Story Transcript
Informe
Informe de McAfee Labs sobre amenazas Septiembre de 2016
De media, una empresa detecta 17 incidentes de pérdida de datos al día.
Acerca de McAfee Labs
Introducción
McAfee Labs es uno de los líderes mundiales en investigación e información sobre amenazas, e innovación en ciberseguridad. Gracias a la información que recibe de millones de sensores situados en los principales vectores de amenazas: archivos, la Web, la mensajería y las redes, McAfee Labs proporciona información sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos.
¡Bienvenidos de las vacaciones! Mientras muchos veraneaban, nosotros hemos estado muy ocupados.
McAfee forma ahora parte de Intel Security. www.mcafee.com/es/mcafee-labs.aspx
Siga a McAfee Labs
Chris Young, Vicepresidente primero y Director general de Intel Security, ha sido designado por la Casa Blanca para formar parte del comité consultivo de telecomunicaciones y seguridad nacional del Departamento de Seguridad Nacional estadounidense, que se encarga de facilitar al Presidente y al ejecutivo los análisis y recomendaciones del sector sobre cuestiones de política y mejora de la seguridad nacional y de las telecomunicaciones en caso de emergencias. Justo antes del Aspen Security Forum de julio, Intel Security publicó el informe La escasez de talento en ciberseguridad: Un estudio de la falta de competencias en ciberseguridad a nivel internacional. El informe ahonda en la intervención de Intel Security en la conferencia de RSA, en la que puso de manifiesto la falta de cualificación del personal de ciberseguridad. Los investigadores del Center for Strategic and International Studies (Centro de estudios estratégicos e internacionales) encuestaron a los responsables de la toma de decisiones de TI de empresas del sector público y privado de ocho países para cuantificar la escasez de profesionales especializados en ciberseguridad y analizar las variaciones de gasto, programas de formación, estrategias del empleador y políticas públicas en este campo. El estudio concluía con recomendaciones para mejorar estas áreas y la ciberseguridad en su conjunto.
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 2
También a finales de julio, los investigadores de Intel Security se aliaron con fuerzas de seguridad internacionales para desmantelar los servidores de control desde los que se ejecutaba el ransomware Shade. Shade apareció por primera vez a finales de 2014. Infectaba a los usuarios de Europa oriental y central a través de sitios web maliciosos y archivos infectados adjuntos al correo electrónico. Además de ayudar a su desmantelamiento, Intel Security desarrolló una herramienta gratuita que descifra los archivos cifrados por este pernicioso ransomware. Encontrará más información sobre el ransomware Shade y cómo recuperarse ante un ataque aquí. Nos aliamos además con Europol, la policía holandesa y Kaspersky Lab para lanzar la iniciativa No More Ransom, una colaboración entre las fuerzas policiales y el sector privado para luchar contra el ransomware. El portal online No More Ransom informa al público sobre los peligros del ransomware y ayuda a las víctimas a recuperar sus datos sin tener que pagar ningún rescate. En el Informe de McAfee Labs sobre amenazas de septiembre de 2016, analizamos tres temas principales: ■■
■■
■■
Intel Security encargó un importante estudio de investigación para conocer mejor las entidades que se ocultan detrás del robo de datos, los tipos de datos que roban y las vías que emplean para su filtración. En este tema principal, analizamos los datos del estudio y exponemos nuestras conclusiones. Examinamos las dificultades que el ransomware plantea específicamente en el ámbito hospitalario, debido a las carencias de seguridad de sistemas anticuados y dispositivos médicos, y a la necesidad de acceso inmediato a la información por cuestiones de vida o muerte. También investigamos los ataques de ransomware que tuvieron lugar durante el primer trimestre en varios hospitales y concluimos que se trata de ataques selectivos relacionados entre sí que tuvieron éxito a pesar de ser relativamente poco sofisticados. En nuestro tercer tema principal, estudiamos el aprendizaje automático y su aplicación práctica en ciberseguridad. Explicamos las diferencias entre aprendizaje automático, computación cognitiva y redes neuronales. Además, examinamos los pros y los contras del aprendizaje automático, desmontamos los mitos al respecto y explicamos cómo puede utilizarse para mejorar la detección de amenazas.
Además... Nos acercamos a toda velocidad a la conferencia de seguridad FOCUS 16 de Intel, que se celebrará en Las Vegas del 1 al 3 de noviembre. McAfee Labs participará de muchas maneras, tanto en las sesiones temáticas y "TurboTalk" como en una nueva e interesante iniciativa, liderada por la organización de Servicios Profesionales de Foundstone de Intel Security, para impartir formación práctica diaria sobre seguridad básica. ¡Participe con nosotros en esta conferencia! Cada trimestre, descubrimos novedades a partir de la telemetría que llega hasta McAfee Global Threat Intelligence. El panel en la nube de McAfee GTI nos permite ver y analizar los patrones de ataque del mundo real, lo que después sirve para mejorar la protección de los clientes. Hemos observado que las consultas sobre productos de Intel Security que llegan a McAfee GTI varían de una temporada a otra y en la medida en que dichos productos mejoran. Estamos trabajando para caracterizar mejor estos cambios y anticiparnos a ellos. ■■
■■
■■
■■
McAfee GTI recibió de media 48,6 millones de consultas al día. Las protecciones de McAfee GTI contra archivos maliciosos siguieron una pauta muy distinta. En el segundo trimestre de 2015, registramos un máximo histórico en el número de protecciones de McAfee GTI contra archivos maliciosos, con 462 millones al día. Esta cifra cayó a 104 millones diarios en el segundo trimestre de 2016. Las protecciones de McAfee GTI contra programas potencialmente no deseados mostraron un descenso igualmente drástico con respecto al máximo del segundo trimestre de 2015, de 174 millones al día. En el segundo trimestre de 2016 la cifra fue de 30 millones diarios. Las protecciones de McAfee GTI contra direcciones IP peligrosas sumaron el número más alto de los dos últimos años. En 2015 fue de 21 millones al día. En el segundo trimestre de 2016 la cifra fue de 29 millones diarios. El resultado del segundo trimestre de 2016 creció más del doble con respecto al trimestre anterior.
A estos tres temas principales le sigue nuestro habitual bloque de estadísticas trimestrales sobre amenazas.
A través de las encuestas acerca de nuestro informe sobre amenazas seguimos recibiendo opiniones de nuestros lectores, que nos resultan de gran utilidad. Si desea transmitirnos su opinión sobre este informe, haga clic aquí para rellenar un cuestionario que le llevará apenas cinco minutos.
Comparta este informe
—Vincent Weafer, Vicepresidente primero, McAfee Labs Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 3
Índice Informe de McAfee Labs sobre amenazas Septiembre de 2016 En la investigación y redacción de este informe han participado: Christiaan Beek Joseph Fiorella Celeste Fralick Douglas Frosst Paula Greve Andrew Marwan François Paget Ted Pan Eric Peterson Craig Schmugar Rick Simon Dan Sommer Bing Sun
Resumen ejecutivo
5
Temas principales
6
Robo de información: los qué, cómo y quiénes de las fugas de datos
7
Peligro en Urgencias: el ransomware infecta los hospitales
19
Peligro acelerado de ciencias de datos de seguridad, análisis y aprendizaje automático
28
Estadísticas sobre amenazas
38
Resumen ejecutivo Robo de información: los qué, cómo y quiénes de las fugas de datos Intel Security realizó una encuesta entre profesionales de la seguridad para averiguar cómo y por qué se producen las fugas de datos. Entre otras cosas, observamos discrepancias entre los métodos actuales de protección contra pérdida de datos y los modos en que se producen las fugas.
En la mayoría de las organizaciones se producen fugas de datos. A veces los responsables son personas que pertenecen a la empresa, pero en su mayor parte los autores de los robos son agentes externos, y para sacar la información de la empresa se emplean múltiples formas y diversos canales. Las organizaciones intentan detener este flujo, cada una por sus motivos y con mayor o menor éxito. Intel Security encargó el estudio Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos, 2016) para conocer mejor a las personas que se ocultan detrás de estos robos, los tipos de datos que roban y las vías que emplean para su filtración. En este tema principal, analizamos los datos del estudio y exponemos nuestras conclusiones. Entre otras cosas, hemos observado lo siguiente: ■■
El intervalo entre una fuga de datos y su detección es cada vez mayor.
■■
Los proveedores de servicios sanitarios y los fabricantes son presas fáciles.
■■
■■
El método habitual de prevención de pérdida de datos es cada vez más ineficaz contra los nuevos objetivos de robo. La mayoría de las empresas no vigila el segundo método más frecuente de fuga de datos.
■■
La visibilidad es crucial.
■■
La prevención de pérdida de datos se implementa por las razones correctas.
También proponemos políticas y procedimientos que las empresas pueden emplear para reducir las fugas de datos.
Peligro en Urgencias: el ransomware infecta los hospitales Los hospitales se han convertido en un blanco muy atractivo para los autores de ransomware. Durante el primer trimestre, varios hospitales sufrieron ataques selectivos de ransomware relacionados entre sí que, a pesar de carecer de complejidad, tuvieron éxito.
Al haber más dispositivos conectados a Internet y aumentar el volumen de datos, los análisis serán la principal estrategia para detener a los adversarios. Para estar listos ante estas mejoras, los profesionales de la seguridad deben tener conocimientos básicos de ciencias de datos, análisis y aprendizaje automático.
Comparta este informe
En los últimos años, el ransomware ha sido una de las mayores preocupaciones para todos los profesionales de la seguridad. Lamentablemente, el ransomware es una herramienta de ciberataque sencilla y eficaz que permite ganar dinero fácil. Durante el pasado año observamos que sus objetivos han cambiado: ya no son personas, sino empresas, porque estas pagan rescates más elevados. En los últimos tiempos los hospitales se han convertido en un blanco muy atractivo para los autores de ransomware. En este tema principal, analizamos los ataques de ransomware que tuvieron lugar durante el primer trimestre en varios hospitales y concluimos que se trata de ataques selectivos relacionados entre sí que lograron tener éxito a pesar de ser relativamente poco complejos. También examinamos las dificultades plantea el ransomware, específicamente en el ámbito hospitalario, debido a la seguridad insuficiente de los sistemas anticuados y los dispositivos médicos, y a la necesidad de acceso inmediato a la información por cuestiones de vida o muerte.
Curso acelerado de ciencias de datos de seguridad, análisis y aprendizaje automático El aprendizaje automático consiste en automatizar los análisis en sistemas capaces de aprender con el tiempo. Los científicos de datos utilizan el aprendizaje automático para resolver problemas, entre ellos, los propios de la seguridad de TI. Algunos análisis responden a las preguntas "¿Qué ha ocurrido?" o "¿Por qué ha ocurrido?". Otros predicen "¿Qué ocurrirá?" o recomiendan medidas: "Recomendamos esto porque ocurrirá esto otro". En este tema principal, estudiamos el aprendizaje automático y su aplicación práctica en ciberseguridad. Explicamos las diferencias entre aprendizaje automático, computación cognitiva y redes neuronales. Además, examinamos los pros y los contras del aprendizaje automático, desmontamos los mitos y explicamos cómo puede utilizarse para mejorar la detección de amenazas. Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 5
Temas principales Robo de información: los qué, cómo y quiénes de las fugas de datos Peligro en Urgencias: el ransomware infecta los hospitales Curso acelerado de ciencias de datos de seguridad, análisis y aprendizaje automático Compartir opinión
Temas principales
Robo de información: los qué, cómo y quiénes de las fugas de datos —Douglas Frosst y Rick Simon En la mayoría de las organizaciones se producen fugas de datos; a veces los responsables son personas que pertenecen a la empresa, pero en su mayoría los roban agentes externos, y para salir de la empresa emplean múltiples formas y diversos canales. Las organizaciones intentan detener este flujo, cada una por sus motivos y con mayor o menor éxito. Queriendo analizar este problema, Intel Security encargó el 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos, 2016) para conocer mejor a las personas que se ocultan detrás de los incidentes de fugas de datos, los tipos de datos que roban, las vías de filtración que emplean y las medidas que hay que adoptar para mejorar la capacidad preventiva.
