symantec wstr pt3 cala

PARTE 3

Informe de Symantec sobre las amenazas para

la seguridad de los sitios web I 2015

2 I Symantec Website Security Solutions

NDICE

Engaos en las redes sociales

Qu nos depara el futuro?

Consejos y prcticas recomendadas

Perfil de Symantec

3

17

19

23

3 Symantec Website Security Solutions I

Engaos en lasredes sociales


RESUMEN

1Quienes tientan a los usuarios de las redes sociales con falsas promesas (por ejemplo, ofrecindoles productos para perder peso, sexo o dinero) lo hacen porque, con los programas de afiliacin, cada clic y cada inscripcin les reporta un beneficio.

2Si, como sucede a menudo, la vctima utiliza la misma contrasea en varias redes, bastar con conseguir los datos de acceso a una para enviar mensajes no deseados desde todas ellas.

3Los estafadores se han dado cuenta de la importancia de la prueba social y ahora se sirven de personas reales para difundir sus enga-os, en lugar de utilizar redes de bots.

4En muchos casos, el phishing explota el temor al hacking y a situa-ciones de alarma sanitaria, o bien utiliza como seuelo noticias escandalosas sobre famosos, ya sean verdaderas o falsas.


Los hackers que se apropian de cuentas en plataformas como Snapchat lo hacen apoyndose en esta teora, ya que la gente se fa ms de los enlaces que publican las personas que conoce o de los productos que recomiendan, lo que hace que no adviertan el engao del que estn siendo objeto.

En 2014, los consumidores tampoco fueron conscientes del valor de sus datos, y no se molestaron en comprobar si los sitios web en los que facilitaban su direccin de correo electrnico y otros datos de acceso eran de verdad legtimos.

Aunque en 2014 los estafadores mejoraron sus tcticas y empezaron a utilizar otras plataformas, gran parte de su xito sigui debindose a la credulidad de sus vctimas, que cayeron en trampas muy simples y fciles de evitar.

INTRODUCCIN

En 2014, los delincuentes hicieron suya la ley de la prueba social, segn la cual valoramos ms aquello que otras personas aprueban o comparten. Por poner un ejemplo, si le damos a elegir a alguien entre un restaurante vaco y otro con una gran cola, lo normal es que prefiera esperar porque pensar que el que tiene ms gente es mejor.


LAS REDES SOCIALES, TODO UN FILN PARA LOS ESTAFADORES

A los delincuentes les gustan las multitudes, as que es lgico que frecuenten las redes sociales ms conocidas en busca de vctimas a las que engaar. ltimamente, tambin han advertido el auge de las aplicaciones de citas y mensajera y han empezado a actuar en estas plataformas.

Facebook, Twitter y Pinterest

En 2014, los usuarios de las redes sociales compartieron ms contenidos dainos de forma manual sin sospechar que eran cmplices de los estafadores y que los vdeos, historias e imgenes publicados contenan enlaces a sitios web afiliados o infectados. El agravamiento de este problema fue uno de los grandes cambios del ao.

Por ejemplo, el fallecimiento de Robin Williams hizo que mucha gente compartiera un supuesto vdeo de despe-dida que era, en realidad, una estafa encubierta. Para ver el vdeo (que nunca llegaba a mostrarse porque en realidad no exista), los usuarios tenan que compartirlo con sus amigos y rellenar una encuesta, descargar un programa o visitar un sitio web de noticias falso.1

Cuadro de dilogo de Facebook en el que se invita a compartir un vdeo. El nmero de comentarios y las veces que se ha compartido son falsos.

En el sitio web al que conduce el enlace se pide al usuario que instale un complemento de Facebook falso.

En 2014, el 70 % de las amenazas que se propagaron en las redes sociales lo hicieron sirvindose de los propios usuarios. El ao anterior, este porcentaje haba sido de un escaso 2 %.

Fuente: Symantec | Safe Web

0

10

20

30

40

50

60

70

80

Ofertas falsas Secuestro del botn me gusta

Secuestro decomentarios

Aplicacionesfalsas

Contenidos compartidos de forma manual

Porcen

taje 56

81

23

10 7 5 00 12 23 1

18

70

2012

2013

2014

Medios sociales, 2012-2014

1 http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams


Cuando se comparten contenidos de forma manual, los delincuentes tienen el trabajo hecho porque las perso-nas y sus redes se convierten en sus tteres sin saberlo. En otros casos, hace falta algo ms de esfuerzo y domi-nar ciertas tcnicas de hacking o secuestro. Por ejem-plo, el likejacking y el comment jacking (literalmente, secuestro de Me gusta y de comentarios) incitan a la vctima a hacer clic en un botn para ver algo que le inte-resa. Aunque el texto del botn diga Continuar o Con-firmar, en realidad el usuario est comentando una publicacin o indicando que le gusta, lo que aumenta la popularidad y el alcance.

Instagram

La plataforma de publicacin de imgenes Instagram tiene ms usuarios activos que Twitter y es un impor-tante canal de marketing para las marcas.2, 3 En 2014, el afn de lucro de los delincuentes les llev a crear cuentas falsas y a hacerse pasar por empresas para publicar ofertas en su nombre.

