Symantec Informe Sobre Las Amenazas para La Seguridad de Internet Feb 2019 PDF
Symantec Informe Sobre Las Amenazas para La Seguridad de Internet Feb 2019 PDF
Symantec Informe Sobre Las Amenazas para La Seguridad de Internet Feb 2019 PDF
1
BIG NUMBERS
2
RESTROSPECTIVA DEL AÑO
3
HECHOS Y CIFRAS METODOLOGíA
Formjacking Mensajería
Cryptojacking Malware
Ransomware Dispositivos móviles
Usos de herramientas del día a día y Ataques Web
los ataques a la cadena de suministro
Ataques dirigidos
Ataques dirigidos
IoT
Nube
Economía clandestina
IoT
Interferencia electoral
URLS MALICIOSAS
56 %
ATAQUES DE FORMJACKING
ATAQUES
BLOQUEADOS
4.800 3,7M
DE FORMJACKING EN ENDPOINTS
US$ 362
4X
MÁS EVENTOS DE CRIPTOJACKING BLOQUEADOS
EN 2018 COMPARADOS CON 2017, PERO CON
TENDENCIA DE DISMINUCIÓN
52
4M
%
CAÍDA EN EVENTOS DE CRYPTOJACKING
ENTRE ENE Y DIC 2018
90 % US$ 48
33 %
12
AUMENTO
20CAÍDA
%
RANSOMWARE
GENERAL
ATAQUES
A LA CADENA
DE SUMINISTRO
%
CORREO ELECTRÓNICO POWERSHELL
MALICIOSO
%
1000
48 %
DE ARCHIVOS ADJUNTOS MALICIOSOS DE
CORREO ELECTRÓNICO SON ARCHIVOS DE
OFFICE, CONTRA APENAS 5% EN 2017
AUMENTO
EN SCRIPTS
MALICIOSOS DE
POWERSHELL
NÚMERO DE GRUPOS NÚMERO PROMEDIO
DE ATAQUE QUE DE ORGANIZACIONES
EMPLEAN MALWARE AFECTADAS POR CADA
55
DESTRUCTIVO GRUPO DE ATAQUE
%
RETROSPECTIVA
DEL AÑO 2
Gran parte de esta actividad de secuestro de formularios ha
DE LOS CRIMINALES.
contacto VisionDirect.
Este aumento en el formjacking refleja el crecimiento general
en los ataques a la cadena de suministro que discutimos en
ISTR 23, con Magecart en muchos casos se dirige a servicios
Los incidentes de formjacking: el uso de código JavaScript de terceros para obtener su código en sitios web específicos.
malicioso para robar los detalles de las tarjetas de crédito En la violación de alto perfil de Ticketmaster, por ejemplo,
y otra información de los formularios de pago en las Magecart comprometió un chatbot de terceros, que cargaba
páginas web de pago en sitios de comercio electrónico, código malicioso en los navegadores web de los visitantes
tuvieron una tendencia al alza en 2018. del sitio web de Ticketmaster, con el objetivo de recopilar los
datos de pago de los clientes.
Los datos de Symantec muestran que 4.818 sitios web
diferentes se vieron comprometidos con el código de Si bien los ataques a empresas conocidas son titulares,
formjacking todos los meses en 2018. Con los datos de la telemetría de Symantec muestra que a menudo son
una sola tarjeta de crédito que se venden por hasta US$ minoristas pequeños y medianos, que venden productos que
45 en mercados clandestinos, solo 10 tarjetas de crédito varían desde prendas de vestir, equipos de jardinería hasta
robadas de sitios web comprometidos podrían resultar suministros médicos, a los que se les ha inyectado un código
en un rendimiento de hasta US$ 2.2 millones para los formjacking en sus sitios web. Este es un problema global con
delincuentes cibernéticos cada mes. La atracción por el la posibilidad de afectar a cualquier negocio que acepte pagos
formjacking de los ciberdelincuentes es clara. de clientes en línea.
Symantec bloqueó más de 3.7 millones de intentos El crecimiento en el secuestro de formularios en 2018
de formjacking en 2018, con más de 1 millón de estos puede explicarse parcialmente por la caída en el valor de
bloqueos ocurriendo solo en los últimos dos meses del las criptomonedas durante el año: los ciberdelincuentes que
año. La actividad de secuestro de formulario ocurrió a lo pueden haber utilizado sitios web para el cryptojacking ahora
largo de 2018, con un repunte anómalo en la actividad en pueden optar por el secuestro de formularios. El valor de
mayo (556.000 intentos solo en ese mes), seguido de una los detalles de tarjetas de crédito robadas en el subsistema
tendencia general al alza en la actividad en la última mitad cibernético es probablemente más seguro que el valor de las
del año. criptomonedas en el clima actual.
AMENAZAS.
legítimo. Los desarrolladores continuaron siendo explotados
como fuente de ataques en la cadena de suministro, ya sea
a través de grupos de ataque que robaban credenciales
para herramientas de control de versiones, o por grupos de
ataque que comprometen bibliotecas de terceros que están
integradas en proyectos de software más grandes.
