Informe anual sobre ciberseguridad de 2017 de Cisco · De acuerdo con nuestra investigación, el...
Transcript of Informe anual sobre ciberseguridad de 2017 de Cisco · De acuerdo con nuestra investigación, el...
2
Informe anual sobre ciberseguridad de 2017 de Cisco
Contenido
ContenidoRESUMEN EJECUTIVO Y PRINCIPALES CONCLUSIONES ......3
INTRODUCCIÓN .......................................................................8
LA EXPANSIÓN DE LA SUPERFICIE DE ATAQUE ..................10
COMPORTAMIENTO DEL ATACANTE ................................... 13
La fase de reconocimiento .................................................13Métodos de ataque web: las amenazas de “cola corta” permiten que los adversarios sienten las bases para las campañas .................................13
La fase armamentista .........................................................15Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertas .............................................................15 Seguridad de las aplicaciones: administración del riesgo de la conexión OAuth en medio de una explosión de aplicaciones............................................16
La fase de distribución .......................................................20La desaparición de los principales kits de ataques presenta oportunidades para usuarios más pequeños y nuevos participantes ........................................................20Publicidad maliciosa: los adversarios usan agentes para aumentar la velocidad y la agilidad ...............22De acuerdo con la investigación, el 75 % de las organizaciones se ven afectadas por infecciones por adware .........................................................................23El volumen de correos electrónicos no deseados a nivel mundial está creciendo del mismo modo que lo hace el porcentaje de archivos adjuntos maliciosos ............................................................25
La fase de instalación .........................................................30Métodos de ataque web: las instantáneas de “cola larga” revelan amenazas que los usuarios pueden evitar con facilidad ..................................30Riesgo vertical de hallazgos de malware: los atacantes ven el valor en todos los ámbitos .................31Descripción general regional de la actividad de bloqueo web .................................................................32Tiempo de detección: una métrica fundamental para medir el progreso de los defensores ..........................33Tiempo de desarrollo: en el caso de algunas amenazas, el cambio es constante ....................................34
COMPORTAMIENTO DEL DEFENSOR ...................................42Vulnerabilidades en disminución en el 2016.......................42Middleware: los adversarios ven una oportunidad en el software sin parches .................................................44Tiempo de implementación de parches: cierre del plazo de recuperación ........................................................45
ESTUDIO COMPARATIVO SOBRE LAS CAPACIDADES DE SEGURIDAD DE 2017 DE CISCO ............49
Percepciones: los profesionales de seguridad confían en las herramientas, pero tienen dudas respecto a si las usan en forma eficaz ...............................49Restricciones: el tiempo, el talento y el dinero afectan la capacidad de responder ante las amenazas ...................51Impacto: más organizaciones sufren pérdidas a causa de las infracciones ................................................55Resultados: un mayor escrutinio influirá en las mejoras de seguridad .........................................................58Confianza frente a costo: ¿qué factor impulsa las compras de seguridad? ................................................61Resumen: aportes del Estudio comparativo ........................62
SECTOR ..................................................................................64Seguridad de la cadena de valor: el éxito en un mundo digital depende de la mitigación de los riesgos de terceros ..................................................64Actualización geopolítica: encriptación, confianza y necesidad de transparencia .............................65Cifrado de alta velocidad: una solución escalable para proteger los datos en tránsito ....................................66Adopción y rendimiento de la red frente a madurez de la seguridad .................................................67
CONCLUSIÓN ........................................................................71Una superficie de ataque de rápida expansión requiere un enfoque interconectado e integrado para la seguridad ...............................................................71El objetivo principal: reducir el espacio operativo de los adversarios ..............................................................73
ACERCA DE CISCO ................................................................74Colaboradores del Informe anual de ciberseguridad de 2017 de Cisco ......................................75
APÉNDICE ..............................................................................78
Resumen ejecutivo y principales conclusiones3
Informe anual sobre ciberseguridad de 2017 de Cisco
Resumen ejecutivoA medida que la superficie de ataque aumenta de tamaño, los defensores deben centrarse en su objetivo más importante: reducir el espacio operativo de los adversarios.
Los adversarios tienen más herramientas que nunca a su disposición. También tienen una idea clara de cuándo utilizar cada una de ellas para lograr el máximo efecto. El intenso crecimiento de terminales móviles y del tráfico en línea juega a su favor. Tienen más espacio en el que pueden operar y más opciones de objetivos y enfoques.
Los defensores pueden usar una variedad de estrategias para afrontar los desafíos de un panorama de amenazas en expansión. Pueden adquirir las mejores soluciones que funcionan por separado para brindar información y protección. Además, pueden competir por personal en un mercado en el que el personal talentoso escasea y los presupuestos son ajustados.
Quizás no sea posible detener todos los ataques. Sin embargo, sí es posible minimizar el peligro y el impacto de las amenazas al limitar el espacio operativo de los adversarios y, así, su capacidad para poner en riesgo los recursos. Una medida que usted puede tomar consiste en simplificar su conjunto de herramientas de seguridad convirtiéndolo en una arquitectura de seguridad integrada e interconectada.
Las herramientas de seguridad integrada que funcionan juntas en una arquitectura automatizada pueden optimizar el proceso para detectar y mitigar amenazas. De este modo, tendrá tiempo para abordar problemas más complejos y persistentes. Muchas organizaciones usan por lo menos media docena de soluciones de diversos proveedores (página 53). En muchos casos, los equipos de seguridad pueden investigar solo la mitad de las alertas que reciben en un día determinado.
En el Informe anual sobre ciberseguridad de 2017 de Cisco se incluye información sobre investigación, consideraciones y perspectivas obtenidas por Cisco Security Research. Resaltamos la incesante dinámica de “tira y afloja” entre los adversarios que intentan conseguir más tiempo para operar y los defensores que trabajan para eliminar las oportunidades que los atacantes intentan aprovechar. Analizamos los datos
reunidos por los investigadores de Cisco y otros expertos. Nuestra información de investigación y consideraciones están diseñadas para ayudar a las organizaciones a responder con eficacia a las amenazas en rápida evolución y sofisticadas de la actualidad.
Este informe se divide en las siguientes secciones:
Comportamiento del atacanteEn esta sección, analizamos cómo los atacantes reconocen redes vulnerables y distribuyen malware. Explicamos de qué manera las herramientas, como el correo electrónico, las aplicaciones de la nube de terceros y el adware, se convierten en un arma. Además, describimos los métodos que los ciberdelincuentes utilizan durante la fase de la instalación de un ataque. En esta sección, también presentamos nuestra investigación “tiempo de desarrollo” (TTE), a través de la cual se muestra cómo los adversarios mantienen sus tácticas al día y evaden la detección. También ofrecemos una actualización sobre nuestros esfuerzos para reducir el tiempo medio de detección (TTD) promedio. Además, presentamos la última investigación de Cisco sobre el riesgo de malware para diversos sectores y regiones geográficas.
Comportamiento del defensorEn esta sección, ofrecemos actualizaciones sobre las vulnerabilidades. Un enfoque es en las debilidades emergentes en las bibliotecas de middleware que presentan oportunidades para que los adversarios utilicen las mismas herramientas en varias aplicaciones, lo que reduce el tiempo y el costo necesarios para poner en riesgo a los usuarios. También compartimos la investigación sobre las tendencias de implementación de parches de Cisco. Observamos el beneficio de ofrecerles a los usuarios un flujo regular de actualizaciones para fomentar la adopción de versiones más seguras de navegadores web y soluciones de productividad comunes.
Resumen ejecutivo y principales conclusiones4
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de CiscoEn esta sección se describen los resultados del tercer Estudio comparativo sobre capacidades de seguridad, que se centra en la percepción de los profesionales de seguridad acerca del estado de la seguridad en sus organizaciones. Este año, los profesionales de seguridad parecen tener confianza en las herramientas a su disposición, pero tienen dudas respecto a si estos recursos pueden ayudarlos a reducir el espacio operativo de los adversarios. De acuerdo con el estudio, las infracciones de seguridad públicas tienen un impacto mensurable en las oportunidades, los ingresos y los clientes. Al mismo tiempo, las infracciones impulsan las mejoras en materia de tecnología y proceso en las organizaciones. Para un análisis detallado sobre el estado de la seguridad en las organizaciones, vaya a la página 49.
SectorEn esta sección explicamos la importancia de garantizar la seguridad de la cadena de valor. Analizamos el daño potencial de que los gobiernos almacenen información sobre vulnerabilidades y ataques de día cero en los productos de los proveedores. Además, analizamos el uso de la encriptación rápida como una solución para proteger los datos en entornos de alta velocidad. Por último, describimos los desafíos de la seguridad en la organización a medida que el tráfico de Internet global y la superficie potencial de ataque crecen.
ConclusiónEn nuestra conclusión sugerimos que los defensores adapten las prácticas de seguridad para que puedan sortear mejor los desafíos de seguridad típicos que supone toda la cadena de ataque y reducir el espacio operativo de los adversarios. En esta sección también se ofrece orientación específica sobre cómo establecer un enfoque integrado y simplificado para la seguridad: uno que conectará el liderazgo ejecutivo, las políticas, los protocolos y las herramientas para prevenir, detectar y mitigar amenazas.