En un caso, se crearon cuentas falsas de personas que, supuestamente, haban ganado la lotera y estaban dispuestas a compartir el premio con quien empezara a seguirlas. En otra ocasin, los estafadores se hicieron pasar por marcas conocidas que ofrecan vales-regalo a los usuarios a cambio de seguir la cuenta falsa y facilitar sus datos personales en los comentarios (p. ej., una direccin de correo electrnico).

Por lo general, las vctimas dan la informacin sin pen-srselo dos veces. El 68 % de los encuestados para un informe sobre aplicaciones mviles realizado por Norton se declararon dispuestos a facilitar distintos tipos de informacin personal a cambio de una aplicacin gratis.4 En el caso que se ilustra en la imagen de abajo, hubo quien accedi a enviar 0,99 USD a cambio de recibir el dinero que ofrecan los supuestos ganadores de la lotera (que, desde luego, no llegaba nunca). Una cantidad tan pequea no despierta sospechas, pero los estafadores no solo van juntando calderilla, sino que tambin con-siguen datos personales.5

Estos engaos son muy frecuentes en Instagram, en parte porque la plataforma no dispone de un sistema de verificacin de cuentas. En cuanto un usuario cae en la trampa, sus seguidores ven la imagen publicada y corren la misma suerte.

Una vez que una cuenta falsa tiene suficientes segui-dores, sus creadores le cambian el nombre, la foto y la biografa para que, cuando se descubra el engao, la gente no pueda identificarla y denunciarla. A continua-cin, la cuenta modificada con todos sus seguidores se vende al mejor postor. Lo habitual es que poco despus aparezca un nuevo perfil similar al primero y el propie-tario diga que su cuenta original haba sido pirateada y, de este modo, el proceso vuelve a comenzar.

Cuentas de usuarios de Instagram que se hacan pasar por ganadores de la lotera6

2 http://blog.instagram.com/post/104847837897/141210-300million3 https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170 4 Image from: http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers5 http://www.slideshare.net/symantec/norton-mobile-apps-survey-report6 http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers


1

2

3

19 enero, 2015 24 enero, 2015 29 enero, 2015

Plataformas de mensajera

2014 golpe con dureza a Snapchat, la aplicacin social en la que las imgenes y los vdeos enviados se autodes-truyen a los diez segundos de recibirse.

En octubre, varias cuentas fueron pirateadas y algunos usuarios recibieron un mensaje de amigos suyos que contena un enlace relacionado con pastillas adelgazan-tes. Segn Snapchat, los atacantes haban robado los datos de acceso a otro sitio web, y solo haban logrado infiltrarse en Snapchat porque los propietarios de las cuentas afectadas usaban la misma contrasea para distintos servicios.7

Los servicios de simplificacin de direcciones URL son muy tiles para los usuarios de las redes sociales, pero tambin para los spammers, ya que camuflan el nombre de dominio del sitio web. En el caso de bit.ly, con tan solo aadir el signo + al final del enlace, tanto los spammers como sus afiliados tienen acceso a estadsti-cas sobre clics y otros datos demogrficos.

Los enlaces abreviados no solo se envan por correo electrnico; tambin es frecuente incluirlos en mensajes SMS. Y algunos tipos de spam modernos se propagan a travs de las redes sociales.

En octubre, Symantec fue testigo de un incidente conocido en Internet como the snappening, a raz del cual empezaron a publicarse en Internet imgenes de Snapchat que deberan haberse borrado. Al parecer, algunos usuarios archivaban sus fotos de Snapchat con

una aplicacin externa no aprobada que result ser la causa del problema.

Por lo general, las redes sociales ms nuevas cuentan con polticas de seguridad y confidencialidad imper-fectas, y los usuarios empeoran la situacin al usar la misma contrasea en varias plataformas y al buscar apli-caciones sin verificar que ofrezcan funciones comple-mentarias.

A menos que los usuarios extremen las precauciones, seguirn siendo vctimas del secuestro de cuentas de las plataformas ms populares del 2015.

Cuenta de usuario legtima utilizada para enviar spam a los amigos de la vctima. Snapchat reaccion con rapidez y avis a los afectados poco despus.

Clics obtenidos con la direccin URL incluida en el mensaje de spam de Snapchat del ejemplo anterior

7 http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam


Estafas en sitios web pornogrficos o de contactos

El contenido sexual siempre ha estado muy ligado a la ciberdelincuencia, y 2014 no fue ninguna excepcin.

En 2014, las estafas relacionadas con material de esta ndole empezaron a afectar a aplicaciones de citas como Tinder y servicios de mensajera como Snapchat y Kik Messenger. En todos estos casos, los estafadores eran miembros de un programa de afiliacin que les repor-taba una comisin cada vez que alguien haca clic en un enlace y se inscriba en un sitio web externo.8

Unos programas de afiliacin remuneran cada clic, mien-tras que otros exigen que la vctima se inscriba en un sitio web y facilite los datos de su tarjeta de crdito. Algunos sitios web pagan seis dlares por cada inscrip-cin y hasta sesenta si alguien se suscribe a un servicio premium9, lo que permite a los ciberdelincuentes obtener pinges beneficios (profundizaremos en este tema ms adelante, en el apartado Los programas de afiliacin, el verdadero motor del engao en las redes sociales).