En informes anteriores, destacamos la tendencia de los los grupos de ataque emplearon exploits de día cero, una El aumento en los ataques de formjacking en 2018 reforzó
grupos de ataque que optan por herramientas estándar y disminución en relación al 27% observado en 2017. También la forma en que la cadena de suministro puede ser un punto
características del sistema operativo para llevar a cabo los comenzamos a ver ataques que se basan únicamente en débil para los minoristas online y los sitios de comercio
ataques. Esta tendencia de usos de herramientas del día a día usos de herramientas del día a día y no utilizan ningún electrónico. Muchos de estos ataques de formjacking fueron
no muestra señales de disminuir, de hecho, hubo un aumento código malicioso. El grupo de ataque dirigido Gallmaker el resultado de que los grupos de ataque comprometieron
significativo en ciertas actividades en 2018. El uso de es un ejemplo de este cambio, con el grupo utilizando los servicios de terceros comúnmente utilizados por los
PowerShell ahora es un elemento básico tanto de los delitos exclusivamente las herramientas generalmente disponibles minoristas online, como los chatbots o los widgets de revisión
cibernéticos como de los ataques dirigidos, que se refleja para llevar a cabo sus actividades maliciosas. de clientes.
en un aumento masivo del 1.000% en scripts maliciosos de
PowerShell bloqueados en 2018 en el endpoint. Las amenazas autopropagantes continuaron creando dolores Tanto los ataques de la cadena de suministro como los usos
de cabeza para las organizaciones, pero, a diferencia de los de herramientas del día a día resaltan los desafíos a los que
En 2018, los archivos de Microsoft Office representaron gusanos antiguos, los gusanos modernos, no utilizan las se enfrentan las organizaciones y las personas, y los ataques
casi la mitad (48%) de todos los archivos adjuntos de vulnerabilidades de explotación remota para propagarse. llegan cada vez más a través de canales confiables, utilizando
correo electrónico maliciosos, saltando desde solo el 5% en En cambio, gusanos como Emotet (Trojan.Emotet) y Qakbot métodos de ataque sin archivos o herramientas legítimas con
2017. Los grupos de cibercrimen, como Mealybug y Necurs, (W32.Qakbot) utilizan técnicas sencillas que incluyen la fines maliciosos.
continuaron usando macros en los archivos de Office como su eliminación de contraseñas de la memoria o el acceso
método preferido para propagar las cargas útiles maliciosas forzado a los recursos compartidos de la red para moverse Si bien bloqueamos en promedio 115.000 scripts maliciosos
en 2018, pero también experimentaron con archivos XML lateralmente a través de una red. de PowerShell cada mes, esto solo representa menos del 1%
maliciosos y archivos de Office con cargas útiles DDE. del uso general de PowerShell. La identificación y el bloqueo
Los ataques a la cadena de suministro continuaron siendo una efectivos de estos ataques requieren el uso de métodos
El uso de exploits de día cero por parte de grupos de ataque característica del panorama de amenazas, con un aumento de detección avanzados, como los análisis y el aprendizaje
dirigidos continuó disminuyendo en 2018. Sólo el 23% de de los ataques del 78% en 2018. Los ataques a la cadena automático.
AMBICIOSO
2018, con nuevos grupos emergentes y grupos existentes que nuevos en 2017 y 2018, hubo un gran cambio en la forma en
continuaron refinando sus herramientas y tácticas. que se descubrieron estos grupos. Dos de los cuatro nuevos
Los grupos de ataque más grandes y más activos mostraron grupos expuestos durante 2018 se descubrieron a través del
aumentar su actividad durante 2018. Los 20 grupos más uso de herramientas del día a día. De hecho, uno de esos dos
activos seguidos por Symantec lograron un promedio de 55 grupos (Gallmaker) no utiliza ningún malware en sus ataques,
organizaciones en los últimos tres años, frente a los 42 entre confiando exclusivamente en los usos de herramientas del día
2015 y 2017. a día y en herramientas de piratería disponibles públicamente.
El uso de herramientas del día a día ha sido cada vez más
ATAQUES
utilizado por grupos de ataque dirigidos en los últimos años
porque puede ayudar a los grupos de ataque a mantener
un perfil bajo al ocultar su actividad en un volumen de
procesos legítimos. Esta tendencia fue una de las principales
DIRIGIDOS.
motivaciones para que Symantec creara su solución de
Análisis de Ataque Dirigido (TAA) en 2018, que aprovecha
la inteligencia artificial avanzada para detectar patrones de
actividad maliciosa asociada con ataques dirigidos. En dos
ocasiones durante 2018, descubrimos grupos de ataque
dirigidos previamente desconocidos en investigaciones
que comenzaron con TAA activada a través de usos de
Una tendencia notable fue la diversificación de objetivos, herramientas del día a día. El aumento en los usos de
con un número creciente de grupos que mostraron interés herramientas del día a día se ha reflejado en la disminución de
en comprometer las computadoras operativas, lo que otras técnicas de ataque más antiguas. La cantidad de grupos
potencialmente podría permitirles montar operaciones de ataque dirigidos que se sabe que usan vulnerabilidades de
disruptivas si así lo decidieran. día cero fue del 23%, una reducción del 27% a finales de 2017.
