistema Sinkhole. La conexión es redirigida al sistema Sinkhole del KrCERT/CC y no al servidor C&C. El sistema sinkhole puede rastrear y analizar todas las actividades de las botnets conectadas. Según la Figura 15, después de adoptar este sistema en 2005, el índice de infecciones por botnets en Corea ha descendido a casi una tercera parte a finales de 2005, comparado con los datos de enero y febrero de 2005.

246 Durante la instalación de Windows XP, a los usuarios se les pide especificar la configuración de las actualizaciones de Windows (“Utilizar las actualizaciones automáticas de Windows” o Informar más tarde). Para proteger a los usuarios que eligieron voluntariamente la opción “Informar más tarde”, el Kr CERT/CC, con la colaboración de Microsoft Corea, desarrolló el programa ASUP. Sólo instalando el control ActiveX, los usuarios reciben protección contra las vulnerabilidades del sistema.

87


Fig. 15: Índice de infecciones por botnets en Corea (2005 ~ 2006)

MC Finder

Una contramedida adicional utilizada por KrCERT/CC es la implementación de MC Finder para localizar malware en sitios web comprometidos. MC Finder identifica cada mes un promedio de 500 sitios web explotados en Corea. KrCERT/CC comparte con Google y tres de las principales empresas de portales de Internet del país los patrones para hacer frente al malware.

Muchas soluciones y medios técnicos eficaces han sido desarrollados para combatir las amenazas, relacionadas directa o indirectamente con el malware. A continuación se adjuntan algunos de los ejemplos de estas soluciones y recursos:

Extensiones de Seguridad del DNS (DNSSEC)

Las extensiones de seguridad del DNS (DNSSEC) aplican la criptografía al Sistema de Nombres de Dominio para autentificar la información recibida, permitiendo que los servidores DNS y los sistemas de resolución verifiquen que las respuestas DNS provienen de un sitio correcto y que son auténticas. Para ello, el sistema proporciona un mecanismo de seguridad y autenticidad para el DNS, conocido como DNSSEC. Las DNSSEC utilizan claves públicas y firmas digitales para autentificar la información DNS. Muchos países están trabajando para implementar DNSSEC en los ccTLD (nombres de dominio correspondientes a códigos de países). Por ejemplo, Suecia, Bulgaria y Puerto Rico han transferido el TLD del código del país a las DNSSEC. Sin embargo, es importante contar con la cooperación del gobierno, banca, y entidades de negocio y registro para implementar con éxito las DNSSEC. Actualmente, se están llevando a cabo varias pruebas experimentales de las zonas DNS seguras. Es un hecho reconocido que las DNSSEC no eliminarán los malos usos del DNS. Existen opiniones de que esto podría revelar información privada de las bases de datos DNS y, por tanto, se plantean desafíos legales a su implementación en algunos países.

Autentificación del nivel de dominio

La autentificación del nivel dominio es un medio para permitir que el servidor receptor de correo pueda verificar que el mensaje de correo electrónico realmente procede del dominio del emisor. En otras palabras, si el mensaje afirma ser de [email protected], los medios de autentificación privados podrían autentificar que el mensaje ha llegado del dominio "ftc.gov", pero en cambio, no podrían certificar que este mensaje proviene de un correo electrónico particular “abc” de este dominio.

88

DSTI/ICCP/REG(2007)5/FINAL Hipotéticamente, en el caso de que un phisher envíe correo afirmando ser de citibank.com,

el mensaje pasaría por un filtrado del ISP, ya que en este caso el correo no hubiera llegado de un determinado servidor de Citibank. Por consiguiente, los ISP junto con otros operadores de los servidores receptores de correo podrán optar por rechazar el correo no autentificado o someter este tipo de mensajes a un filtrado más riguroso.

Filtrado de spam247

El filtrado es la tecnología antispam más popular. Los principales beneficios de filtrado son la facilidad de implementación y la flexibilidad con la que los usuarios deciden qué tipo de mensajes deben ser tratados como spam. Los filtros heurísticos requieren que los usuarios especifiquen criterios, tales como palabras clave o la dirección del emisor, con la finalidad de que el filtro pueda bloquear la llegada de ciertos mensajes a la bandeja de entrada del consumidor. Los spammers, quienes escriben palabras mal a propósito o en otro idioma, tienen muchas ventajas frente a la estrategia de palabras clave. El funcionamiento de los últimos filtros se basa en la experiencia y consiste en lo siguiente: se crea una estadística de todos los mensajes del usuario en forma de una tabla de reconocimiento, como una futura referencia para diferenciar el spam del correo legítimo. Como segundo paso, el filtro permite que sólo entren los mensajes que se asemejan al correo legítimo anterior del usuario.

Vulnerabilidades y Exposiciones Comunes (CVE)248

El proyecto CVE (Common Vulnerabilities and Exposures) es un diccionario de nombres

normalizados de vulnerabilidades y otros riesgos en materia de seguridad disponible de forma gratuita para todos los usuarios. El objetivo del CVE es normalizar los nombres de todas las vulnerabilidades y riesgos de seguridad conocidos públicamente. Este diccionario constituye un esfuerzo a nivel comunitario, patrocinado por el gobierno de los Estados Unidos.

Enumeración Común de Malware (CME)249

La iniciativa CME (Common Malware Enumeration) ofrece identificadores únicos y

comunes de amenazas de malware en “estado salvaje”, para reducir la confusión del público durante incidentes con código malicioso. El propósito de la CME no consiste en sustituir los nombres utilizados actualmente por los proveedores para identificar los virus y otros tipos de malware, sino facilitar la adopción de un método de identificación de malware compartido y neutral.

Grupo de Trabajo de Ingeniería de Internet (IETF)

El IETF es una de las mayores comunidades internacionales de diseñadores de redes,

operadores, vendedores e investigadores dedicados a la evolución de la arquitectura y del buen funcionamiento de Internet. Actualmente, la labor técnica del IETF se lleva a cabo en grupos de trabajo organizados por áreas (por ejemplo, encaminamiento, transporte, seguridad, etc.). Gran parte del trabajo está se lleva a cabo a través de listas de correo. El IETF celebra encuentros tres veces al año.

Consorcio World Wide Web (W3C)

El Consorcio World Wide Web (W3C)250 es un consorcio internacional en el que las organizaciones

miembro, personal a tiempo completo y el público en general trabajan conjuntamente para desarrollar estándares web. Su misión es “guiar la Web hacia su máximo potencial a través del desarrollo de protocolos y directrices que aseguren su crecimiento futuro”.

247 Véase DSTI/CP/ICCP/SPAM(2005)3/FINAL

248 Información disponible en: http://cve.mitre.org/

249 Información disponible en: http://cme.mitre.org /

250 Información disponible en: www.w3c.org.

89

DSTI/ICCP/REG(2007)5/FINAL ANEXO D – EJEMPLOS DE VECTORES DE PROPAGACIÓN DEL MALWARE

Correo electrónico: el malware puede enviarse en forma de correo masivo a través de grandes cantidades de mensajes de correo electrónico que adjuntan o incorporan código malicioso. Existen numerosos ejemplos de malware que ha sido satisfactoriamente propagado a través del correo masivo, en gran parte debido a la capacidad de los agentes maliciosos que utilizan la ingeniería social para difundirlo rápidamente por todo el mundo.

Web: los atacantes utilizan cada vez más los sitios web para distribuir malware a posibles víctimas. Para ello, se envía directamente correo spam a los usuarios de un sitio web en el que el atacante ha instalado código malicioso capaz de comprometer un ordenador, permitiendo simplemente que el navegador se conecte al sitio. Si es legítimo y popular, los usuarios accederán al sitio web de forma voluntaria, lo que permitirá que sus ordenadores resulten potencialmente infectados o comprometidos sin que sea necesario el envío de correo spam para llevarlos al sitio web malicioso. Existen dos focos de infección a través de la web: comprometer el sitio web para que aloje malware o crear uno que aloje código malicioso en un dominio registrado especialmente para tales fines.

