Por Tim Rains: Microsoft

Una de las regiones del mundo sobre la que no me he explayado antes es Sudamérica.  Recientemente, tuve la oportunidad de visitar un par de países de Sudamérica para encontrarme con clientes y analizar las amenazas que observan en su entorno. Esta es la primera parte de una serie de artículos en los cuales abordará las amenazas detectadas en varias ubicaciones, como Argentina, Brasil, Chile, Colombia y Uruguay. Todos estos artículos se basan en nuevos datos publicados en el Informe de inteligencia de seguridad de Microsoft volumen 15 y sus volúmenes anteriores.

Como se observa en la Figura 1, varias ubicaciones de Sudamérica tienen tasas de infección por malware (CCM) superiores al promedio mundial, mientras que algunas ubicaciones tienen tasas de infección inferiores al promedio mundial.  En el cuarto trimestre de 2012 (4Q12), Bolivia tuvo la tasa de infección más alta con 9,4 sistemas infectados por cada 1.000 que la Herramienta de eliminación de software malintencionado de Microsoft (MSRT) escaneó allí.  El promedio mundial durante el cuarto trimestre de 2012 fue de 6,0 y Uruguay tuvo la tasa de infección más baja de las ubicaciones analizadas, con una CCM de 3,1. Sin embargo, las tasas de infección en la región cambiaron drásticamente durante la primera mitad de 2013. Bolivia, Ecuador, Perú y Venezuela observaron aumentos en las tasas de infección durante el segundo trimestre de 2013 (2Q13). La tasa de infección por malware de Perú aumentó de 9,4 el primer trimestre de 2013 a 17,0 el segundo trimestre de 2013, lo que significa un incremento del 45 % en noventa días. Ecuador registró un aumento del 27 % en su tasa de infección el segundo trimestre de 2013, en tanto que Bolivia observó un incremento del 29 % durante el mismo período.

La amenaza principal responsable de los aumentos en las tasas de infección en Bolivia, Ecuador y Perú fue Win32/Gamarue, un tipo de malware que se puede distribuir mediante kits de vulnerabilidades, correos electrónicos de spam u otro malware; puede descargar archivos y robar información sobre su PC y algunas variantes de este tipo son gusanos, lo que significa que se pueden copiar a otros equipos al infectar unidades extraíbles, como unidades flash USB o discos duros portátiles. Entre el primer trimestre y el segundo trimestre de 2013, las infecciones por Win32/Gamarue aumentaron 6,9 veces en Bolivia, 4,8 veces en Ecuador y 7,5 veces en Perú. Mientras tanto, las infecciones de diversos tipos de amenazas aumentaron en Venezuela, lo que a su vez incrementó en gran medida su tasa de infección durante el segundo trimestre de 2013.  Estos tipos incluyeron a Win32/Sality, Win32/dorkbot, Win32/Nuqel, Win32/Lethic y Win32/Pramro.

Figura 1: tasas de infección por malware (CCM) para Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Paraguay, Perú, Uruguay y Venezuela, en comparación con el promedio mundial entre el primer trimestre de 2011 (1Q11) y el segundo trimestre de 2013 (2Q13).

 

La combinación de las categorías de amenaza detectadas en Sudamérica entre el primer trimestre de 2011 (1Q11) y el cuarto trimestre de 2012 (4Q12) se puede observar en la Figura 2.  Existen algunas diferencias interesantes entre las tendencias de las categorías de amenaza en Sudamérica comparativamente con las tendencias en el resto del mundo.  La Figura 3 ilustra las tendencias de categorías de amenaza en todo el mundo entre el tercer trimestre de 2011 y el cuarto trimestre de 2012. Se detectaron gusanos en entre el 15 % y el 20 % de los sistemas infectados con malware en todo el mundo entre el tercer trimestre de 2011 y el cuarto trimestre de 2012.  Se detectaron gusanos en entre el 34 % y el 39 % de los sistemas infectados con malware en Sudamérica durante el mismo período. Es decir, se detectaron gusanos en proporciones significativamente más altas en Sudamérica comparativamente con el promedio mundial.  Se detectaron ataques a vulnerabilidades en entre el 12 % y el 16 % de los sistemas infectados con malware en todo el mundo, en tanto que solo se detectaron en entre el 5 % y el 9 % de los sistemas infectados en Sudamérica durante el mismo período.  En forma general, se detectaron ladrones de contraseñas y herramientas de supervisión en una mayor proporción de los sistemas infectados en Sudamérica que en el resto del mundo.