Esta táctica fue iniciada por el grupo de espionaje Dragonfly, Uno de los acontecimientos más dramáticos durante 2018
conocido por sus ataques a compañías energéticas. Durante fue el aumento significativo de las acusaciones en los EE.UU.
2018, observamos que el grupo Thrip comprometió a contra personas que presuntamente estuvieron involucradas
un operador de comunicaciones satelitales e infectó en espionaje patrocinado por el estado. Cuarenta y nueve
computadoras que ejecutan software que monitorea y individuos u organizaciones fueron acusados durante 2018,
controla satélites. El ataque podría haberle dado a Thrip la en comparación con cuatro en 2017 y cinco en 2016. Mientras
capacidad de interrumpir seriamente las operaciones de la que la mayoría de los titulares se dedicaron a la acusación
compañía. de 18 presuntos agentes rusos, la mayoría de los cuales
También vimos al grupo Chafer comprometer a un proveedor fueron acusados de participar en ataques relacionados con
de servicios de telecomunicaciones en Medio Oriente. las elecciones presidenciales de 2016, las acusaciones fueron
La compañía vende soluciones a múltiples operadores de mucho más amplias.
Y MÁS
telecomunicaciones en la región y el ataque pudo haber sido Junto a los ciudadanos rusos, 19 individuos u organizaciones
para facilitar la vigilancia de los usuarios finales de esos chinos fueron acusados, junto con 11 iraníes y un norcoreano.
operadores. Este destaque repentino de publicidad puede perturbar
algunas de las organizaciones mencionadas en estas
SIGILOS
Este interés en ataques potencialmente perturbadores
O
también se refleja en la cantidad de grupos que se sabe que acusaciones. Ese panorama limitará gravemente la capacidad
usan malware destructivo, un aumento de 25% en 2018. de los individuos acusados para viajar internacionalmente,
lo que podría obstaculizar potencialmente su capacidad para
Durante 2018, Symantec expuso cuatro grupos de ataques organizar operaciones contra objetivos en otros países.
dirigidos, previamente desconocidos, lo que elevó la cantidad
ELECTORAL 2018
múltiples dominios maliciosos que imitaban sitios web mensajes para alentar a las personas a no votar y actualizó
pertenecientes a organizaciones políticas. Se cree que el sus reglas para identificar cuentas falsas y proteger la
grupo de espionaje cibernético APT28 (que también ha integridad de elecciones. Twitter también publicó un archivo
sido atribuido por Seguridad Nacional y el FBI a Rusia) de tweets asociados con dos operaciones de propaganda
ha establecido algunos de estos sitios como parte de una patrocinadas por naciones que abusaron de la plataforma
campaña de spear phishing dirigida a candidatos en las para difundir la desinformación destinada a influir en la
elecciones del Congreso y Senado de 2018. Para combatir opinión pública.
ataques de suplantación de identidad de sitios web como
este, Symantec lanzó el Proyecto Dolphin, una herramienta Otros esfuerzos para combatir la interferencia en las
de seguridad gratuita para propietarios de sitios web. elecciones en 2018 incluyeron al Cibercomando de los
EE.UU. contactando a los hackers rusos directamente
Los adversarios siguieron centrándose en el uso de para decirles que habían sido identificados por agentes
Con las elecciones presidenciales de los EE.UU. en 2016 plataformas de medios sociales para influir en los votantes de los EE.UU. y estaban siendo rastreados; el DHS ofrece
impactadas por varios ataques cibernéticos, como el ataque en 2018. Aunque esto no es nada nuevo, las tácticas evaluaciones de seguridad gratuitas de las máquinas y
al Comité Nacional Demócrata (DNC), todas las miradas utilizadas se han vuelto más sofisticadas. Algunas cuentas procesos electorales estatales; y la adopción generalizada
se centraron en las elecciones parciales de 2018. Justo vinculadas a Rusia, por ejemplo, utilizaron a terceros para de los llamados sensores Albert, hardware que ayuda al
un mes después del día de las elecciones, el Comité del comprar anuncios de redes sociales para ellos y evitaron gobierno federal a supervisar la evidencia de interferencia
Congreso Nacional Republicano (NRCC) confirmó que su el uso de las direcciones IP rusas o la moneda rusa. Las con las computadoras utilizadas para ejecutar elecciones.
sistema de correo electrónico fue hackeado por un tercero cuentas falsas también comenzaron a enfocarse más
desconocido en el período previo a las elecciones. Los en la promoción de eventos y maniestaciones, que no
hackers aparentemente obtuvieron acceso a las cuentas de se monitorean tan de cerca como los anuncios dirigidos
correo electrónico de cuatro asesores principales de NRCC y políticamente.
podrían haber recolectado miles de correos electrónicos en
el transcurso de varios meses. Empresas propietarias de plataformas de redes sociales y
agencias gubernamentales tomaron un papel más proactivo
Luego, en enero de 2019, el DNC reveló que fue objetivo para combatir la interferencia electoral en 2018. Facebook
de un ataque fallido de phishing poco después de que creó una “sala de guerra” para afrontar la interferencia
terminaran las elecciones de 2018. Se cree que el grupo de electoral y bloqueó numerosas cuentas y páginas
espionaje cibernético APT29, que ha sido atribuido por el sospechosas de estar vinculadas con entidades extranjeras
Departamento de Seguridad Nacional de EE.UU. (DHS) y el que intentan influir en la política en los EE.UU., Reino Unido,
FBI a Rusia, es responsable de la campaña. Oriente Medio, y latinoamerica.
