Story Transcript
Una perspectiva en detalle acerca de las vulnerabilidades y manipulaciones de software, malware, software potencialmente no deseado y sitios web malintencionados
Microsoft Security Intelligence Report Volumen 15
De enero a junio del 2013
RESUMEN DE CONCLUSIONES PRINCIPALES
Microsoft Security Intelligence Report Este documento tiene fines exclusivamente informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPRESA, IMPLÍCITA O PREVISTA POR LEY, CON RESPECTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se proporciona “tal cual”. Tanto la información como las opiniones expresadas en este, incluidas las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso. Usted acepta el riesgo de utilizarlo. Copyright © 2013 Microsoft Corporation. Todos los derechos reservados. Microsoft, el logotipo de Microsoft, Active Directory, ActiveX, Bing, Forefront, Hotmail, Internet Explorer, MSDN, Outlook, el logotipo de Security Shield, SmartScreen, System Center, Visual Basic, Win32, Windows, Windows Server y Windows Vista son marcas comerciales del grupo de empresas de Microsoft. Los nombres de compañías y productos reales mencionados pueden ser marcas comerciales de sus respectivos propietarios.
Enero–Junio de 2013
1
Microsoft Security Intelligence Report, volumen 15 El volumen 15 del Microsoft® Security Intelligence Report (SIRv15) presenta en detalle perspectivas acerca de las vulnerabilidades de software de Microsoft y de terceros, amenazas de código malicioso y software potencialmente no deseado. Microsoft ha elaborado estas perspectivas basándose en detallados análisis de tendencias realizados en los últimos años, haciendo hincapié en el primer semestre del 2013. En este documento se resumen las principales conclusiones del informe. El sitio web del SIR incluye también un análisis a fondo de las tendencias observadas en más de 100 países/regiones del mundo, y presenta sugerencias que contribuirán a gestionar los riesgos para su organización, sus programas de software y sus usuarios. Puede descargar el informe SIRv15 desde www.microsoft.com/sir.
2
Microsoft Security Intelligence Report, volumen 15
Vulnerabilidades Las vulnerabilidades son los puntos débiles de un programa de software que permiten a un atacante poner en peligro la integridad, disponibilidad o confidencialidad del software o de los datos que procesa. Algunas de las peores vulnerabilidades permiten a los atacantes aprovecharse del sistema afectado haciéndolo ejecutar código malicioso sin conocimiento del usuario. Figura 1. Tendencias de severidad (CVE) y complejidad de la vulnerabilidad, denuncias por tipo y por productos de Microsoft y de otros fabricantes, en todo el sector del software, 2S10-1S131 1,400
1,600
Medium (4–6.9)
1,200 1,000
High (7–10)
800 600 400
Low (0–3.9)
200
Industrywide vulnerability disclosures
Industrywide vulnerability disclosures
Low complexity (greatest risk)
1,200
1,400
1,000
Medium complexity (medium risk)
800
600
400
200
High complexity (least risk)
0
0 2H10
1H11
2H11
1H12
2H12
2H10
1H13
2,000
1H11
2H11
1H12
2H12
1H13
3,000
2,500
1,600 Application vulnerabilities
1,400
1,200 1,000 800 600
Operating system vulnerabilities
400
Browser vulnerabilities
200
Non-Microsoft
2,000
1,500
1,000
500 Microsoft
0
0 2H10
Industrywide Vulnerability Disclosures
Industrywide vulnerability disclosures
1,800
1H11
2H11
1H12
2H12
1H13
2H10
1H11
2H11
1H12
2H12
1H13
Las denuncias de vulnerabilidad del sector se redujeron en un 1,3 por ciento con respecto a 2S12 y en un 10,1 por ciento con respecto a 1S12. El aumento de las denuncias de vulnerabilidad en el sistema operativo en 1S13 neutraliza en gran medida la reducción correspondiente de las denuncias de vulnerabilidad de las aplicaciones durante el mismo período, por lo que el cambio es mínimo en general. Sin embargo, en general, las denuncias de vulnerabilidad siguen siendo bastante menores que en el 2009, cuando un total de 3.500 denuncias o más durante un semestre no era nada extraño.