Mensajería instantánea: el malware puede propagarse a través de los servicios de mensajería instantánea. Para ello, el código malicioso envía copias de sí mismo a través de la opción de transferencia de archivos que contienen la mayoría de estos programas. Los mensajes instantáneos también pueden contener enlaces que dirigen al usuario a otro sitio web que aloja malware descargable. Una vez que el usuario hace clic en el enlace que aparece en el cuadro de diálogo del mensaje instantáneo, una copia del malware es descargada automáticamente y ejecutada en el sistema afectado.

Dispositivos portátiles: si el malware se instala en un dispositivo portátil (memoria USB o CD-ROM), puede infectar y/o propagarse ejecutándose de manera automática al conectarse a otro ordenador.

Sistemas de archivos compartidos en red: una red compartida es un almacén de archivos digitales, accesibles de forma remota, ubicada en una red informática. Sin embargo, puede entrañar un riesgo de seguridad para todos los usuarios de la red si el acceso a los archivos compartidos es controlado por agentes maliciosos o por el malware, o si el almacén de archivos del sistema operativo del equipo de un usuario ha sido comprometido.

Programas P2P: algunos tipos de malware se autopropagan a través de copias de sí mismos en carpetas que el código malicioso considera como compartidas (como, por ejemplo, todas aquellas que incluyen la palabra “compartido” en su nombre) o que activa para que sean compartidas, utilizando además un nombre de archivo oculto o invisible (haciéndose pasar normalmente por un software legítimo o por una imagen comprimida).

Internet Relay Chat (IRC): el IRC es una forma de chat diseñada específicamente para comunicaciones en grupo a través de “canales” temáticos, los cuales están disponibles de forma continua y anónima desde cualquier punto de Internet. Muchos bot masters (nombre que reciben los agentes maliciososo que controlan redes de ordenadores infectados o comprometidos con malware; véase el capítulo “El Malware en Internet: las Botnets”) utilizan el IRC como un canal central de comunicaciones de comando y control para coordinar y dirigir las acciones de los sistemas de información de su botnet que han sido infectados o comprometidos.

Bluetooth: Bluetooth es un protocolo para redes inalámbricas que permite que dispositivos, tales como teléfonos móviles, impresoras, cámaras digitales, videoconsolas, ordenadores portátiles u ordenadores personales, se conecten entre sí a corta distancia a través de radiofrecuencia. Dado que se intenta eludir los mecanismos de seguridad instalados en los dispositivos Bluetooth, tales dispositivos son vulnerables al malware a través de técnicas de ataque denominadas bluejacking o bluesnarfing. Un dispositivo Bluetooth es más vulnerable a este tipo de ataques si la conexión del usuario está en modo visible, lo que permite que pueda ser encontrada por otros dispositivos cercanos.

Red Inalámbrica de Área Local (WLAN): WLAN es una red inalámbrica de área local que úne dos o más ordenadores sin utilizar cables. Esta red utiliza una tecnología OFDM (802.11a), o de espectro disperso, basada en ondas que permiten la comunicación entre dispositivos en un área limitada, conocida como conjunto de servicio básico, que proporciona a los usuarios movilidad dentro de una amplia área de cobertura y que les permite seguir conectados a la red.

90


ANEXO E – GLOSARIO DE TÉRMINOS Tipos de malware

Existen diversas formas de malware capaces de dañar sistemas informáticos. A continuación, se ofrece una descripción de algunos de los principales tipos de malware.

Puertas traseras (backdoors).251Una puerta trasera es código malicioso que permite un acceso no

autorizado a una red o sistema informático aceptando comandos remotos de un atacante desde otro punto de Internet. Las backdoors permiten a los atacantes ejecutar comandos remotos e instalar software, que, a su vez, puede comprometer contraseñas u otros datos personales, o permitir que el equipo se use con fines maliciosos. La funcionalidad backdoor o de acceso remoto suele incluirse en la actualidad en la mayoría de programas troyanos o bots. Un programa bot es un tipo de programa backdoor que permite a los atacantes controlar de manera remota un gran número de sistemas de información (a menudo miles) de forma simultánea o individual. Las puertas traseras se incluían intencionadamente, aunque de forma imprudente, en productos de software legítimo para controlar el servicio de atención al cliente de forma remota, permitiendo a los agentes maliciosos descubrir vulnerabilidades explotables.

Registradores de teclas (Keystroke loggers o Keyloggers).252 Un keylogger es un programa oculto

que guarda y registra las pulsaciones que el usuario legítimo realiza sobre el teclado del sistema comprometido, almacenando datos personales como nombres de usuario, contraseñas o números de tarjetas de crédito o cuentas bancarias. Los registradores de teclas almacenan de forma secreta los datos en ficheros ocultos que son finalmente transmitidos a un punto remoto de la red que los recopila. La funcionalidad keylogging suele estar incluida en la mayoría de los programas troyanos.

Los expertos han señalado que la popularidad de los keyloggers ha decrecido significativamente en los

últimos dos años (sólo pruebas anecdóticas). En la actualidad, la técnica más popular, utilizada por el malware para capturar datos, es interceptar los datos enviados antes de que el navegador web los transmita. Los beneficios que esto reporta a los ciberdelincuentes son numerosos: datos más claros (no se perciben teclas mal pulsadas en los datos o en los de otras aplicaciones), se ha desechado el uso de un sencillo “teclado virtual” que requería sólo los clics del ratón, los datos pueden ser identificados a nivel semántico para cada institución específica (p.ej. el nombre de usuario y la contraseña pueden ser identificados por parte del cliente) y existen vínculos más estrechos con la aplicación del navegador web. Normalmente, la definición de “registrador de teclas” se amplía para aceptar esta técnica, aunque a veces se define como un tipo de spyware, o lo que es lo mismo, como un rootkit: un rootkit es un conjunto de programas diseñados para ocultar el ataque de un ordenador al nivel raíz más privilegiado, modificando los archivos del sistema operativo o insertando código en la memoria de los procesos en ejecución. Como ocurre con la mayoría de tipos de malware, los rootkits necesitan acceso administrativo para ejecutarse de forma efectiva y, una vez instalados, ser prácticamente imposible detectarlos. 253

El papel de los rootkits consiste simplemente en ocultar las pruebas del ataque al usuario, sistema

operativo y otras aplicaciones (productos antivirus y antiespía) diseñadas para detectar la presencia de archivos maliciosos que han sido instalados en el ordenador. En la mayoría de los casos, si un rootkit se instala, los programas antivirus y antiespía no funcionarán. Sin embargo, un rootkit no tiene por qué ocultar de forma efectiva la presencia de malware. Diversos tipos de malware deshabilitan o poseen mecanismos para eludir las contramedidas de seguridad instaladas en el equipo sin hacer uso de los rootkits.

251 NIST pp. 2-12.

252 Ibídem.

253 AusCERT (2005).

91


Spam: el término spam hace referencia a mensajes electrónicos masivos, no solicitados, no deseados y potencialmente dañinos.254 Sin embargo, parece existir una creciente relación entre malware y spam. Aún así, hay que señalar que este documento sólo hace referencia al spam que se utiliza como un vector de distribución del malware.

Programa espía (spyware): Un spyware es una forma de malware capaz de capturar datos de los

dispositivos de entrada (teclado, ratón), de salida (pantalla) u otros dispositivios de almacenamiento (memoria, disco duro), y enviar esta información al atacante sin la autorización o conocimiento del usuario. Algunos programas espía recopilan los sitios web que visita el usuario y envían esta información a las agencias publicitarias, mientras que otras variantes maliciosas intentan interceptar contraseñas o los números de la tarjeta de crédito que el usuario introduce en un formulario web u otro tipo de aplicación.

Caballos de Troya: un caballo de Troya o troyano es un programa informático aparentemente

legítimo pero que en realidad tiene una funcionlidad oculta que se usa para eludir las medidas de seguridad y perpetrar ataques. Un troyano puede introducirse en el ordenador del usuario con la apariencia de una herramienta irresistiblemente atractiva que el usuario descarga e instala intencionadamente sin ser consciente de sus consecuencias posteriores. Estos programas suelen incorporar la funcionalidad de los keyloggers y de otros programas espía, así como otras funciones para deshabilitar la seguridad del sistema.