Intel Security encargó un primer estudio de investigación para ampliar la información sobre quién hay detrás de los incidentes de pérdida de datos, qué tipos de datos se pierden, de qué forma salen los datos de las organizaciones y los pasos que deben tomarse para mejorar la capacidad de prevención de pérdida de datos.
Hemos enriquecido los resultados del estudio con información de dos estudios afines. En el presente informe indicamos la fuente de este modo: ■■
■■
■■
DPB = Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security) DX = Grandes robos de datos: estudio sobre la filtración de datos DBIR = Verizon 2016 Data Breach Investigations Report (Informe sobre investigaciones de fugas de datos de 2016 de Verizon)
En las preguntas de nuestro estudio y en los análisis posteriores, utilizamos tres términos definidos eficazmente en el informe sobre investigaciones de fugas de datos de 2016 de Verizon. ■■
■■
■■
Evento: cambio inesperado de un activo de información que indica que puede haberse infringido una directiva de seguridad. Incidente: evento de seguridad que compromete la integridad, confidencialidad o disponibilidad de un activo de información. Fuga: incidente que provoca la divulgación confirmada de datos (no solo su posible exposición) a destinatarios no autorizados.
En su estudio 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016), Intel Security encuestó a personas con responsabilidades relacionadas con la seguridad en pequeñas, medianas y grandes empresas de cinco segmentos verticales y diferentes zonas geográficas. Los resultados revelan problemas que numerosas organizaciones parecen no reconocer. Entre otras cosas, observamos lo siguiente: ■■
El intervalo entre una fuga de datos y su detección es cada vez mayor.
■■
Los proveedores de servicios sanitarios y los fabricantes son presas fáciles.
■■
■■
El método habitual de prevención de pérdida de datos es cada vez más ineficaz contra los nuevos objetivos de robo. La mayoría de las empresas no vigila el segundo método más frecuente de fuga de datos.
■■
La visibilidad es crucial.
■■
La prevención de pérdida de datos se implementa por las razones correctas.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 7
Temas principales
Se roban datos cuando hay dinero en juego
El 68 % de los ataques comportan pérdidas de datos que deben comunicarse según las normativas.
La época de las fugas insignificantes y las motivaciones inocentes ha llegado prácticamente a su fin. Según el DBIR, el 89 % de las fugas están provocadas por motivaciones económicas o de espionaje, y las primeras muestran una tendencia al alza desde 2013. Dicho de otro modo, normalmente estos agresores son delincuentes que pretenden lucrarse con su actividad, o bien naciones que desean aumentar su influencia política. No es sorprendente que las empresas que poseen los datos de más valor —como información de tarjetas de pago, de identificación personal y sanitaria protegida— sean las más propensas a sufrir fugas. Sin embargo, la información personal y médica, así como la propiedad intelectual, están cobrando valor en los mercados clandestinos, por lo que ninguna organización está a salvo de un ataque. Quizá los indicios más claros de la gravedad del problema son la cantidad de leyes de privacidad que se promulgan y que, en el 68 % de las fugas, se filtraron datos confidenciales que las empresas deben declarar, de acuerdo con la normativa de divulgación pública [DX]. El cumplimiento de determinadas normas de protección de datos sigue siendo desigual, ya que las empresas suelen limitarse únicamente a las que afectan a su ámbito político o geográfico. Hay notables excepciones entre las empresas de India y Singapur que, quizá debido a sus amplias redes comerciales, admiten cumplir la mayoría o la totalidad de las 17 normas sobre las que les preguntamos. La obligación de cumplir las normativas también provoca un aumento de la supervisión y la madurez, ya que las empresas se ven obligadas a trabajar con marcos detallados. Sin embargo, por sí solo el cumplimiento de las normativas no guarda correlación con la efectividad de las defensas de seguridad ni la prevención de pérdida de datos [DPB]. No solo se producen fugas de datos en la mayoría de las organizaciones, sino que con demasiada frecuencia el equipo de seguridad interno no está al corriente. La detección por parte de las fuerzas de seguridad o de un tercero aumenta constantemente desde 2005. Los datos no solo escapan al control de la empresa, sino que probablemente para cuando se detecta el robo ya se han utilizado o vendido. Para descubrir y prevenir los ataques internamente, hace falta entender mejor quién hay detrás de estos robos, cuál es su objetivo más probable, cómo se filtran los datos y las medidas más eficaces para mejorar los sistemas y los procesos de prevención de pérdida de datos.
¿Quién deja salir los datos?
Los principales culpables de los robos de datos son agentes externos, como las naciones-estados que persiguen objetivos políticos o las bandas de delincuentes organizadas y hackers que buscan beneficios financieros.
Más de la mitad de los incidentes fueron descubiertos por una entidad que no era la organización afectada.
Los principales culpables del robo de datos son los agentes externos —entre los que figuran naciones-estados que desean aumentar su influencia política o bien delincuentes organizados o hackers que buscan un beneficio económico—, que son responsables de entre el 60 [DX] y el 80 % [DBIR] de las fugas. Esto significa que entre el 20 y el 40 % de los robos son perpetrados por personas de dentro de la empresa, es decir, empleados, contratistas y partners, la mitad de ellos de forma accidental y la otra mitad intencionadamente. Aunque puede que "no fiarse de nadie" sea exagerado, es imprescindible prestar atención a todas las partes involucradas y a las que tienen posibilidad de beneficiarse del robo o el mal uso de datos confidenciales. Todavía más preocupante es el aumento en la detección de fugas de información provocadas por agentes externos. El estudio DX indica que el 53 % de los ataques los descubren grupos externos, como hackers bienintencionados, empresas de pago y fuerzas policiales. El DBIR, más centrado en la comunicación de incidentes externos, descubrió que el 80 % de las fugas investigadas fueron inicialmente descubiertas por personas ajenas a la organización. La detección interna lleva 10 años en disminución constante y el pasado año los equipos de seguridad corporativos solo descubrieron cerca del 10 % de las fugas [DBIR].
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 8
Temas principales
¿A quién pertenecen los datos? Suponiendo que en general el número de incidentes depende del nivel de interés en los datos de un grupo en particular, y en su pérdida potencial, los resultados coinciden con lo previsto [DPB].
Media de incidentes de pérdida de datos al día 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1-5
6-10
1000-3000 empleados
11-20
3001-5000 empleados
21-30
31-50
51-75
Más de 75
Más de 5000 empleados
Fuente: Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security).
Las pequeñas empresas (1000-3000 empleados) comunican menos incidentes, siendo la media de 11-20 al día. Las medianas (3001-5000 empleados) están ligeramente más ajetreadas, con una media de 21-30 incidentes diarios. Las grandes empresas (más de 5000 empleados) tienen aún más actividad, con una media de 31-50 incidentes al día.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 9
Temas principales
Media de incidentes de pérdida de datos al día 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1-5
6-10
Asia-Pacífico
11-20
21-30
India
31-50
Norteamérica
51-75
Más de 75
Reino Unido
Fuente: Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security).
Por regiones, las empresas del área de Asia-Pacífico (Australia, Nueva Zelanda y Singapur), que además suelen ser más pequeñas, tienden a registrar cifras inferiores, con una media de 11-20 incidentes al día. La media de las organizaciones de Norteamérica y Reino Unido es de 21-30 incidentes diarios. Las empresas indias, normalmente mayores que la muestra en general, son las más activas, con una media de 31-50 incidentes diarios.
Media de incidentes de pérdida de datos al día 30 25 20 15 10 5 0 Servicios financieros Todo
Comercio minorista
Sector público
Sanidad
Fabricación
Grandes empresas Fuente: Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security).
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 10
Temas principales
El análisis sectorial muestra que los objetivos que más movimiento tienen son las empresas de distribución y servicios financieros, porque atesoran datos de tarjetas de pago e información personal, a la que cada vez se atribuye más valor. Las empresas de estos sectores verticales experimentan como media casi un 20 % más de actividad sospechosa que sus homólogas del sector público, sanidad y fabricación, y casi un 50 % cuando comparamos las empresas más grandes de cada categoría. No es de extrañar que la madurez relativa de las medidas de prevención de pérdida de datos concuerde con la actividad sospechosa, el valor percibido de los datos y los ataques previos en el sector. Los minoristas son los que aseguran con más frecuencia que sus medidas cumplen todos los requisitos. Les siguen muy de cerca los servicios financieros y las organizaciones del sector de la salud, que afirman que su solución cumple la mayoría de los requisitos, y en tercer lugar figuran los organismos oficiales. Cierran la lista los fabricantes, ya que un 25 % reconoce que solo han desplegado parcialmente sus medidas de prevención de pérdida de datos, en el mejor de los casos [DPB]. Lamentablemente, los ataques son cada vez más rápidos, mientras que la detección, y no digamos la prevención, van a la zaga. El tiempo que tarda el agresor en llegar al objetivo se mide en minutos u horas y casi siempre es cuestión de días; menos del 25 % de las fugas se descubren a los pocos días del ataque [DBIR].
¿Qué tipos de datos se filtran?
En la actualidad la mayoría de las fugas afectan a información personal de clientes o empleados.
Creemos que las diferencias de incidentes por sector vertical disminuirán en el futuro, ya que sigue bajando el número de tarjetas de crédito robadas y subiendo el valor de la información personal, los datos sanitarios y la propiedad intelectual. Ahora la mayoría de las fugas notificadas afectan a la información personal sobre clientes o empleados, mientras que los datos de pago ocupan un distante tercer puesto [DX]. Este cambio también se refleja en el formato de los documentos robados, que normalmente suelen ser datos no estructurados en archivos de Microsoft Office, PDF o solo texto. Los sistemas de detección de intrusiones y prevención de pérdida de datos son los que más ayudan a descubrir y prevenir fugas.
¿Qué tipos de controles se aplican a los datos para evitar su fuga?
Muchas organizaciones aplican solamente las formas más simples de protección frente a fuga de datos estructurados, aunque el tipo de información que se pierde es cada vez menos estructurado.
Las herramientas de prevención de pérdida de datos utilizan diversos mecanismos para supervisar o bloquear posibles fugas, como expresiones regulares, diccionarios, organización de datos no estructurados y sistemas de clasificación de datos. La configuración más simple son las expresiones regulares, que pueden crearse rápidamente para buscar números de tarjetas de crédito, números de la seguridad social y otros elementos estructurados. Sin embargo, con el incremento del valor de los datos personales y no estructurados robados, limitarse a utilizar expresiones regulares ya no basta. Por desgracia, eso es precisamente lo que hace casi un 20 % de las empresas [DPB].
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 11
Temas principales
Uso de mecanismos de configuración de DLP 40 % 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1
1000-3000 empleados
2
3001-5000 empleados
3
4
Más de 5000 empleados
Fuente: Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security).
Es comprensible que sean las pequeñas empresas las que más tienden a utilizar esta configuración básica y que, debido a la naturaleza estructurada de gran parte de sus datos, también lo hagan las empresas de servicios financieros. No obstante, las expresiones regulares son la única configuración que utilizan el 27 % de las empresas estadounidenses y el 35 % de las organizaciones británicas, una cifra demasiado elevada en unos países que concentran gran parte de los ataques. Tampoco hay mucha correlación entre la duración de la implementación y el uso de esta configuración básica, lo que indica que quizá demasiadas organizaciones trabajan tranquilamente en modo "instalar y olvidarse", una postura potencialmente peligrosa teniendo en cuenta que los ciberataques se adaptan con rapidez. Resulta preocupante que el 5 % de los encuestados, todos ellos profesionales de la seguridad, declaren no saber cómo funciona su tecnología de prevención de pérdida de datos [DPB].
¿Reciben los empleados formación en ciberseguridad? La mayoría de las empresas parecen ser conscientes de la necesidad de mantener a sus usuarios informados sobre el valor de los datos que manejan y la importancia de participar en la prevención de fugas. Más del 85 % de las empresas incluyen en sus procesos formación para el reconocimiento del valor y sensibilización sobre la seguridad, y la refuerzan con mensajes emergentes u otros métodos de notificación. En los segmentos verticales se observa la distribución habitual: casi el 90 % de las organizaciones de servicios financieros, distribución y sanidad avisan a los usuarios, pero solo lo hace el 75 % de los fabricantes. Muchos organismos oficiales han dado un paso más y un 40 % de ellos avisa automáticamente al superior del usuario [DPB].