1 2 3
TASA DE CORREO ELECTRÓNICO MALICIOSO (AÑO) CORREO ELECTRÓNICO MALICIOSO POR USUARIO (MES)
30%
2018
El porcentaje de usuarios afectados 25%
20%
10%
2018
7,8% 5%
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
TASA DE CORREO ELECTRÓNICO MALICIOSO (MES) TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO (MES)
Usuarios afectados (%)
200 14%
300 12%
TASA DE CORREO ELECTRÓNICO MALICIOSO
400
10% POR INDUSTRIA (AÑO)
8%
500
TASA DE CORREO ELECTRÓNICO
6%
INDUSTRIA MALICIOSO (1 DE CADA)
600
4% Minería 258
700 2%
Agricultura, Forestal y Pesca 302
Administración Pública 302
800 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Manufactura 369
Comercio Mayorista 372
Tasa de correo electrónico malicioso (1 de cada) % de correo electrónico malicioso
Construcción 382
Establecimientos No Clasificables 450
Transporte & Servicios Públicos 452
Finanzas, Seguros y Mercado Inmobiliario 491
Servicios 493
Comercio Minorista 516
INDUSTRIA MALWARE DE CORREO ELECTRÓNICO (%) INDUSTRIA USUARIOS AFECTADOS (%) TAMAÑO DE LA ORGANIZACIÓN CORREO ELECTRÓNICO MALICIOSO (%)
1-250 6
TASA DE CORREO ELECTRÓNICO MALICIOSO 251-500 6
POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
501-1000 4
Los empleados de organizaciones 1001-1500 7
probabilidades de verse
1-250 323 +2501 11
251-500 356
PROMEDIO
4,5
2.500 INDUSTRIA TASA DE PHISHING (1 DE CADA) TAMAÑO DE LA ORGANIZACIÓN TASA DE PHISHING (1 DE CADA)
Italia 3.048
80
Katar 3.170
TASA DE SPAM DE CORREO ELECTRÓNICO (AÑO)
China 3.208
75
Estados Unidos 3.231
TASA DE CORREO ELECTRÓNICO DE SPAM (%)
Irlanda 3.321 70
55
Bélgica 3.322
Suecia 3.417 65
Australia 3.471
60
Suiza 3.627
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
España 3.680
Reino Unido 3.722 Spam por usuario
Omán 3.963
Papúa Nueva Guinea 4.011
Sri Lanka 4.062
Portugal 4.091
Filipinas 4.241
Canadá 4.308
INDUSTRIA TASA DE SPAM DE CORREO ELECTRÓNICO (%) TAMAÑO DE LA ORGANIZACIÓN TASA DE SPAM DE CORREO ELECTRÓNICO (%) Bélgica 56,2
Construcción 103
TASA DE CORREO ELECTRÓNICO DE SPAM POR PAÍS (AÑO) Corea del Sur 52,4
Portugal 52,1
Establecimientos No Clasificables 97
PAÍS TASA DE SPAM DE CORREO ELECTRÓNICO (%) Luxemburgo 51,4
Transporte & Servicios Públicos 93
Arabia Saudita 66,8 Malasia 51,4
Manufactura 79
China 62,2 Tailandia 51,1
Agricultura, Forestal y Pesca 66
Brasil 60,8 Irlanda 51
Administración Pública 63
Sri Lanka 60,6 India 50,9
Finanzas, Seguros y Mercado Inmobiliario 61
Noruega 59,1 Sudáfrica 50,8
Servicios 59
Omán 58,6 Suiza 50,8
5.000.000
US$ 150
US$ 100
4.000.000
US$ 50
25.000.000
20.000.000
Emotet continuó expandiendo
agresivamente su participación de 15.000.000
mercado en 2018, representando el
16% de los troyanos financieros, un 10.000.000
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
W32.Sality.AE JS.Webcoinminer
6.000.000
3.000.000
Los grupos de delitos cibernéticos,
como Mealybug y Necurs,
continuaron usando macros en los 0
archivos de Office como su método Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Hacktool.Kms Packed.Dromedan!lnk
250.000
20.000.000 120.000
200.000
15.000.000 90.000
150.000
10.000.000 60.000
100.000
5.000.000 30.000
50.000
0 0 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
200.000
tuvieron una tendencia descendente 60.000
150.000
en 2018, los descargadores de 40.000
Descargadores bloqueados
Descargadores bloqueados
SISTEMA ATAQUES
AÑO OPERATIVO BLOQUEADOS PORCENTAJE 500.000
2016 Windows 161.708.289 98,5
Mac 2.445.414 1,5
2017 Windows 165.639.264 97,6
Mac 4.011.252 2,4 400.000
2018 Windows 144.338.341 97,2
Mac 4.206.986 2,8
300.000