Virus: al igual que su homólogo biológico, un virus es código oculto que se propaga infectando otro

programa e insertando una de sus copias en ese programa. Un virus necesita un programa anfitrión para ejecutarse antes de volverse activo, necesitando normalmente la interacción humana para activarse. Los virus liberan una carga dañina que puede contener un simple mensaje o imagen, lo que supone un consumo de espacio de almacenamiento y memoria, así como la degradación del rendimiento general del ordenador (en caso de una mayor carga dañina), la destrucción de archivos, el formateo255 del disco duro o daños de otra índole. Los virus fueron la primera forma de malware, teniendo su origen en los años 70 con experimentos por parte de laboratorios de informática y adolescentes experimentales, juzgando al principio sus efectos de “algo que no está bien visto” en lugar de “intento malicioso”.

Gusano: un gusano es un tipo de malware que se autoreplica sin que sea necesaria la interacción

humana o de un programa anfitrión. Los gusanos suelen explotar las vulnerabilidades del sistema operativo de un ordenador, u otro software instalado, y propagarse rápidamente de un equipo a otro a través de una red y/o Internet. Los gusanos y los virus son los únicos tipos de malware que pueden autopropagarse. Cada vez es más frecuente intercambiar indistintamente los términos “virus” y “gusano”.

Más información de utilidad sobre términos de seguridad

Disponibilidad

Es la propiedad de asegurar que los datos digitales de un sistema de información (o el propio

sistema) están disponibles a usuarios autorizados.

Autenticación o Autentificación/Autenticidad

La autenticación, también conocida como autentificación, es un objetivo de seguridad que consiste en ser capaz de probar o verificar la identidad de un individuo o entidad con cierto nivel de certeza. Los mecanismos de autenticación se utilizan para ofrecer control de acceso a los sistemas de información.

254 OCDE (2006).

255 El formateo consiste en el proceso de borrado completo del sistema operativo, así como de todas las aplicaciones y datos existentes en un ordenador.

92


La autenticidad es un objetivo de seguridad que consiste en ser capaz de probar o verificar que un mensaje electrónico o transacción procede de un individuo o fuente particular con cierto nivel de certeza.

Confidencialidad

La confidencialidad es un objetivo de seguridad que consiste en ser capaz de proteger información y

datos de accesos no autorizados.

Nombre de Dominio Un Nombre de Dominio es el identificador o dirección de una entidad en Internet.

Sistema de Nombres de Dominio

Un sistema de nombres de dominio es la forma en la que los nombres de dominio de Internet están ubicados y traducidos en un Protocolo de Internet, conocido como dirección IP. Por ejemplo, el nombre de dominio www.oecd.org es una alternativa más usable y fácil de recordar que la dirección IP 193.51.65.71.

Integridad

La protección de la integridad es un objetivo de seguridad fundamental de los sistemas de información,

cuya finalidad consiste en asegurar que el sistema en general (personas, datos y programas) no sean comprometidos y sigan siendo fiables. La integridad de los datos hace referencia específicamente a la capacidad de detectar si los datos han sido modificados sin autorización.

Existe una amplia gama de mecanismos diseñados para comprobar la integridad de los datos que

van desde mecanismos débiles de detección de errores y simples funciones hash256 a mecanismos más fuertes que hacen uso de la criptografía de clave pública, como, por ejemplo, las firmas digitales. Los mecanismos comunes y efectivos de detección de cambio de datos deliberados consisten en calcular y comparar funciones hash y verificar una firma digital, que es un tipo especial de función hash codificada. Cualquier ataque de malware contra un ordenador es también un ataque contra los datos e integridad del sistema, ya que el malware modifica los archivos clave del sistema y puede insertar otro programa o archivo por deseo del atacante, quien tiene la posibilidad de dañar o modificar los archivos del sistema, generar datos o realizar transacciones online que supuestamente utilizan la identidad del usuario del equipo.

Protocolo de Internet (IP)

El Protocolo de Internet es el lenguaje nativo de la comunicación en Internet. El protocolo IP

permite a grandes redes de sistemas de información, distribuidas geográficamente, comunicarse entre sí rápida y económicamente a través de una variedad de enlaces físicos. Una dirección IP es una dirección numérica a través de la cual se identifica un ordenador conectado a Internet. Los sistemas de información de Internet utilizan direcciones IP para encaminar el tráfico y establecer conexiones entre ellas.

No repudio

El no repudio es un objetivo de seguridad que intenta evitar que una persona niegue haber realizado

una transacción electrónica cuando sí la ha llevado a cabo. Un mecanismo que proporciona un servicio de no repudio es la firma digital, que combina en el mensaje la criptografía de clave pública y un sellado de tiempo para que éste sea seguro. Una firma digital es una cadena única que puede usarse para verificar la autenticidad e integridad de una transacción o mensaje online.

236 Una función hash es un método de reproducción para convertir algunos datos en un número relativamente pequeño que sirve de “huella dactilar”.

93

DSTI/ICCP/REG(2007)5/FINAL La firma, o hash codificado, es una función matemática derivada de la clave privada o secreta del

usuario y de los detalles de la transacción o mensaje.

Si el no repudio funciona, tiene en cuenta la afirmación de que sólo el firmante tiene acceso a la clave privada o frase de contraseña (passphrase). Sin embargo, un atacante puede usar malware para potencialmente dañar el ordenador en el que se encuentra la clave privada o passphrase y apropiarse del proceso de firmado sin el conocimiento o autorización del propietario de la clave. De esta forma, el mecanismo de no repudio puede ser destruido.

Véase también “firma de la transacción”. La firma de la transacción, en la manera descrita,

proporciona servicios de no repudio, ya que existe un nivel alto de certeza de que el usuario llevó a cabo la operación online.

Sistema operativo (OS)

Un sistema operativo (OS) es un programa informático que administra el hardware y software de un

ordenador. Este sistema lleva a cabo tareas básicas como el control y asignación de la memoria, la priorización de las peticiones del sistema, el control de los dispositivos de entrada y salida, la creación de conexiones de red y la administración de ficheros. Además de esto, también puede proporcionar una interfaz gráfica de usuario para funciones de nivel superior y se considera el entorno subyacente dentro del cual se encuentra el resto de programas del equipo.

Parche/Workaround

Un parche es una pequeña pieza de código software desarrollada y diseñada para corregir o rectificar

fallos o defectos de un sistema operativo o aplicación. La mayoría de los parches se crean para corregir agujeros de seguridad que podrían ser explotados por un atacante para comprometer la seguridad de un sistema.

Un workaround es un conjunto de acciones que los gestores o administradores de la seguridad de la

red pueden adoptar para reducir la exposición a un tipo particular de vulnerabilidad. Por ejemplo, un workaround puede bloquear el tráfico de o hacia ciertos puertos o deshabilitar servicios que podrían acarrear una vulnerabilidad. Normalmente, sólo se aplica en caso de que no exista un parche.

Paquete

Un paquete es la cantidad mínima de datos, encaminables de manera autónoma, que pueden

transmitirse a través de un módem digital de red de conmutación de paquetes. Consiste en una “cabecera” (header) de encaminamiento, direccionamiento e información de protocolo seguida de una carga de datos (payload). Un paquete es un mensaje que contiene datos y la dirección de destino que se transmite por una red que transfiere paquetes o redes de conmutación de paquetes.

Carga útil (Payload)

La carga útil son los datos esenciales que se transportan dentro de un paquete u otras unidades de

transmisión. La carga útil no incluye los datos de sobrecarga necesarios para que el paquete llegue a su destino. Hay que señalar que lo que constituye la carga útil depende de diferentes factores: para una capa de comunicaciones que necesita algunos de los datos de sobrecarga para realizar su tarea, la carga útil a veces incluye la parte de datos de sobrecarga que la capa necesita. Sin embargo, en un uso más general, la carga útil está formada por los bits que llegan al usuario final.

94


Carga dañina de malware Hace referencia a la función principal del malware. Por ejemplo, un virus de correo masivo que se

propaga a través del correo electrónico también puede incluir la función adicional y esencial de borrar los archivos del usuario del ordenador infectado.