Resumen ejecutivo y principales conclusiones5
Informe anual sobre ciberseguridad de 2017 de Cisco
Principales conclusiones ● En el 2016, tres principales kits de ataque (Angler,
Nuclear y Neutrino) desaparecieron del panorama y, en consecuencia, dieron lugar a que usuarios más pequeños y nuevos dejen su huella.
● De acuerdo con el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, la mayoría de las empresas utilizan más de 5 proveedores de seguridad y más de 5 productos de seguridad en su entorno. El 55 % de los profesionales de seguridad utiliza al menos 6 proveedores, el 45 % utiliza de 1 a 5 proveedores y el 65 % utiliza 6 productos o más.
● Los principales obstáculos a la hora de adoptar los productos y las soluciones de seguridad avanzada, según el Estudio comparativo, son el presupuesto (mencionado por el 35 % de los encuestados), la compatibilidad de los productos (28 %), la certificación (25 %) y profesionales capacitados (25 %).
● Según el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, las organizaciones, debido a los distintos obstáculos, pueden investigar solo el 56 % de las alertas que reciben en un día determinado. La mitad de las alertas investigadas (28 %) se consideran legítimas y menos de la mitad (46 %) de las alertas legítimas se corrigen. Además, el 44 % de los gerentes de operaciones de seguridad ven más de 5000 alertas de seguridad por día.
● El 27 % de las aplicaciones de la nube de terceros conectadas introducidas por los empleados en entornos empresariales en el 2016 plantearon un alto riesgo de seguridad. Las conexiones de autenticación abierta (OAuth) entran en contacto con la infraestructura corporativa y pueden comunicarse libremente con las plataformas de la nube y de software como servicio (SaaS) corporativas después de que los usuarios otorgan acceso.
● De acuerdo con una investigación de Cisco que incluyó 130 organizaciones de mercados verticales, el 75 % de dichas empresas sufren infecciones por adware. Los adversarios pueden llegar a utilizar estas infecciones para facilitar otros ataques de malware.
● Cada vez en mayor medida, los operadores que están detrás de las campañas de publicidad maliciosa utilizan agentes (también denominados “puertas”). Los agentes les permiten moverse con mayor velocidad, mantener su espacio operativo y evadir la detección. Estos enlaces intermediarios permiten que los adversarios pasen rápidamente de un servidor malicioso a otro sin cambiar el redireccionamiento inicial.
● El correo electrónico no deseado representa casi dos tercios (65 %) del volumen total de correos electrónicos. De acuerdo con nuestra investigación, el volumen de correos electrónicos no deseados a nivel mundial está creciendo debido a botnets extendidos y en crecimiento que envían correos electrónicos no deseados. Según los investigadores de amenazas de Cisco, alrededor del 8 al 10 % de los correos electrónicos no deseados observados en 2016 en todo el mundo podrían clasificarse como maliciosos. Además, el porcentaje de correos electrónicos no deseados con archivos adjuntos maliciosos está aumentando, y los adversarios parecen estar probando una amplia variedad de tipos de archivos para que sus campañas resulten exitosas.
● Según el Estudio comparativo sobre capacidades de seguridad, las organizaciones que aún no han sufrido una infracción a la seguridad pueden creer que sus redes son seguras. Probablemente esta confianza sea inadecuada, si se tiene en cuenta que el 49 % de los profesionales de seguridad encuestados indicaron que sus organizaciones han tenido que enfrentarse al escrutinio público tras una infracción a la seguridad.
Resumen ejecutivo y principales conclusiones6
Informe anual sobre ciberseguridad de 2017 de Cisco
● Conforme al Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, casi un cuarto de las organizaciones que han sufrido un ataque perdieron oportunidades de negocio. Cuatro de cada diez expresaron que esas pérdidas fueron importantes. Una de cada cinco organizaciones perdió clientes debido a un ataque, y casi el 30 % perdió ingresos.
● De acuerdo con los encuestados en el estudio comparativo, cuando se produjeron infracciones, las operaciones y las finanzas eran las funciones con más probabilidades de verse afectadas (el 36 % y el 30 %, respectivamente), seguidas por la reputación y la retención de clientes (26 % en ambos casos).
● Las interrupciones en la red que se deben a las infracción a la seguridad pueden, a menudo, tener un impacto duradero. Según el estudio comparativo, el 45 % de las interrupciones duró de 1 a 8 horas, el 15 % duró de 9 a 16 horas y el 11 % duró de 17 a 24 horas. El 41 % (consulte la página 55) de las interrupciones afectó entre el 11 % y el 30 % de los sistemas.
● Las vulnerabilidades en el middleware (software que funciona como un puente o conector entre plataformas o aplicaciones) están siendo más evidentes, lo que genera inquietudes respecto a que el middleware se está convirtiendo en un vector de amenaza popular. Muchas empresas utilizan middleware, de modo que la amenaza podría afectar a todos los sectores. Durante el transcurso de un proyecto de Cisco®, nuestros investigadores de amenazas descubrieron que una importante cantidad de nuevas vulnerabilidades analizadas se debían al uso de middleware.
● El flujo de actualizaciones de software puede afectar el comportamiento del usuario cuando se trata de instalar parches y actualizaciones. Según nuestros investigadores, las actualizaciones periódicas y previsibles conllevan una actualización de software más rápido de parte de los usuarios, y esto reduce el tiempo durante el cual los adversarios pueden aprovechar vulnerabilidades.
● Según el Estudio comparativo sobre capacidades de seguridad de 2017, la mayoría de las organizaciones dejan en manos de proveedores de terceros al menos el 20 % de la seguridad, y las que utilizan estos recursos en mayor medida tienen más probabilidades de expandir su uso en el futuro.
Informe anual sobre ciberseguridad de 2017 de Cisco
8 Introducción
Informe anual sobre ciberseguridad de 2017 de Cisco
IntroducciónLos adversarios disponen de un amplio y variado portafolio de técnicas para tener acceso a recursos de las organizaciones y para obtener tiempo ilimitado para operar. Sus estrategias cubren todos los aspectos básicos e incluyen lo siguiente:
● Aprovechar los intervalos en la implementación de parches y las actualizaciones.
● Hacer caer a los usuarios en trampas de ingeniería social.
● Introducir malware en contenido en línea supuestamente legítimo, como en las publicidades.
A su vez, cuentan con muchas otras funcionalidades: desde el aprovechamiento de las vulnerabilidades de middleware hasta el envío de correos electrónicos no deseados maliciosos. Una vez que alcanzan sus objetivos, pueden apagar sus operaciones en forma rápida y silenciosa.
Los adversarios trabajan sin cesar para desarrollar sus amenazas, se mueven incluso con más velocidad y encuentran maneras de ampliar el espacio operativo. El intenso crecimiento del tráfico de Internet (impulsado, en gran parte, por velocidades móviles más rápidas y la proliferación de dispositivos en línea) juega a su favor, ya que contribuye con la expansión de la superficie de ataque. A medida que eso sucede, los riesgos para las empresas son cada vez mayores. Según el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, más de un tercio de las organizaciones que han sufrido un ataque perdió el 20 % de sus ingresos o más. El 49 % de los encuestados dijo que su empresa se ha enfrentado al escrutinio público debido a una infracción a la seguridad.
¿Cuántas empresas pueden sufrir un daño de este tipo en su aspecto más fundamental sin perder su solidez? Los defensores deben centrar sus recursos en reducir el espacio operativo de los adversarios. De esta manera, a los atacantes
les resultará extremadamente difícil obtener acceso a recursos valiosos de la empresa y llevar a cabo sus actividades sin que sean detectados.
La automatización es fundamental para lograr este objetivo. Esta permite comprender qué se considera actividad normal en el entorno de red, para que usted pueda destinar pocos recursos a la investigación y resolver las verdaderas amenazas. Simplificar las operaciones de seguridad también le permite ser más eficaz a la hora de eliminar el espacio operativo ilimitado de los adversarios. Sin embargo, de acuerdo con el Estudio comparativo, la mayoría de las organizaciones utilizan más de cinco soluciones de más de cinco proveedores (página 53).
Una red compleja de tecnología de este tipo y la enorme cantidad de alertas de seguridad son los ingredientes de una receta para menos protección, no para más. Naturalmente, incorporar más personas talentosas en materia de seguridad puede ser de ayuda. Con más expertos incorporados, según la lógica, mejor la capacidad de la organización para administrar la tecnología y obtener mejores resultados. Sin embargo, con el escaso personal capacitado en materia de seguridad y los presupuestos de seguridad limitados, contratar desaforadamente es muy poco probable. En cambio, la mayoría de las organizaciones debe conformarse con el personal capacitado que tengan. Utilizan personal capacitado tercerizado para agregar consistencia a sus equipos de seguridad sin salirse del presupuesto.
La respuesta real para superar estos desafíos, como explicamos más adelante en este informe, es poner en funcionamiento a personas, procesos y tecnología de forma integrada. Poner en funcionamiento la seguridad es comprender realmente lo que la empresa necesita proteger, así como las medidas que deben tomarse para proteger esos recursos fundamentales.