TOTAL DE MALWARE PARA MAC (MES)
500.000
400.000 200.000
300.000
200.000
100.000
100.000
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 0
Ataques bloqueados Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
NUEVAS VARIANTES DE MALWARE PARA MAC (AÑO) Wasm.Webcoinminer PUA.WASMcoinminer Miner.Jswebcoin Heur.AdvML.B
100.000
50.000
En 2018, Symantec bloqueó
69 millones de eventos de
cryptojacking, 4 veces 0
más eventos que 2017. Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
OSX.Shlayer OSX.AMCleaner!g1
AÑO TOTAL
25.000
2018 545.231
20.000
RANSOMWARE POR MERCADO (AÑO)
15.000
MERCADO TOTAL
Consumidores 100.907
10.000
Corporativo 444.259
5.000
PRINCIPALES RANSOMWARE POR PAÍS (AÑO)
0
PAÍS PORCENTAJE
China 16,9
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
India 14,3
Estados Unidos 13,0 Estados Unidos México Indonesia Chile
Brasil 5,0
Portugal 3,9
Sudáfrica Japón India Brasil
México 3,5
Indonesia 2,6
Japón 2,1
Portugal China
Sudáfrica 2,1
Chile 1,8
6.000.000
40.000
30.000
5.000.000
30.000
20.000 4.000.000
20.000
3.000.000
10.000
10.000 2.000.000
0 1.000.000
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Ransomware Corporativo
XMRigminer Coinminer
25.000 NUEVAS FAMILIAS DE RANSOMWARE (AÑO)
120
20.000
98
100
15.000
80 El número total de infecciones por
10.000
60 ransomware cayó, disminuyendo
5.000
40
en más del 20% en relación
al año pasado. Sin embargo,
30 28
0
20
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 10
las detecciones corporativas
superaron la tendencia,
Nuevas variantes 0
2015 2016 2017 2018
Consumidores
1.000.000
4.000
60.000
3.000
500.000
30.000 2.000
0
1.000
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic 0
Zcashminer Linux.Coinminer Gyplyraminer Bluwimps Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
Zcashminer OSX.Coinminer Linux.Coinminer CPUMiner
XMRigminer JS.Webcoinminer Coinminer Bitcoinminer Ataques bloqueados
XMRigminer Neoscryptminer JS.Webcoinminer Bitcoinminer
WASM.Webcoinminer CPUMiner
WASM.Webcoinminer Coinminer
30.000
hacia los usos de herramientas del Abr
May
0,4
1,3
250
77
día a día.
20.000
Jun 0,9 111
10.000
Jul 1,4 71
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ago 0,8 125
Sep 1,0 100
Zbot Ramnit Emotet Carberp MALWARE CAPAZ DE IDENTIFICAR MÁQUINAS Oct 1,0 100
VIRTUALES (AÑO)
Trickybot Qakbot Cridex Bebloh Nov 0,7 143
25%
Shylock Dic 0,7 143
Cidox/Rovnix
20%
20%
18%
16%
15% DETECCIONES DE POWERSHELL (AÑO)
PRINCIPALES TROYANOS FINANCIEROS (AÑO) 15%
33
Si bien el número total de infecciones de malware móvil disminuyó durante
2018, hubo un rápido aumento en el número de infecciones de ransomware en
%
dispositivos móviles, un tercio más que en 2017. EE.UU. Fue el más afectado por
el ransomware móvil, con un 63% de infecciones. Le siguieron China (13%) y
Alemania (10%).
La gestión de la seguridad de los dispositivos móviles continúa presentando
un desafío para las organizaciones. Durante 2018, uno de cada 36 dispositivos
utilizados en las organizaciones se clasificó como de alto riesgo. Esto incluía
dispositivos que estaban enraizados o liberados, junto con dispositivos que
tenían un alto grado de certeza de que se había instalado malware.
UNO DISPOSITIVOS
MÓVILES HABÍA
DE INSTALADO
APLICACIONES INFECCIONES POR
CADA DE ALTO RIESGO RANSOMWARE EN
DISPOSITIVOS
MÓVILES
AUMENTARON
DESDE 2017
NUEVAS VARIANTES DE MALWARE NUEVAS FAMILIAS DE MALWARE
PARA DISPOSITIVOS MÓVILES (AÑO) PARA DISPOSITIVOS MÓVILES (AÑO)
8.000 80 En 2018, Symantec bloqueó un
6.705 7.000
68
70 promedio de 10.573 aplicaciones
móviles maliciosas por día.