Ingeniería social

Hace referencia a técnicas diseñadas para engañar a los seres humanos con el fin de que

proporcionen información o tomando medidas que provoquen la violación de la seguridad de los sistemas de información. Ejemplos de ingeniería social son llamar por teléfono a la Ayuda al Usuario de tecnologías de la información haciéndose pasar por un empleado y pidiendo la contraseña para conseguir un acceso no autorizado a la cuenta bancaria de un empleado y a la red, o enviar un correo electrónico fingiendo ser víctima de un banco para hacer clic en una URL de phishing proporcionando la contraseña de la cuenta bancaria al sitio web falso que es controlado por el atacante. La ingeniería social es un término de la industria informática que hace referencia a las estafas. El término pretende establecer una distinción entre la ingeniería informática y la ingeniería de software, en la que la ingeniería social sólo ataca al componente humano de un sistema de información.

Firma de la transacción

La firma de la transacción o la firma de la transacción digital es el proceso para calcular una función hash codificada con el objetivo de generar una cadena única que pueda usarse para verificar tanto la autenticidad como la integridad de las transacciones online. Un hash codificado es una función de la clave privada y secreta del usuario y de los detalles de la transacción, tales como la transferencia al número de cuenta y la cantidad transferida. Para proporcionar un nivel alto de fiabilidad de la autenticidad e integridad del hash, resulta esencial calcularlo en un dispositivo de confianza, como, por ejemplo, un lector de tarjetas inteligentes. Calcular el hash en un ordenador conectado a Internet o en un dispositivo móvil, p.ej. un teléfono móvil o una PDA, sería contraproducente, puesto que el malware y los atacantes pueden comprometer estas plataformas y destruir potencialmente el propio proceso de firma.

Factores de autentificación

La autentificación uni o multifactorial hace referencia al número de “factores” que utiliza un

mecanismo de autentificación. Un factor es un elemento que el usuario conoce (p.ej. un PIN reutilizable o una contraseña), posee (p.ej. una tarjeta de crédito o de débito, o un token que genera una contraseña de un solo uso) o es (p. ej. biometría, una fotografía o una huella dactilar). Suele afirmarse de manera errónea que el nivel de seguridad de un mecanismo de autentificación aumenta a medida que se incrementa el número de factores. Sin embargo, no es posible evaluar la seguridad por el número de factores que se usan, puesto que también juega un papel importante el modo en el que el mecanismo de autentificación está implementado. Así pues, este informe pone de manifiesto que incluso las formas fuertes de autentificación bifactorial que utilizan la contraseña de un solo uso (OTP) y el desafío-respuesta pueden ser víctimas del malware.

Vulnerabilidad

Una vulnerabilidad es un defecto o fallo en el diseño del sistema, implementación o funcionamiento y

gestión de un programa, que puede ser explotado para incumplir la política de seguridad del sistema.

95

Debería tenerse en cuenta la revisión de las leyes que prohíben el malware de ingeniería reversa para fines policiales y de investigación, con las garantías adecuadas para la protección de los dueños de la propiedad intelectual.


ANEXO F - ÁREAS DE MEJORA Y MAYOR INVESTIGACIÓN

Concienciación

Numerosos sitios web y recursos sirven de ayuda a usuarios finales y Pymes para proteger sus sistemas de información, aunque muy pocos abordan o explican de manera específica los problemas del malware.257 Además, el número de recursos puede resultar aplastante para el usuario, ya que la información y orientación pueden variar entre las diferentes entidades. Del mismo modo, algunos consejos son inconsistentes e incluso inadecuados para hacer frente a la naturaleza rápidamente cambiante de esta amenaza, como, por ejemplo, los consejos que afirman que la única contramedida necesaria es mantener actualizados los parches antivirus.

Los esfuerzos de concienciación deberían seguir haciendo hincapié en la disponibilidad de información clara que pueda ser entendida por todos los participantes y, en especial, por aquéllos que carecen o poseen mínimos conocimientos técnicos. Dada la constante naturaleza cambiante del malware, las actividades de concienciación deberían ser revisadas o actualizadas regularmente para que siguieran siendo efectivas, lo que ayudaría a mejorar la conducta y prácticas online de usuarios y Pymes, así como su capacidad para protegerse del malware.

Mejorar los marcos legales

Leyes y normativa

La harmonización y/o interoperación de las leyes contra la ciberdelincuencia es esencial. Una mayor

adopción del Convenio sobre la Ciberdelincuencia del Consejo de Europa puede resultar efectivo a este respecto. Aunque 25 de los 30 países miembros de la OCDE han firmado el Convenio, sólo 8 de esos 25 lo han ratificado. Además, sólo 3 de las 21 economías del APEC han firmado el Convenio y de esas 3, sólo 1 lo ha ratificado. El Convenio proporciona un marco para la cooperación y representa un compromiso para la colaboración internacional en la lucha contra la ciberdelincuencia.

Además de ratificar el Convenio sobre la Ciberdelincuencia del Consejo de Europa, las partes implicadas deberían prever futuras ciber-amenazas y mayores esfuerzos para desarrollar marcos legales de cooperación más específicos.

El análisis del malware desempeña un papel importante en la recuperación de pruebas y en la

elaboración de métodos por parte de las autoridades policiales para investigar la ciberdelincuencia. Este análisis suele llevarse a cabo utilizando métodos, tales como, la creación de imágenes del disco duro, informática forense en tiempo real, pruebas de antivirus y la ingeniería reversa.258 En algunos casos, estas prácticas están prohibidas por las leyes de protección de la propiedad intelectual.

Pueden existir controversias relativas a la protección de la privacidad y las acciones para combatir

el malware. Por ejemplo, los CSIRT necesitan intercambiar información entre sí y entre otros proveedores de servicios de Internet, como, por ejemplo, direcciones IP. Sin embargo, las direcciones IP pueden considerarse datos personales en algunos países, lo que podría acarrear algunos problemas a la hora de intercambiar información que podrían, a su vez, resultar un obstáculo para llevar a cabo esfuerzos, tales como desmantelar botnets o investigar actividades maliciosas.

257 Organizaciones industriales, tales como la APACS, han informado de la no disminución en los niveles de phishing, gracias a campañas de concienciación y a cifras públicas que señalan los problemas y la importancia de los ataques. Evaluación de las vulnerabilidades y amenazas de los mecanismos de autentificación utilizados para servicios financieros por Internet – Revisión de 2006, pp. 3-4, APACS (2006).

258 CERT Coordination Center (2007) pág. 24.

96

DSTI/ICCP/REG(2007)5/FINAL Las leyes de protección de datos no deberían aplicarse cuando se trata de prohibir el intercambio de

direcciones IP, con las garantías adecuadas, u de otro tipo de información necesaria para combatir el malware.

Mejores prácticas y políticas

Los datos de Whois son un importante recurso para atribuir incidentes de malware y, por tanto, deberían ser exactos y accesibles para las autoridades policiales.259 Asimismo, los agentes maliciosos suelen abusar de las políticas de registro de nombres de dominio, tales como el “periodo de gracia” de la ICANN o los requisitos mínimos de información establecidos por algunos registradores de nombres de dominio (DNR), para evitar ser detectados por las autoridades.

Los registradores de nombres de dominio deberían revisar las políticas de registro de nombres de dominio para

evitar, a través de medidas más rigurosas (tales como unos requisitos de registro más estrictos) el abuso potencial del sistema de nombres de dominio, preservando al mismo tiempo la privacidad.

Existen numerosos registradores de nombres de dominio que utilizan diferentes políticas y

prácticas para abordar la actividad maliciosa online. Por ejemplo, en el mundo existen 250 dominios de nivel superior correspondientes a códigos de países (ccTLD) que establecen sus propias políticas que no tiene por qué resultar harmonizadas o coordinadas. Esta diferencia de prácticas y políticas puede dar lugar a diferentes resultados cada vez que un registrador toma medidas para combatir el malware.