Figura 2 (arriba): categorías de malware y software potencialmente no deseado en Sudamérica entre el primer trimestre de 2011 (1Q11) y el cuarto trimestre de 2012 (4Q12), por porcentaje de detecciones informadas de equipos; en la Figura 3 (abajo): categorías de malware y software potencialmente no deseado en todo el mundo, entre el tercer trimestre de 2011 (3Q11) y en el cuarto trimestre de 2012 (4Q12), por porcentaje de detecciones informadas de equipos; nota: los totales para cada uno de los períodos pueden ser superiores al 100 por ciento porque algunos equipos informan sobre más de una categoría de amenaza en cada período.

Algunos de los tipos de amenazas específicos detectados en Sudamérica se pueden observar en la Figura 4.  Las detecciones de Win32/Keygen han tendido al alza en Sudamérica.  Esto sugiere que las personas de la región buscan software gratis o con descuento; se sabe que los atacantes aprovechan este deseo al intentar engañar a los usuarios para que instalen malware en sus sistemas.  Win32/Autorun también se detectó en muchos sistemas de la región.  Los gusanos de ejecución automática se propagan al copiarse a sí mismos en unidades asignadas en los equipos infectados, incluyendo unidades de red o extraíbles, como unidades USB.  Win32/Banload es una familia de troyanos que descarga otro malware; este malware descargado generalmente consiste en troyanos que roban credenciales bancarias y otros tipos de datos confidenciales, y lo envía a un atacante remoto.  Los troyanos bancarios se han mostrado particularmente activos en Brasil durante muchos años.

Figura 4: tendencias de detección para diversos tipos de malware y software potencialmente no deseado, entre el primer trimestre de 2011 (1Q11) y en el cuarto trimestre de 2012 (4Q12), en Sudamérica

Existen varias ubicaciones en Sudamérica que tienen niveles superiores al promedio de sitios web maliciosos albergados en ellas, como se puede observar en las figuras 5 y 6.  El número de sistemas que albergaban malware en Brasil durante el cuarto trimestre de 2012 fue casi el triple que el promedio mundial. El promedio mundial aumentó significativamente en el primer semestre de 2013, pasando de 10,8 sitios de distribución de malware por 1000 hosts de Internet durante el cuarto trimestre de 2012 a 17,67 durante el segundo trimestre de 2013. La tasa de alojamiento de malware de Brasil se redujo de 32,0 el cuarto trimestre de 2012 a 22,16 el segundo trimestre de 2013. En Venezuela, Perú y Argentina también se detectaron sitios que albergan malware en niveles significativamente superiores al promedio mundial en el cuarto trimestre de 2012. No obstante, durante el segundo trimestre de 2013, Brasil y Venezuela seguían manteniendo niveles por sobre el alto promedio mundial.

Además, Brasil tuvo el nivel más alto de sitios de phishing alojados en ese país, en comparación con cualquier ubicación en Sudamérica el cuarto trimestre de 2012, con 12,6 sitios de phishing por 1000 hosts de Internet. Eso significó más del doble del promedio mundial de 5,1 en el mismo período. Sin embargo, se produjo una gran disminución de sitios de phishing en el Brasil a 6,5 sitios de phishing por 1000 hosts de Internet durante el segundo trimestre de 2013, en comparación con el promedio mundial de 4,24. En Chile, se observó el nivel más alto de sitios de phishing de Sudamérica durante el segundo trimestre de 2013 con 9,0 sitios de phishing por 1000 hosts.