5.932
6.000 60
50
5.000 50
Herramientas (39%), Estilo de
Vida (15%), y Entretenimiento
4.000 40
3.000 30
POR DÍA
4.675
SEGMENTO PORCENTAJE
Porcentaje de Malware
Consumidores 13,4
Corporativo 10,5
DISPOSITIVOS CON ACCESO ROOT O DESBLOQUEADOS (AÑO)
DISPOSITIVOS EJECUTANDO LA VERSIÓN MÁS RECIENTE
DE IOS (AÑO)
SEGMENTO RELACIÓN (1 DE CADA) NIVELES DE RIESGO DE DISPOSITIVOS (AÑO)
Consumidores Android 23
Corporativo Android 3.890 NIVEL DE RIESGO DE DISPOSITIVOS RELACIÓN (1 DE CADA)
Consumidores iOS 828 Mínimo 2
Otros
Corporativo iOS 4.951 Bajo 4 21,7%
Medio 4
Alto
DISPOSITIVOS MÓVILES PROTEGIDOS POR CONTRASEÑA (incluido los dispositivos con acceso root/desbloqueados/ 36
POR SEGMENTO (AÑO)
que cieramente poseen instancias de malware instaladas)
Versión incremental Versión principal
más reciente más reciente
29,7% 48,6%
SEGMENTO PORCENTAJE
Consumidores 97,9
Corporativo 98,4
30% en 2017, cayó a 26% en 2018. 2018 6,9 14,5 -2 2018 2,2 46,3 0,5
AÑO
APLICACIONES QUE ACCEDEN A
DATOS DE ALTO RIESGO
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 19,4 5,2 móviles durante 2018, un tercio en
2016 63 1,6
2017
2018
30,5
26,4
3,3
3,8
11,1
-4,1
comparación con 2017.
2017 54,6 1,8 -8,4
2018 46 2,2 -8,6
PORCENTAJE DE
ORGANIZACIONES AFECTADAS
POR APLICACIONES QUE UTILIZAN RELACIÓN DIFERENCIA
AÑO HOT PATCHING (1 DE CADA) PORCENTUAL
350
10.000
300
8.000
250
6.000 200
150
4.000
100
2.000
50
0 0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
1.122.229
en total Symantec bloqueó 3.7 millones
de intentos de secuestro de formularios
en dispositivos de endpoint en 2018.
Más de un tercio de la actividad de 2 o
TRI 1,000,000
formjacking tuvo lugar en el último
trimestre de 2018, con 1.36 millones de
intentos de formjacking bloqueados solo
en ese período.
800,000
697.187
600,000
1o TRI
551.117
3o TRI
400,000
200,000
FORMJACKING POR MES
ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
ATAQUES WEB (AÑO) PRINCIPALES CATEGORÍAS DE SITIOS WEB URLS DE PHISHING (AÑO)
COMPROMETIDOS (AÑO)
PROMEDIO DE ATAQUES WEB PORCENTAJE
TOTAL DE ATAQUES WEB BLOQUEADOS BLOQUEADOS POR DÍA PORCENTAJE DE TODAS
CATEGORÍAS DE DIFERENCIA
DE TODAS RELACIÓN LAS URLS RELACIÓN VARIACIÓN DIFERENCIA
348.136.985 953.800 DOMINIO 2017 (%) 2018 (%) PORCENTUAL AÑO LAS URLS (1 DE CADA) MALICIOSAS (1 DE CADA) PORCENTUAL PORCENTUAL
DNS Dinámico 15,7 16,6 0,8 2017 0,4 235 6,6 15
Apuestas 7,9 16,3 8,4 2018 0,6 170 5,9 17 38,1 0,2
ATAQUES WEB (MES) Alojamiento 8,2 8,7 0,5
50.000.000 Tecnología 13,6 8,1 -5,5
Compras 4,6 8,1 3,6
40.000.000
ATAQUES DE FORMJACKING (AÑO)
Negocios 9,0 7,2 -1,7
Pornografia 3,2 5,2 2,1
30.000.000 AÑO ATAQUES DE FORMJACKING
Salud 5,7 4,5 -1,2
2018 3.733.523
Educación 3,7 3,9 0,2
20.000.000
Red de Entrega de
2,1 2,6 0,6
Contenido
10.000.000
ATAQUES DE FORMJACKING (MES)
600.000
0
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
URLS MALICIOSAS (AÑO) 500.000
100.000
1.200.000
Ataques Web por día AÑO PROMEDIO DE SITIOS WEB POR MES
2018 4.818
49
ESTABLECIDAS COMO VÍCTIMAS POR GRUPO
phishing fueron la vía más popular para el ataque y fueron utilizados por el 65% de todos los
(LOS 20 GRUPOS MÁS ACTIVOS)
grupos conocidos. La razón más probable para que una organización experimente un ataque
dirigido fue la recopilación de inteligencia, que es el motivo para el 96% de los grupos.
Junto con el aumento en la popularidad de los usos de herramientas del día a día, el uso de
vulnerabilidades de día cero disminuyó en 2018, con solo el 23% de los grupos conocidos
aplicando exploits de día cero, frente al 27% en 2017. Aunque todavía es un área de nicho,
el uso de instancias de malware destructivo continuó creciendo. Se sabe que el 8% de los
grupos utiliza herramientas destructivas, un aumento del 25% con respecto a 2017.
CHINA
65% 96%
de los grupos utilizaron de la motivación principal de
spear phishing como vector
principal de infección
los grupos continúa siendo la
recopilación de inteligencia
18
23% 8% RUSSIA
de los gupos de los grupos
utilizan utilizan
5
vulnerabilidades
de día cero
malware
destructivo
11
IRÁN
4
1
COREA DEL NORTE
100
60%
de inteligencia, que es el motivo
40% para el 96% de los grupos.