Los registradores deberían elaborar códigos de prácticas comunes a nivel nacional e internacional en

colaboración con otros participantes. Como ocurre con los registradores, existen miles de proveedores de servicios de Internet (ISP) que

utilizan políticas y prácticas diferentes para hacer frente a la actividad maliciosa online. Los ISP son quizás la parte mejor situada en la cadena que sirve de ayuda para acabar con ciertos tipos de ataques de malware, como, por ejemplo, los ataques DDoS o las botnets que envían spam. A pesar del trabajo de muchos proveedores para mejorar las políticas de seguridad, otros tienden a tener un nivel más alto que medio de actividad maliciosa. Esta diferencia de prácticas y políticas puede dar lugar a diferentes resultados cada vez que un proveedor toma medidas para combatir el malware, lo que dificulta la capacidad de luchar contra este fenómeno de forma efectiva y consistente.

Los proveedores deberían elaborar códigos de prácticas comunes a nivel nacional e internacional en

colaboración con otros participantes.

Intensificar el cumplimiento normativo

Los agentes maliciosos se aprovechan del hecho de que muchos países no poseen marcos legales apropiados ni leyes o una formación adecuada para investigar la ciberdelincuencia. Asimismo, también se benefician de los complejos desafíos a los que hacen frente las autoridades policiales y los equipos de respuesta a incidentes cuando desarrollan su trabajo fuera de sus jurisdicciones, las cuales están limitadas por las fronteras geográficas. El intercambio transfronterizo de información entre autoridades del orden público es un elemento esencial de la investigación y procesamiento de los ciberdelincuentes. A pesar de los mecanismos, como, por ejemplo, la Red de Ciberdelincuencia G8 24/7, proporcionados por las autoridades policiales, sigue estando poco claro cómo cooperan entre sí tales redes. 259 Los grupos de libertades civiles han recomendado que la ICANN limite el uso y el alcance de la base de datos de Whois a su objetivo original y que establezca sus propias políticas basadas en estándares de protección de datos aceptados internacionalmente. La disponibilidad pública de los datos de Whois puede ser contraria a la Directiva de la Unión Europea relativa a la Protección de Datos, que limita el acceso y los derechos de recogida de datos a los propósitos técnicos originales de la base de datos.

97


Se deberían intensificar los esfuerzos del gobierno para facilitar asistencia mutua e intercambiar información para imputar y procesar satisfactoriamente a los ciberdelincuentes.

Dada la creciente convergencia entre la respuesta a incidentes y la reunión de pruebas por parte de las

autoridades policiales, se debería promover la cooperación entre éstas y los CSIRT. Es importante que los gobiernos destinen recursos adecuados a las autoridades encargadas de la lucha

contra la ciberdelincuencia, en colaboración con otros participantes públicos y privados también implicados. Debido a la naturaleza altamente técnica del malware, los gobiernos deberían promover la formación regular

de jueces, fiscales y agentes de la autoridad.

Mejorar la respuesta Los contactos personales dentro de redes informales de confianza permiten a la comunidad de

respuesta a la seguridad obtener, por ejemplo, un proveedor de servicios para que actúe rápidamente en caso de abuso. No existe una única red informal, sino más bien varias que se solapan. Un proveedor puede contactar con el CSIRT nacional de otro país para ponerse en contacto con el representante de un proveedor de servicios de ese país. Estos contactos son recíprocos e informan del abuso en su propia red para que se tomen medidas al respecto. Los CSIRT desempeñan un papel fundamental como la primera defensa ante los ataques de malware. Una de las funciones posiblemente más importante de un CSIRT nacional es la de Punto de Contacto (POC) para tratar incidentes informáticos que afectan al gobierno, así como recibir peticiones de asistencia mutua entre jurisdicciones.

Deberían continuar los esfuerzos para establecer CSIRT por el mundo, especialmente en aquellos lugares

donde no existen, a nivel nacional o gubernamental. Del mismo modo, se deberían considerar como Puntos de Contacto para la coordinación nacional y la cooperación internacional contra el malware.

El intercambio de información es un elemento esencial, para responder de manera efectiva contra el

malware, que se basa en relaciones bien asentadas, a menudo personales o bilaterales. El intercambio en tiempo real de estadísticas y de información sobre otros incidentes entre CSIRT es limitado y la coordinación del CSIRT con el gobierno varía según las responsabilidades de cada CSIRT.

Se deberían promover los CSIRT con responsabilidad nacional para mejorar los mecanismos de intercambio de

información transfronteriza para una protección, detección y respuesta ante el malware más efectivas.

Medición del malware

Muchas entidades recogen, miden y, a veces, incluso publican datos sobre su experiencia con el malware y otras amenazas relacionadas.260 Sin embargo, proveedores, CSIRT y la comunidad empresarial poseen diferentes datos y formas de medir la magnitud del problema y sus correspondientes tendencias. Además, existen muchos tipos de malware y muy poca consistencia por parte de la comunidad técnica a la hora de buscar convenciones para tipos idénticos de código malicioso. A pesar de que los datos que existen son útiles para entender aspectos del problema, no son fáciles de comparar en términos reales y absolutos.

Deberían llevarse a cabo esfuerzos más precisos y consistentes para catalogar, analizar y medir la existencia,

reacción y consecuencias del malware.

Medidas para tratar las vulnerabilidades del software

Las vulnerabilidades pueden ser descubiertas por investigadores, del sector privado o académico, o por agentes maliciosos, cuya motivación es lucrativa o para perpetrar un ataque dirigido de espionaje o con otros fines. 256 Véase el Anexo A – Datos sobre el Malware

98

261 Un ejemplo de esto es Microsoft: http://www.microsoft.com/technet/community/columns/secmgmt/default.mspx.

DSTI/ICCP/REG(2007)5/FINAL La mayoría de los proveedores261 defiende el uso de prácticas responsables de “publicación de

vulnerabilidades”, en las que los investigadores informan al proveedor de las nuevas vulnerabilidades encontradas en el software y retrasan la publicación hasta que el desarrollador crea un parche adecuado para el software.

Se debería promover la conducta responsable por parte de los investigadores, como, por ejemplo, contactar en primer lugar con la empresa en lugar de publicar una solución antes de que esté disponible.

Los parches son una forma de solucionar el malware, pero también es una medida reactiva.

Incorporar la seguridad en el proceso de desarrollo del software sería una solución más efectiva y completa a largo plazo. El software tiene que desarrollarse correctamente la primera vez para minimizar así que existan defectos de seguridad. El espacio de tiempo entre el descubrimiento de una vulnerabilidad y el tiempo de su explotación se está reduciendo.

Deberían llevarse a cabo mayores esfuerzos para desarrollar un software que resista a los ataques, a través

de protecciones en capas y separación de privilegios. Además, debería promoverse, en su caso, el uso de revisiones de seguridad y metodologías de validación para productos software.

Los gobiernos son grandes adquisidores de sistemas de información y el software desempeña un papel

muy importante para impulsar la producción y adquisición de sistemas seguros.

Los gobiernos deberían fomentar la seguridad en el desarrollo y producción del software. Del mismo modo, también deberían beneficiarse de la adquisición del software para promover el desarrollo de productos más seguros.

Medidas técnicas

El malware presenta desafíos técnicos complejos y, por tanto, las soluciones para combatirlo necesitarían el apoyo de medidas técnicas, como, por ejemplo, el filtrado, que puede resultar una forma efectiva de minimizar la cantidad ilegítima de tráfico en la red. En el Anexo C, se exponen algunos ejemplos de soluciones y recursos técnicos.

Deberían fomentarse más esfuerzos para desarrollar e implementar soluciones técnicas efectivas para

detectar, prevenir y responder ante el malware. Los usuarios deberían disponer de mejores herramientas para controlar y detectar actividades con código

malicioso, tanto en el momento en el que se perpetra el ataque como después.

Investigación y desarrollo

Aunque este informe no pretende examinar las actividades de la comunidad científica, es importante reconocer su importancia en la lucha contra el malware. Tanto los gobiernos como el sector privado desempeñan un papel importante en financiar y llevar a cabo investigación y desarrollo (I+D) en una amplia gama de temas relacionados con las tecnologías de la información, incluyendo riesgos de seguridad.