Comparta este informe
Aunque el estudio de Intel Security no investigó si la formación en ciberseguridad funciona, otros estudios sí lo han hecho. El 2014 US State of Cybercrime Survey (Estudio sobre el estado de la ciberdelincuencia en EE. UU. 2014) de PricewaterhouseCoopers concluyó que formar en seguridad a los nuevos contratados contribuye a impedir ataques potenciales y reduce considerablemente la media de pérdidas financieras anuales como resultado de incidentes de ciberseguridad. Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 12
Temas principales
¿Cómo se extraen los datos?
Casi el 40 % de las pérdidas de datos implican el uso de algún tipo de soporte físico; pero solo un 37 % de las empresas supervisan los endpoints, incluida la actividad de los usuarios y los soportes físicos.
Aunque los objetivos del robo de datos están cambiando, los métodos empleados son los de siempre. Ahora los ciberataques son más complejos técnicamente y recurren con más frecuencia a la información recabada en medios sociales para acrecentar su credibilidad, pero las acciones básicas de las amenazas son las mismas desde hace años. Los principales métodos de allanamiento son el hacking, el malware y los ataques de ingeniería social, que siguen creciendo a más velocidad que el resto [DBIR]. La extracción de los datos propiamente dicha continúa realizándose por medios físicos, lo cual resulta sorprendente: en el 40 % de los incidentes se emplean portátiles y, sobre todo, unidades USB. Los tres principales métodos de filtración son los protocolos web, las transferencias de archivos y el correo electrónico [DX].
¿Se vigila adecuadamente el movimiento de datos? En muchos casos, el movimiento de datos no se vigila en los lugares adecuados. Cerca del 40 % de las fugas de datos implican el uso de algún tipo de soporte físico [DX], pero solo el 37 % de las empresas supervisa los endpoints, incluida la actividad de los usuarios y los soportes físicos [DPB]. La supervisión más frecuente es la de los datos en movimiento dentro de la red de confianza y en los puntos de entrada y salida (44 %), con la que al menos debería ser posible detectar gran parte del 60 % de las fugas de datos basadas en tecnologías de red, como el correo electrónico, los protocolos web y la transferencia de archivos. A pesar de que casi el 60 % de los encuestados ha desplegado aplicaciones basadas en la nube [DX] y casi el 90 % afirma tener al menos algún tipo de estrategia de protección para el almacenamiento o procesamiento en la nube, solo el 12 % ha implementado visibilidad de la actividad de los datos en la nube [DPB]. Esta negligencia podría deberse a una idea equivocada sobre los servicios de seguridad que ofrecen los proveedores de la nube, ya que se confunden las defensas de seguridad en la nube con la protección de datos. Por último, un insignificante 7 % practica el descubrimiento proactivo de datos para averiguar qué tiene y dónde está guardado. Cuando aumenta el valor que se otorga a la información personal y la propiedad intelectual, y es más frecuente la filtración de documentos no estructurados, la clasificación automatizada de datos se ha convertido en una tecnología fundamental para detectar y prevenir pérdidas de datos.
Supervisión de acciones Usos sospechosos del correo electrónico (por ejemplo, para comunicarse con los principales competidores) Intercambio o acceso a datos de identificación personal (PII) o médicos (PHI) de los empleados Uso inapropiado de datos financieros de la empresa (por ejemplo, envío de informes financieros por correo electrónico) Intercambio o acceso a datos de identificación personal (PII) o médicos (PHI) de los clientes Intercambio o acceso a datos crediticios personales (PCI) Intercambio o acceso a datos de propiedad intelectual confidenciales de la empresa (por ejemplo, planes estratégicos, diseños, diseños CAD, listas de clientes) 0
Comparta este informe
20 %
40 %
60 %
Fuente: Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security).
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 13
Temas principales
El análisis pormenorizado de los datos importantes en movimiento es una buena manera de identificar actividades sospechosas o anómalas que a menudo constituyen indicadores anticipados de una fuga de datos potencial. En general, las empresas parecen centrarse en las áreas más utilizadas en probables métodos y datos de filtración, por lo que casi el 70 % vigila si se produce actividad sospechosa en el correo electrónico y más del 50 % presta también atención al intercambio o el acceso no autorizado a los datos financieros de la compañía y la información confidencial de empleados y clientes [DPB].
Más del 25 % de las empresas no controlan si se comparte o se accede a la información confidencial de los empleados o los clientes, y solo el 37 % supervisa las dos cosas.
Sin embargo, más del 25 % de las empresas no supervisa en absoluto el intercambio o el acceso a la información confidencial de empleados o clientes, y solo un 37 % supervisa su uso en ambos casos, aunque esta cifra alcanza casi el 50 % en las grandes organizaciones. Además, la supervisión de la información personal aumenta con la madurez y el tiempo que llevan implementadas las soluciones de prevención de pérdida de datos. También tienen un impacto importante los métodos de configuración. El 65 % de las organizaciones que no saben cómo funciona la tecnología no vigilan en absoluto el uso de la información personal. No obstante, el 90 % de las que tienen activadas todas las funciones vigila la información de empleados, clientes o ambos. Siendo la información médica protegida uno de los principales objetivos actuales de robo, vigilar estos datos es crucial para detectar y prevenir fugas [DPB].
Para empeorar la situación El desarrollo de nuevos proyectos y las reorganizaciones internas son las actividades organizativas que provocan más incidentes de pérdida de datos.
Teniendo en cuenta que los ladrones buscan datos de valor, es posible que algunas actividades de las organizaciones incrementen el número de incidentes, porque insinúan que hay algo nuevo o mejorado que todavía no se ha protegido debidamente. El lanzamiento de nuevos proyectos y productos, la reorganización y la planificación estratégica encabezan la lista de actividades que pueden provocar un aumento de incidentes de seguridad, sin embargo, gracias a su obviedad y a la formación que se incluye al respecto, ese aumento tiende a mantenerse por debajo del 10 %. Al final de la lista figuran la divulgación de datos financieros no publicados, como resultados trimestrales, y el uso por parte de los empleados de las redes sociales, pero es más probable que generen un aumento de entre un 10 y un 20 % o más [DPB]. El uso de los medios sociales entre los empleados es destacable, ya que puede proporcionar a los ladrones otra fuente de información inédita y útil para mejorar los ataques de phishing y el robo de credenciales.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 14
Temas principales
Actividades que provocan el aumento de incidentes de seguridad Despliegue de nuevos proyectos (por ejemplo, campañas de marketing, precios promocionales) Reorganización interna Lanzamiento de nuevos productos (por ejemplo, hardware o software) Actividades corporativas de planificación estratégica (por ejemplo, anuncios corporativos) Temporadas de demanda máxima Fusiones/adquisiciones o desinversiones Divulgación de datos financieros (por ejemplo, informe anual/ trimestral de resultados) Uso de las redes sociales por parte de los empleados Nada en particular los incrementa 0
10 %
20 %
30 %
40 %
Fuente: Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security).
En una correlación interesante, las grandes organizaciones y las que comunican el mayor número de incidentes diarios también indican el mayor aumento porcentual de incidentes registrados después de la mayoría de estas actividades. Esto puede deberse a carencias en la planificación, formación en seguridad o actualizaciones de configuración antes del evento, ya que los nuevos datos disponibles muestran un fuerte aumento de actividad y de flujo de salida antes de que los bloqueen.
Número de incidentes de pérdida de datos al día 35 % 30 % 25 % 20 % 15 % 10 % 5% 0 1-5
6-10
11-20
21-30
31-40
41-75
Más de 75
Número de mecanismos de configuración de DLP 1
Comparta este informe
2
3
4
Fuente: Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos 2016 de Intel Security).
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 15
Temas principales
No hay prevención sin examen
Paradójicamente, cuantos más métodos de detección de pérdida de datos se activen, más probabilidades habrá de que indiquen que aún se sufren pérdidas de datos.
Probablemente, lo más difícil de la prevención de fugas de datos es encontrar falsos negativos. Una de las preguntas más útiles que se plantearon en la encuesta es si las organizaciones siguen sufriendo pérdidas de datos considerables a pesar de tener instalada una solución de prevención de pérdida de datos. Esta pregunta nos permite examinar si su percepción corresponde a la realidad, es decir, si aprovechan las herramientas al máximo y siguen las mejores prácticas, o si por el contrario, no detectan muchos de los incidentes que sufren. Dado el altísimo porcentaje de ataques descubiertos por agentes externos, los resultados no son sorprendentes. Cuantos más métodos de detección de pérdida de datos se activen, más probabilidades habrá de que indiquen que aún se sufren pérdidas de datos. En el otro extremo, el 23 % de las organizaciones que dicen no saber cómo funciona la tecnología tampoco sabe si siguen sufriendo pérdidas de datos importantes. Peor aún, el 77 % restante de este grupo está seguro de no sufrir fugas de datos. ¿Cómo lo saben? Esta confianza es peligrosa y no está fundamentada. Las organizaciones que supervisan menos también comunican menos incidentes, lo que induce a pensar que no tienen suficiente visibilidad para detectar y prevenir pérdidas de datos [DPB].
Conclusiones El intervalo entre una fuga de datos y su detección es cada vez mayor Las fugas de datos son reales y se producen en demasiadas empresas, pero lo peor es que no suelen detectarlas los equipos de seguridad internos, lo que alarga el intervalo entre detección y corrección. Y si el equipo interno no detecta los ataques, tampoco los previene. Los proveedores de servicios sanitarios y los fabricantes son presas fáciles Los sectores que recopilan grandes cantidades de datos de tarjetas de pago son los que tienen los sistemas y las prácticas de prevención de pérdida de datos más maduros. Sin embargo, ahora los datos que buscan los ladrones son más bien la información de identificación personal, la información sanitaria protegida y la propiedad intelectual. Como resultado, los sectores que normalmente tienen sistemas menos desarrollados, como la sanidad y la fabricación, corren un riesgo importante. El método habitual de prevención de pérdida de datos es cada vez más ineficaz contra los nuevos objetivos de robo Los datos no estructurados, cuyo valor está creciendo, son más difíciles de supervisar con las expresiones regulares pensadas para datos estructurados, por lo que quizá las empresas que aún emplean únicamente configuraciones simples y predeterminadas para prevenir las fugas de datos piensen que sus protecciones son más fuertes de lo que son en realidad. La mayoría de las empresas no vigila el segundo método más frecuente de fuga de datos Solo un tercio de las empresas encuestadas tienen controles para evitar la fuga de datos más importante: la que emplea soportes físicos. La prevención de pérdida de datos se implementa por las razones correctas En general, la protección de datos es la razón primordial para implementar soluciones de prevención de pérdida de datos, por encima de la obligación legal y el cumplimiento de normativas. Es un dato positivo, porque pone el acento en todo el ciclo de vida de los datos.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 16
Temas principales
La visibilidad es crucial La visibilidad facilita la información que necesitamos para actuar. Si comparamos algunas buenas prácticas con las fugas de datos comunicadas, vemos que las organizaciones que utilizan herramientas de clasificación de datos, notificaciones automáticas de seguridad, reconocimiento del valor de los datos y soluciones más maduras son las que con más probabilidad comunican fugas de datos continuas, sobre todo porque las detectan internamente. Los productos de prevención de pérdida de datos incluyen varios mecanismos de detección y deben activarse todos los que sea posible. Al principio esto aumenta el número de incidentes diarios, pero la cifra puede reducirse rápidamente si se crean reglas específicas para filtrar los falsos positivos. Mejor empezar por aquí que lidiar con un número desconocido de falsos negativos.