El informe anual de ciberseguridad 2017 de Cisco presenta nuestros últimos avances en el sector de seguridad, diseñados para ayudar a organizaciones y usuarios a defenderse contra ataques. También observamos las técnicas y estrategias que los atacantes utilizan para penetrar estas defensas. El informe además resalta importantes descubrimientos del Estudio comparativo de capacidades de seguridad 2017 de Cisco, el cual examina la postura de seguridad de las empresas y sus percepciones respecto de su preparación para defenderse de los ataques.
10
Informe anual sobre ciberseguridad de 2017 de Cisco
La expansión de la superficie de ataque
La expansión de la superficie de ataqueDispositivos móviles. Nube pública. Infraestructura de la nube. Comportamiento del usuario. Los profesionales de seguridad que participaron en el tercer Estudio comparativo sobre capacidades de seguridad anual de Cisco citaron todos esos elementos como principales fuentes de preocupación cuando piensan en el riesgo de exposición a un ataque cibernético que corre su organización (figura 1). Esto es comprensible: la proliferación de dispositivos móviles genera más terminales para proteger. La nube está expandiendo el perímetro de seguridad. Y los usuarios son, y siempre serán, un punto débil en la cadena de seguridad.
A medida que las empresas adoptan la digitalización, y que Internet de todo (IdT)¹ comienza a tener forma, los defensores tendrán incluso más cosas por las que preocuparse. La superficie de ataque también se expandirá y, en consecuencia, los adversarios tendrán más espacio para operar.
Durante más de una década, Cisco® Visual Networking Index (VNI) ha proporcionado pronósticos de tráfico IP global
y analizado los factores dinámicos que facilitan el crecimiento de la red. Analice las siguientes estadísticas del informe más reciente La era del zettabyte: tendencias y análisis:²
● El tráfico IP global anual superará el umbral de zettabyte en el 2016 y alcanzará los 2,3 zettabytes por año para el 2020. Un zettabyte corresponde a mil exabytes o a mil millones de terabytes. Eso significa que el tráfico IP global en los próximos 5 años será 3 veces mayor.
● El tráfico de dispositivos móviles e inalámbricos representará dos tercios (66 %) del tráfico IP total para el 2020. Los dispositivos cableados representarán solo el 34 %.
● De 2015 a 2020, las velocidades de banda ancha promedio prácticamente se duplicarán.
● Para el 2020, el 82 % de todo el tráfico de Internet de consumidores a nivel mundial será tráfico de video IP, en comparación con un 70 % registrado en el 2015.
Figura 1. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos
58%Dispositivos móviles Datos en la nube pública
57%Infraestructura de la nube
57%
Comportamiento del usuario (por ejemplo, hacer clic en enlaces maliciosos en el correo electrónico o los sitios web)
57%Porcentaje de profesionales de seguridad que encuentran las categorías muy o extremadamente exigentes
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 1 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los ataques informáticos
¹ “Preguntas frecuentes de Internet de todo”, Cisco: http://ioeassessment.cisco.com/learn/ioe-faq. ² La Era Zettabyte — Tendencias y Análisis, Cisco VNI, 2016: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html.
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
11
Informe anual sobre ciberseguridad de 2017 de Cisco
La expansión de la superficie de ataque
Además, el informe técnico de Previsión y metodología de 2015 a 2020 de Cisco VNI™³ arroja la previsión de que el volumen del tráfico de Internet global en el 2020 será 95 veces más grande que en el 2005.
Por supuesto, los ciberdelincuentes oportunistas también prestan especial atención a estas tendencias. Vemos ya que los operadores en la economía informal toman medidas para ser más ágiles en este entorno cambiante. Crean ataques sumamente dirigidos y diversos que están diseñados especialmente para tener un resultado satisfactorio en la superficie del ataque en expansión. Mientras tanto, los equipos de seguridad están en modo “contra incendios” en forma constante y se encuentran abrumados por las alertas. Tienen que utilizar una variedad de productos de seguridad en el entorno de red que solo aportan más complejidad e incluso pueden aumentar la susceptibilidad de una organización a las amenazas.
Las organizaciones deben realizar lo siguiente:
● Integrar la tecnología de seguridad.
● Simplificar las operaciones de seguridad.
● Recurrir más a la automatización.
Este enfoque ayudará a reducir los gastos operativos, a aliviarle la carga al personal de seguridad y a ofrecer mejores resultados en materia de seguridad. Lo más importante es que les dará a los defensores la capacidad de dedicar más tiempo a la eliminación del espacio ilimitado en el que los atacantes operan actualmente.
³ Previsión y metodología de Cisco VNI, 2015–2020, Cisco VNI, 2016: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.html.
13
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Comportamiento del atacante
Métodos de ataque web: las amenazas de “cola corta” permiten que los adversarios sienten las bases para las campañasEl reconocimiento es, por supuesto, un paso fundamental para iniciar un ataque cibernético. En esta etapa, los adversarios buscan infraestructura de Internet vulnerable o debilidades de la red que les permitan obtener acceso a las computadoras de los usuarios y, en última instancia, infiltrarse en las organizaciones.
Los archivos binarios de Windows sospechosos y las aplicaciones potencialmente no deseadas encabezaron la lista de métodos de ataque web en el 2016 por un margen significativo (consulte la figura 2). Los archivos binarios de Windows sospechosos contienen amenazas como spyware y adware. Las extensiones de navegador maliciosas son un ejemplo de aplicaciones potencialmente no deseadas.
Las estafas de Facebook, que incluyen ofertas y contenido de medios falsos junto con estafas de encuestas, ocuparon el tercer lugar en nuestra lista. El continuo protagonismo de las estafas de Facebook en nuestras listas anuales y semestrales sobre el malware observado con mayor frecuencia deja en clara evidencia el rol fundamental que desempeña la ingeniería social en muchos ataques cibernéticos. Facebook tiene casi 1,8 mil millones de usuarios activos por mes en todo el mundo.⁴ Se trata, entonces, de un territorio lógico para los ciberdelincuentes y otros actores que buscan engañar a los usuarios. Un desarrollo positivo es el reciente anuncio de la empresa de que está tomando medidas para eliminar las noticias falsas y los engaños. Los críticos sugieren que ese contenido podría haber tenido influencia en los votantes en la decisión presidencial de 2016 en los Estados Unidos.⁵
Reconocimiento Armamentización Método de entrega Instalación
Los atacantes investigan, identifican y seleccionan sus objetivos.
⁴ Estadísticas de Facebook, septiembre de 2016: http://newsroom.fb.com/company-info/. ⁵ “Zuckerberg Vows to Weed Out Facebook ‘Fake News,’” por Jessica Guynn y Kevin McCoy, USA Today, 14 de noviembre de 2016: http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed- out-facebook-fake-news/93770512/.
Conteo de muestra
PUA y binarios sospechosos
Instaladores de troyanos (VBS)
Enlaces fraudulentos de Facebook
Descargadores de troyanos (script)
Redireccionamiento del navegador (JS)
Redireccionamiento de las descargas del navegador
Suplantación de identidad (enlaces)
Troyanos Android (lop)
Redireccionamiento del navegador
Secuestro de Facebook
Bloques heurísticos (scripts)
Binarios en paquete
Descargadores de troyanos (JS)
Troyanos, heurísticos (Win32)
Ataques a los iFrame del navegador
Android (Axent)
Troyanos Android (Loki)
Malware (FakeAvCn)
Troyanos (HideLink)
Malware (HappJS)
87 329
50 081
35 887
27 627
24 737
18 505
15 933
14 020
12 848
11 600
11 506
7712
5995
5510
5467
4970
4584
4398
3646
3006
Figura 2. Malware más comúnmente observado
Fuente: Cisco Security Research
Figura 2 Malware más comúnmente observado
14
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
El malware de redireccionamiento de navegador completó los cinco tipos de malware principales observados con más frecuencia en el 2016. Como se analizó en el Informe semestral sobre ciberseguridad de 2016 de Cisco,⁶ las infecciones en el navegador pueden exponer a los usuarios a publicidad maliciosa, que los adversarios utilizan para configurar el ransomware y otras campañas de malware. Los investigadores de amenazas de Cisco advierten que el adware malicioso, que incluye herramientas que introducen anuncios, secuestradores de las configuraciones del navegador, utilidades y aplicaciones de descarga, es un problema cada vez mayor. De hecho, hemos identificado infecciones por adware en el 75 % de las empresas que investigamos recientemente como parte de nuestra investigación sobre el problema del adware. (Para obtener más información sobre este tema, consulte “De acuerdo con la investigación, el 75 % de las organizaciones se ven afectadas por infecciones por adware”, en la página 23).
Otros tipos de malware que se enumeran en la figura 3, como el malware de abuso de JavaScript en el navegador y malware de abuso de IFrame en el navegador, también están diseñados para facilitar las infecciones en el navegador. Los troyanos (instaladores de malware y aplicaciones de descarga) también se encuentran entre los cinco tipos de malware principales observados con mayor frecuencia, lo que indica que siguen siendo herramientas populares para obtener acceso inicial a las computadoras de los usuarios y a las redes de las organizaciones.