Los programas I+D de los sectores público y privado, centrados en la seguridad de los sistemas y redes de

información, también deberían tener en cuenta el malware.

99


Normas, directrices y buenas prácticas Las normas, directrices y buenas prácticas son herramientas importantes para la comunidad de la

seguridad. Las que son específicas para el malware o las dirigidas a comunidades responsables de la lucha contra el malware son especialmente importantes para asegurar una solución completa al problema. Por ejemplo, los Manuales de Seguridad del Grupo de Trabajo de Ingeniería de Internet (IETF), que ofrecen orientación a usuarios y proveedores de servicios de Internet, podrían ser revisados y actualizados para explicar la naturaleza cambiante del malware.

Se deberían realizar esfuerzos para desarrollar y actualizar continuamente normas, directrices y recursos de

buenas prácticas. Intercambio de información y necesidad general de coordinación y cooperación transfronterizas

Todas las áreas de acción anteriormente mencionadas ilustran la necesidad transversal del intercambio

de información y de la coordinación y cooperación transfronterizas. Sin embargo, las comunidades de actores anteriormente descritos no siempre colaboran de manera efectiva en la lucha contra el malware. El intercambio de información y la coordinación entre el sector privado, el gobierno y otros participantes no son siempre adecuados para detectar, responder, mitigar y adoptar las medidas apropiadas para luchar contra el código malicioso. Esto puede atribuirse, al menos en parte, al hecho de que no existe aún ninguna asociación internacional para colaborar contra el malware, a pesar del importante trabajo que se está llevando a cabo. (Véase el Anexo C).

Podría tenerse en cuenta un enfoque más holístico que incluya una combinación de políticas,

procedimientos funcionales y defensas técnicas para asegurar que el intercambio de información y la coordinación y cooperación transfronterizas son integradas y abordadas de manera efectiva.

Aspectos económicos

Un enfoque económico del malware proporcionaría a los legisladores y actores del mercado un

análisis más potente y un posible punto de partida para nuevas políticas gubernamentales relacionadas con estructuras de incentivos y externalidades de mercado.

Los siguientes ejemplos podrían ser considerados temas de mayor estudio:

Efectividad y efectos económicos de asignar formas y niveles de derechos y obligaciones legales alternativas (como, por ejemplo, la responsabilidad) a diferentes participantes. Esto incluiría restricciones legales para que los proveedores de servicios controlaran y gestionaran sus redes (p.ej. aquéllas relacionadas con la privacidad, la “mera conducta” o disposiciones “de puerto seguro”).

Efectividad y efectos económicos de las listas negras de proveedores de servicios y usuarios finales de seguridad.

Efectividad y efectos económicos de las medidas globales para intensificar el cumplimiento normativo en el área del malware.

Efectividad y efectos económicos de las soluciones tecnológicas al problema del malware (p.ej. la seguridad en la “informática en las nubes” (cloud computing) y “dispositivos atados” (tethered devices) para usuarios finales)).

Número de efectos de reputación y otros feedbacks para mitigar el problema de la seguridad de la información.

Esfuerzos para cuantificar la magnitud de la externalidad social general, debida a la falta de confianza en el sistema de comercio electrónico (efectos de crecimiento o consecuencias del PIB).

Mejor valoración del equilibrio entre usabilidad, disponibilidad, funcionalidad, rendimiento, coste y seguriad.

El malware en futuras generaciones de redes y arquitecturas de sistemas (p.ej. más móvil, todo por redes IP (EoIP), Web 2.0).

Obstáculos y medios para mejorar los incentivos para la seguridad de la información de usuarios individuales.

100

BIBLIOGRAFÍA

Anti-Phishing Working Group (ìAPWGî) (2006a), Phishing Activity Trends Report, disponible online en: http://www.antiphishing.org/reports/apwg_report_april_2007.pdf (consultado el 14 de diciembre de 2007).

Anti-Phishing Working Group (ìAPWGî) (2006b), Phishing Activity Trends Report, disponible online en: http://www.websense.com/securitylabs/resource/PDF/apwg_report_december_2006.pdf (consultado el 14 de diciembre de 2007).

AusCERT (2005), Windows Rootkit, Prevention, Detection and Response, informe disponible en:https://www.auscert.org.au/search.html?search_keywords=Windows+Rootkit%2C+Prevention %2C+Detection+and+Respons&search=GO (consultado el 11 de diciembre de 2007).

AusCERT (2006), Haxdoor ñ An anatomy of an online ID theft trojan; informe disponible en :http://www.auscert.org.au/render.html?cid=1920 (consultado el 10 de diciembre de 2007)

Australian Government, Office of the Privacy Commissioner (2004), Community Attitudes Towards Privacy 2004, disponible online en: http://www.privacy.gov.au/publications/rcommunity/chap10.html (consultado el 11 de diciembre de 2007).

BBC News online (2004), MyDoom virus biggest in months disponible online en: http://news.bbc.co.uk/1/hi/technology/3432639.stm (consultado el 14 de diciembre de 2007).

BBC News online (2007); Burgers paid for by mobile phone, disponible en: http://news.bbc.co.uk/2/hi/technology/6400217.stm (consultado el 7 de diciembre de 2007)

Brendler, Beau; ìSpyware/Malware Impact on Consumersî; APEC-OECD Malware Workshop; April 2007 (Source: StopBadware Project); disponible online en: http://www.oecd.org/dataoecd/33/55/38652920.pdf (consultado el 13 de diciembre de 2007).

CERT Coordination Center (2006), List of CSIRTs with national responsibility, disponible onlineen http://www.cert.org/csirts/national/contact.html (consultado el 10 de diciembre de 2007).

CERT Coordination Center (2007), The Use of Malware Analysis in Support of Law Enforcement, disponible online en:http://www.securitynewsportal.com/securitynews/article.php?title=The_Use_of_Malware_Analysis_in_Support_of_Law_Enforcement (consultado el 11 de diciembre de 2007).

Charney, Scott (2005), Microsoft Corporation, Combating Cybercrime: A Public-Private Strategy in the Digital Environment, disponible online en: http://www.nwacc.org/programs/conf05/UNCrimeCongressPaper.doc (consultado el 11 de diciembre de 2007).

Computer Economics (2007), 2007 Malware Report: The Economic Impact of Viruses, Spyware, Adware, Botnets and other malicious code, informe disponible en: http://www.computereconomics.com/page.cfm?name=Malware%20Report.

Congressional Budget Office Cost Summary, H.R. 1525 Internet Spyware (I-SPY) Prevention Actof 2007, disponible en: http://www.cbo.gov/ftpdocs/80xx/doc8076/hr1525.pdf.

Consumer Reports WebWatch (2005), ìLeap of Faith: Using the Internet Despite the Dangersî. Results of a National Survey of Internet Users for Consumer Reports WebWatch, disponible online en: http://www.consumerwebwatch.org/dynamic/web-credibility-reports-princeton.cfm ;

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.


101


15. Council of Europe (2001), Convention on Cybercrime, disponible en: http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm.

Council of Europe, Status of Signatories and Parties to the Convention on Cybercrime, disponible online en:http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=16/04/04&CL=ENG(consultado el 11 de diciembre de 2007).

CSI/FBI Computer Crime and Security Survey (2006), disponible online en:www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml;jsessionid=4SCJQ3Y0PCPTOQSNDLPCKHSCJUNN2JVN.

Dancho Danchev (2006), Malware ñ future trends, disponible online en:www.linuxsecurity.com/docs/malware-trends.pdf (consultado el 7 de diciembre de 2007)

Dearne, Karen (2007), Online security begins at home, Australian IT News , disponible online en:http://australianit.news.com.au/articles/0,7204,21675098%5E24169%5E%5Enbv%5E,00.html(consultado el 11 de diciembre de 2007).

Denning, Dorothy (2000), Statement by Dorothy Denning, disponible online en: http://ftp.fas.org/irp/congress/2000_hr/00-05-23denning.htm

Devillard, Arnaud (2006), Le ´ phishing ª en France, peu de victimes mais une menace grandissante, 01net., disponible online en: www.01net.com/editorial/311785/cybercriminalite/le-phishing-en-france-peu-de-victimes-mais-une-menace-grandissante/ (consultado el 11 de diciembrde 2007).