Políticas y procedimientos recomendables para una prevención de pérdida de datos eficaz Para impedir la transferencia inadvertida o deliberada de datos confidenciales a personas no autorizadas, es fundamental que las organizaciones elaboren políticas y procedimientos de prevención de pérdida de datos. Las iniciativas de prevención de pérdida de datos que tienen éxito empiezan en la fase de planificación, en la que se definen las necesidades de la empresa. Es en esta fase, por ejemplo, cuando deben adaptarse las políticas de clasificación y fuga de datos a las políticas de privacidad e intercambio de datos de la organización. Si las necesidades de la empresa se establecen con claridad, es más fácil centrar la iniciativa de prevención de pérdida de datos y evitar que cambie constantemente de ámbito. El siguiente paso importante de la iniciativa es identificar los datos confidenciales de la organización. Las tecnologías de análisis de servidores y endpoints permiten clasificar archivos en función de expresiones regulares, diccionarios y tipos de datos no estructurados. Los productos de prevención de pérdida de datos a menudo llevan incorporada la clasificación de categorías típicas de datos confidenciales, como datos de tarjetas de pago o información médica personal, que puede acelerar el proceso de detección. También es posible crear clasificaciones personalizadas para identificar tipos de datos exclusivos de la organización. Esta fase se complica con las aplicaciones autorizadas y no autorizadas por el departamento de TI y sus correspondientes datos en la nube. Con los datos en la nube autorizados por TI, la identificación de los datos confidenciales puede y debe formar parte del proceso de suscripción al servicio en la nube. Cuando es el caso, clasificar este tipo de datos puede ser relativamente sencillo. Sin embargo, es frecuente que los grupos funcionales de las organizaciones soslayen al departamento de TI para satisfacer sus objetivos empresariales y se suscriban a los servicios en la nube por su cuenta. Si TI no conoce estos servicios y los datos que hay detrás, la posibilidad de fuga de datos crece. Como consecuencia, durante esta fase es importante trabajar con los grupos funcionales para identificar las ubicaciones de los datos en la nube y utilizar el proceso anterior para clasificarlos. Tras completar el proceso de descubrimiento de datos confidenciales, pueden implementarse productos de prevención de pérdida de datos en la red de confianza y en todos los endpoints para obtener visibilidad y control de los datos importantes en reposo y en movimiento. Deben implementarse políticas para detectar el movimiento o el acceso imprevisto a datos confidenciales. Hay eventos, como la transferencia de datos confidenciales a dispositivos USB o a través de la red a una ubicación externa, que pueden formar parte de un proceso empresarial normal o bien constituir una acción deliberada o inadvertida que provoque una fuga de datos.
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 17
Temas principales
La probabilidad de fugas de datos puede reducirse con una formación bien elaborada que sensibilice sobre la seguridad. Los usuarios podrían aprender las medidas apropiadas para transferir datos confidenciales mediante pantallas informativas, que les permitirían formarse en las políticas de protección de datos durante su jornada laboral normal. Por ejemplo, una pantalla de notificación informaría al usuario de que su transferencia de datos confidenciales infringe las normas y le presentaría alternativas, como tachar los datos confidenciales antes de intentar transferirlos otra vez. Para descubrir cómo pueden ayudarle los productos de Intel Security a protegerse contra el robo de datos, haga clic aquí.
Normalmente, los propietarios de los datos saben mejor cómo utilizarlos que otros grupos de la organización. Deberían ser ellos los encargados de clasificar los incidentes de pérdida de datos. Separar las funciones entre los propietarios de los datos y el equipo de seguridad reduce la posibilidad de que un solo equipo burle las políticas de protección de datos. Tras establecer los movimientos de datos permitidos e incorporar las directivas que los rigen en los productos de prevención de pérdida de datos, pueden activarse las directivas que bloquean las transferencias no autorizadas de datos confidenciales. Una vez activado el bloqueo, los usuarios ya no pueden realizar acciones que infrinjan las directivas. Estas pueden matizarse con mayor o menor flexibilidad según las necesidades de la empresa para asegurar que los usuarios desempeñen sus tareas sin perder seguridad. A medida que la iniciativa de prevención de pérdida de datos avance, es importante validar y reajustar las directivas a intervalos programados. A veces son demasiado restrictivas o laxas, y afectan a la productividad o suponen un riesgo para la seguridad. Para descubrir cómo pueden ayudarle los productos de Intel Security a protegerse contra el robo de datos, haga clic aquí.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 18
Temas principales
Peligro en Urgencias: el ransomware infecta los hospitales —Joseph Fiorella and Christiaan Beek Durante los últimos años, el ransomware ha estado muy presente en la mente de todos los profesionales de la seguridad. Se trata de una herramienta para cometer ciberataques que se emplea para conseguir dinero rápido e interrumpir la actividad habitual de las empresas. De un tiempo a esta parte, hemos experimentado un cambio en los objetivos del ransomware; al pasar de ataques a particulares a empresas, los "atracadores" consiguen un botín mayor. Al principio, los objetivos eran pequeñas y medianas empresas con infraestructuras de TI inmaduras y con una capacidad limitada para recuperarse tras sufrir este tipo de ataques. Los ciberdelincuentes saben que estas víctimas, en la mayoría de los casos, pagarán el rescate.
En 2016, los autores de ransomware han dirigido sus ataques cada vez más al sector de la salud, y en especial, a los hospitales.
Sin embargo, este año el foco se ha puesto en el sector sanitario, concretamente, en los hospitales. El sector de la salud ya había sufrido durante los últimos años una cantidad considerable de fugas de datos, sin embargo, ahora observamos un cambio en la estrategia de los agresores, que emplean herramientas de ransomware fáciles de compilar para persuadir a sus víctimas y conseguir que paguen un rescate a cambio de restaurar sus datos. En lugar de usar técnicas de filtración de datos complejas para robar la información y venderla luego en el mercado negro, los agresores utilizan kits de herramientas que crean ransomware y obligan a sus víctimas a pagar inmediatamente. La principal ventaja para los agresores es que no tienen que robar los datos. Un claro ejemplo de este cambio es el ataque que sufrieron un grupo de hospitales durante el primer trimestre, que empezó por uno en la zona de Los Ángeles. La investigación por parte de Intel Security sobre este grupo de ataques reveló varias características interesantes que no se dan normalmente en los ataques sofisticados. Vamos a analizar más detenidamente algunos de estos descubrimientos y veremos por qué el sector sanitario se ha convertido en un objetivo fácil para estos ciberdelincuentes.
¿Por qué son los hospitales un objetivo fácil para el ransomware? Esto se debe a que los hospitales suelen utilizar sistemas antiguos y dispositivos médicos que no cuentan con suficiente seguridad, además de que necesitan acceso inmediato a la información.
Los profesionales que gestionan las redes y los sistemas de TI de los hospitales se enfrentan a varios desafíos. Muchos deben utilizar infraestructuras que son tan antiguas como algunos sistemas de control aéreo, y que, al igual que estos, deben estar permanentemente operativas. El personal de TI encargado del mantenimiento de estos sistemas críticos debe hacer frente a tres retos principales. ■■
■■
■■
Comparta este informe
Asegurarse de que se ofrece una atención al paciente ininterrumpida. Asegurarse de que los hospitales no son susceptibles de sufrir fugas de datos y, si ocurre, procurar que el incidente no se haga público. Trabajar con equipos anticuados en sistemas operativos anticuados.
Desgraciadamente, no es una panacea. Si se interrumpe la atención al paciente a causa de ataques de ransomware, las consecuencias pueden ser graves. Hace poco, en Columbia, Maryland, un proveedor de servicios sanitarios sufrió uno de estos ataques de fuga de datos. Los empleados de esta empresa empezaron a recibir mensajes emergentes en los que se les pedían cantidades de rescate en forma de Bitcoins. En respuesta, el proveedor desconectó parte de la red, lo que causó un trastorno considerable. Los proveedores de atención sanitaria no podían concertar citas médicas ni consultar registros médicos. Los servicios entre las redes de clínicas y hospitales quedaron interrumpidos. Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 19
Temas principales
Las fugas de datos tienen consecuencias a largo plazo entre los proveedores de servicios sanitarios. A menudo, los pacientes eligen los hospitales en función de la reputación y el nivel de servicio ofrecido. Si los hospitales adquieren mala fama debido a un ataque de ransomware, es posible que los pacientes busquen alternativas y el personal sanitario se vea tentado a ejercer su profesión en otro lugar. Por consiguiente, el impacto económico puede ser importante tanto a corto plazo (recuperación tras el ataque) como a largo plazo (impacto en la reputación, que provoca una reducción del número de pacientes). Muchos hospitales tienen dificultades para integrar las tecnologías modernas con otros sistemas más arcaicos, y en sus quirófanos se utilizan sistemas operativos anticuados que son cruciales para las vidas de los pacientes. Algunos dispositivos médicos solo son compatibles con Windows XP porque el proveedor de hardware o de software ya no existe o no se ha adaptado a las nuevas tecnologías. Los hackers lo saben, así que los dispositivos médicos se han convertido en objetivos fáciles del ransomware. Un estudio reciente del Ponemon Institute indica que la causa más común de fuga de datos en un establecimiento sanitario es un ataque delictivo.
¿Cuál fue la causa primordial de la fuga de datos de la organización sanitaria? (Se permiten varias respuestas) Ataque delictivo
Problema de un tercero
Robo de dispositivo informático Acción no intencionada de un empleado Fallo técnico de los sistemas
Agente interno malicioso Acción intencionada no maliciosa de un empleado 0
10 % 2016
20 %
30 %
40 %
50 %
2015
Fuente: Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data (Sexto estudio comparativo anual sobre la privacidad y la seguridad de los datos médicos), mayo de 2016, Ponemon Institute.
En el mismo estudio se pidió a los establecimientos sanitarios que identificaran su mayor preocupación en cuanto a seguridad. Sus preocupaciones coincidieron con lo que hemos observado. Muchos de los ataques de ransomware que vemos se producen como resultado de acciones no intencionadas de los empleados, como hacer clic en un enlace o abrir un adjunto de correo electrónico.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 20
Temas principales
Amenazas de seguridad que más preocupan a las organizaciones sanitarias (Se permiten tres respuestas) Negligencia de un empleado
Ciberdelincuentes Inseguridad de los dispositivos móviles Uso de servicios de nube pública Agentes internos maliciosos Dispositivos móviles propiedad de los empleados o BYOD Ladrones de identidades
Aplicaciones móviles no seguras (eHealth) Fallos de procesos
Fallos de sistemas Dispositivos médicos no seguros Otros
0
15 % 2016
30 %
45 %
60 %
75 %
2015
Fuente: Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data (Sexto estudio comparativo anual sobre la privacidad y la seguridad de los datos médicos), mayo de 2016, Ponemon Institute.
La combinación del uso de sistemas anticuados con una seguridad insuficiente, una falta de sensibilización de los empleados sobre los temas de seguridad, una plantilla fragmentada y la necesidad acuciante de acceso inmediato a la información es el caldo de cultivo perfecto para que los ciberdelincuentes se fijaran en este sector.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 21
Temas principales
Fases de un ataque de ransomware a un hospital Un usuario desprevenido recibe un archivo Microsoft Word adjunto a un mensaje de correo electrónico que pide a la víctima que active una macro que da instrucciones a un programa de descarga para que recoja la carga útil. Una vez instalada la carga útil, se pone en marcha la cadena de eventos que lleva a la infección con ransomware. A partir de ahí, el malware se propaga lateralmente a otros sistemas y, por el camino, sigue cifrando archivos.
Muchos de los ataques recientes de ransomware contra hospitales han comenzado cuando los empleados desprevenidos reciben un correo electrónico con un adjunto o un enlace que desencadena una serie de eventos que terminan en una infección por ransomware. Un ejemplo de este tipo de ataques usa la variante de ransomware Locky. Locky elimina las instantáneas de los archivos creados por el Servicio de instantáneas de volumen para evitar que los administradores restauren la configuración del sistema local a partir de las copias de seguridad. Por desgracia para los hospitales, este tipo de malware normalmente no solo causa estragos en dispositivos informáticos tradicionales, sino que también puede infectar dispositivos médicos como los que se utilizan en unidades de oncología o en equipos de resonancia magnética. La protección y limpieza de estos dispositivos normalmente es más compleja que la de las estaciones de trabajo y los servidores convencionales. La mayoría de estos dispositivos emplean sistemas operativos anticuados y, en algunos casos, no admiten las tecnologías de seguridad necesarias para protegerlos contra ataques de ransomware avanzados. Además, muchos de estos dispositivos son fundamentales para la atención al paciente, por lo que es esencial que estén disponibles continuamente.