En el documento, se hace referencia a períodos semestrales y trimestrales mediante los formatos nSaa o nTaa, donde aa indica el año natural y n indica el semestre o trimestre. Por ejemplo, 1S13 representa el primer trimestre del año 2013 (del 1 de enero al 30 de junio), en tanto que 4T12 representa el cuarto trimestre de 2012 (desde el 1 de octubre hasta el 31 de diciembre). 1
Enero–Junio de 2013
3
Frecuencia de encuentros: introducción de una nueva métrica para analizar la prevalencia de malware Durante varios años Microsoft Security Intelligence Report ha registrado las tasas de infección usando una métrica denominada equipos limpiados por millares (CCM, por sus siglas en inglés). CCM representa el número de equipos limpiados por cada 1.000 ejecuciones de la Herramienta de eliminación de software malintencionado (MSRT). La herramienta MSRT ofrece perspectiva sobre el alcance de las infecciones generalizadas de familias específicas de malware. El alcance global de la herramienta, la gran base instalada y las versiones programadas periódicamente permiten realizar una comparación sistemática de las tasas de infección relativas entre diferentes poblaciones de equipos. Para describir mejor la totalidad de lo que los usuarios encuentran en el ecosistema de malware, Microsoft ha introducido una nueva métrica denominada frecuencia de encuentros. Esta métrica es el porcentaje de equipos que ejecutan productos de seguridad en tiempo real de Microsoft que detectan malware durante un período de tiempo especificado, como un trimestre. Téngase en cuenta que un equipo que detecta malware no tiene necesariamente que haber sido afectado por la amenaza; el producto de seguridad en tiempo real podría detectar la amenaza e impedir que se ejecutara. Esta detección se tendría en cuenta en la frecuencia de encuentros, pero no en la tasa de infecciones de ese equipo. Juntas, las tasas de infecciones y la frecuencia de encuentros pueden aportar una perspectiva más amplia del panorama del malware. Las diferentes perspectivas de estas dos métricas pueden proporcionar una visión más clara de la prevalencia del malware y su efecto potencial en un panorama global. En la Figura 2 se muestra la tasa de infecciones mundiales en relación con la frecuencia de encuentros de cada trimestre desde 3T12 hasta 2T13, con las escalas igualadas para fines de comparación (el 100 por cien es equivalente al 10 por ciento).
4
Microsoft Security Intelligence Report, volumen 15
200.0
20%
180.0
18%
160.0
16%
140.0
14%
120.0
12%
100.0
10%
80.0
8%
60.0
6%
40.0
4%
20.0
2%
0.0
Percent of reporting computers (encounter rate)
Computers cleaned per 1,000 scanned (CCM)
Figura 2. Frecuencia de encuentros y tasas de infección en el mundo, 3T12–2T13, por trimestre
0% 3Q12
4Q12 Infection rate (CCM)
1Q13
2Q13
Encounter rate
Como muestra la Figura 2, y como cabría esperar, los encuentros de malware son mucho más comunes que las infecciones de malware. De media, aproximadamente un 17,0 por ciento de los equipos de todo el mundo encontraron malware cada trimestre en 1S12, según los registros de los productos de seguridad de Microsoft. Al mismo tiempo, la herramienta MSRT detectó y eliminó malware de alrededor de seis de cada 1.000 equipos (un 0,6 por ciento).