Normalmente, se empieza mostrando un perfil de una joven atractiva que propone a la vctima un encuentro sexual, la invita a ver grabaciones ntimas en vivo o se ofrece a enviarle mensajes de texto o imgenes de natu-raleza sexual (lo que se conoce como sexting). En Tinder, algunas fotos de perfil ofrecan servicios de prostitucin superponiendo texto a la propia imagen, para as evitar los filtros de correo no deseado.

Los interesados tenan que hacer clic en las imgenes o visitar un sitio web afiliado, pero ni una ni otra opcin serva de nada porque, en realidad, las supuestas chicas eran bots, y las fotos insinuantes un seuelo para pro-mocionar un servicio inexistente.

El contenido sexual suele ser un reclamo eficaz. En menos de cuatro meses, una campaa relacionada con el sitio web blamcams.com se tradujo en casi medio milln de clics en siete direcciones URL, una cifra muy jugosa que benefici a dos tipos de estafadores: los que cobra-ban comisiones de programas de afiliacin y los que usaban enlaces a sitios de webcams falsos para robar datos de tarjetas de crdito.10

Mensajes de falsas cam-girls que aparecen como chats nuevos en Kik Messenger

Perfiles falsos de Tinder en los que se ofrecan falsos servicios de prostitucin11

8 http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger 9 http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app 10 http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app11 http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app


Cdigo daino en las redes sociales

Aunque la mayora de las estafas estn relacionadas con programas de afiliacin que pagan por conseguir clics e inscripciones, una de las que afect a Facebook en 2014 fue diferente. En este caso, el objetivo de los atacantes era redirigir a los usuarios al kit Nuclear para hacerse con el control de los equipos y, seguidamente, utilizarlos para enviar spam y descargar archivos dainos.12

Por precaucin, todo el mundo debera sospechar de los enlaces sensacionalistas que publican sus amigos y, en lugar de hacer clic, informarse directamente en medios ms fiables.

El avance de las redes antisociales

Hoy en da, muchos ven con malos ojos los programas de vigilancia gubernamentales o la cantidad de informacin que se comparte con los proveedores de servicios de Internet. Quiz por eso haya surgido un nuevo tipo de red social basado en el secretismo, la confidencialidad y el anonimato. Aplicaciones como Secret, Cloaq, Whisper, ind.ie y Post Secret son un hervidero de chismes, con-fidencias y, a veces, otras manifestaciones de la cara ms oscura del ser humano. Hay quien piensa que, en la prxima fase de la evolucin de las redes sociales, el secretismo desempear un papel fundamental.13, 14 Sin embargo, para los ms crticos, 4chan y otros foros anni-mos son un refugio de trolls, acosadores y delincuentes.15

Decididas a salvarse de la quema, las redes sociales tradicionales, como Twitter y Facebook, se han vuelto ms transparentes y han pulido sus polticas de confi-dencialidad. Por ejemplo, Facebook ha empezado a hacer pblico el nmero de solicitudes de datos gubernamen-tales que recibe16; Twitter est plantendose introducir un modo susurro para enviar mensajes privados;17 y Google ha mejorado el cifrado de Gmail.18

Aunque el anonimato tiene sus atractivos para algunas personas, no hay que olvidar los riesgos que plantea. Algunas empresas tienen regulado al milmetro lo que pueden y no pueden hacer los empleados en Internet, pero muchas an estn adaptndose a estos nuevos en-tornos en los que cualquiera puede expresarse como le plazca con impunidad. La normativa sobre comunicacin electrnica tiene que cubrir estos usos, y deben adop-tarse tecnologas que detecten posibles infracciones. La solucin no tiene por qu ser prohibir el acceso a estas redes, pero es importante controlar cmo se utilizan.

12 http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit 13 http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/14 http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/15 Algunas de estas crticas se analizan en http://es.wikipedia.org/wiki/4chan (y, de forma ms detallada, en la versin en ingls del artculo: http://en.wikipedia.org/wiki/4chan).16 https://www.facebook.com/about/government_requests17 http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/18 http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/


Fuente: Symantec I .cloud

250

500

750

1000

2012 2013 2014

965

392414

1 d

e ca

da

PHISHING

En 2014, uno de cada 965 mensajes de correo electr-nico fueron intentos de phishing (aunque la proporcin fue menor de junio a septiembre). El ao anterior, lo haban sido uno de cada 392. Hacia finales de ao, el nmero de ataques de phishing aument tras conocerse que se haban robado y publicado varias fotos de

famosos desnudos. Los phishers siempre se han interesado por los ID de Apple, pero justo despus de este incidente tan meditico enviaron ms mensajes relacionados con la seguridad de las cuentas de iCloud, ya que saban que en ese momento se les prestara ms atencin.