Dhamija, Rachna; Fischer, Ian; Ozment, Andy; Schechter, Stuart E (2007); The Emperorís New Security Indicators, An evaluation of website authentication and the effect of role playing on usability, disponible online en: http://usablesecurity.org/emperor/.

Du, Yuejun Dr. (2007); APEC-OECD Malware Workshop; Presentation by CNCERT; disponibleonline en: http://www.oecd.org/dataoecd/33/59/38653107.pdf (consultado el 10 de diciembre de 2007)

Edwards, L., (2004), Reconstruction Consumer Privacy Protection Online, International Review of Law ñ Computers & Technology, Volume 18, No. 3, page 315.

European Commission Eurobarometer (2007), E-Communication Household Survey, disponible online en: http://ec.europa.eu/public_opinion/archives/ebs/ebs_274_en.pdf (consultado el 10 de diciembre de 2007).

F-Secure (2007a), APEC-OECD Joint Malware Workshop Summary Record, disponible online en:www.oecd.org/sti/security-privacy.

F-Secure (2007b), IT Security Threat Summary for H1 2007, disponible online en: http://www.f- secure.com/2007/1/.

Gartner (2005), Gartner Survey Shows Frequent Data Security Lapses and Increased Cyber Attacks Damage Consumer Trust in Online Commerce, disponible online en :http://www.gartner.com/press_releases/asset_129754_11.html.

Google Inc; The Ghost In The Browser Analysis of Web-based Malware; disponible online en: http://www.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf (consultado el 12 de diciembre de 2007).

16.

17.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30.

102


31. Govcert.nl (2007), APEC-OECD Malware Workshop, [presentación disponible en: http://www.oecd.org/dataoecd/34/36/38653287.pdf (consultado el 10 de diciembre de 2007).

Greene, Tim (2007), Kapersky seeks help from international police to fight cybercrime, Network World, disponible online en: http://www.networkworld.com/news/2007/013107-kaspersky- cybercrime.html (consultado el 14 de diciembre de 2007).

Hypponen, Mikko (2006); ìMalware goes mobileî; Scientific American p.70-77; disponible en:http://www.cs.virginia.edu/~robins/Malware_Goes_Mobile.pdf (consultado el 13 de diciembre de 2007).

iGillottResearch Inc (2006), The Trusted Computing Group Mobile Specification: Securing Mobile Devices on Converged Networks, disponible en:https://www.trustedcomputinggroup.org/groups/mobile/Final_iGR_mobile_security_white_paper_sept_2006.pdf (consultado el 7 de diciembre de 2007).

International Telecommunications Union (ITU) (2007), World Information Society Report 2007, disponible online en:http://www.itu.int/osg/spu/publications/worldinformationsociety/2007/WISR07-summary.pdf.

Javelin Strategy & Research; 2007 Identity Fraud Survey ReportóConsumer Version How Consumers Can Protect Themselves; disponible online en:http://www.acxiom.com/AppFiles/Download18/Javelin_ID_Theft_Consumer_Report- 627200734724.pdf (consultado el 14 de diciembre de 2007).

Kaspersky Labs (2006), Malware Evolution 2006: Executive Summary, disponible online en: http://www.kaspersky.com/malware_evolution_2006_summary.

Krebs, Brian (2006), ìThe New Face of Phishingî, The Washington Post, disponible online en: http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.html.

Lemos, Robert (2007), Estonia gets respite from web attacks; Security Focus, disponible online enhttp://www.securityfocus.com/brief/504.

Liu, Pei-Wen (2007), Information and Communication Security Technology Center, Chinese Taipei, OECD-APEC Tel Malware Workshop, disponible online en:http://www.oecd.org/dataoecd/34/19/38653499.pdf (consultado el 10 de diciembre de 2007).

Mashevsky, Yury (2007), The Virtual Conflict ñ Who Will Triumph?, The Virtualist, disponible online en: http://www.viruslist.com/en/analysis?pubid=204791915.

McAfee Inc. (2006), Virtual Criminology Report 2007 Organized Crime and the Internet, disponible en: http://www.mcafee.com/us/threat_center/white_paper.html.

McAfee Inc. (2007), Identity Thef,; disponible en: http://www.mcafee.com/us/local_content/white_papers/wp_id_theft_en.pdf

McCarthy, Caroline (2007), Study: Identity theft keeps climbing, Cnet News, disponible online en:http://news.com.com/Study+Identity+theft+keeps+climbing/2100-1029_3-6164765.html.

MessageLabs Intelligence (2006), 2006 Annual Security Report - A Year of Spamming Dangerously: The Personal Approach to Attacking, disponible online en:http://www.messagelabs.com/mlireport/2006_annual_security_report_5.pdf (consultado el10 dediciembre de 2007).

Messagelabs (2007), 2007 Annual Security Report - A year of storms, spam and socializingÖ; Disponible online en: http://www.messagelabs.com/resources/mlireports (consultado el 10 De diciembre de 2007).

32.

33.

34.

35.

36.

37.

38.

39.

40.

41.

42.

43.

44.

45.

46.

103


47. Messaging Anti-Abuse Working Group (2007), Email Metrics Program: The Network Operatorsí Perspective; Report #5 - First Quarter 2007 (Issued June 2007), disponible online en:http://www.maawg.org/about/MAAWG20071Q_Metrics_Report.pdf (consultado el 10 De diciembre de 2007).

Messmer, Ellen and Pappalardo, Denise (2005), Extortion via DDoS on the rise: Criminals are using the attacks to extort money from victimized companies; Computerworld: http://www.computerworld.com/networkingtopics/networking/story/0,10801,101761,00.html (consultado el 7 de diciembre de 2007).

Microsoft (2006a), Security Intelligence Report; January ñ June 2006; disponible online en: http://www.microsoft.com/downloads/details.aspx?FamilyId=1C443104-5B3F-4C3A-868E- 36A553FE2A02&displaylang=en.

Microsoft (2006b), Security Intelligence Report; July ñ December 2006, disponible online en:http://www.microsoft.com/downloads/details.aspx?familyid=af816e28-533f-4970-9a49- e35dc3f26cfe&displaylang=en(consultado el 3 de diciembre de 2007)

Netcraft Toolbar Community (2007), Phishing By The Numbers: 609,000 Blocked Sites in 2006, disponible online en: http://news.netcraft.com/archives/2007/01/15/phishing_by_the_numbers_609000_blocked_sites_in_2006.html (consultado el 11 de diciembre de 2007).

McNamara, Paul (2007), Survey: Identity theft on the decline, Network World, disponible online en: www.networkworld.com/community/?q=node/11009 (consultado el 11 de diciembre de 2007).

NIST Special Publication 800-83, Guide to Malware and Incident Handling; page 2-10; disponibleonline en: http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf.

Oberoi, Sabeena (2007); Addressing the malware Problem, APEC-OECD Malware Workshop, disponible online en: www.oecd.org/sti/security-privacy.

OECD (2005), Science, Technology, and Industry Scoreboard 2005, OECD, Paris; http://lysander.sourceoecd.org/vl=8111498/cl=14/nw=1/rpsv/scoreboard/d06.htm

OECD (2006), OECD Anti-Spam Toolkit of Recommended Policies and Measures, disponible online en: http://www.oecd-antispam.org/ (consultado el 13 de diciembre de 2007).

OECD (2007a), Communications Outlook,OECD, Paris disponible online en:http://puck.sourceoecd.org/vl=8231979/cl=59/nw=1/rpsv/~6681/v2007n2/s1/p1l.

OECD (2007b), Bauer Johannes M., de Bruijne Mark, Groenewegen John P., Lemstra Wolter, and Van Eeten Michel, Delft University of Technology and Michigan State University, consultants to the OECD, Economics of Malware: Security Decisions, Incentives and Externalities (próximamente).

OECD (2007c); Summary Record of the APEC-OECD Malware Workshop; disponible online en http://www.oecd.org/dataoecd/37/60/38738890.pdf.