Enero–Junio de 2013
5
Manipulaciones Una manipulación es un código malicioso que se aprovecha de las vulnerabilidades de un programa de software para infectar, trastornar o controlar un equipo informático sin autorización del usuario y, por lo general, sin su conocimiento. Las manipulaciones van dirigidas a vulnerabilidades de los sistemas operativos, exploradores web, aplicaciones o componentes de software instalados en los equipos. Para obtener más información, descargue el informe SIRv15 desde www.microsoft.com/sir. En la Figura 3 se muestra la prevalencia de distintos tipos de manipulaciones detectadas por productos antimalware de Microsoft en cada trimestre desde 3T12 hasta 2T13, por número de equipos únicos con encuentros de malware. Figura 3. Equipos únicos que informan de distintos tipos de intentos de manipulación, 3T12-2T13
Percent of reporting computers (encounter rate)
3.0%
2.5%
2.0% HTML/JavaScript Java
1.5%
1.0% Operating system 0.5%
0.0% 3Q12
6
4Q12
1Q13
2Q13
Documents Adobe Flash (SWF) Other
Las detecciones de las distintas manipulaciones suelen aumentar y reducirse considerablemente de un trimestre a otro a medida que los distribuidores de kits de manipulaciones agregan y eliminan diferentes manipulaciones de sus kits. Esta variación también afecta a la prevalencia relativa de los distintos tipos de manipulaciones, como se muestra en la Figura 3. Las amenazas basadas en web (HTML/JavaScript) han seguido siendo el tipo de manipulación detectado con más frecuencia en 2T13, seguido de las manipulaciones Java y del sistema operativo. La frecuencia de encuentros de manipulaciones HTML/JavaScript alcanzó su punto más alto en 1T13, debido principalmente a la familia de manipulaciones multiplataforma Blacole, que se detectó en un 1,12 por ciento de equipos de todo el mundo durante ese trimestre. (En la siguiente sección se ofrece más información sobre Blacole).
Microsoft Security Intelligence Report, volumen 15
Familias de manipulaciones En la Figura 4 se enumeran las familias relacionadas con las manipulaciones más detectadas durante el primer semestre del 2013. Figura 4. Tendencias de la frecuencia de encuentros trimestrales de las familias de manipulaciones más importantes detectadas por productos antimalware de Microsoft en 1S13, sombreadas según la prevalencia relativa
Manipulación
Plataforma o tecnología
3T12
4T12
1T13
2T13
HTML/IframeRef*
HTML/JavaScript
0.37%
0.58%
0.98%
1.08%
Blacole
HTML/JavaScript
1.60%
1.34%
1.12%
0.62%
CVE-2012-1723
Java
0.84%
1.32%
0.89%
0.61%
CVE-2010-2568 (MS10-046)
Sistema operativo
0.51%
0.57%
0.57%
0.53%
CVE-2012-0507
Java
0.91%
0.53%
0.49%
0.31%
CVE-2013-0422
Java
—
—
0.38%
0.33%
CVE-2011-3402 (MS12-034)
Sistema operativo
—
0.11%
0.62%
0.04%
Pdfjsc
Documentos
0.77%
1.56%
0.53%
0.12%
CVE-2013-0431
Java
—
—
0.10%
0.32%
CVE-2010-0840
Java
0.31%
0.17%
0.18%
0.21%
Los totales no incluyen las manipulaciones detectadas como parte de los kits de manipulaciones. *Los totales solo incluyen las variantes de IframeRef clasificadas como manipulaciones.
HTML/IframeRef, la manipulación detectada con más frecuencia en 1S13, es una detección genérica de etiquetas de marco flotante (IFrame) HTML con formato especial que redirigen a sitios web remotos con contenido malintencionado. Considerados descargadores de manipulaciones más que verdaderas manipulaciones, estas páginas malintencionadas usan una serie de técnicas para aprovechar las vulnerabilidades en exploradores y complementos; el único elemento en común es que el atacante usa un marco flotante para proporcionar las manipulaciones a los usuarios. La manipulación exacta proporcionada y detectada por una de estas firmas puede cambiar con frecuencia. Dos variantes de IframeRef con gran prevalencia se reclasificaron como variantes de JS/Seedabutor en 1T13, pero la frecuencia de encuentros de IframeRef siguió siendo elevada durante ese trimestre después de que las firmas de detección de la variante Trojan:JS/IframeRef.K se agregaran a los productos antimalware de Microsoft en respuesta a los denominados ataques de “Darkleech”, que agregan marcos flotantes maliciosos a las páginas web hospedadas en servidores web Apache afectados.