Ataques selectivos de ransomware en hospitales En febrero de 2016, un hospital de California recibió un ataque de ransomware. El hospital pagó 17 000 dólares para restaurar sus archivos y sistemas después de pasar cinco días laborables paralizado.
En febrero de 2016, llegaron las primeras noticias del ataque de ransomware sufrido por un hospital de California en el que los agresores pedían un rescate de 9000 Bitcoins, unos 5,77 millones de dólares estadounidenses. Supuestamente, el hospital pagó 17 000 dólares de rescate para restaurar sus archivos y sistemas, tras sufrir una interrupción del servicio durante cinco días laborables. Aunque varios hospitales han sido víctimas del ransomware, este ataque, junto con otros sufridos por hospitales durante el mismo periodo, fue un caso especial, ya que se trataba de ataque de ransomware muy selectivo.
Un método distinto en los ataques selectivos durante el primer trimestre A menudo, el ransomware se distribuye mediante phishing, a través de mensajes de correo electrónicos con asuntos como "Error de entrega" o "Mi CV", con adjuntos que descargan el ransomware. Otro método habitual es el uso de kits de exploits. Sin embargo, ninguno de estos métodos se utilizaron en estos ataques selectivos a hospitales durante el primer trimestre. En dichos casos los agresores prefirieron aprovechar instancias vulnerables del servidor web JBoss. Mediante la herramienta de código abierto JexBoss, buscaron servidores web JBoss vulnerables y enviaron un exploit para iniciar un shell en esos hosts.
Comparta este informe
En sus ataques de ransomware, los delincuentes emplean una herramienta de código fuente para descubrir los puntos débiles de los sistemas de los hospitales.
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 22
Temas principales
Una vez que infectaron los servidores, emplearon herramientas fáciles de conseguir, para asignar la red de confianza. Mediante secuencias de comandos por lotes, los agresores ejecutaron comandos en los sistemas activos. Uno de los comandos eliminó todas las instantáneas de volumen, con el fin de impedir la restauración de los archivos.
Esta secuencia de comandos por lotes elimina todas las instantáneas del volumen para que los archivos no se puedan restaurar.
En estos ataques curiosamente el código de la secuencia de comandos se encontraba en los archivos de proceso por lotes. En la mayoría de familias de ransomware, los comandos se encuentran en el código ejecutable. ¿Por qué los agresores separan los comandos del código ejecutable? Creemos que muchos sistemas de seguridad detectan comandos de texto sin cifrar en código ejecutable, y las firmas se han creado basadas en ese comportamiento. Es probable que los agresores usaran este método para burlar las medidas de seguridad.
Encontrará un análisis detallado del ataque de samsam a los hospitales, realizado por el equipo de investigación de amenazas avanzadas de Intel Security, aquí.
La secuencia de comandos anterior también muestra que el archivo samsam.exe se copia en los servidores de destino en el archivo list.txt. Esta familia de ransomware en concreto se conoce como samsam, samsa, Samas o Mokoponi, en función de la evolución de la muestra.
Un dudoso honor entre los ciberdelincuentes Poco después de conocerse el caso del ataque al hospital de California, varios ciberdelincuentes en foros de su gremio reaccionaron a estos ataques. Por ejemplo, un usuario ruso de un importante foro de hackers expresó su malestar y mostró su antipatía por los hackers que cometieron los ataques. En los círculos clandestinos rusos, existe un cierto "código ético" que deja a los hospitales fuera de los ataques, aunque se encuentren en países que suelen ser objetivo de sus campañas y ciberataques. En otro foro delictivo especializado en el comercio de Bitcoin, hubo debates similares y se sucedieron los comentarios sobre los ataques a hospitales. El debate se alargó durante más de siete páginas. A continuación mostramos algunos ejemplos de comentarios: Dumbest hackers ever , like they couldn’t hack anything else . This kind of things will kill Bitcoin if they continue to do this shit
Yes, this is pretty sad and a new low. These ransom attacks are bad enough, but if someone were to die or be injured because of this it is just plain wrong. The hospital should have backups that they can recover from, so even if they need to wipe the system clean it would result in only a few days of lost data, or data that would later need to be manually input, but the immediate damage and risk is patient safety. Basándonos en nuestro análisis del código, creemos que los ataques a hospitales durante el primer trimestre no fueron perpetrados por los delincuentes a los que normalmente nos enfrentamos en ataques de ransomware o de fugas de datos. El código y el ataque fueron efectivos, pero no muy sofisticados. Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 23
Temas principales
Ataques a hospitales durante el primer semestre de 2016
Fecha
Víctima
Amenaza
Ubicación
06/01/2016
Hospital en Texas
Ransomware
EE. UU.
06/01/2016
Hospital en Masschusetts
Ransomware
EE. UU.
06/01/2016
Varios hospitales en Renania del Norte-Westfalia
Ransomware
ALE
06/01/2016
2 hospitales
Ransomware
AUS
19/01/2016
Hospital en Melbourne
Ransomware
AUS
03/02/2016
Hospital
Ransomware
R.U.
03/02/2016
Hospital
Ransomware
COR.
03/02/2016
Hospital
Ransomware
EE. UU.
12/02/2016
Hospital
Ransomware
R.U.
12/02/2016
Hospital
Ransomware
EE. UU.
27/02/2016
Departamento de sanidad de California
Ransomware
EE. UU.
05/03/2015
Hospital en Ottawa
Ransomware
CAN
16/03/2016
Hospital en Kentucky
Ransomware
EE. UU.
18/03/2016
Hospital en California
Ransomware
EE. UU.
21/03/2016
Consulta odontológica en Georgia
Ransomware
EE. UU.
22/03/2016
Hospital en Maryland
Ransomware
EE. UU.
23/03/2016
Hospital
Publicidad engañosa
EE. UU.
25/03/2016
Hospital en Iowa
Malware
EE. UU.
28/03/2016
Hospital en Maryland
Ransomware
EE. UU.
29/03/2016
Hospital en Indiana
Ransomware
EE. UU.
31/03/2016
Hospital en California
Ransomware
EE. UU.
09/05/2016
Hospital en Indiana
Malware
EE. UU.
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 24
Temas principales
Fecha
Víctima
Amenaza
Ubicación
16/05/2016
Hospital en Colorado
Ransomware
EE. UU.
18/05/2016
Hospital en Kansas
Malware
EE. UU.
El equipo de investigación de amenazas avanzadas de Intel Security recopiló datos públicos e internos para destacar incidentes conocidos relacionados con hospitales en la primera mitad de 2016.
Estos datos reflejan claramente que la mayoría de ataques están relacionados con el ransomware. Algunos de estos ataques, aunque no todos, fueron selectivos.
¿Cuál es la rentabilidad del ransomware? Intel Security descubrió que, durante el 1.er trimestre, un grupo relacionado de ataques selectivos a hospitales generó unos 100 000 $ en pagos de rescates.
En el caso de los ataques selectivos a hospitales durante el primer trimestre (samsam), descubrimos una gran cantidad de monederos de Bitcoin (BTC) que se usaron para pagar rescates. Tras investigar las transacciones, vimos que la cantidad pagada en rescates ascendía a unos 100 000 dólares. En un foro clandestino, una oferta de código de ransomware publicada por un desarrollador ilustra el importe de los rescates generados por los compradores. El desarrollador ofrece capturas de pantalla en las que se muestran los totales de las transacciones y la prueba de que el código de ransomware no ha podido ser detectado.
En este ejemplo, un desarrollador de ransomware proporciona una captura de un portal que administra y realiza el seguimiento de campañas.
Para mejorar su reputación, el mismo desarrollador comparte un enlace de un proveedor conocido de cadena de bloques con datos de monederos y el historial de transacciones.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 25
Temas principales
Intel Security observó que el autor y el distribuidor del ransomware recibieron 189 813 BTC durante las campañas, equivalente a casi 121 millones de dólares. Por supuesto, estos delitos también conllevan unos costes, como el alquiler de la red de bots y la compra de los kits de exploits. Sin embargo, el balance actual es de alrededor de 94 millones de dólares, que, según los propios desarrolladores, se han ganado en solo seis meses. Estas campañas demuestran la cantidad de dinero —rápido— que se puede ganar con los ataques de ransomware.
Un ejemplo de análisis de transacciones de Bitcoin.
Al revisar la información pública relativa a los ataques de ransomware a hospitales en la tabla anterior, llegamos a la conclusión de que la mayoría de víctimas no pagaron el rescate. Sin embargo, parece que los hospitales atacados con samsam sí pagaron.
En el artículo de Dark Reading “Healthcare Organizations Must Consider the Financial Impact of Ransomware Attacks" (Las organizaciones del sector de la salud deben ser conscientes del impacto financiero de los ataques de ransomware) encontrará un análisis de las consecuencias financieras de un ataque de ransomware contra un hospital.
La cantidad del rescate varía. Los mayores costes directos fueron el tiempo de inactividad (pérdida de ingresos), la respuesta a incidentes, la recuperación de sistemas, los servicios de auditoría y otros gastos relacionados con la limpieza. En los informes que hemos estudiado, los servicios sanitarios se paralizaron, al menos de manera parcial, durante cinco a diez días.
Directivas y procedimientos El paso más importante a la hora de proteger los sistemas contra el ransomware es ser consciente del problema y de cómo se propaga. Existen varias directivas y procedimientos que los hospitales pueden llevar a cabo para minimizar el éxito de los ataques de ransomware: ■■
■■
■■
Tener un plan de acción en caso de sufrir un ataque. Saber dónde se encuentran los datos importantes y saber si hay un método para filtrarlos. Realizar simulacros de recuperación frente a desastres y de continuidad del negocio con el equipo de gestión ante urgencias del hospital para validar el punto de recuperación y los objetivos de tiempo. Estos ejercicios pueden revelar consecuencias ocultas en las operaciones del hospital que de otra forma no se conocerían durante las pruebas de copia de seguridad habituales. La mayoría de los hospitales pagaron el rescate porque no contaban con un plan de contingencias. Mantener actualizados los parches de los sistemas. Hay parches disponibles que corrigen muchas de las vulnerabilidades que aprovecha el ransomware. Actualice los parches de los sistemas operativos, Java, Adobe Reader, Flash y las aplicaciones. Establezca un procedimiento de aplicación de parches y compruebe que los parches se han aplicado correctamente. Para los sistemas y los dispositivos médicos más antiguos de los hospitales a los que no se les pueden aplicar parches, limite el riesgo mediante el uso de tecnología de listas blancas de aplicaciones, que bloquea los sistemas e impide la ejecución de programas no autorizados. Separe estos sistemas y dispositivos de otras partes de la red mediante un firewall o un sistema de prevención de intrusiones. Desactive los servicios o puertos no necesarios en estos sistemas para reducir la exposición a posibles puntos de entrada de infecciones.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 26
Temas principales
■■
■■
Para descubrir cómo pueden ayudarle los productos de Intel Security a protegerse contra el ransomware en hospitales, haga clic aquí.