50
20%
10%
6%
0
2016 2017 2018 0
Financiero Disruptivo Inteligencia
7
80%
6
5 60%
4
40%
3
2 20%
10%
1 1%
0
0 3 2 1
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Motivos por grupo
Número de grupo
Porcentaje de grupos
NÚMERO DE ORGANIZACIONES AFECTADAS
POR ATAQUES DIRIGIDOS (AÑO)
VECTORES DE INFECCIÓN POR GRUPO 582
600
300
40%
200
27% 30%
100
20%
15%
0
10% 2016 2017 2018
4%
0 Organizaciones
Vector Desconocido Un Vector Dos Vectores Tres Vectores
Porcentaje de grupos
30
2016-2018 0
2016 2017 2018
55
Número de personas acusadas
No
Sí
PORCENTAJE DE LOS GRUPOS CONOCIDOS POR EL USO DE ACUSACIONES POR LAS AUTORIDADES DE
MALWARE DESTRUCTIVO (HISTORIAL) ESTADOS UNIDOS POR PAÍS (AÑO)
Si bien todavía es un área de nicho, 50
herramientas destructivas, un 20
0
2016 2017 2018
No Rusia China
Irán
LAS
17.
20
CÁ
EN
MA
5%
RA
3.
Después de un aumento masivo en los ataques de
AL
Internet de las cosas (IoT) en 2017, la cifra de ataques
N
CO
se estabilizó en 2018, cuando la cantidad de ataques EC T
E
promedió 5.200 por mes contra el honeypot IoT de TA EN
Symantec. Los enrutadores y las cámaras conectadas DA FR
S ,
fueron, sin lugar a dudas, la principal fuente de ataques
RE UES
de IoT, representando más del 90% de todos los ataques PR AQ
ESE T
en el honeypot. La proporción de cámaras infectadas
NTAR LOSA
utilizadas en ataques aumentó considerablemente ON EL 15% DE
durante 2018. Las cámaras conectadas representaron el
15% de los ataques, frente al 3,5% en 2017. Los grupos
de ataque también se enfocaron cada vez más en Telnet
como una vía para el ataque. Telnet representó más del
L A S C Á M
90% de los intentos de ataques en 2018, un salto del
Y A
50% en 2017.
E S R A
OR L FU EN T E
S C
AD INCIPA DE AT O
T AP R
RE S EN TAN
AQU
E
NE IOT
L P DO
RU
, RE
CT
ON
DEL 9
EN
S 0%
DE
Á
ER
AD
FU
LAS ACTIVID
LOS
AS
TOD AD
ES
E
AS
D
IDENTIDADES
Identidad robada o falsa (nombre, SSN/DNI, y fecha de nacimient) US$ 0,10–1,50
Anotaciones y prescripciones médica US$ 15–20
Cuenta online de teléfono celular US$ 15–25
Registros médicos robados US$ 0,10–35
Modelos o digitalizaciones de identidad/pasaporte US$ 1–35
Documentos digitalizados (cuenta de energía eléctrica, etc.) US$ 0,50–45
Paquetes completos de identidad US$ 30–100
(nombre,dirección, teléfono, SSN/DNI, correo electrónico, cuenta bancaria, etc.)
MALWARE
Generador de descargador de macro de Office US$ 5–10
Software bot DDoS US$ 1–15
Spyware US$ 3–50
Malware de robo de criptomonedas US$ 4–60
Minería de criptomonedas (ej. Monero) US$ 10–200
Toolkit de Ransomware US$ 0–250
Toolkit común de Troyano bancario con soporte US$ 10–1.500
0 100 200 300 1000 1500 2000 2500 3000 3500 4000 4500 5000
ECONOMÍA CLANDESTINA
SERVICIOS
Pasajes aéreos y reservas de hotel 10% del valor
Servicio de lavado de dinero (en efectivo o en criptomonedas) 4–40%
Servicio de saque (cuenta bancaria, tarjeta de cajero automático e identificación falsa) US$ 350
Contratação de hacker US$ 100+
Hacker de alquiler Servicio de phishing personalizado US$ 3–12
Servicio DDoS, corta duración <1 hora (objetivos protegidos medios) US$ 5–20
Servicio DDoS, duración >24 horas (objetivos protegidos medios y fuertes) US$ 10–1,000
TARJETAS DE PAGO
Tarjeta única de crédito US$ 0,50–20
Tarjeta única de crédito con detalles completos (fullz) US$ 1–45
Datos de la banda magnética 1/2 US$ 5–60
(ej.: a través de skimming)
REDES SOCIALES
100 me gusta en las plataformas de redes sociales US$ 0,10–3
500 seguidores en redes sociales US$ 2–6
100.000 visualizaciones de videos en las redes sociales US$ 200–250
0 100 200 300 1000 1500 2000 2500 3000 3500 4000 4500 5000
TODOLOGÍA
ME
Symantec ha creado la red civil de recolección de amenazas más
grande del mundo y una de las recopilaciones más completas de
inteligencia de amenazas de ciberseguridad, a través de la Red
de Inteligencia Global de Symantec (GIN).