Figura 5: estadísticas de sitios web maliciosos para Argentina, Brasil, Chile, Colombia, Ecuador, Perú, Uruguay y Venezuela, en el segundo trimestre de 2013

Colombia ha alcanzado su nivel más alto de sitios de descargas ocultas alojados durante el tercer trimestre de 2012 (0,72 direcciones URL de descargas ocultas por cada 1000 URL alojadas allí), pero el número de sitios de descargas ocultas disminuyó de manera importante durante el cuarto trimestre de 2012 (0,01). El promedio mundial durante el cuarto trimestre de 2012 fue de 0,33.  Durante el segundo trimestre de 2013, el número de sitios de descargas ocultas alojados en Colombia volvió a aumentar a 0,90. Como se puede observar en la Figura 6, el promedio mundial durante el segundo trimestre de 2013 también aumentó de manera considerable. Argentina tuvo el nivel más alto de sitios de descargas ocultas el segundo trimestre de 2013 con 1,52 direcciones URL de descargas ocultas por cada 1000 URL alojadas.

Figura 6: estadísticas de sitios de descargas ocultas en Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Paraguay, Perú y Venezuela durante la primera mitad de 2013

Solicité a Roberto Arbeláez Cortés, Asesor principal en seguridad de Microsoft para las Américas, más datos locales sobre lo que ha estado sucediendo en Sudamérica.  Me señaló lo siguiente:

Desde una perspectiva de seguridad, Sudamérica es una región muy activa y dinámica. Las amenazas van desde ataques de DoS (denegación de servicio) y degradaciones de sitios web a intrusiones muy complejas dirigidas a organizaciones del sector público y privado. Parte de la actividad parece constituir activismo de hackers (ataques influenciados por movimientos activistas).

Algunos países han adoptado tecnología como smartphones e Internet de banda ancha; en algunos casos, los niveles de adopción superan a los alcanzados en las regiones donde se produjo una adopción más temprana). En muchos de estos países, las agencias de seguridad han desarrollado capacidades de análisis forense e investigación digital, en tanto que los legisladores han ampliado o adaptado su marco jurídico con el fin de procesar mejor los delitos cibernéticos y los delitos tradicionales respaldados por la tecnología. Por otra parte, existen países con bajos niveles de adopción de Internet, capacidades electrónicas básicas o inexistentes del sector público y escasez o ausencia de comercio electrónico.

A pesar de estas diferencias, la actividad maliciosa ha aumentado en toda la región durante los últimos años. Estos ataques son, por lo general, ataques DDoS (Denegación de servicio distribuida) o degradaciones de páginas web.

Los ataques más avanzados son con frecuencia se dirigen al sector financiero, donde la ganancia monetaria es el objetivo principal.  Los ataques van desde phishing básico a malware de robo de identidad más complejo, secuestro de cajeros automáticos, "skimming" y muchos otros.  Por esta razón, la mayoría de los bancos de la región han aplicado sólidas medidas de autenticación que incluyen el uso de identificadores RSA, autenticación biométrica y otros dispositivos similares para la banca de consumo minorista, opciones mucho más avanzadas de las que normalmente se observan en la mayoría de los demás países.
 
La mayoría de los países en Sudamérica también han desarrollado anexos a sus códigos penales para procesar los delitos cibernéticos y, aunque la mayoría no son signatarios de tratados de cooperación internacionales para la condena de delitos cibernéticos, algunas organizaciones multilaterales están trabajando en un marco de cooperación transnacional basado en el tratado de Budapest.

La certificación ISO 27001 es muy importante en el mercado regional, más que en otras zonas geográficas. Los servicios de certificación tienen una gran demanda y las empresas se enorgullecen de incluir sus certificaciones ISO (como 9001, 14001 o 27001) en sus logotipos y membretes.  La mayoría de las empresas de seguridad en la región ofrecen estos servicios.

En las próximas entregas de esta serie de artículos, profundizaremos en el panorama de amenazas de ubicaciones específicas en Sudamérica.  La parte 2 de esta serie examinará la mejora considerable en la tasa de infección por malware en Brasil.
Tim Rains
Director
Informática de confianza