Enero–Junio de 2013
7
Malware La información de esta sección se ha obtenido de datos de telemetría procedentes de varias fuentes, incluidos más de mil millones de equipos de todo el mundo y algunos de los servicios más utilizados de Internet. Este volumen de Microsoft Security Intelligence Report incluye un nuevo mecanismo para medir la prevalencia del malware denominado frecuencia de encuentros. Varios de los gráficos de esta sección, junto con su análisis correspondiente, presentan datos de frecuencia de encuentros junto con los datos de tasa de infecciones, medidos con la métrica CCM establecida. Desde una perspectiva de patrones de amenazas en todo el mundo, la Figura 5 muestra las tasas de infección y la frecuencia de encuentros en todo el mundo en el segundo trimestre de 2013.
8
Microsoft Security Intelligence Report, volumen 15
Figura 5. Tasas de infección (arriba) y frecuencia de encuentros (abajo) por país o región en 2T13
Uso de software de seguridad Las versiones recientes de la herramienta MSRT recopilan y registran detalles del estado del software antimalware en tiempo real en el equipo, si el administrador del equipo ha elegido proporcionar datos a Microsoft. Esta telemetría permite analizar los patrones de uso del software de seguridad en todo el mundo y cotejarlos con las tasas de infección. En la Figura 6 se muestra el porcentaje de equipos de todo el mundo que, según la herramienta MSRT, estaban protegidos o no protegidos por software de seguridad en tiempo real cada trimestre desde 3T12 hasta 2T13.
Enero–Junio de 2013
9
Figura 6. Porcentaje de equipos de todo el mundo protegidos por software de seguridad en tiempo real, 3T12–2T13 80%
Always protected
Percent of computers running the MSRT
70% 60% 50% 40% 30%
Intermittently protected
20% 10%
Unprotected
0% 3Q12
4Q12
1Q13
2Q13
Tasas de infección y frecuencia de encuentros por sistema operativo Las características y actualizaciones disponibles con diferentes versiones del sistema operativo Windows y las diferencias en el modo en que las personas y las organizaciones usan cada versión afectan a las tasas de infección de las distintas versiones y Service Pack. En la Figura 7 se muestra la tasa de infecciones de cada combinación de sistema operativo Windows y Service Pack admitida actualmente, que da cuenta de al menos el 0,1 por ciento del total de ejecuciones de MSRT en 2T13.
10
Microsoft Security Intelligence Report, volumen 15
Figura 7. Tasa de infecciones (CCM) por sistema operativo y Service Pack en 2T13 10.0
9.1
Computers cleaned per 1,000 scanned (CCM)
CLIENT
8.8
9.0
SERVER
8.0 7.0 6.0 5.0
5.0
5.0
5.4 4.9
4.8
4.0 3.0
2.3
2.0
1.4
1.0 0.0
32
32
64
SP3
SP2
Windows XP
Windows Vista
32
64
32
RTM
64 SP1
Windows 7
32
0.4
64
RTM Windows 8
64
Windows Server 2012 RTM
“32” = edición de 32 bits; “64” = edición de 64 bits. SP = Service Pack. RTM = enviado a producción. Sistemas operativos con al menos el 0,1 por ciento del total de ejecuciones de MSRT en 2T13 mostrados.
Estos datos han sido normalizados; es decir, la tasa de infecciones por cada versión de Windows se calcula comparando un número equivalente de equipos por versión (por ejemplo, 1.000 equipos con sistema operativo Windows XP SP3 con 1.000 equipos con Windows 8 RTM).
En la Figura 8 se muestra la diferencia entre la tasa de infecciones y la frecuencia de encuentros de los sistemas operativos Windows cliente en 2T13 (ediciones de 32 bits y 64 bits combinadas).