2200

2000

1800

1600

1400

1200

1000

800

600

400

200

M M JEE S NNSJMMNSJMME

2013 20142012

1 d

e ca

da

Mensajes de correo electrnico que son intentos de phishing (sin incluir los casos de spear phishing)

Tasa de phishing, 20122014



La botnet Kelihos tambin aprovech la situacin para enviar mensajes en los que se informaba al destinatario de una compra realizada con su cuenta de iCloud, pero desde un dispositivo y una direccin IP inusuales. Acto seguido, se instaba a la vctima a verificar urgentemente su ID de Apple haciendo clic en un enlace. La pgina de destino, que se haca pasar por el sitio web de Apple, era un clon creado para robar ID de Apple y contraseas que luego se revendan o utilizaban con fines ilegtimos.19

A lo largo de 2014, los delincuentes emplearon variacio-nes de esta tcnica para intentar apropiarse de datos de acceso a las redes sociales, al correo electrnico y a servicios bancarios.

En la mayora de los casos, se sirvieron de mensajes de correo electrnico o direcciones URL publicadas en las redes sociales. En estas ltimas, los enlaces suelen estar relacionados con noticias de actualidad (el virus del bola, famosos envueltos en algn escndalo u otros sucesos llamativos), y se pide al usuario que vuelva a facilitar sus datos de acceso para leer un artculo o ver un vdeo.

Las noticias tambin se usan como seuelo en mensajes de correo electrnico, pero quienes usan este mtodo tiene un objetivo distinto: obtener los datos de acceso a cuentas bancarias de empresas, perfiles de LinkedIn, cuentas de correo empresariales o servicios de almace-namiento de archivos en la nube.20 Algunos correos se disfrazan de avisos sobre actualizaciones de seguridad y redirigen al destinatario a un sitio web con un formulario diseado para robar sus datos y envirselos de inmedia-to al phisher.

Los orgenes del sitio web suelen camuflarse para que los navegadores no muestren advertencias de seguridad. En 2014 los ciberdelincuentes fueron an ms lejos y utilizaron el estndar de cifrado avanzado AES, que dificulta el anlisis del sitio web porque el contenido uti-lizado para el phishing forma parte del texto cifrado ile-gible. As es ms fcil engaar a las vctimas y actuar sin dejar rastro, ya que es menos probable que el software de seguridad y los navegadores muestren advertencias que alerten de la peligrosidad del sitio.21

0

10

20

30

40

50

60

2010 2011 2012 2013 2014

Miles

Ejemplo de mensaje que en realidad es un intento de phishing22

Nmero de enlaces de phishing en los medios sociales 20092014

19 http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign 20 http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes 21 Imagen tomada de http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign22 LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox



En los ltimos tres aos, el porcentaje de spam enviado ha ido reducindose hasta llegar al 60 % en 2014 (en 2012 y 2013, fue del 69 % y el 66 %, respectivamente). Aunque es una buena noticia, las estafas por correo electrnico an son muy habituales, y los delincuentes siguen lucrndose gracias a ellas.

En octubre, Symantec advirti un aumento en el nmero de mensajes enviados a empresas (o ms concretamente, al departamento financiero) en los que se solicitaba una transferencia o un pago con tarjeta de crdito. El remitente utilizaba un nombre falso o se haca pasar por el director general u otros directivos de la empresa, y para obtener los datos de pago se peda a la vctima que abriera un archivo adjunto o que los solicitara respondiendo al mensaje.23

Este tipo de engao cada vez es ms frecuente porque, aunque los sistemas de seguridad corporativos podran filtrar fcilmente los archivos adjuntos, muchas empre-sas siguen sin tomar esta medida bsica pese al peligro que corren.

A finales de ao, los spammers cambiaron de tcticas y recurrieron ms a la ingeniera social, lo que les llev a incluir ms enlaces dainos en sus mensajes y menos archivos adjuntos.

LOS PELIGROS DEL CORREO ELECTRNICO: LAS ESTAFAS Y EL SPAM

No solo ha disminuido el nmero de mensajes de correo que son intentos de phishing, sino que el porcentaje de spam global tambin es menor.

Volumen estimado de spam diario en todo el mundo

Mensajes de correo electrnico que son spam

2014 28 millones29 millones30 millones

2013

2012

-1 %

-1 %

201220132014

60 % 66 % 69 %

-6 % -3 %Fuente: Symantec I Brightmail

Fuente: Symantec I Brightmail

23 http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wire-transfer-spam-campaign


LOS PROGRAMAS DE AFILIACIN, EL VERDADERO MOTOR DEL ENGAO EN LAS REDES SOCIALES

promociones en las que se regalan smartphones, billetes de avin o vales de compra;

noticias inusuales sobre personajes famosos (p ej., vdeos sexuales o falsos fallecimientos);

noticias impactantes, a menudo relacionadas con catstrofes naturales;

proposiciones de supuestos profesionales del sexo o invitaciones a desnudarse frente a una webcam.