La Red de Inteligencia Global de Symantec comprende más Al filtrar más de 322 millones de correos electrónicos y La inteligencia de amenazas móviles, proporcionada por Estos recursos brindan a los analistas de Symantec fuentes
de 123 millones de sensores de ataque, registra miles de más de 1,5 mil millones de solicitudes web cada día, la Symantec Endpoint Protection Mobile (SEPM), se utiliza para de datos inigualables con las cuales identificar, analizar
eventos de amenazas por segundo y contiene más de 9 tecnología patentada Skeptic™ de Symantec respalda los predecir, detectar y proteger contra la gama más amplia de y proporcionar comentarios actualizados acerca de las
petabytes de datos de amenazas de seguridad. Esta red servicios de Symantec Email and Web Security. cloud™, amenazas existentes y desconocidas. La tecnología predictiva tendencias emergentes en los ataques cibernéticos, la
también supervisa las actividades de amenazas para más de que utilizan el aprendizaje automático avanzado, el análisis de SEPM utiliza un enfoque en capas que aprovecha la actividad de códigos maliciosos, phishing y el correo no
300,000 empresas y organizaciones en todo el mundo que del tráfico de la red y el análisis del comportamiento para inteligencia masiva de amenazas de múltiples proveedores, deseado. El resultado es el Informe sobre las Amenazas para
dependen de Symantec para su protección. La telemetría de detectar incluso las amenazas más sigilosas y persistentes. además del análisis basado en el dispositivo y en el servidor, la Seguridad en Internet de Symantec™, que brinda a las
toda la cartera de protección contra amenazas de Symantec Además, la solución Advanced Threat Protection for Email para proteger de forma proactiva los dispositivos móviles empresas, pequeños negocios y consumidores información
ayuda a nuestros 3.800 investigadores e ingenieros de identifica los ataques avanzaddos para correo electrónico al del malware, las amenazas de red y las vulnerabilidades de esencial para ayudar a proteger sus sistemas de manera
ciberseguridad a identificar las principales tendencias que agregar sandboxing basado en la nube, protección adicional aplicaciones y sistemas operativos. Así mismo, la tecnología efectiva ahora y en el futuro.
configuran el panorama de amenazas. contra phishing y capacidades únicas de identificación de móvil de Appthority, junto con SEPM, ofrece la capacidad
ataques dirigidos. de analizar aplicaciones móviles tanto para capacidades
Los análisis de spam, phishing y tendencias de malware maliciosas como para comportamientos no seguros y no
de correo electrónico se recopilan de una variedad de Miles de millones de URL se procesan y analizan cada mes deseados, como vulnerabilidades, riesgo de pérdida de datos
tecnologías de seguridad de correo electrónico de Symantec con las soluciones de Secure Web Gateway de Symantec, confidenciales y acciones invasivas de privacidad.
que procesan más de 2.4 mil millones de correos electrónicos que incluyen ProxySG™, Advanced Secure Gateway (ASG)
cada día, que incluyen: Symantec Messaging Gateway for y Web Security Solution (WSS), todas basadas en nuestra
Service Providers, Symantec Email Security.cloud, Symantec tecnología y contenido de WebPulse Collaborative Defense
Advanced Threat Protection for Email, Symantec CloudSOC™ en tiempo real. Esas soluciones identifican y protegen
y Symantec Probe Network. Symantec también recopila contra cargas útiles maliciosas y controlan el contenido
información sobre suplantación de identidad a través de una sensible basado en la web.
extensa comunidad antifraude de empresas, proveedores de
seguridad y partners.
Equipo Colaboradores
Brigid O’Gorman Alan Neville
Candid Wueest Alex Shehk
Dick O’Brien Brian Duckering
Gillian Cleary Chris Larsen
Hon Lau Christian Tripputi
John-Paul Power Dennis Tan
Mayee Corpin Gavin O’Gorman
Orla Cox Parveen Vashishtha
Paul Wood Pierre-Antoine Vervier
Scott Wallace Pravin Bange
Robert Keith
Sean Kiernan
Sebastian Zatorski
Seth Hardy
Shashank Srivastava
Shaun Aimoto
Siddhesh Chandrayan
Tor Skaar
Tyler Anderson
Yun Shen
Copyright © 2019
Symantec Corporation. 02/19
Todos los derechos
Sede Mundial de Para escritorios regionales, reservados. Symantec, el
Symantec Corporation números de contacto logotipo de Symantec y el
350 Ellis Street específicos por favor visite logotipo de Checkmark son
Mountain View, CA 94043 nuestro sitio web. Para marcas comerciales o marcas
EE.UU. información acerca del comerciales registradas
producto en EE.UU. llame gratis de Symantec Corporation
+1 650 527– 8000 al 1 (800) 7456054. o sus afiliados en Estados
+1 800 721–3934 Unidos y otros países. Otros
nombres pueden ser marcas
Symantec.com registradas de sus respectivos
propietarios.