Official Journal of the European Communities (1995), Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, disponible online en: http://ec.europa.eu/justice_home/fsj/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf (consultado e11 de diciembre de 2007).

Official Journal of the European Communities (2002), Directive 2002/58/EC of the European Parliament and the Council of 12 July 2002 Concerning The Processing Of Personal Data And

48.

49.

50.

51.

52.

53.

54.

55.

56.

57.

58.

59.

60.

61.

104


at:http://eur-lex.europa.eu/LexUriServ/site/en/oj/2002/l_201/l_20120020731en00370047.pdf (consultado el 11 de diciembre de 2007).

Official Journal of the European Communities (2005), Council Framework Decision 2005/222/JHA Of 24 February 2005 on attacks against information systems, disponible online en:http://eur-lex.europa.eu/LexUriServ/site/en/oj/2005/l_069/l_06920050316en00670071.pdf.

ORF (2007), Spamhaus antwortet auf nic.at. futurezone, disponible online en: http://futurezone.orf.at/it/stories/201738/; consultado el 25 de noviembre de 2007.

Outlaw.com, Phishing attack evades ABN Amro's two-factor authentication, disponible online en:www.out-law.com/page-7967(consultado el 11 de diciembre de 2007).

Poulsen, Kevin (2003), Slammer worm crashed Ohio nuke plant network, Security Focus, disponible online en: http://www.securityfocus.com/news/6767 (consultado el 11 de diciembre de2007).

RSA Security (2006), Internet Confidence Index Shows that ñ for Businesses and Consumers ñ Transactions are Outpacing Trust, disponible online en: http://www.rsa.com/press_release.aspx?id=6502 (consultado el 14 de diciembre de 2007)

Shin, Annys (2007a); ìIs Identity Theft Decreasingî?; The Washington Post, disponible online enhttp://blog.washingtonpost.com/thecheckout/2007/02/is_identity_theft_decreasing.html.

Shin, Annys (2007b), The Checkout, disponible online en:http://blog.washingtonpost.com/thecheckout/2007/02/looking_for_a_job_phishers_are.html.

Sokolov, D. A. (2007) Spamhaus.org setzt ÷sterreichs Domainverwaltung unter Druck; disponibleonline en: http://www.heise.de/newsticker/meldung/91417; consultado el 25 de noviembre de 2007

Sophos (2006a), The Growing Scale of the Threat Problem, disponible online en:http://www.sophos.com/sophos/docs/eng/papers/Growing-threat-wpus.pdf(consultado el 7 De diciembre de 2007).

Sophos (2006b), Devious Arhiveus ransomware kidnaps data from victims' computers, disponible online en: http://www.sophos.com/pressoffice/news/articles/2006/06/arhiveus.html(consultado el 7 de diciembre de 2007).

Sophos (2006c), Married couple formally charged over spyware Trojan horse, disponible online en: ìhttp://www.sophos.com/pressoffice/news/articles/2006/03/israeliesp2.html (consultado el 13de diciembre de 2007).

Sophos (2007a), Security Threat Report disponible online en: http://www.sophos.com/security/whitepapers/ (consultado el12 de diciembre de 2007).

Sophos (2007b), Security Threat Report Update July 2007, disponible online en: http://www.sophos.com/security/whitepapers/ (consultado el 12 de diciembre de 2007).

Spamhaus (2007), Report on the criminal 'Rock Phish' domains registered at Nic.at. disponible online en http://www.spamhaus.org/organization/statement.lasso?ref=7; consultado el 25 de noviembre de 2007.

Stewart, Joe (2004), Win32.Grams E-Gold Account Siphoner Analysis; disponible online en http://www.lurhq.com/grams.html (consultado el 11 de diciembre de 2007).

Symantec (2006), Internet Security Threat Report Volume X, disponible en: http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-

62.

63.

64.

65.

66.

67.

68.

69.

70.

71.

72.

73.

74.

75.

76.

77.

105


78. Symantec (2007), Internet Security Threat Report Volume XI, disponible online en http://eval.symantec.com/mktginfo/enterprise/white_papers/ent- whitepaper_internet_security_threat_report_xi_03_2007.en-us.pdf

The Economist (2007), ìA cyber riotî, http://www.economist.com/world/europe/displaystory.cfm?story_id=9163598 (consultado el 4 de diciembre de 2007).

The Honeynet Project and Research Alliance (2007), Know your enemy: Fast-Flux Service Networks, available online at: http://www.honeynet.org/papers/ff/ (consultado el 13 de diciembre de 2007).

The Sydney Morning Herald; ìCyber attacks force Estonian bank to close websiteî: http://www.smh.com.au/news/breaking-news/cyber-attacks-force-estonian-bank-to-close- website/2007/05/16/1178995171916.html (consultado el 4 de diciembre de 2007).

The Register, Phishing attack evades bank's two-factor authentication, disponible online en: http://www.theregister.co.uk/2007/04/19/phishing_evades_two-factor_authentication/.

TriCipher (2007), Consumer Online Banking Study, disponible online en:http://www.tricipher.com/news/pr134.htm (consultado el 14 de diciembre de 2007)

Tippett, Peter (2006), The Fourth Generation of Malware, CIO Update, http://www.cioupdate.com/article.php/3598621 (consultado el 7 de diciembre de 2007)

Twomey, Paul, Current Countermeasures and Responses by the Domain Name System Community, APEC-OECD Malware workshop; disponible online en: http://www.oecd.org/dataoecd/34/40/38653402.pdf .

Trend Micro (November 2005), ìTaxanomy of Botnet Threatsî; disponible en http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/botnettaxonomywhitepapernovember2006.pdf (consultado el 10 de diciembre de 2007).

United Kingdom Centre for the Protection of the National Infrastructure (2005), NISCC Briefing Targeted Trojan, available online at: http://www.cpni.gov.uk/docs/ttea.pdf (consultado el 7 de diciembre de 2007).

United States ñ Canada Power System Outage Task Force (2003), Blackout in the United States and Canada: Causes and Recommendations; disponible online en: https://reports.energy.gov/BlackoutFinal-Web.pdf (consultado el 14 de diciembre de 2007).

United States Computer Emergency Response Team (US-CERT), Federal Incident Reporting Guidelines: http://www.us-cert.gov/federal/reportingRequirements.html.

United States Department of Justice Computer Crime & Intellectual Property Section, ComputerCrime Cases (as of 11 December 2007), disponible online en: www.cybercrime.gov/cccases.html

United States District Court Northern District Of Illinois Eastern Division (2007), US v. James Brewer: http://www.spamsuite.com/book/export/html/148 (consultado el 14 de diciembre de 2007).

United States Federal Trade Commission (2003), ID Theft Survey Report, available online at:http://www.ftc.gov/os/2003/09/synovatereport.pdf(consultado el 14 de diciembre de 2007)

79.

80.

81.

82.

83.

84.

85.

86.

87.

88.

89.

90.

91.

92.

93.

106


94. United States Joint Council on Information Age Crime (2004), Computer-related Crime Impact:Measuring the Incidence and Cost January 2004: http://www.jciac.org/docs/Computer- Related%20Crime%20Impact%20010904.pdf.

United States National Consumer League / National Fraud Information Center (2006), Top 10 Internet Scam Trends from NCLís Fraud Center, disponible online en: http://fraud.org/stats/2006/internet.pdf (last accessed 10 December 2007).

United States Nuclear Regulatory Commision (NRC) (2003), Information Notice On Potential Of Nuclear Power Plant Network To Worm Infection, issued 2 September 2003, disponible onlineen: http://www.nrc.gov/reading-rm/doc-collections/news/2003/03-108.html (consultado el11 de diciembre de 2007).

Whittaker, Colin, APACS, APEC-OECD Malware Workshop presentation; disponible en:http://www.oecd.org/dataoecd/33/53/38652807.pdf (consultado el 10 de diciembre de 2007).

95.

96.

97.

sin clasificar dsti/iccp/reg(2007)5/finalconsecuencias del malware y, por lo tanto, el problema del...

Documents