En cuanto una red gana adeptos, los estafadores empie-zan a tenerla en el punto de mira. Y aunque las estafas se adaptan a las peculiaridades de cada plataforma, las redes de afiliacin siempre estn detrs.

El marketing de afiliacin permite a las empresas au-mentar sus beneficios en Internet, ya que los afiliados les ayudan a promocionar y vender sus productos. Se trata de una prctica muy habitual. Por ejemplo, un afiliado que promocione un libro en su sitio web e incluya un enlace a la pgina de compra de otra empresa recibir una pequea comisin por cada venta.

Entre quienes usan las redes de afiliados hay empresas legtimas e ilegtimas, y a veces son los propios afiliados los que usan mtodos reprobables para lucrarse.

Las empresas saben de dnde viene cada clic y pueden ir calculando las comisiones porque, cuando alguien hace clic en el anuncio de un afiliado, los enlaces terminan con un cdigo que lo identifica.

Si ha usado alguna red social en la ltima dcada, seguro que alguna vez se habr encontrado con contenido de este tipo:

Satnam Narang


En las redes sociales, los estafadores han sabido convertir los programas de afiliacin en una fuente de ingresos. Cada vez que un usuario rellena una encuesta o se inscribe en un servicio premium detrs del cual hay un programa de este tipo, quien publica el enlace recibe dinero.

La legitimidad de estos afiliados no est clara, y tampo-co es fcil saber cunto cobran porque muchos prefieren mantenerlo en secreto. Sin embargo, la mayora de las redes de afiliados utilizan un sistema de pujas en el que se especifica qu accin constituye una conversin. En el ejemplo de la imagen (un anuncio de una tarjeta-regalo Visa por valor de 1500 USD), se considera que se ha realizado una conversin si la persona referida facilita su direccin de correo electrnico. En este caso, los afiliados reciben 1,40 USD por conversin.

En Tinder, la conocida aplicacin de citas, Symantec encontr enlaces afiliados a servicios de contactos sexuales y sitios de webcams cuyas comisiones no son ningn secreto. Un sitio web paga a los afiliados hasta seis dlares por cada cuenta abierta, y sesenta por el pago de una suscripcin a un servicio premium con tarjeta de crditoun poderoso aliciente para buscar suscriptores, por los medios que sean.

Sin embargo, los estafadores son capaces de generar tanto trfico que los seis dlares que reciben por cada cuenta abierta les bastan para obtener un sustancioso beneficio. Las suscripciones al servicio premium son solo la guinda del pastel.

Aunque haya empresas y redes de afiliacin que con-denen estas prcticas y traten de evitarlas, seguirn dndose mientras los delincuentes puedan sacarles provecho. Si su empresa utiliza estos programas, es importante que conozca a sus afiliados y se asegure de que actan dentro de la legalidad.

Los usuarios de las redes sociales, por su parte, de-beran desconfiar de los regalos que se ofrecen en estas plataformas (billetes de avin, aparatos electrnicos o vales) y de las invitaciones a visitar sitios web de contactos sexuales o webcams. Si alguien nos pide que rellenemos una cuesta o nos suscribamos a un servicio con tarjeta de crdito, lo ms probable es que nos est estafando. Lo que parece demasiado bueno para ser verdad normalmente no lo es.


EL PHISHING, UN FENMENO QUE EXISTE HASTA EN LOS PASES MENOS PENSADOS

Angola y Mozambique, dos pases en lados opuestos del frica Austral, no son lugares en los que uno se imagine que el robo de informacin confidencial sea un negocio. Mozambique, cuya renta per cpita es de unos 600USD, est en vas de desarrollo y, pese a la abundancia de recursos naturales, depende en gran medida de la ayuda internacional. Angola, con una renta per cpita prxima a los 6000 USD, est en una situacin mejor, pero ambos pases son estadsticamente pobres. A ttulo compara-tivo, la renta media por cpita en todo el mundo es de 10 400 USD.

Recientemente, una importante institucin financiera africana fue vctima de una campaa de phishing. Los mensajes, que simulaban proceder de un banco mozam-biqueo, tenan el siguiente asunto: Mensagens & aler-tas: 1 nova mensagem! (Mensajes y alertas: 1 nuevo mensaje!) y el cuerpo del mensaje contena una direc-cin URL que conduca a una versin falsa del sitio web de la entidad. En cuanto la vctima facilitaba sus datos bancarios, el atacante se adueaba de su cuenta.

Por qu se est atacando a las instituciones financieras de estos pases? No podemos saberlo a ciencia cierta, pero una de las razones por las que el phishing es tan peligroso es lo fcil que es crear sitios web falsos para robar los datos de los visitantes. En 2014, Symantec en-contr un buen nmero de phish kits (archivos compri-midos que contienen sitios web de phishing, listos para descomprimirse en un servidor web recin atacado). Alguien que adquiera uno de estos kits no necesitar conocimientos especializados y, si solo ataca a institu-ciones pequeas o de un tipo determinado, ni siquiera tendr que competir con otros phishers. Por otro lado, es probable que los pases en vas de desarrollo no sean tan conscientes de la peligrosidad del phishing como Estados Unidos o Europa.