Enero–Junio de 2013
11
Figura 8. Tasa de infecciones y frecuencia de encuentros de los sistemas operativos Windows cliente, 2T13
INFECTION
Computers cleaned per 1,000 scanned (CCM)
9.1
ENCOUNTER
RATE
8.0
RATE
30%
24%
19.1% 6.0
5.5
16.3%
18%
16.5%
4.9 12.4% 4.0
12%
2.0
6%
1.6
0.0
Percent of reporting computers (encounter rate)
10.0
0% Windows XP Windows Vista SP3 SP2
Windows 7 SP1
Windows 8 RTM
Windows XP Windows Vista Windows 7 SP3 SP2 SP1
Windows 8 RTM
Familias de amenazas En la Figura 9 se muestra la tendencia de detecciones de una serie de familias que aumentaron o disminuyeron considerablemente durante los últimos cuatro trimestres. Figura 9. Tendencias de detección de una determinada cantidad de familias de malware destacadas, 3T12–2T13
Percent of reporting computers (encounter rate)
2.5%
2.0%
Win32/Obfuscator INF/Autorun JS/IframeRef
1.5%
Win32/Gamarue
1.0%
Win32/Sirefef JS/Seedabutor 0.5%
0.0% 3Q12
12
4Q12
1Q13
2Q13
Microsoft Security Intelligence Report, volumen 15
Las detecciones genéricas Win32/Obfuscator, INF/Autorun y HTML/IframeRef fueron las amenazas detectadas con más frecuencia en 1S13. Autorun, la amenaza detectada con más frecuencia en todo el mundo durante el período, es una detección genérica de gusanos que se propagan entre los volúmenes montados mediante la característica de ejecución automática de Windows. Los cambios en la característica en Windows XP y Windows Vista ha reducido la eficacia de esta técnica con el tiempo, pero los atacantes siguen distribuyendo malware que intenta atacarla, y los productos antimalware de Microsoft detectan y bloquean estos intentos incluso cuando no prosperan.
Las detecciones de Obfuscator subieron de la posición cuarta en 1T13 a la primera en 2T13, lo que lo convierte en la segunda amenaza detectada con más frecuencia en todo el mundo durante todo el semestre. Obfuscator es una detección genérica de programas que han sido modificados por herramientas de confusión de malware. Estas herramientas suelen usar una combinación de métodos, incluido el cifrado, la compresión y técnicas de antidepuración o antiemulación, para modificar los programas de malware con el fin de obstaculizar el análisis o la detección realizados por los productos de seguridad. El resultado suele ser otro programa que mantiene la misma funcionalidad que el programa original pero con código, datos y geometría diferentes.
Amenazas para particulares y empresas Los patrones de uso de los usuarios de empresa y particulares suelen ser muy diferentes. El análisis de estas diferencias puede facilitar información sobre los diversos métodos que emplean los atacantes para dirigirse a usuarios de empresas y particulares, y también cuáles son las amenazas con mayores probabilidades de éxito en cada entorno. Figura 10. Frecuencia de encuentros de malware en equipos de particulares y empresas, 3T12–2T13 20%
Percent of reporting computers (encounter rate)
18%
Consumer
16% 14%
12% 10%
Enterprise
8% 6% 4% 2% 0% 3Q12
Enero–Junio de 2013
4Q12
1Q13
2Q13
13
Los entornos empresariales implementan normalmente medidas de defensa en profundidad, como firewalls corporativos que impiden que una determinada cantidad de malware llegue a los equipos de los usuarios. Por consiguiente, la frecuencia de encuentros de malware en los equipos de empresa suele ser menor que en los equipos de particulares. La frecuencia de encuentros en equipos de particulares fue 1,5 veces mayor que la de los equipos de empresa en 1T13, con un aumento de la diferencia relativa de 1,8 en 2T13.