Otra tendencia para observar: el uso constantemente alto de malware que apunta a usuarios de la plataforma operativa Android. Los troyanos de Android han escalado de posición continuamente en la lista de amenazas de “cola corta” durante
los últimos 2 años. Se ubicaron entre los 10 tipos principales de malware observados con mayor frecuencia en el 2016. El malware Loki, que aparece al final de la “cola corta” que se muestra en la figura 2 (consulte la página anterior), es muy molesto porque puede replicar e infectar otros archivos y programas.
La figura 3 ayuda a ilustrar las tendencias de malware que los investigadores de amenazas de Cisco han observado desde finales del 2015. Revela que los adversarios hicieron un cambio preciso en la fase de reconocimiento de ataques en línea. Más amenazas ahora buscan específicamente navegadores y complementos vulnerables. Este cambio coincide con el creciente uso de publicidad maliciosa por parte de los adversarios, ya que se torna más difícil aprovechar una gran cantidad de usuarios a través de vectores de ataque de la red tradicionales. (Consulte la sección siguiente “Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertas”, en la página 15).
El mensaje para los usuarios individuales, los profesionales de seguridad y las empresas es claro: asegurarse de que los navegadores sean seguros y desactivar o eliminar los complementos de navegador innecesarios son medidas que pueden hacer mucho para prevenir las infecciones por malware. Estas infecciones pueden provocar ataques más importantes, disruptivos y costosos, como las campañas de ransomware. Estos pasos simples pueden reducir significativamente su exposición a amenazas basadas en la Web comunes y evitar que los adversarios encuentren el espacio operativo para implementar la fase siguiente de la cadena de ataque: la fase armamentista.
Con
teo
de m
uest
ra
4T 2015 1T 2016 2T 2016 3T 2016
Figura 3. Malware más comúnmente observado, 4T 2015-3T 2016
Fuente: Cisco Security Research
0K
10K
20K
30K
40K
50K
PU
A y
bin
ario
s s
ospe
chos
os
Inst
alad
or t
roya
no d
e m
alw
are
(VB
S)
Red
irecc
iona
mie
nto
del
nav
egad
or (
JS)
Enla
ces
frau
dule
ntos
de
Face
book
Des
carg
ador
es t
roya
nos
(scr
ipt)
Sec
uest
ro d
e Fa
cebo
ok
Enla
ces
de s
upla
ntac
ión
de
iden
tidad
Red
irecc
iona
mie
nto
de
las
desc
arga
s d
el n
aveg
ador
Troy
anos
And
roid
(lo
p)
Red
irecc
iona
mie
nto
del
nav
egad
or
Troy
anos
de
los
iFra
me
Des
carg
ador
es d
e tr
oyan
os (
JS)
Blo
ques
heu
rístic
os
(Win
32)
Des
carg
ador
es d
e iF
ram
e
En p
aque
te (
en
múl
tiple
s pa
quet
es)
Figura 3 Malware más comúnmente observado, Q4 2015-Q3 2016
⁶ Informe semestral sobre ciberseguridad 2016 de Cisco: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.
15
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertasAdobe Flash ha sido por mucho tiempo un atractivo vector de ataque web para los adversarios que desean aprovechar y comprometer los sistemas. Sin embargo, debido a que la cantidad de contenido de Adobe Flash en la Web sigue disminuyendo y a que el conocimiento sobre vulnerabilidades de Flash aumenta, es cada vez más difícil para los ciberdelincuentes aprovechar a los usuarios en un nivel que alguna vez alcanzaron.
Adobe mismo está abandonando el desarrollo y soporte completos de la plataforma de software y ha alentado a los desarrolladores a adoptar nuevos estándares, como HTML5.⁷ Los proveedores de navegadores web populares también están tomando una posición sólida respecto a Flash. Por ejemplo, Google anunció en el 2016 que eliminará el soporte completo de Adobe Flash en su navegador Chrome.⁸ Firefox continúa admitiendo contenido Flash heredado, pero está bloqueando “contenido Flash que no es esencial para la experiencia del usuario”.⁹
El uso de Flash puede estar disminuyendo, pero los desarrolladores de kits de ataque colaboran para que se mantenga como vector de ataque. Sin embargo, hay indicios de que esto puede estar cambiando. Después de que tres principales kits de ataque (Angler, Nuclear y Neutrino) desaparecieron del panorama de amenazas en el 2016, nuestros investigadores de amenazas observaron una disminución significativa en el tráfico de Internet relacionado con Flash. (Consulte “La desaparición de los principales kits de ataques presenta oportunidades para usuarios más pequeños y nuevos participantes”, en la página 20). Los creadores del kit de ataque Angler recurrieron en gran medida a las vulnerabilidades de Flash para poner en riesgo a los usuarios. El kit de ataque Nuclear tuvo un enfoque similar en Flash. Neutrino, por su parte, usaba archivos Flash para trasmitir ataques.
Los usuarios deben ser prudentes y desinstalar Flash, a menos que lo necesiten por motivos comerciales. En ese caso, deben mantenerse al día con las actualizaciones. Usar navegadores web que ofrecen capacidades de implementación de parches automática puede ser de ayuda. Como se observa en “Métodos de ataque web: las amenazas de “cola corta” permiten que los adversarios sienten las bases para las campañas”, en la página 13, usar navegadores seguros (y deshabilitar o eliminar complementos de navegadores innecesarios) reducirá significativamente su exposición a las amenazas basadas en la web.
Java, PDF y SilverlightEl tráfico de Internet de Java y PDF experimentó una disminución considerable en el 2016. El tráfico de Silverlight ya ha alcanzado un nivel al que, para los investigadores de amenazas, ya no vale la pena realizarle un seguimiento con regularidad.
Java, que en un momento fue el vector de ataque web dominante, ha experimentado una mejora considerable en el estado de la seguridad en los últimos años. La decisión de Oracle a principios del 2016 de eliminar el complemento de navegador Java colaboró para que Java se convierta en un vector de ataque web menos atractivo. Los ataques de PDF también son cada vez más escasos. Por ese motivo, pueden detectarse más fácilmente; por lo tanto, muchos adversarios ahora utilizan esta estrategia con menos frecuencia.
Sin embargo, como con Flash, los ciberdelincuentes aún utilizan Java, PDF y Silverlight para aprovecharse de los usuarios. Los usuarios individuales, las empresas y los profesionales de seguridad deben ser conscientes de estas posibles vías de riesgo. Para reducir el riesgo de exposición a estas amenazas, deben hacer lo siguiente:
● Descargar parches.
● Utilizar tecnología web actualizada.
● Evitar el contenido web que pueda representar un riesgo.
⁷ “Flash, HTML5 and Open Web Standards,” Adobe News, noviembre de 2015: https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html. ⁸ “Flash and Chrome,” por Anthony LaForge, The Keyword blog, Google, 9 de agosto de 2016: https://blog.google/products/chrome/flash-and-chrome/. ⁹ “Reducing Adobe Flash Usage in Firefox,” por Benjamin Smedberg, Future Release blog, Mozilla, 20 de julio de 2016: https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/.
Los atacantes combinan malware de acceso remoto con ataques en cargas útiles entregables.
Reconocimiento Armamentización Método de entrega
Instalación
16
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Seguridad de las aplicaciones: administración del riesgo de la conexión OAuth en medio de una explosión de aplicacionesCuando las empresas migran a la nube, el perímetro de seguridad se extiende al ámbito virtual. Sin embargo, el perímetro de seguridad se desvanece rápidamente con cada aplicación de la nube de terceros conectada que los empleados introduzcan en el entorno.
Los empleados desean mejorar la productividad y mantenerse conectados mientras trabajan. Pero estas aplicaciones de TI no autorizada crean un riesgo para las empresas. Entran en contacto con la infraestructura corporativa y pueden comunicarse libremente con las plataformas de la nube y de software como servicio corporativas tan pronto los usuarios les otorgan acceso a través de OAuth. Estas aplicaciones pueden tener alcances de acceso extensos y, a veces, excesivos. Deben administrarse cuidadosamente porque pueden ver, eliminar, exteriorizar y almacenar datos corporativos, e incluso actuar en nombre de los usuarios.
El proveedor de seguridad en la nube CloudLock, ahora parte de Cisco, ha realizado un seguimiento del crecimiento de las aplicaciones de la nube de terceros conectados a través de un grupo de ejemplo de 900 organizaciones que representaban una variedad de sectores. Como se muestra en la figura 4, había aproximadamente 129 000 aplicaciones únicas observadas a principios del 2016. A fines de octubre, esa cifra había ascendido a 222 000.
La cantidad de aplicaciones aumentó aproximadamente 11 veces desde el 2014. (Consulte la figura 5).
Clasificación de las aplicaciones que más riesgo representanPara ayudar a los equipos de seguridad a comprender cuáles son las aplicaciones de la nube de terceros conectadas en su entorno que representan el mayor riesgo para la seguridad de la red, CloudLock desarrolló el Índice de riesgo de las aplicaciones de la nube (CARI). El proceso consiste en varias evaluaciones:
● Requisitos de acceso a los datos: las organizaciones responden preguntas, entre ellas: ¿qué permisos son necesarios para autorizar la aplicación? ¿Otorgar acceso a los datos significa que la aplicación tiene acceso programático (API) a las plataformas SaaS corporativas a través de conexiones OAuth? ¿Puede la aplicación (y, por extensión, el proveedor) actuar en nombre de los usuarios y utilizar los datos corporativos, como verlos y eliminarlos?