Todo parece indicar que los ataques de phishing sufridos en Angola y Mozambique tuvieron su origen dentro de sus propias fronteras o en los pases vecinos. Robar datos de cuentas de Angola o Mozambique no tiene sen-tido para los phishers de pases desarrollados porque los beneficios son ms bajos que los obtenidos en el mundo occidental. Sin embargo, para alguien que viva en Angola, Mozambique u otros pases con rentas simila-res, el atractivo econmico es mayor. Adems, para los phishers angoleos o mozambiqueos es ms fcil usar los datos robados sin tener que venderlos.

Los consumidores cada vez usan ms Internet para in-teractuar con las empresas y utilizar sus servicios. Por lo tanto, es de esperar que los casos de phishing sigan au-mentando y que, con el tiempo, los delincuentes tengan an ms facilidades para atacar. Hasta las instituciones de un pas tan pequeo y aislado como Butn, enclavado en pleno Himalaya, han sufrido ataques de phishing, lo que demuestra que nadie est a salvo.

Gran parte del trfico de correo electrnico pasa por manos de Symantec. Recientemente, nos han sorprendido los ataques a instituciones de lugares en los que el phishing no haba sido un problema hasta ahora.

Nicholas Johnston


Qu nos depara el futuro?

Analizar el pasado y entender el presente es la clave para afrontar el futuro


La ludificacin de la seguridadEn el siglo XV, Nicols Maquiavelo, todo un experto en seguridad, observ lo siguiente: Los hombres son tan simples y se someten hasta tal punto a las necesidades presentes, que quien engaa encontrar siempre quien se deje engaar.

En Internet, la seguridad no solo depende de la tecnolo-ga, sino tambin de las personas, que correran menos riesgos si tuvieran ms cuidado. Los consumidores deben estar siempre alerta, y los funcionarios del Estado tienen que saber cmo evitar las tcnicas de ingeniera social que se utilizan en los ataques dirigidos.

En este contexto, la llamada ludificacin puede servir para convertir las necesidades del momento en hbitos de conducta, ya que proporciona la misma gratificacin instantnea que los juegos sencillos de ordenador. 24 Por ejemplo, podran usarse mecnicas de juego que ayuden a distinguir si un mensaje es un intento de phishing o enseen a crear, recordar y utilizar contraseas seguras.

En nuestra opinin, esta formacin ser muy necesaria en los prximos aos y representa una gran oportunidad comercial.

Uso de las simulaciones de seguridadLas simulaciones y los llamados juegos de guerra son un buen ejercicio para que una empresa se prepare ante posibles incidentes de seguridad y comprenda qu de-fensas necesita. Si, tras las pruebas de intrusin conven-cionales, se simulan las fases de respuesta y solucin de problemas, los empleados estarn ms formados y sabrn que hacer en caso de ataque. Esto es algo que ya saben los gobiernos. En enero de 2015, el primer ministro britnico David Cameron y Barack Obama, presidente de los Estados Unidos, acordaron la puesta en marcha de un programa de ejercicios de guerra ciberntica en el que ambos pases llevarn a cabo ataques simulados en-tre s.25 En 2015, las empresas deberan hacer lo mismo.

Quien prepara un ataque casi siempre lo consumaEn la batalla frente a los ciberdelincuentes, los departa-mentos de seguridad informtica empresariales llevan siempre las de perder. Mientras que ellos no pueden fallar nunca, los atacantes solo necesitan tener suerte una vez, as que tanto los responsables informticos como los usuarios tienen que estar preparados para lo peor. No hay tecnologas milagrosas que garanticen una proteccin total frente a la ciberdelincuencia, sobre todo si alguien prepara un ataque dirigido a una vctima en concreto. Lo ms sensato es pensar que, tarde o tempra-no, su empresa sucumbir al hacking, si es que no lo ha hecho ya. Hay que adoptar un enfoque clnico y ms

rico en matices que, en lugar de limitarse a determinar si algo es seguro o no, analice sntomas y tendencias, prevenga comportamientos y permita hacer diagnsticos y determinar los mejores tratamientos.

Desde el punto de vista tcnico, se necesitan programas que protejan todos los terminales, la pasarela y el servidor de correo electrnico para evitar filtraciones. Tambin habr que optimizar los sistemas copia de seguridad y recuperacin en caso de desastre, as como los mtodos de deteccin y planificacin de respuestas. Aunque los ataques sean inevitables, la clave es no resignarse y poner a los atacantes el mayor nmero de trabas posible, ya que es mejor prevenir que lamentar.26

Las empresas deben abandonar el secretismo y compartir informacin entre sAunque intercambiar informacin entre empresas es esencial para la seguridad,27 hasta ahora era algo infre-cuente. Por miedo a exponerse demasiado, cada empresa acababa librando su propia batalla y se limitaba a utilizar sus recursos internos. En nuestra opinin, todo sera ms fcil si las empresas compartieran entre s informacin sobre las amenazas y los mtodos para combatir la ciberdelincuencia. Las herramientas que hagan posible este cambio sin poner en peligro la propiedad intelectual sern cada vez ms importantes. Por ejemplo, el inter-cambio electrnico de datos podra usarse para compar-tir funciones hash, atributos binarios, sntomas y otros elementos sin necesidad de divulgar secretos comercia-les o informacin que pueda ser til a los atacantes.