■■
■■
■■
■■
■■
■■
Proteger los endpoints. Utilice protección para endpoints y sus funciones avanzadas. En muchos casos, el cliente se instala solamente con las funciones predeterminadas activadas. El uso de algunas funciones avanzadas —por ejemplo, "evitar que se ejecuten archivos .exe desde la carpeta Temp"— permitirá detectar y bloquear más malware. Si es posible, evitar el almacenamiento de datos confidenciales en discos locales. Pida a los usuarios que almacenen los datos en unidades de red seguras. De esta manera se limitará el tiempo de inactividad, ya que se puede volver a crear una imagen de los sistemas infectados fácilmente. Emplear soluciones antispam. La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing que contiene un enlace o algún tipo de adjunto. En las campañas de phishing que incluyen el ransomware en un archivo .scr o algún otro formato de archivo poco común, resulta fácil definir una regla de spam que bloquee estos adjuntos. Si se autorizan los archivos .zip, analice al menos dos niveles del archivo .zip en busca de contenido malicioso. Bloquear los programas y el tráfico no deseado o innecesario. Si no necesita Tor, bloquee la aplicación y su tráfico en la red. A menudo el bloqueo de Tor impedirá que el ransomware obtenga la clave RSA pública desde el servidor de control, lo que a su vez impedirá el proceso de cifrado del ransomware. Añadir segmentación de red en los dispositivos importantes necesarios para proporcionar atención al paciente. Aislar las copias de seguridad en entornos protegidos. Asegúrese de que los sistemas de copias de seguridad, almacenamiento y cintas se encuentren en un lugar no accesible por los sistemas de las redes de producción. Si las cargas útiles recibidas como consecuencia de los ataques de ransomware se propagan lateralmente, podrían afectar a los datos de copias de seguridad. Utilizar una infraestructura virtual para registros médicos electrónicos importantes que esté aislada del resto de la red de producción. Llevar a cabo campañas continuas de concienciación de los usuarios. La mayoría de los ataques de ransomware empiezan por mensajes de correo electrónico de phishing, por lo que es extremadamente importante que los usuarios sean conscientes del peligro. Las estadísticas demuestran que de cada diez mensajes de correo electrónico enviados por los agresores, al menos uno conseguirá su objetivo. No abra mensajes de correo electrónico ni adjuntos procedentes de remitentes no verificados o desconocidos.
Para descubrir cómo pueden ayudarle los productos de Intel Security a protegerse contra el ransomware en hospitales, haga clic aquí.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 27
Temas principales
Curso acelerado sobre ciencia de datos de seguridad, análisis y aprendizaje automático —Celeste Fralick Ante enemigos que despliegan cada vez más astucia e ingenio, adoptando nuevos métodos para violar nuestra seguridad, todos los profesionales involucrados en la protección de las redes y los sistemas de TI deben contar con conocimientos básicos de la ciencia de datos, ya que ese es el futuro de la seguridad de las tecnologías de la información. Seguro que ha escuchado términos como análisis, big data, o aprendizaje automático. Aunque no sea científico de datos o estadístico, puede resultarle útil una breve introducción a estos términos. ¿Por qué? Porque a medida que se conecten más dispositivos y aumente el volumen de datos, el análisis será (si no lo es ya) su principal herramienta para enfrentarse a los enemigos. La automatización será necesaria para analizar yottabytes (1024 bytes) de datos. Para anticiparse a las amenazas y predecir vulnerabilidades, todos debemos tener conocimientos básicos de los componentes fundamentales de seguridad de la ciencia de datos.
¿Qué es la ciencia de datos?
La ciencia de datos es la confluencia de matemáticas, estadística, hardware, software, dominio (o segmento de mercado) y administración de datos.
La ciencia de datos es la confluencia de matemáticas, estadística, hardware, software, dominio (o segmento de mercado) y gestión de datos. Gestión de datos es el término general para entender la fluctuación de los datos que recopilamos a través de nuestras arquitecturas de software y hardware, así como la administración de dichos datos, las políticas aplicadas a esos datos (como los requisitos de privacidad), su almacenamiento y seguridad, y las condiciones de límites matemáticos, por nombrar algunos aspectos. La gestión de datos es tan importante como el propio algoritmo. Empecemos con la definición de una función matemática, un algoritmo y un modelo. Una función matemática es lo que aprendimos en el colegio, como a + b = c. Un algoritmo es una fórmula matemática, como una desviación estándar o una media, que analiza los datos para descubrir tendencias sobre los mismos. Un modelo representa características (o funciones) que un científico de datos examina. Un modelo permite entender el proceso y sus interacciones con otras variables. A menudo puede predecir lo que se espera que pase. Los meteorólogos usan normalmente modelos para predecir el tiempo; Nate Silver, autor de Signal and the Noise: Why So Many Predictions Fail and Some Don’t (La señal y el ruido: cómo navegar por la maraña de datos que nos inunda, localizar los que son relevantes y utilizarlos para elaborar predicciones infalibles) empleó modelos para predecir la victoria de Barack Obama en las elecciones presidenciales. Los científicos de datos normalmente aplican algoritmos y modelos matemáticos para solucionar problemas. Por ejemplo, para detectar un ataque antes de que ocurra o para detener una infección por ransomware antes de que invada una red informática. La mayoría de científicos de datos se centran en áreas de conocimiento específicas. Esta áreas incluyen el procesamiento de imágenes, el procesamiento del lenguaje natural, el control de procesos estadísticos, los algoritmos predictivos, el diseño de experimentos, el análisis de textos, la visualización y trazado de gráficos, la gestión de datos y la supervisión de procesos (consulte el gráfico que aparece más adelante). Si el científico de datos dispone de conocimientos básicos de estadística, el desarrollo y aplicación de un algoritmo se puede trasladar de un campo de conocimiento a otro.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 28
Temas principales
¿Cuál es la diferencia entre un estadístico y un científico de datos? La mayoría de estadísticos le dirá que ninguna, si el científico de datos tiene formación en estadística. Sin embargo, con la combinación del big data, el Internet de las cosas y la conectividad 24/7, la aparición de los científicos de datos ha sacado a los estadísticos a la palestra en lo relativo al desarrollo de productos. La creación de análisis únicos y basados en casos prácticos (el proceso científico de transformar datos en inteligencia empresarial) permite al estadístico y al científico de datos influir en los negocios de una forma nueva e interesante. Esto funciona especialmente bien en el desarrollo de productos de seguridad.
Conozca los términos básicos Lo que deben saber los científicos de datos
Matemáticas
Estadísticas
Software/ hardware
Administración de datos
Dominio
Definición de análisis Proceso científico que permite transformar los datos en información útil para tomar mejores decisiones.
Algunas áreas de especialidad de los análisis Minería de datos Previsiones ■■
■■
■■
■■
Control de datos Procesamiento de eventos complejo
■■
Optimización
■■
Análisis de negocio
■■
Procesamiento de lenguaje natural
Procesamiento de imágenes (IRM)
■■
Textual (medios sociales)
Aprendizaje automático
■■
■■
Diseño de experimentos
Computación cognitiva
■■
■■
■■
Visualización (representación gráfica)
Definición general de lo que un científico de datos debe saber, con ejemplos de especialidades.
¿Cómo ha evolucionado la ciencia de datos? Las fases típicas del análisis empiezan con la descripción y evolucionan hacia el diagnóstico, la predicción y la prescripción. El análisis descriptivo y de diagnóstico responde a las preguntas "qué ha pasado" y "por qué ha pasado". El análisis predictivo, que se basa en la descripción y el diagnóstico, responde a la pregunta "qué pasará". El análisis preceptivo, por su parte, se basa en la predicción y responde a "esto es lo que se recomienda porque pasará esto otro". El análisis descriptivo y de diagnóstico puede ser reactivo o proactivo. (Sí, "proactivo", no "predictivo"). La ventaja de ser proactivo es que ya ha ocurrido algo y se sabe cómo actuar para solucionarlo. Muchas veces este "árbol de decisiones" se puede usar más adelante en la fase preceptiva. Los análisis descriptivos y de diagnóstico también pueden servir simplemente para dar Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 29
Temas principales
información. Muchos proveedores de seguridad adoptan análisis descriptivos y de diagnóstico, y aplican respuestas proactivas cuando un adversario pone en riesgo al sistema. La evolución del análisis ha conocido distintas fases. Hemos pasado por el Análisis 1.0, cuando los estadísticos no intervenían y los problemas llegaban sin previo aviso. Predominaban el análisis descriptivo y de diagnóstico, y el análisis no era una parte integral del negocio. La industria de la seguridad, en conjunto, realiza normalmente análisis descriptivos y de diagnósticos muy bien, incluidos los árboles de decisión basados en reglas. Los proveedores de seguridad deben seguir esta tendencia, ya que un enfoque por capas es básico a la hora de proporcionar una cobertura de seguridad eficaz. Con el aumento de la conectividad y la evolución de las capacidades de los microprocesadores, en 2010 surgió el big data para llevarnos al Análisis 2.0. El título de científico de datos se ha popularizado y la gestión de grandes volúmenes de datos obtenidos de diversas fuentes ha sido todo un desafío para las arquitecturas de software. Mientras que los análisis predictivo y preceptivo siguen disponibles (como ya lo estaban en el Análisis 1.0), la prevalencia del análisis descriptivo y de diagnóstico se sigue aplicando a medida que evolucionan las soluciones de seguridad. La mayoría de empresas de seguridad están llegando rápidamente al Análisis 3.0; la publicidad y las publicaciones del sector ya citan estudios y aplicaciones de la analítica predictiva. El siguiente gráfico muestra la evolución general del análisis en el sector de la seguridad, desde sus inicios con 1.0 hasta la versión 3.0.
El Análisis 3.0 se centra ahora en la predicción y la prescripción. Esperamos que la mayoría de los proveedores de seguridad hayan desplegado el Análisis 3.0 antes de 2020.
El Análisis 3.0 pone el foco en la predicción y la prescripción, y estos análisis ( junto con el descriptivo y de diagnóstico) forman parte inherente de la manera de hacer negocios en las empresas. La mayoría de empresas de seguridad todavía no han llegado al Análisis 3.0, pero centran sus esfuerzos en soluciones predictivas para malware, ransomware y redes de robots malintencionados. Esperamos que la mayoría de los proveedores de seguridad hayan desplegado el Análisis 3.0 antes de 2020.
La evolución de los análisis Seguridad 2016
1.0
2.0
Innovación actual
3.0
Análisis 1.0
Análisis 2.0
Análisis 3.0
• Conjuntos de datos estructurados de fuentes internas
• Big Data: grandes volúmenes de datos complejos y sin estructurar
• Análisis descriptivos y de diagnóstico
• Datos de fuentes internas y externas
• Uso de aprendizaje automático con Big Data, aprendizaje profundo y computación cognitiva
• Reactivos pero útiles
• Detección e información rápidas y proactivas
Evolución de los análisis, con una comparación de análisis descriptivos, de diagnóstico, predictivos y preceptivos. (Utilizado con el permiso del Dr. Tom Davenport). Adoptado del International Institute for Analytics.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 30
Temas principales
Aprendizaje automático El aprendizaje automático es la acción de automatizar los análisis que utilizan ordenadores para aprender con el tiempo. Aunque se puede aplicar a los análisis descriptivos y de diagnóstico, el aprendizaje automático se usa normalmente con algoritmos predictivos y preceptivos.