● Community Trust Rating (índice de confianza colectivo): se utilizan evaluaciones impulsadas por pares y basadas en la comunidad para esta evaluación.
● Inteligencia de amenazas de la aplicación: esta verificación integral que realizan los expertos en ciberseguridad se basa en los diferentes atributos de seguridad de una aplicación, como certificaciones de seguridad, historial de infracciones y revisiones de analistas. Figura 4. Crecimiento explosivo de aplicaciones
conectadas de terceros en la nube, 2016
Fuente: Cisco CloudLock
Cantidad de aplicaciones exclusivas
222,000Octubre
129,000Enero
Oct 2014 Oct 2015 Oct 2016
Fuente: Cisco CloudLock
Figura 5. Crecimiento de las aplicaciones de terceros en la nube, comparación interanual
20,400
108,000222,000
Figura 4 Crecimiento exponencial de aplicaciones de la nube de terceros conectadas, 2016
Figura 5 Crecimiento de aplicaciones de la nube de terceros, comparación interanual
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
17
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
CloudLock utilizó CARI para clasificar las 222 000 aplicaciones que había identificado en las 900 organizaciones en el ejemplo. De todas las aplicaciones, el 27 % se consideró de alto riesgo, mientras que la mayoría entró en la categoría de riesgo intermedio. (Consulte la figura 6). La mitad de esas organizaciones tenía conexiones OAuth relacionadas con una aplicación de juegos popular que se lanzó en el verano de 2016.
Puntuaciones y ejemplos de riesgos
Después de clasificar las aplicaciones de la nube de terceros mediante CARI, CloudLock asigna una puntuación de riesgo a cada aplicación en una escala de 1 (menor riesgo) a 5 (mayor riesgo).
Por ejemplo, una aplicación que obtenga una puntuación de 1 en la escala puede tener alcances de acceso mínimo (puede ver el correo electrónico únicamente), un índice de confianza colectivo del 100 por ciento, y ningún historial de amenazas.
Una aplicación que obtenga una puntuación de 5 en la escala puede que tenga acceso completo a las cuentas (puede ver todos los correos electrónicos y documentos, el historial de navegación, el calendario y más), un índice de confianza del 8 por ciento (es decir, solo el 8 por ciento de los administradores confía en ésta), y ninguna certificación de seguridad.
27%riesgo alto
15%riesgo bajo
Figura 6. Aplicaciones de terceros clasi�cadas como Alto riesgo
Fuente: Cisco CloudLock
58%riesgo medio
222,000 aplicaciones de terceros
Figura 6 Aplicaciones de terceros clasificadas como de alto riesgo
COMPARTIR
18
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Con nuestro análisis, descubrimos que todas las organizaciones, independientemente de su tamaño, del sector o de la región, tienen una distribución relativamente uniforme de aplicaciones de riesgo bajo, medio y alto (figuras 7 y 8).
Bajo riesgo Riesgo medio Alto riesgo
Figura 7. Distribución de aplicaciones de riesgo bajo, medio y alto, por región
Fuente: Cisco CloudLock
15
54
América del Norte
3112
América Latina
58
10
58
Europa, Medio Oriente y África
11
30
APAC (Asia y Pací�co)
59
30 32
Figura 7 Distribución de aplicaciones de bajo, mediano y alto riesgo, por región
Alto riesgoRiesgo medioBajo riesgo
Figura 8. Distribución de aplicaciones de riesgo bajo, medio y alto, por sector
Fuente: Cisco CloudLock
Servicios �nancieros
8
57
35
Manufactura
8
61
31
Comercio minorista
10
58
32
Proveedores de servicios de salud
16
56
28
Medios de comunicación
y entretenimiento
16
56
28
Gobierno
10
57
33
Otros
16
52
32
Colegios
17
52
31
Viajes, hotelería, y transporte
12
58
30
Tecnología
14
56
30
Educación superior
16
53
31
Figura 8 Distribución de aplicaciones de bajo, mediano y alto riesgo, por sector
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
19
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Cómo esclarecer la confusiónPara identificar el comportamiento sospechoso de los usuarios y de las entidades en plataformas SaaS corporativas, incluidas las aplicaciones de la nube de terceros, los equipos de seguridad deben examinar mil millones de actividades de los usuarios para determinar patrones de comportamiento normal en el entorno de su organización. Deben buscar anomalías por fuera de esos patrones previstos. Luego, deben establecer una correlación entre las actividades sospechosas para determinar qué podría constituir una amenaza real que requiera investigación.
Los inicios de sesión excesivos desde distintos países en un período breve constituyen un ejemplo de actividad sospechosa. Supongamos que el comportamiento normal del usuario en una determinada organización es que los empleados inicien sesión en una aplicación específica desde no más de uno o dos países por semana. Si un usuario comienza a iniciar sesión en la aplicación desde 68 países
en el transcurso de una semana, un equipo de seguridad querrá investigar esa actividad para confirmar que sea legítima.
Según nuestro análisis, solo 1 de cada 5000 actividades del usuario (es decir, el 0,02 %) asociadas a aplicaciones de nube de terceros conectadas es sospechosa. El desafío para los equipos de seguridad es, naturalmente, dar con esa instancia individual.
Solo a través de la automatización los equipos de seguridad pueden penetrar la confusión que suponen las alertas de seguridad y centrar sus recursos en la investigación de amenazas verdaderas. El proceso de varias etapas de identificación de actividades del usuario normales y posiblemente sospechosas que se describe más arriba y que se ilustra en la figura 9 se basa en el uso de la automatización, con algoritmos que se aplican en cada etapa.
Amenaza verdadera
Comportamiento de todos los usuarios
AnomalíasActividades sospechosas0,02% de todas las actividades
Figura 9. Identi�cación de los patrones de comportamiento del usuario con automatización (proceso)
Fuente: Cisco CloudLock
Inteligencia de amenazas Investigación de ciberseguridad
Información sobre las vulnerabilidades en la nube
Políticas centralizadas
Inteligencia basada en la comunidad Análisis del contexto
58% de conductas anormales
31% de actividades de inicio de sesión
11% de acciones del administrador
227 veces más descargas de archivos que el promedio
141 veces más eliminaciones de activos de datos que el promedio
113 veces más fallas de inicio de sesión que el promedio
1000 Millones de actividades del usuario por mes
Figura 9 Identificar patrones de comportamiento de los usuarios con la automatización (proceso)
COMPARTIR
20
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
La desaparición de los principales kits de ataque presenta oportunidades para usuarios más pequeños y nuevos participantesEn el 2016, se experimentaron cambios radicales en el entorno de kits de ataque. A principios de 2016, Angler, Nuclear, Neutrino y RIG fueron, entre los kits de ataque, líderes claros. En noviembre, RIG era el único de ese grupo aún en actividad. Como se muestra en la figura 10, la actividad de los kits de ataque disminuyó considerablemente alrededor de junio.
Nuclear fue el primero en desaparecer: en mayo dejó de funcionar repentinamente. El motivo por el cual sus creadores lo abandonaron es un misterio. El kit de ataque Neutrino, que también salió de la escena en el 2016, utilizaba archivos Flash para trasmitir vulnerabilidades. (Consulte la figura 11 en la página siguiente para ver una lista de las principales vulnerabilidades en kits de ataque conocidos en el 2016).
Flash sigue siendo un vector de ataque web atractivo para los adversarios, pero es probable que pierda protagonismo con el tiempo. Menos sitios y navegadores están admitiendo Flash en forma total o directamente no lo admiten; además, hay un conocimiento general mayor sobre las vulnerabilidades de Flash. (Para obtener más información sobre este tema, consulte “Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertas”, en la página 15).
0
7K
6K
5K
4K
3K
2K
1K
Núm
ero
de b
loqu
eos
Ene
Feb
Mar
Abr
May Jun
Jul
Ago
Sep Oct
Nov
Figura 10. Bloqueos de la página de inicio de sesión del kit de vulnerabilidad de la seguridad Enero-noviembre 2016
Fuente: Cisco Security Research
7407
1051
Figura 10 La página de acceso a kits de ataque se bloquea, de enero a noviembre de 2016
Con el uso malicioso del correo electrónico, archivos adjuntos, sitios web y demás herramientas, los atacantes transmiten sus armas informáticas a sus blancos.
Reconocimiento Armamentización Método de entrega Instalación
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
21
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Un gigante que desapareceAngler, el más avanzado y más grande entre los kits de ataque conocidos, también se basaba en las vulnerabilidades de Flash y se vinculó con varias campañas destacadas de ransomware y publicidad maliciosa. Sin embargo, a diferencia de la desaparición de Nuclear y Neutrino, el caso de Angler en 2016 no es un misterio.