Uso de sistemas operativos que no son segurosEn julio de 2014, un cuarto de los usuarios de PC seguan usando Windows XP y Office 2003,28 pese a que Microsoft ya no ofreca asistencia ni actualizaciones para estas versiones. Mucha gente sigue resistindose a aceptar este cambio29 sin darse cuenta del riesgo que supone carecer de proteccin frente a las amenazas que surgen constan-temente. El ao prximo, el peligro ir en aumento, y las empresas que utilicen dispositivos con sistemas operati-vos obsoletos tendrn que encontrar formas de prote-gerlos hasta que decidan reemplazarlos o actualizarlos.

La Internet de las cosasEn el futuro, los consumidores comprarn cada vez ms accesorios tecnolgicos: relojes inteligentes, monitores de actividad, cascos hologrficos y todo tipo de dispositivos ponibles ideados en Silicon Valley y Shenzn. Aunque mejorar la seguridad de estos dispositivos es fundamen-tal, todo cambia tan rpidamente que muchas veces se descuida la confidencialidad en aras de la innovacin. A menos que los gobiernos decidan legislar estas cuestio-nes, que se produzca algn incidente de gran repercusin meditica o que los consumidores se den cuenta del peli-gro que corren, es poco probable que se preste la debida atencin a la seguridad y la confidencialidad.30

24 Opinin sobre la ludificacin sacada de la entrevista a Efran Ortiz25 http://www.bbc.co.uk/news/uk-politics-3084266926 Extracto de la entrevista a Efran Ortiz27 Efrain Ortiz28 http://www.informationweek.com/software/operating-systems/windows-xp-stayin-alive/d/d-id/127906529 Entrevista a Candid Wueest30 Entrevista a Vaughn Eisler

QU NOS DEPARA EL FUTURO?


Consejos y prcticas recomendadas


Pese a las vulnerabilidades detectadas este ao, los protocolos SSL y TLS siguen siendo la mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas han empezado a contratar a desarrolladores especializados en SSL para mejorar el cdigo y solucionar posibles errores. As que ahora las bibliotecas SSL estn ms controladas que nunca y, adems, se han establecido prcticas recomendadas comunes para utilizarlas.

i http://www.symantec.com/page.jsp?id=1024-bit-certificate-supportii http://www.symantec.com/es/es/page.jsp?id=sha2-transitioniii http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa iv https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

La impor-tancia de utilizar

tecnologas SSL ms seguras

En 2014, los algoritmos de los certificados SSL se volvieron ms seguros porque Symantec y otras autoridades de certificacin abandonaron las claves de 1024 bits y empezaron a utilizar certificados SHA-2 de forma predeterminada.i

Microsoft y Google anunciaron que pronto dejaran de aceptar certificados SHA-1 que caducaran despus del 31 de diciembre de 2015.ii Si an no ha migrado a SHA-2, Chrome mostrar una advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarn de funcionar en Internet Explorer a partir del 1 de enero de 2017.

Symantec tambin est potenciando el uso del algoritmo ECC, mucho ms seguro que el cifrado RSA. En este momento, los navegadores ms importantes para equipos de escritorio y dispositivos mviles ya admiten los certificados ECC, que ofrecen tres ventajas principales:

1. Mayor seguridad. Las claves ECC de 256 bits son 10 000 veces ms difciles de descifrar que las claves RSA de 2048 bits de uso estndar en el sector.iii Para descifrar el algoritmo mediante un ataque de fuerza bruta, se necesitara mucho ms tiempo y una potencia de procesamiento mucho mayor.

2. Mejor rendimiento. Anteriormente, muchas empresas tenan miedo a que los certificados SSL ralentizaran el funcionamiento del sitio web y optaban por una adopcin parcial que ofreca una proteccin muy deficiente. Un sitio web protegido con un certificado ECC requiere menos potencia de procesamiento que otro que utilice un certificado RSA, lo que permite atender ms conexiones y usuarios al mismo tiempo. En este momento, adoptar la tecnologa Always-On SSL no solo es recomendable, sino que est al alcance de cualquier empresa

3. Perfect Forward Secrecy (PFS). Aunque la tecnologa PFS es compatible con certificados basados en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos ltimos. Pero qu importancia tiene esto? Si un sitio web carece de proteccin PFS, un hacker que se apropie de sus claves privadas podra descifrar todos los datos intercambiados en el pasado. Esto es lo que permita la vulnerabilidad Heartbleed en los sitios web afectados, lo que dej clara la gravedad de este problema. Con la tecnologa PFS, alguien que robe o descifre las claves privadas de los certificados SSL solo podr descifrar la informacin protegida con ellas desde el momento del ataque, pero no la intercambiada con anterioridad.