El aprendizaje automático es la acción de automatizar los análisis que utilizan ordenadores para aprender con el tiempo. Aunque se puede aplicar a los análisis descriptivos y de diagnóstico, el aprendizaje automático se usa normalmente con algoritmos predictivos y preceptivos. Es posible aprender los algoritmos de agrupación o clasificación y aplicarlos a los datos entrantes; estos algoritmos pueden considerarse de diagnóstico. Si los datos entrantes se utilizan para un algoritmo predictivo; por ejemplo, ARIMA, modelo autorregresivo integrado de promedio móvil (acrónimo del inglés, autoregressive integrated moving average) o SVM, máquina de vectores de soporte (del inglés, support vector machine), el algoritmo aprende a lo largo del tiempo a asignar datos a determinados grupos o categorías, o a predecir un valor, grupo o categoría futuros. Para la asignación o predicción se presupone que ya se le ha "enseñado" al algoritmo a aprender, y es ahí donde surgen las primeras dificultades. Al igual que ocurre con todos los análisis, es fundamental definir el problema. Hay que saber de antemano cómo ayudarán los análisis a resolver el problema; cuáles son las variables, entradas y salidas del proceso; y cómo contribuirá la solución a mejorar la situación de la empresa. A continuación, garantizar que todos los datos se limpien y procesen de manera adecuada llevará aproximadamente un 80 % del total del tiempo de desarrollo analítico. Se trata de un paso que, aunque requiere mucho tiempo, es clave para identificar valores atípicos y lecturas incorrectas, así como para detectar el comportamiento de las tendencias de datos típicas. Con frecuencia los expertos en la materia subestiman el tiempo que llevan la limpieza y el procesamiento. Una vez que se ha definido el problema y han finalizado los procesos de limpieza y procesamiento de los datos, ya se pueden realizar los análisis estadísticos de la información. Dichos análisis incluyen pasos sencillos, como la distribución, desviación estándar, asimetría y curtosis que, combinados, determinarán si hay datos lineales o no lineales, así como si se debe aplicar normalización o transformaciones. Estos últimos procesos permiten a los científicos de datos cambiar los datos o su escala de forma coherente, de manera que se ajusten a un modelo específico. Las matemáticas a veces son muy complicadas. Realizar estos pasos ayuda a los científicos de datos a desarrollar los modelos para la parte de clasificación y evaluación de los sistemas del proceso de aprendizaje automático. El tipo de datos disponibles y el problema que intentan resolver los científicos determinan los modelos que deben seleccionarse. Sin duda, la pregunta más difícil que se les plantea es la siguiente: ¿Cómo sé qué modelo debo elegir? En dos palabras, los datos ayudan a determinar cuál es el modelo adecuado. Sin embargo, los científicos de datos deben probar al menos de tres a cinco modelos para encontrar el mejor. En este momento, pueden recibir mucha presión por parte de los expertos para llegar a una conclusión; sin embargo, la selección del modelo es esencial para satisfacer las necesidades del cliente y asegurar que los datos encajen en él de manera precisa y continua. A continuación, los datos se dividen en un grupo para entrenamiento y un grupo para validación. El grupo para entrenamiento (aproximadamente el 80 % del total) proporciona las relaciones previstas con los datos, y el grupo para validación (o "test") (alrededor del 20 %) garantiza la idoneidad de los mismos. Es importante entender la relación entre estos dos grupos, ya que se puede producir lo que se conoce como "sobreajuste", o inclusión injustificada de demasiados datos en el modelo, si hay más datos que se ajustan al modelo de entrenamiento que al modelo de validación. El "ajuste del modelo" en este caso puede incluir cálculos analíticos como el valor R, el valor R generalizado y el error de la media cuadrática. Es esencial probar algunos modelos, así como ir adaptando las variables que contienen (como el tipo de transformación) con el fin de obtener el mejor ajuste posible.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 31
Temas principales
Proceso general de análisis
Generación de informes
Evolución analítica Reactivo
Proactivo
Predictivo
Preceptivo
Proceso analítico general Generación de características
Extracción de características
Diseño del clasificador
Evaluación del sistema
Diseñar Experimentar
Analizar
Algoritmos
Iterativo, ensayo y error para obtener los mejores resultados
Implementar
• Comprender, filtrar, limpiar datos, preprocesar
• Estadísticas de datos básicas • Transformar/ normalizar
• Separar los datos
• Matemáticas predictivas
• Comprender las características
• Formar, validar, probar
Descripción
Proceso general de análisis que muestra la evolución analítica, las iteraciones de ensayo y error, así como descripciones y algunos ejemplos de algoritmos, y acciones. Las flechas circulares en la fila de procesos analíticos generales indican que el proceso es iterativo y no necesariamente solo lineal.
Términos relacionados con el aprendizaje automático Este proceso emplea la automatización para "aprender" relaciones, concretamente basándose en análisis predictivos y preceptivos. Si se implementan correctamente, los análisis aprenden periódica o continuamente a medida que llegan datos nuevos.
El término big data, que se hizo popular alrededor de 2010, ha dado paso a la nueva palabra de moda: "aprendizaje automático", también conocido como machine learning. Este proceso emplea la automatización para "aprender" relaciones, concretamente basándose en análisis predictivos y preceptivos. Si se implementan correctamente, los análisis aprenden periódica o continuamente a medida que llegan datos nuevos. Últimamente han surgido otros términos relacionados con el aprendizaje automático. (Véase la tabla, página 34). Vamos a examinar tres de ellos: redes neuronales, aprendizaje profundo y computación cognitiva.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 32
Temas principales
Las redes neuronales, o redes de neuronas, son una modalidad de aprendizaje automático y de algoritmo de "aprendizaje profundo". Existen muchos tipos de redes neuronales, que emulan la función de las neuronas del cerebro humano, con algunas capas ocultas, transformaciones y nodos. Con frecuencia, las redes neuronales tienen aplicado un algoritmo de validación cruzada, que se repite varias veces, seguido por una transformación logarítmica, gaussiana o tanh para dar como resultado categorías de verdaderos negativos, verdaderos positivos, falsos negativos y falsos positivos. En el pasado, las redes neuronales consumían mucho tiempo y potencia de procesamiento, pero con las nuevas mejoras en las CPU, procesadores gráficos, tecnología FPGA y memoria, las redes de neuronas se han convertido de nuevo en una potente herramienta de análisis para el aprendizaje automático, con muchas variantes entre las que elegir. Las redes neuronales se consideran un tipo de algoritmo de aprendizaje profundo asociado con frecuencia a la inteligencia artificial y tienen diversas aplicaciones, como coches autoconducibles, reconocimiento de imágenes, e interpretación y asociación de texto mediante el empleo de procesamiento del lenguaje natural. Forman parte del aprendizaje profundo algoritmos complejos, incluidos los multiclasificadores —un grupo de algoritmos que se utilizan combinados para hallar una conclusión—. El aprendizaje profundo incluye normalmente la aplicación de la memoria (por ejemplo, qué ha ocurrido antes), el razonamiento (si ha ocurrido esto, entonces aquello), y la atención a los datos actuales y a las predicciones. Otro tipo de aprendizaje automático y aprendizaje profundo es la computación cognitiva o neuromórfica. La computación es bastante compleja y hace un uso intensivo del cálculo integral. Por lo general, la computación cognitiva implica el uso de análisis con autoaprendizaje que imitan el funcionamiento del cerebro, así como el comportamiento y el razonamiento humano. Los algoritmos corticales, una forma de análisis regresivo y progresivo de n dimensiones, se pueden considerar computación neuromórfica debido a las similitudes que presentan los procesos algorítmicos con el cerebro humano y sus neuronas. En cada una de estas aplicaciones de aprendizaje automático se deben tener en cuenta varios factores: ■■
Dónde se recopilarán y procesarán los datos.
■■
Qué datos brutos se necesitan y si se pueden aplicar muestras.
■■
El coste de ancho de banda y la latencia para el cliente en términos de tiempo, dinero y recursos (personas, hardware y software).
■■
Dónde se producirá el aprendizaje periódico o (preferiblemente) continuo.
■■
Dónde, cómo y cuándo se almacenarán los datos.
■■
Con qué frecuencia se tendrá que recalcular el modelo debido a cambios en procesos, metadatos o normas de administración del cliente.
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 33
Temas principales
Conozca los términos básicos
Término
Definición
Aprendizaje automático
Análisis automático que aprende a lo largo del tiempo. Se aplica con frecuencia a algoritmos más complejos (predictivos o preceptivos).
Redes neuronales
Guardan una cierta relación con la estructura neuronal del cerebro y emplean capas con transformaciones matemáticas y datos anteriores con el fin de aprender y poder distinguir los datos adecuados de los que no lo son.
Aprendizaje profundo
Algoritmos que suelen asociarse a la inteligencia artificial, con diversas aplicaciones; por ejemplo, coches autoconducibles, reconocimiento de imágenes y procesamiento de lenguaje natural. Normalmente emplean redes neuronales y otros algoritmos complejos. Sus principales atributos son la memoria, el razonamiento y la atención.
Computación cognitiva
Sistemas de autoaprendizaje que aplican un conjunto de algoritmos complejos para imitar los procesos del cerebro humano.
Mitos del análisis y el aprendizaje automático El análisis y el aprendizaje automático no permiten resolver todos y cada uno de los problemas. Es importante tener en cuenta que el desarrollo de algoritmos de aprendizaje automático suele llevar tiempo y requiere esfuerzos coordinados, lo que también se aplica a su mantenimiento. Además, es fundamental realizar la revisión periódica de los algoritmos tras su desarrollo para garantizar el éxito de los análisis a largo plazo. Vamos a analizar mitos concretos sobre el análisis y el aprendizaje automático. (Véanse los dos gráficos siguientes). Ya hemos mencionado algunos de los mitos sobre los análisis, pero no está de más repetirlos. Recuerde: los análisis no se pueden realizar rápidamente y con un solo modelo. Limpiar, procesar y seleccionar de tres a cinco modelos para determinar si ha elegido el correcto (validación del caso práctico del cliente) y diseñar el modelo correctamente (verificación de que el cálculo y el modelo son correctos) lleva su tiempo. Los análisis no son siempre la panacea que cabría esperar. Si bien es cierto que muchos problemas logísticos pueden resolverse mediante los análisis, hay muchos otros que no. Recuerde la frase "hay tres tipos de mentiras: mentiras, grandes mentiras y estadísticas"; es habitual que el modelo sea bueno y que, sin embargo, no resuelva el problema por no haber identificado las características correctas (variables importantes estadísticamente). A este respecto, debe asegurarse de que el científico de datos tenga conocimientos básicos de estadística. Cuando el analista afirma que "x e y están correlacionadas", hay que preguntarle qué coeficiente de correlación ha empleado y si los datos son normales. A veces, le sorprenderá la respuesta; es posible que el científico necesite un repaso básico de estadística.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 34
Temas principales
Mitos de los análisis
Mito
Realidad
Se puede realizar rápidamente.
Para definir el problema y limpiar/ preparar los datos se requiere tiempo e información.
Los análisis resuelven todos sus problemas.
Puede haber un problema logístico o un error de gestión que no se pueda resolver mediante análisis.
El resultado de los análisis siempre es correcto.
Lea “Signal and the Noise: Why So Many Predictions Fail and Some Don’t” (La señal y el ruido: cómo navegar por la maraña de datos que nos inunda, localizar los que son relevantes y utilizarlos para elaborar predicciones infalibles), de Nate Silver.
No es necesario saber estadística para hacer análisis.
Es fundamental tener conocimientos de estadística para configurar e interpretar los datos correctamente.
La limpieza y preparación de los datos para los análisis son tareas fáciles. ¡A veces ni siquiera hay que hacerlas!
Los valores atípicos y los datos falsos pueden afectar a los resultados.
Una herramienta analítica puede automatizar los análisis, de manera que no es necesario saber matemáticas.
Las herramientas utilizan algoritmos y estos se basan en supuestos. Debe aprender matemáticas primero.
Los científicos de datos no deben utilizar ciegamente una herramienta automática (como JMP, RapidMiner, Hadoop o Spark) sin entender cómo funciona la automatización, en particular, las matemáticas y sus limitaciones. ¡Ponga a prueba a los científicos de datos!
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 35
Temas principales
Mitos del aprendizaje automático
Mito
Realidad
El aprendizaje automático no requiere intervención humana.
Los humanos deben preparar, limpiar, configurar y evaluar los conjuntos de datos a largo plazo.
El aprendizaje automático ofrece resultados a partir de cualquier conjunto de datos en cualquier situación.
Los datos no estructurados presentan problemas claros y pueden dar lugar a imprecisiones.
El aprendizaje automático es adaptable a todos los casos.
Algunos algoritmos de aprendizaje automático son más apropiados para conjuntos de datos de gran tamaño.
El aprendizaje automático es plug-n-play.
Hay muchos algoritmos de aprendizaje automático que probar y es necesario validar cada uno de los modelos. La selección del conjunto de datos y el modelo adecuados requiere información y lleva tiempo.
El aprendizaje automático siempre es predictivo.
Hay algoritmos de aprendizaje automático que solo clasifican y no hacen predicciones.
El aprendizaje automático es inmune a los hackers.
Si nosotros podemos desarrollarlo, los hackers pueden desarrollar algo mejor. ¡El aprendizaje secuencial y los algoritmos complejos ayudan!