A finales de la primavera, alrededor de 50 hackers y ciberdelincuentes fueron arrestados en Rusia; el grupo estaba vinculado con el malware Lurk, un troyano bancario que se dirigía específicamente a los bancos rusos.¹⁰ Los investigadores de amenazas de Cisco identificaron conexiones claras entre Lurk y Angler, incluido el hecho de que Lurk era distribuido en gran parte a través de Angler a las víctimas en Rusia. Después de los arrestos, Angler desapareció del mercado de kits de ataque.¹¹
Ahora que tres de los kits de ataque más dominantes han abandonado el campo, los pequeños usuarios y los nuevos participantes pueden ampliar su participación en el mercado. Además, cada vez son más sofisticados y ágiles. Los kits de ataque que parecían listos para crecer a finales de 2016 eran Sundown, Sweet Orange y Magnitude. Estos kits, al igual que RIG, son conocidos por basarse en las vulnerabilidades de Flash, Silverlight y Microsoft Internet Explorer. (Consulte la figura 11). Desinstalar Flash y deshabilitar o eliminar complementos de navegador innecesarios son medidas que ayudarán a los usuarios a reducir la posibilidad de que se vean en riesgo por estas amenazas.
Figura 11 Principales vulnerabilidades de los kits de ataque
Flash Silverlight IE 9-11 IE 10-11
Angler
Neutrino (1,2)
Magnitude
RIG
Nuclear
Sundown
Hunter
CVE- 2015-7645
2015-8446
2015-8651
2016-0034
2016-1019
2016-1001
2016-4117
2016-0189
2015-5119
2015-5122
2015-3043
2015-0318
2015-3113
2015-2419
Source: Cisco Security Research
Figura 11. Principales vulnerabilidades del kit de vulnerabilidad de la seguridad Angler
¹⁰ “Russian Hacker Gang Arrested Over $25M Theft,” BBC News, 2 de junio de 2016: http://www.bbc.com/news/technology-36434104. ¹¹ Para más información sobre este tema, consulte la publicación del blog Cisco Talos de julio de 2016, Al realizar asociaciones, se descubre un cambio drástico en el Crimeware.
COMPARTIR
22
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Publicidad maliciosa: los atacantes usan agentes para aumentar la velocidad y agilidad
Se dirige a los usuarios a kits de ataque a través de dos formas principales: sitios web comprometidos y publicidad maliciosa. Los atacantes colocan un enlace a una página de acceso a un kit de ataque en un aviso malicioso o un sitio web comprometido, o utilizan un enlace intermedio, conocido como agente. (Estos enlaces, colocados entre sitios web comprometidos y servidores de kits de ataque, también se denominan “portales”). El agente sirve como intermediario entre el redireccionamiento inicial y el kit de ataque que transmite la carga útil del malware a los usuarios.
Esta última táctica se está haciendo más popular a medida que los atacantes perciben que deben actuar con mayor rapidez para mantener su espacio operativo y evadir la detección. Los agentes permiten que los atacantes cambien rápidamente de un servidor malicioso a otro sin cambiar el redireccionamiento inicial. Debido a que no necesitan modificar sitios web o anuncios maliciosos constantemente para iniciar la cadena de infección, los operadores de kits de ataque pueden realizar campañas más extensas.
ShadowGate: una campaña rentableA medida que se torna más difícil poner en riesgo a un gran número de usuarios únicamente mediante vectores de ataque tradicionales de la web (consulte la página 15), los atacantes están utilizando cada vez más la publicidad maliciosa para exponer a los usuarios a kits de ataque. Nuestros investigadores de amenazas denominaron “ShadowGate” a una campaña de publicidad maliciosa global reciente. Esta campaña muestra cómo la publicidad maliciosa está brindando a los atacantes más flexibilidad y posibilidades de atacar a los usuarios a lo largo de regiones geográficas a gran escala.
ShadowGate involucró a sitios web que van de la cultura popular al comercio minorista, y de la pornografía a las noticias. Millones de usuarios se vieron potencialmente
afectados en América del Norte, Europa, Asia Pacífico y Medio Oriente. Son notables el alcance global de la campaña y el uso de varios idiomas.
ShadowGate, el cual utilizó seguimiento de dominio, se observó por primera vez a principios de 2015. Por momentos permanecía inactivo, para luego comenzar aleatoriamente a dirigir el tráfico hacia páginas de acceso a kits de ataque. En un principio, ShadowGate se utilizaba para dirigir a los usuarios únicamente al kit de ataque Angler. Pero después de que Angler desapareciera en el verano de 2016, los usuarios empezaron a ser dirigidos al kit de ataque Neutrino, hasta que éste desapareciera también algunos meses después. (Para más información sobre esta historia, consulte la “Desaparición de los principales kits de ataque presenta oportunidades para empresas más pequeñas y nuevas empresas”, en la página 20).
Aunque ShadowGate tuvo un alto volumen de tráfico web, solo una pequeña fracción de interacciones provocó que un usuario fuera dirigido a un kit de ataque. Los anuncios maliciosos eran principalmente impresiones, anuncios que aparecen en la página y no requieren ninguna interacción del usuario. Este modelo de publicidad en línea permitió que los responsables de ShadowGate dirijan su campaña en forma más rentable.
Nuestra investigación de ShadowGate condujo a un esfuerzo conjunto con una importante empresa de alojamiento web. Trabajamos juntos para mitigar la amenaza recuperando cuentas de usuarios inscriptos que los atacantes habían utilizado para alojar la actividad. Luego, desactivamos todos los subdominios correspondientes.
Para más detalles sobre la campaña de ShadowGate, consulte la publicación del blog de Cisco Talos de septiembre de 2016 Desactivación de Talos ShadowGate: campaña global de publicidad maliciosa frustrada.
23
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
De acuerdo con la investigación, el 75 % de las organizaciones se ven afectadas por infecciones por adwareEl adware, cuando se utiliza para fines legítimos, es el software que descarga o muestra publicidades a través de redireccionamientos, elementos emergentes y herramientas que introducen anuncios, y que genera ingresos para sus creadores. Sin embargo, los ciberdelincuentes también están usando el adware como una herramienta para ayudar a aumentar su flujo de ingresos. Utilizan adware malicioso no solo para beneficiarse de introducir publicidades, sino también como primer paso para facilitar otras campañas de malware, como el malware DNSChanger. El adware malicioso se distribuye a través de paquetes de software; los editores crean un programa de instalación con una aplicación legítima junto con docenas de aplicaciones de adware malicioso.
Los delincuentes usan adware para lo siguiente:
● Introducir publicidades, que pueden generar otras infecciones o exposición a kits de ataque.
● Cambiar la configuración de navegadores y sistemas operativos para debilitar la seguridad.
● Corromper antivirus u otros productos de seguridad.
● Obtener control total del host, para poder instalar otro software malicioso.
● Realizar el seguimiento de usuarios por ubicación, identidad, servicios utilizados y sitios visitados frecuentemente.
● Retirar información, como datos personales, credenciales e información sobre la infraestructura (por ejemplo, las páginas de ventas internas de una empresa).
A fin de evaluar el alcance del problema de adware para las empresas, los investigadores de amenazas de Cisco analizaron 80 variantes de adware diferentes. Alrededor de 130 organizaciones en mercados verticales se incluyeron en nuestra investigación, que se llevó a cabo de noviembre de 2015 a noviembre de 2016.
Clasificamos el adware en cuatro grupos, según el comportamiento principal de cada componente:
● Herramientas que introducen anuncios: este adware generalmente reside en el navegador y puede afectar a todos los sistemas operativos.
● Secuestradores de las configuraciones del navegador: este componente de adware puede modificar las configuraciones de las computadoras para que el navegador sea menos seguro.
● Utilidades: esta es una categoría grande y en crecimiento de adware. Las utilidades son aplicaciones web que ofrecen un servicio útil para los usuarios, como optimización de PC. Estas aplicaciones puedan introducir publicidades, pero su objetivo principal es convencer a los usuarios de pagar por el servicio. Sin embargo, en muchos casos, las utilidades son simples estafas y no proporcionan ningún beneficio para los usuarios.
● Aplicaciones de descarga: este adware puede ofrecer otro software, como una barra de herramientas.
Determinamos que el 75 % de las organizaciones que formaron parte de nuestro estudio se vieron afectadas por infecciones por adware.
>75%En los últimos 12 meses
de las organizaciones investigadas tiene
infecciones de adware
Figura 12. Porcentaje de organizaciones con infecciones de adware
Fuente: Cisco Security Research
Figura 12 Porcentaje de organizaciones con infecciones de adware
COMPARTIR
24
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
En la figura 13, se muestran los tipos de incidentes que observamos en las organizaciones incluidas en nuestra investigación. Las herramientas que introducen anuncios eran la fuente principal de infecciones. Este hallazgo indica que la mayoría de estas aplicaciones no deseadas apuntan a los navegadores web. También hemos observado un aumento de las infecciones basadas en el navegador durante los últimos años, lo que sugiere que los adversarios están obteniendo buenos resultados con esta estrategia para poner en riesgo a los usuarios.
Todos los componentes de adware que identificamos durante nuestra investigación pueden exponer a los usuarios y a las organizaciones al riesgo de actividad maliciosa. Los equipos de seguridad deben reconocer la amenaza que plantean las infecciones por adware y asegurarse de que los usuarios de la organización tengan pleno conocimiento de los riesgos.
Para obtener más información sobre este tema, consulte la entrada del blog de seguridad de Cisco realizada en febrero de 2016: Ataques de DNSChanger vinculados con la base instalada de adware.