En las figuras Figura 11 y Figura 12 se muestran las 10 familias principales detectadas por productos de seguridad de empresa y de particulares, respectivamente, en 1S13. Figura 11. Tendencias trimestrales de las 10 familias principales detectadas por productos de seguridad empresariales de Microsoft en 1S13, por porcentaje de equipos que encontraron cada familia
14
Microsoft Security Intelligence Report, volumen 15
Figura 12. Tendencias trimestrales de las 10 familias principales detectadas por productos de seguridad para particulares de Microsoft en 1S13, por porcentaje de equipos que encontraron cada familia
Ocho familias son comunes en ambas listas. De estas, solo Win32/Conficker y JS/Seedabutor fueron más prevalentes en equipos de particulares que en equipos de empresa. Dos familias de manipulaciones, Java/CVE-2012-1723 y Blacole, se encontraban entre las 10 amenazas principales para las empresas pero no para los consumidores. La familia de gusanos Win32/Gamarue y la familia de virus Win32/Sality se encontraban entre las 10 amenazas principales para los particulares pero no para las empresas.
Las detecciones genéricas Win32/Obfuscator y INF/Autorun, la primera y segunda amenaza detectada con más frecuencia en equipos de particulares, se encontraron con mucho menos frecuencia en los equipos de empresa. Obfuscator se encontró con una frecuencia superior a seis veces en equipos de empresa en 2T13 (una frecuencia de encuentros del 3,8 por ciento) que en los equipos de particulares (una frecuencia de encuentros del 0,6 por ciento). Autorun se encontró con una frecuencia superior a dos veces en equipos de empresa (una frecuencia de encuentros del 3,4 por ciento) que en los equipos de particulares (una frecuencia de encuentros del 1,4 por ciento).
Enero–Junio de 2013
15
Amenazas de correo electrónico Mensajes de correo no deseado bloqueados La información de esta sección del Microsoft Security Intelligence Report proviene de datos de telemetría facilitados por Protección en línea de Exchange, que presta servicios de filtrado de correo no deseado, de suplantaciones de identidad y de software malicioso a decenas de clientes empresariales de Microsoft que envían y reciben miles de millones de mensajes cada mes. Figura 13. Mensajes bloqueados por Protección en línea de Exchange, julio de 2012–junio de 2013 35
Spam messages blocked (in billions)
30
25
20
15
10
5
0 Jul
Aug
Sep
Oct
Nov
Dec
Jan
Feb
Mar
Apr
May
Jun
Los volúmenes de correo bloqueado en 1S13 crecieron ligeramente respecto al 2S12, pero se mantienen en niveles muy inferiores a los obtenidos antes de finales del 2010. El espectacular descenso de correo no deseado observado desde 2010 se ha producido tras las medidas adoptadas satisfactoriamente contra una serie de robots emisores de correo no deseado a gran escala, en particular Cutwail (agosto de 2010) y Rustock (marzo de 2011).2 En 1H13, Protección en línea de Exchange determinó que aproximadamente uno de cada cuatro mensajes de correo electrónico no necesitó ser bloqueado o filtrado, frente a la cifra de uno de cada 33 mensajes en 2010.
Para obtener más información acerca de las medidas para Cutwail, vea Microsoft Security Intelligence Report, volumen 10 (julio-diciembre 2010). Para obtener más información acerca de las medidas para Rustock, vea “Battling the Rustock Threat” ("La lucha contra la amenaza Rustock"), disponible en el Centro de descarga de Microsoft. 2
16
Microsoft Security Intelligence Report, volumen 15
Figura 14. Mensajes bloqueados por Protección en línea de Exchange cada semestre, 2S09-1S13
Spam messages blocked (in billions)
500 450 400 350
300 250 200 150 100 50 0 2H09
1H10
2H10
1H11
2H11
1H12
2H12
1H13
Figura 15. Mensajes entrantes bloqueados por filtros de Protección en línea de Exchange en 1S13, por categoría
Other 1.5%
Pharmacy (nonsexual) 42.7%
419 scams 15.5%
Gambling 1.2% Stock Dating/sexually 1.5% explicit material 2.2% Financial 3.4%
Image-only 17.6%
Malware 5.5% Phishing 3.8%
Non-pharmacy product ads 5.0%
Los filtros de contenido del servicio de Protección en línea de Exchange reconocen diversos tipos comunes de mensajes de correo no deseado. En la Figura 15 se muestra la prevalencia relativa de los tipos de mensajes no deseados que se detectaron en 1S13.