Así como en los análisis generales, también existen mitos sobre el aprendizaje automático. El aprendizaje automático no es adecuado para todos los casos y requiere los mismos pasos de limpieza, procesamiento y generación de modelos que los análisis previos a la automatización. No siempre se pueden adaptar los modelos de conjuntos de datos pequeños a los grandes (big data); es posible que la distribución en el caso de los conjuntos pequeños no sea normal, mientras que la de los conjuntos grandes sí lo sea, lo que exigiría el empleo de modelos diferentes. El aprendizaje automático también se implementa y funciona de forma autónoma cuando surge el siguiente problema; sin embargo, los cambios en los procesos, las diferencias de características o la integridad de los datos (por reinicios del sistema, nuevas conexiones, etc.) pueden afectar a la precisión del algoritmo de aprendizaje automático. Por lo tanto, programe siempre revisiones analíticas tras la producción para garantizar que el modelo sigue aprendiendo correctamente y que la entrada y salida de datos son adecuadas.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 36
Temas principales
Qué buscar en la ciencia de datos, el análisis y el aprendizaje automático en seguridad Los análisis y el aprendizaje automático pueden aplicarse a todos los sectores para resolver problemas: la clave es utilizarlos de manera correcta y repetida. En seguridad, por ejemplo, los productos deben ser extremadamente precisos para poder proteger a los usuarios y garantizar que los falsos positivos y falsos negativos no perjudiquen a la empresa o al particular. Debe haber muchos científicos de datos trabajando en el producto y deben ser expertos y tener la optimización como prioridad. Esta optimización no solo debe aplicarse a las aplicaciones de generación de modelos y aprendizaje automático, sino también a cualquier hardware empleado. Las bibliotecas Intel Integrated Performance Primitives, Math Kernel Library y Data Analytics Acceleration Library son componentes fundamentales que cubren todas las fases del análisis de datos y optimizan tanto el hardware como el software.
La detección y la administración de endpoints a través de la nube maximizan el aprendizaje automático y los algoritmos predictivos.
La detección y administración de endpoints mediante la nube maximizan el aprendizaje automático y los algoritmos predictivos, con extrema consideración a las limitaciones de ancho de banda del usuario. Hay que tener en cuenta las actualizaciones de modelos de datos rutinarias y las aplicaciones de análisis más punteras. Por ejemplo, en la actualidad luchar contra el ransomware (que ha aumentado un 200 % desde enero de 2015) debe ser una prioridad en el desarrollo de tecnología de seguridad; para esta lucha pronto se desarrollarán soluciones basadas en la computación cognitiva y la inteligencia artificial. Conocer los conceptos básicos del análisis y el aprendizaje automático, así como saber qué hacen los científicos de datos sirve para entender los riesgos para la empresa y mejorar su situación general (rentabilidad de la inversión, satisfacción del cliente, crecimiento, velocidad, etc.). Identifique una solución que incluya bastantes recursos de ciencia de datos, que se fundamente en innovadoras investigaciones y que ofrezca varias opciones de seguridad para poder elegir las más adecuadas para las necesidades de la empresa ahora y en el futuro. Esto es solo un curso acelerado, ahora debe ser proactivo y seguir aprendiendo sobre la ciencia de datos. Seleccione la mejor solución de seguridad con análisis avanzados y hardware optimizado para detectar y detener amenazas que cada vez son más sofisticadas.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 37
Estadísticas sobre amenazas Malware Amenazas web
Compartir opinión
Estadísticas sobre amenazas
Malware Nuevo malware Nuevo malware 60 000 000
El nuevo malware ha aumentado por cuarto trimestre consecutivo. El número de muestras nuevas de malware registrado en el 2.º trimestre es el segundo más alto jamás contabilizado.
50 000 000 40 000 000 30 000 000 20 000 000 10 000 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Total de malware malware Total de 700 000 000
El número de muestras en el "zoo" de malware de McAfee Labs supera ahora los 600 millones. El año pasado, el zoo creció un 32 %.
600 000 000 500 000 000 400 000 000 300 000 000 200 000 000 100 000 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 39
Estadísticas sobre amenazas
Nuevo paramóviles móviles Nuevomalware malware para 2 000 000
El número de muestras nuevas de malware para móviles fue el más alto jamás registrado en el 2.º trimestre.
1 750 000 1 500 000 1 250 000 1 000 000 750 000 500 000 250 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Total paramóviles móviles Totalde demalware malware para 12 000 000
El total de malware para móviles ha crecido un 151 % con respecto al pasado año.
10 500 000 9 000 000 7 500 000 6 000 000 4 500 000 3 000 000 1 500 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 40
Estadísticas sobre amenazas
Tasas de infección por malware para móviles
Tasasen deelinfección por móviles 2.º trimestre demalware 2016, porpara región por(porcentaje regiones de enclientes el 2.º trimestre de 2016 de dispositivos
(porcentaje de clientes deque dispositivos móviles que notificaron infecciones) móviles comunicaron infecciones) 14 % 12 % 10 % 8% 6% 4% 2% 0% África
Asia
Australia
Europa
Norteamérica
América del Sur
Fuente: McAfee Labs, 2016.
Tasas mundiales de infección por malware para móviles Tasas de infección por malware para móviles general (porcentaje de clientes de dispositivos móviles que comunicaron infecciones)
(porcentaje de clientes de dispositivos móviles que notificaron infecciones) 16 % 14 % 12 % 10 % 8% 6% 4% 2% 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 41
Estadísticas sobre amenazas
Nuevo paraMac Mac Nuevomalware malware para OSOS 30 000
El nuevo malware para Mac OS se redujo un 70 % este trimestre debido a la disminución de actividad de una sola familia de adware, OSX.Trojan.Gen.
25 000 20 000 15 000 10 000 5 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Total paraMac Mac Totalde demalware malware para OSOS 90 000 80 000 70 000 60 000 50 000 40 000 30 000 20 000 10 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 42
Estadísticas sobre amenazas
Nuevo ransomware Nuevo ransomware 1 400 000
El crecimiento del nuevo ransomware sigue acelerándose. El número de muestras nuevas de ransomware fue el más alto jamás registrado en el 2.º trimestre.
1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Total ransomware Total de de ransomware 8 000 000
El crecimiento interanual del ransomware ha sido del 128 %.
7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 43
Estadísticas sobre amenazas
Nuevos archivos firmados maliciosos Nuevos archivos binarios binarios firmados maliciosos 2 000 000
Tras un descenso de cuatro trimestres consecutivos, vuelven a aumentar las muestras de nuevos archivos binarios firmados maliciosos.
1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Total dedearchivos firmados maliciosos Total archivos binarios binarios firmados maliciosos 22 500 000 20 000 000 17 500 000 15 000 000 12 500 000 10 000 000 7 500 000 5 000 000 2 500 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 44
Estadísticas sobre amenazas
Nuevo basadoenen macros Nuevomalware malware basado macros 180 000
Los nuevos troyanos de descarga son responsables del incremento de más de un 200 % en el 2.º trimestre. Estas amenazas se emplean en campañas de spam, como las que llegan a través de la red de bots Necurs. Lea sobre el regreso del malware basado en macros en el informe de McAfee Labs sobre amenazas de noviembre de 2015.
160 000 140 000 120 000 100 000 80 000 60 000 40 000 20 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Total basadoenen macros Totalde demalware malware basado macros 700 000
El trimestre pasado, el total de malware basado en macros creció un 39 %.
600 000 500 000 400 000 300 000 200 000 100 000 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016 Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 45
Estadísticas sobre amenazas
Amenazas web Nuevas sospechosas Nuevas URL URL sospechosas 35 000 000
El número de nuevas URL sospechosas ha descendido cinco trimestres seguidos.
30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 3.er trim. 4.º trim. 2014 URL
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016
Dominios asociados Fuente: McAfee Labs, 2016.
Nuevas dephishing phishing Nuevas URL URL de 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3.er trim. 4.º trim. 2014 URL
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016
Dominios asociados Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 46
Estadísticas sobre amenazas
Nuevas URLde despam spam Nuevas URL 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3.er trim. 4.º trim. 2014 URL
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016
Dominios asociados Fuente: McAfee Labs, 2016.
Volumen global de spam y correo electrónico 11
(billones de mensajes) Volumen global de spam y correo electrónico (billones de mensajes)
10 9 8 7 6 5 4 3 2 1 0 3.er trim. 4.º trim. 2014 URL
1.er trim.
2.º trim. 3.er trim. 2015
4.º trim.
1.er trim. 2.º trim. 2016
Dominios asociados Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 47
Estadísticas sobre amenazas
Mensajes de spam de las 10 redes de bots principales (millones mensajes) Mensajes de spam de las de 10 redes de bots principales (millones de mensajes)
1400
Este trimestre ha aparecido un nuevo aspirante en nuestra lista de 10 principales redes de bots de spam: Necurs, que es a la vez el nombre de una familia de malware y la identificación de una red de bots de spam. Necurs, que posee una infraestructura ingente, distribuye campañas del ransomware Locky y de Dridex desde millones de máquinas infectadas en todo el mundo. Una interrupción a principios de junio ralentizó el volumen de estas campañas, sin embargo, hemos observado un repunte en la actividad y esperamos el envío continuo de spam de ransomware durante el tercer trimestre. El volumen global de las redes de bots aumentó un 30 % en el segundo trimestre.
1200 1000 800 600 400 200 0 3.er trim. 4.º trim. 2014
1.er trim.
2.º trim. 3.er trim. 2015
Kelihos
Lethic
Cutwail
Gamut
Slenfbot
Otros
Necurs
Darkmailer
KelihosC
4.º trim.
1.er trim. 2.º trim. 2016
Sendsafe
Fuente: McAfee Labs, 2016.
Prevalencia de redes de bots a nivel mundial Prevalencia de redes de bots a nivel mundial Wapomi Wapomi, que distribuye gusanos y programas de descarga o downloaders, aumentó un 8 % en el segundo trimestre. El número dos del último trimestre, Muieblackcat, que abre la puerta a los exploits, disminuyó un 11 %.
Web Shell China Chopper OnionDuke
18 % 3%
Ramnit
3%
45 % 4%
Sality Maazben
4%
Muieblackcat
4% 5%
6%
8%
Nitol H-Worm Otros Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 48
Estadísticas sobre amenazas
Principales países que albergan servidores Principales países que albergan servidores de control de redes de bots de control de redes de bots Estados Unidos Alemania Rusia Países Bajos
30 %
37 %
Francia República Checa China
2% 2% 2% 2% 2%
Corea del Sur
4% 4%
12 %
Australia Canadá
3%
Otros Fuente: McAfee Labs, 2016.
Principales ataques a redes Principales ataques a redes
Los ataques de denegación de servicio aumentaron un 11 % en el segundo trimestre, y se colocaron en primer lugar. Los ataques al navegador descendieron un 8 % desde el primer trimestre.
2% 3%
Denegación de servicio
9% Navegador
4% 33 %
6%
Fuerza bruta SSL DNS
18 %
Análisis
25 %
Puerta trasera Otros Fuente: McAfee Labs, 2016.
Comparta este informe
Informe de McAfee Labs sobre amenazas, septiembre de 2016 | 49
Acerca de Intel Security Comentarios. Para saber en qué dirección orientarnos, nos interesan sus opiniones. Si desea transmitirnos sus impresiones, haga clic aquí para completar un rápido cuestionario de solo cinco minutos sobre el informe de amenazas. Siga a McAfee Labs
McAfee. Part of Intel Security. Avenida de Bruselas n.° 22 Edificio Sauce 28108 Alcobendas Madrid, España Teléfono: +34 91 347 8500 www.intelsecurity.com
McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected, su innovador enfoque de seguridad reforzada por hardware y su exclusiva red Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar soluciones y servicios de seguridad proactivos que protejan los sistemas, las redes y los dispositivos móviles de uso personal y empresarial en todo el mundo. Intel Security combina la experiencia y los conocimientos de McAfee con la innovación y el rendimiento demostrados de Intel para hacer de la seguridad un ingrediente fundamental en todas las arquitecturas y plataformas informáticas. La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar de forma segura en el mundo digital. www.intelsecurity.com. www.intelsecurity.com
La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los clientes de Intel Security. La información aquí contenida está sujeta a cambio sin previo aviso, y se proporciona "TAL CUAL" sin garantías respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta. Intel y los logotipos de Intel y de McAfee son marcas comerciales de Intel Corporation o de McAfee, Inc. en EE. UU. y/o en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2016 Intel Corporation. 908_0816_rp_sept-2016-quarterly-threats