0.5%
0
2.0%
1.0%
1.5%
0%
20%
10%
30%
40%
50%
60%
Porc
enta
je d
e us
uario
s in
fect
ados
con
adw
are
Porc
enta
je d
e us
uario
s in
fect
ados
Feb MarDic. Abr May Jun Jul Ago Sep OctNov2015
Ene2016
Feb MarDic. Abr May Jun Jul Ago Sep OctNov2015
Ene2016
Servicios públicos Secuestradores de con guración del navegador Descargadores Inyectores de anuncios
Figura 13. Desglose de los incidentes totales por componente de adware
Fuente: Cisco Security Research
Figura 13 Desglose de incidentes totales por componente de adware
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
25
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
El volumen de correos electrónicos no deseados a nivel mundial está creciendo del mismo modo que lo hace el porcentaje de archivos adjuntos maliciososEn el 2016, los investigadores de amenazas de Cisco realizaron dos estudios en el que emplearon telemetría de clientes que decidieron participar para calcular qué porcentaje del total de correos electrónicos es correo electrónico no deseado. Descubrimos que el correo electrónico no deseado representa casi dos tercios (65 %) del volumen total de correos electrónicos. Nuestra investigación también sugiere que el volumen de correos electrónicos no deseados a nivel mundial está aumentando, principalmente, debido a botnets extendidos y en crecimiento que envían correos electrónicos
no deseados. Además, a través de nuestro análisis, determinamos que alrededor del 8 al 10 % de los correos electrónicos no deseados observados en 2016 en todo el mundo podrían clasificarse como maliciosos.
Desde agosto hasta octubre del 2016, hubo un aumento considerable en la cantidad de bloqueos de conexiones IP (figura 14).¹² Esta tendencia puede atribuirse a un aumento general del volumen de correos electrónicos no deseados, así como a sistemas de reputación que se adaptan a información sobre los emisores de correos electrónicos no deseados.
Vietnam
China
India
Alemania
México
Rusia
Francia
Japón
Brasil
Estados Unidos1351K | 2046K
214K | 495K
252K | 587K
343K | 352K
194K | 286K
990K | 1684K
222K | 467K
254K | 1662K
903K | 760K
414K | 548K
Dic. 2015 Oct 2016
Figura 14. Bloqueos de IP por país, diciembre 2015-noviembre 2016
Fuente: Cisco Security Research
Figura 14 Bloqueos de IP por país, de diciembre de 2015 a noviembre de 2016
¹² Los bloqueos de la conexión IP son correos electrónicos no deseados bloqueados inmediatamente por una tecnología de detección de los mismos, la cual se basa en la mala reputación del remitente de este tipo de correos electrónicos. Entre éstos, se incluyen mensajes que se han originado a partir de botnets conocidos por enviar correos electrónicos no deseados o redes comprometidas, conocidas por participar en este tipo de ataques.
COMPARTIR
26
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
El gráfico de cinco años de la Lista de bloqueo compuesto (CBL), una “lista negra” basada en DNS de posibles infecciones de computadoras que envían correos electrónicos no deseados,¹³ también revela un importante aumento en el volumen total de correos electrónicos no deseados en el 2016 (figura 15).
De acuerdo con una revisión de datos de 10 años de la CBL (no se muestra), en el 2016, el volumen total de correos electrónicos no deseados está cerca de los más altos niveles registrados en el 2010. Las nuevas tecnologías de protección contra correos electrónicos no deseados y los desmontajes destacados de botnets relacionados con correo electrónico no deseado han colaborado para que los niveles de correo electrónico no deseado se mantengan bajos en los últimos años. Nuestros investigadores de amenazas atribuyen el aumento reciente del volumen global de correos electrónicos no deseados al botnet Necurs. Necurs es un vector principal para el ransomware Locky. También distribuye amenazas como el troyano bancario Dridex.
La figura 16 es un gráfico interno generado por el servicio SpamCop de Cisco que ilustra el cambio en el volumen de correos electrónicos no deseados observado en el 2016. Este gráfico muestra el tamaño total de la lista de bloqueo de SpamCop (SCBL) de noviembre de 2015 a noviembre de 2016. Cada fila de la SCBL representa una dirección IP diferente.
De noviembre de 2015 a febrero de 2016, el tamaño de las SCBL se mantuvo en menos de 200 000 direcciones IP. En septiembre y octubre, el tamaño de la SCBL superó las 400 000 direcciones IP antes de disminuir en octubre, hecho que nuestros investigadores de amenazas atribuyen a que los operadores de Necurs simplemente se tomaron un tiempo. También observe la disminución significativa que se produjo en junio. A fines de mayo, ocurrieron arrestos en Rusia relacionados con el troyano bancario Lurk (consulte la página 21). Posteriormente, varias amenazas destacadas, incluido Necurs, desaparecieron. Sin embargo, 3 semanas más tarde, Necurs volvió al ruedo y agregó más de 200 000 direcciones IP a la SCBL en menos de 2 horas.
¹³ Para más información acerca de CBL, visite http://www.abuseat.org/.
Figura 15. Volumen total de correo electrónico no deseado
3,5K
3K
2,5K
2K
1,5K
1K
0,5K
02012 2013 2014 2015 2016
Cor
reos
ele
ctró
nico
s/se
gund
os
Fuente: CBL
Figura 15 Volumen total de correos electrónicos no deseados
Figura 16 Tamaño total de SCBL
0
100k
300k
200k
400k
500k
Nov2015 2016
Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov
Fila
s
Figura 16. Tamaño total de SCBL
Fuente: SpamCop
COMPARTIR
27
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Muchas de las direcciones IP de host que enviaba el correo electrónico no deseado de Necurs han estado infectadas durante más de 2 años. Para mantener el alcance total del botnet oculto, Necurs enviará correo electrónico no deseado solo de un subconjunto de hosts infectados. Un host infectado puede utilizarse durante 2 o 3 días y luego, algunas veces, no volver a usarse durante 2 o 3 semanas. Este comportamiento complica el trabajo del personal de seguridad que responde a ataques por correo electrónico no deseado. Pueden creer que han identificado y limpiado correctamente un host infectado, pero los actores detrás de Necurs solo están haciendo tiempo hasta poner en marcha otro ataque.
El 75 % del total de correos electrónicos no deseados observado en octubre de 2016 contenía archivos adjuntos maliciosos. El botnet Necurs envió la mayoría de los correos electrónicos no deseados. (Consulte la figura 17). Necurs envía los archivos adjuntos en formato .zip maliciosos que incluyen archivos ejecutables integrados, como JavaScript, .hta, .wsf y aplicaciones de descarga VBScript. Para calcular el porcentaje del total de correos electrónicos no deseados que contienen archivos adjuntos maliciosos, contamos tanto el archivo “contenedor” (.zip) como los archivos “secundarios” incluidos en él (como un archivo JavaScript) como archivos adjuntos maliciosos individuales.
Los atacantes prueban con los tipos de archivos adjuntos para mantener actualizadas las campañas de correo electrónico no deseado maliciosoNuestros investigadores de amenazas analizaron el modo en que los adversarios utilizan distintos tipos de archivos adjuntos para evitar que el correo electrónico no deseado malintencionado sea detectado. Descubrimos que desarrollan continuamente sus estrategias; para ello, hacen pruebas con una amplia variedad de tipos de archivo y cambian de táctica rápidamente cuando no logran resultados satisfactorios.
En la figura 17 se muestra cómo los operadores de correo electrónico no deseado malicioso hicieron pruebas con el uso de archivos .docm, JavaScript, .wsf y .hta durante el período observado. Como se mencionó anteriormente, muchos de estos tipos de archivos están asociados con correo electrónico no deseado enviado por el botnet Necurs. (Para conocer la investigación relacionada con otros tipos de archivo que analizamos, consulte el apéndice en la página 78).
Los porcentajes específicos para los diferentes tipos de archivo en un mes determinado se obtienen a partir del porcentaje del total de correo electrónico no deseado que contenía archivos adjuntos maliciosos observados en el mes en cuestión. Entonces, por ejemplo, en julio del 2016, los archivos .docm representaron el 8 % del porcentaje total de los archivos adjuntos maliciosos observados.
Los patrones con archivos .wsf durante el 2016 (consulte la figura 17) proporcionan un ejemplo de cómo los adversarios desarrollan las tácticas de correo electrónico no deseado malicioso con el tiempo. Antes de febrero de 2016, este tipo de archivo muy rara vez se usó como archivo adjunto malicioso. Luego, el uso de este tipo de archivo comenzó a aumentar a medida que el botnet Necurs cobraba más actividad. En julio, los archivos .wsf representaron el 22 % de todos los archivos adjuntos de correo electrónico no deseado malicioso. Esto también sucedió en torno al momento en que la actividad de correo electrónico no deseado a nivel mundial aumentó notablemente (consulte la sección anterior), un incremento que se debió en gran parte al botnet Necurs.
Durante agosto, septiembre y octubre, vimos fluctuaciones en los porcentajes de archivos .wsf. Esto indica que los adversarios se retiraban en los momentos en que el tipo de archivo se detectaba con mayor frecuencia.