Enero–Junio de 2013
17
Sitios web malintencionados Sitios de suplantación de identidad (phishing) Los sitios de suplantación de identidad (phishing) están alojados en todo el mundo en sitios de hospedaje gratuito, en servidores web afectados y en muchos otros contextos. Figura 16. Sitios de suplantación de identidad por cada 1.000 hosts de Internet ubicados en todo el mundo en 2T13
El filtro SmartScreen detectó 4,2 sitios de suplantación de identidad por cada 1.000 hosts de Internet ubicados en todo el mundo en 2T13.
Entre los lugares con concentraciones de sitios de suplantación de identidad superiores a la media se incluyen Indonesia (11,6 por cada 1.000 hosts de Internet en 2T13), Ucrania (10,9) y Rusia (8,5). Entre los lugares con concentraciones bajas de sitios de suplantación de identidad se incluyen Taiwán (1,2), Japón (1,3) y Corea (1,9).
Sitios que alojan malware El filtro SmartScreen de Internet Explorer ayuda a proporcionar protección frente a sitios conocidos por hospedar malware, además de sitios de suplantación de identidad (phishing). Dicho filtro emplea datos sobre la reputación de los archivos y las direcciones URL y las tecnologías antimalware de Microsoft para determinar si los sitios distribuyen contenido no seguro. Al igual que con los sitios de suplantación de identidad (phishing), Microsoft recopila datos anónimos sobre la cantidad de personas que visitan cada sitio que alojan malware y usa dicha información para mejorar el filtro SmartScreen y combatir la distribución de malware de forma más adecuada.
18
Microsoft Security Intelligence Report, volumen 15
Figura 17. Sitios de distribución de malware por cada 1.000 hosts de Internet en lugares de todo el mundo en 2T13
Los sitios que alojan malware eran bastante más comunes que los sitios de suplantación de identidad en 1S13. El filtro SmartScreen detectó 11,7 sitios que alojan malware por cada 1.000 hosts de Internet ubicados en todo el mundo en 1T13 y 17,7 por cada 1.000 en 2T13.
China, que tenía una concentración de sitios de suplantación de identidad (phishing) inferior a la media (2,3 sitios de este tipo por cada 1.000 hosts de Internet en 2T13), también tenía una concentración muy alta de sitios que alojan malware (37,7 sitios de este tipo por cada 1.000 hosts en 2T13). Entre otros lugares con altas concentraciones de sitios que alojan malware se incluyen Ucrania (71,2), Rusia (43,6) y Brasil (33,6). Entre los lugares con concentraciones bajas de sitios que alojan malware se incluyen Finlandia (6,1), Dinamarca (7,0) y Japón (7,0).
Sitios de descargas drive-by Un sitio de descargas drive-by es un sitio web que aloja una o más manipulaciones dirigidas a vulnerabilidades de exploradores web y complementos de exploradores. Los usuarios con equipos vulnerables pueden resultar afectados por software mal intencionado por el solo hecho de visitar estos sitios, incluso sin intentar descargar nada.
Enero–Junio de 2013
19
Figura 18. Páginas de descargas drive-by indizadas por Bing a finales de 2T13 (abajo), por cada 1.000 direcciones URL de cada país/región
En este documento se resumen las principales conclusiones del informe. El sitio web del SIR incluye también un análisis a fondo de las tendencias observadas en más de 100 países/regiones del mundo, y presenta sugerencias que contribuirán a gestionar los riesgos para su organización, sus programas de software y sus usuarios. Puede descargar el informe SIRv15 desde www.microsoft.com/sir.
20
Microsoft Security Intelligence Report, volumen 15
One Microsoft Way Redmond, WA 98052-6399 microsoft.com/security