Uso adecuado

de la tecnologa

SSL

En 2014 qued claro que la tecnologa SSL solo es segura si se adopta y mantiene como es debido. Por tanto, es necesario:

Utilizar la tecnologa Always-On SSL. Proteja con certificados SSL todas las pginas de su sitio web para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen.

Mantener actualizados los servidores. No basta con mantener al da las bibliotecas SSL del servidor; toda actualizacin o revisin debe instalarse cuanto antes para reducir o eliminar las vulnerabilidades que pretende corregir.

Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad.

Hacer anlisis peridicos. Vigile sus servidores web para detectar posibles vulnerabilidades o infecciones con malware.

Asegurarse de que la configuracin del servidor est actualizada. Las versiones antiguas del protocolo SSL (SSL2 y SSL3) no son seguras. Cercirese de que el sitio web no las admita y d prioridad a las versiones ms recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el servidor est bien configurado con herramientas como SSL Toolbox de Symantec.iv


v http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/

Conciencie a sus

empleados

Para que sus sitios web y servidores estn ms protegidos este ao, guese por el sentido comn y adopte los hbitos de seguridad que le recomendamos a continuacin.

Asegrese de que los empleados no abran archivos adjuntos de gente que no conozcan.

Aydeles a reconocer los peligros que acechan en las redes sociales. Explqueles que, si una oferta parece falsa, seguramente lo sea; que la mayora de las estafas estn relacionadas con noticias de actualidad; y que las pginas de inicio de sesin a las que conducen algunos enlaces pueden ser una trampa.

Si un sitio web o aplicacin ofrecen autenticacin de dos factores, dgales que elijan siempre esta opcin.

Pdales que usen contraseas distintas para cada cuenta de correo electrnico, aplicacin, sitio web o servicio (sobre todo si estn relacionados con el trabajo).

Recurdeles que usen el sentido comn. No por tener un antivirus es menos grave visitar sitios web dainos o de naturaleza dudosa.

Tiene dos opciones: laseguri-dad o la

vergenza

Los atacantes utilizan tcnicas cada vez ms agresivas, avanzadas e implacables para lucrarse en Internet, pero las empresas y los particulares tienen muchsimas maneras de protegerse.

Hoy en da, una empresa que no utilice la tecnologa SSL o descuide la seguridad de su sitio web se expone al escarnio pblico. Incluso puede acabar saliendo en HTTP Shaming, una pgina creada por el ingeniero de software Tony Webster en la que se seala a los culpables.v

Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para evitar el descrdito y la ruina financiera. Tome nota y, en 2015, protjase con Symantec.


PRXIMAMENTE

EL WSTR 2015 DE SYMANTEC COMPLETO Y UNA INFOGRAFA CON LOS DATOS MS

IMPORTANTES

Una referencia en materia de seguridad que podr usar a lo largo del ao y

compartir con sus compaeros


PERFIL DE SYMANTEC

Ms informacin

Sitio web global de Symantec: http://www.symantec.com/

Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos tiles de Symantec:

http://www.symantec.com/de/de/threatreport/

Symantec Security Response: http://www.symantec.com/de/de/security_response/

Buscador de amenazas de Norton: http://de.norton.com/security_response/threatexplorer/

ndice de cibercrimen de Norton: http://de.norton.com/cybercrimeindex/

Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en proteccin

de la informacin cuyo objetivo es ayudar a particulares, empresas e instituciones

gubernamentales a aprovechar libremente las oportunidades que les brinda la

tecnologa, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura

en la lista Fortune 500, controla una de las mayores redes de inteligencia de datos del

mundo y comercializa soluciones lderes en materia de seguridad, copia de seguridad y

disponibilidad que facilitan el almacenamiento de informacin, su consulta y su uso

compartido. Cuenta con ms de 20 000 empleados en ms de 50 pases, y el 99 % de las

empresas de la lista Fortune 500 son clientes suyos. En el ejercicio fiscal de 2013, registr

una facturacin de 6 900 millones de dlares estadounidenses.

Visite www.symantec.es para obtener ms informacin o go.symantec.com/socialmedia para conectarse con nosotros en las redes sociales.

Symantec Espaa

Symantec Spain S.L.

Parque Empresarial La Finca Somosaguas

Paseo del Club Deportivo, Edificio 13, oficina D1, 28223

Pozuelo de Alarcn, Madrid, Espaa

www.symantec.es/ssl

Si desea los nmeros de telfono de algn pas en concreto, consulte nuestro

sitio web. Para obtener informacin sobre productos, llame al

900 931 298 o al (+41) 26 429 77 27

2015 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de

comprobacin, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en

los Estados Unidos y en otros pases por Symantec Corporation o sus filiales. Los dems nombres pueden ser marcas comer-

ciales de sus respectivos propietarios.

symantec wstr pt3 cala

Documents

redes sociales ms conocidas

redes socialesqu

redes de bots

ms gente

informe de symantec

sitios web i

datos de acceso

gran parte