Con archivos adjuntos maliciosos
Contiene .js malicioso
Contiene .zip malicioso
Contiene .docm malicioso
Contiene .wsf malicioso
Contiene .hta malicioso
0%
80%
60%
40%
20%
Por
cent
aje
de c
orre
os e
lect
róni
cos
no d
esea
dos
tota
les
2015
Ene Oct
Nov
Dic
.
Abr
May Jun
Feb
Mar
Ago
SepJu
l
2016
Ene Abr
May Jun
Feb
Mar
Ago
Sep OctJu
l
Fuente: Cisco Security Research
Figura 17. Porcentaje del total del correo electrónico no deseado que contiene archivos adjuntos maliciosos
Figura 17 Porcentaje del total de correos electrónicos no deseados que contienen archivos adjuntos maliciosos
COMPARTIR
28
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Ataques por correo electrónico no deseado: hailstorm y snowshoeDos tipos de ataques maliciosos por correo electrónico no deseado son especialmente problemáticos para los defensores: los ataques denominados “hailstorm” (granizada) y “snowshoe” (calzado para la nieve). Ambos recurren a la velocidad y al punto al que se dirigen, y ambos son altamente eficaces.
Los ataques de tipo hailstorm se dirigen a sistemas contra correo electrónico no deseado. Los operadores detrás de estos ataques hacen uso del poco tiempo que hay entre el momento en que inician su campaña de correo electrónico no deseado y el momento en que los sistemas de protección contra correo electrónico no deseado la detectan e impulsan la cobertura con los análisis de protección contra correo electrónico. Generalmente, los adversarios tienen unos solos segundos o minutos para actuar antes de que sus campañas sean detectadas y bloqueadas.
El pico que se observa en la figura 18 es un ataque de tipo hailstorm. La actividad se muestra en la interfaz de investigación de Cisco. Justo antes del ataque, nadie resolvía la dirección IP. Luego, de pronto, la cantidad de computadoras que resolvían el dominio en DNS aumentó a más de 78 000 antes de volver a 0.
Compare el ataque de tipo hailstorm con una campaña de correo electrónico no deseado de tipo snowshoe, que también se muestra en la figura 18, en la que los atacantes intentan pasar desapercibidos ante las soluciones de detección basadas en volúmenes. La cantidad de búsquedas de DNS es constante, pero solo hay unas 25 consultas por hora. Estos ataques de bajo volumen permiten que los adversarios distribuyan correo electrónico no deseado en forma silenciosa a partir de una amplio rango de direcciones IP.
Si bien estos ataques por correo electrónico no deseado funcionan de manera diferente, tienen aspectos en común. Con cualquiera de estos dos enfoques, los adversarios pueden hacer lo siguiente:
● Evadir una mala reputación mediante envíos desde dominios y dirección IP limpios.
● Emular correo de marketing con contenido profesional y administración de suscripciones.
● Utilizar sistemas de correo electrónico bien configurados en lugar de scripts descuidados o bots de correo electrónico no deseado.
● Configurar correctamente registros de marco de directivas de remitente (SPF) y DNS inverso doble.
78 651 consultas
35 consultas
0
20
40
0
25,000
50,000
75,000
Con
sult
as D
NS
/hor
aC
onsu
ltas
DN
S/h
ora
Fecha
16 18 20 22 24 26 8 10 12 1428 30 2 4 6OctSep
16 18 20 22 24 26 8 10 12 1428 30 2 4 6OctSep
Ataque de correo electrónico no deseado tipo Hailstorm
Ataque de correo electrónico no deseado tipo Snowshoe
Fuente: Cisco Investigate
Figura 18. Comparación de los ataques de correo electrónico no deseado tipo Hailstorm y SnowshoeFigura 18 Comparación de los ataques de correo electrónico no deseado de Hailstorm y Snowshoe
COMPARTIR
29
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Los adversarios también pueden afectar la detección de contenido al transformar el texto y alternar entre distintos tipos de archivo. (Para obtener más información sobre cómo los ciberdelincuentes desarrollan sus amenazas para evadir a los defensores, consulte la sección “Tiempo de desarrollo”, en la página 34). Para obtener más información sobre cómo hacen pruebas con archivos adjuntos maliciosos para el correo electrónico no deseado, consulte la sección anterior.
En la figura 19 se muestran las principales alertas de ataques de amenazas. Esta es una descripción general de los mensajes de correo electrónico no deseado y de suplantación de identidad que observamos que los adversarios con frecuencia actualizaron en el 2016 para sortear los controles y las reglas de seguridad de correo electrónico. Es importante saber qué tipos de amenazas de correo electrónico son los más predominantes para que pueda evitar ser engañado por estos mensajes maliciosos.
Nombre y URL de la publicación Resumen del mensaje
Tipos de archivo adjunto Idioma
Última fecha de publicación
Identi�cador de la publicaciónVersión
41886 RuleID4961 .zip Inglés, alemán,español 22/02/201647 Transferencia, envío,
facturación
39150 Inglés, alemán,Multiple Languages.zip 25/01/201658 RuleID4961KVR Solicitud de cotización,
pedido de productos
38095 .zip Inglés 01/08/201661 RuleID858KVR Envío, cotización, pago
37179 .zip Inglés, español 21/07/201663 RuleID13288 Aviso de entrega, comparecencia judicial, factura del ticket
36917 .zip Inglés 08/07/201664 RuleID4961KVR Con�rmación, pago/transferencia, pedido, envío
34796 .zip Alemán, inglés 29/09/201666 RuleID5118 Pedido de productos, pago
40056 .rar Inglés 07/06/201670 RuleID6396 Orden de compra, pago, recibo
41513 .zip Inglés 01/09/201672 RuleID18688 Pedido, pago, seminario
38971 .zip, .gz Inglés 08/08/201674 RuleID15448 Orden de compra, pago, recibo
36916 .zip Inglés 01/02/201682 RuleID4400KVR Órdenes de compra
34577 .zip Alemán, inglés87 02/06/2016RuleID10277 Orden de compra
35656 .zip Alemán, inglés 25/04/201696 RuleID4626 Facturación, pago
39317 .zip Inglés, alemán,español 28/01/201664 RuleID4626 (cont) Factura, pago, envío
Figura 19. Principales alertas de ataques de amenazas
Fuente: Cisco Security Research
Figura 19 Alertas principales de brotes de amenazas
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
30
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Métodos de ataque web: las instantáneas de “cola larga” revelan amenazas que los usuarios pueden evitar con facilidadLa denominada “cola larga” del espectro de métodos de ataque web (figura 20) incluye un conjunto de tipos de malware de menor volumen que se emplean en una etapa posterior en la cadena de ataque: la instalación. En esta etapa, la amenaza distribuida (un troyano bancario, un virus, una aplicación de descarga o algún ataque de otro tipo) instala una puerta trasera en el sistema objetivo, y así los adversarios obtienen acceso continuo y la oportunidad para retirar datos, iniciar ataques de ransomware y participar en otra acción maliciosa.
Las amenazas incluidas en la figura 20 son ejemplos de firmas de malware que no se encuentran dentro de los 50 tipos de malware más comúnmente observados. La “cola larga” de los métodos de ataque web es, básicamente, una instantánea de amenazas que trabajan silenciosamente en una máquina o sistema después de un ataque exitoso. Muchas de estas infecciones se generaron, en principio, por exponerse a adware malicioso o a un fraude de suplantación de identidad bien diseñado. Estas son situaciones que los usuarios pueden a menudo evitar fácilmente o corregir rápidamente.
PUA y binarios sospechosos91
Heurístico36
Gusano (Allaple)16
Descargador troyano (HTML)14
Descargador troyano (JS)10
Troyanos (Agent)9
Descargador troyano (VBS)7
Puerta trasera (Java)
Troyanos (Locky)Heurístico (CVE-2013-0422)Virus (Replog)Troyanos (Win32)Virus (Fas)Malware de descargador troyano (Small)Troyanos (Cryptodef)Puerta trasera (Far�i)Puerta trasera (Gbot)Linux (Veribak)Troyanos de redireccionamiento del navegador (JSRedir)Descargador troyano (Upatre)Descargador troyano (Win32)Puerta trasera (NuPrader)Troyanos (Shifu)Troyanos (Zbot)Troyanos (Yakes)Troyanos (Scar)Troyanos (Reconyc)Troyanos (Crypt)Troyanos (Crypmod)Troyanos (Bitman)Troyanos (Deshacop)
7
55322222211111111111111
Figura 20. Muestra de malware de bajo volumen observado
Fuente: Cisco Security Research
Figura 20 Muestra de malware de bajo volumen observado
Una vez que la amenaza se establece, instala una puerta trasera en el sistema de un blanco, lo que les brinda a los atacantes un acceso persistente.
Reconocimiento Armamentización Método de entrega Instalación
COMPARTIR
31
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Riesgo vertical de hallazgos de malware: los atacantes ven el valor en todos los ámbitosEn el Informe semestral sobre ciberseguridad de 2016 de Cisco, un mensaje clave sobre el riesgo de malware fue que “no hay ningún mercado vertical seguro”. A partir del análisis periódico que realizan nuestros investigadores sobre el tráfico de ataque (“tasas de bloqueo”) y el tráfico “normal” o previsto para cada sector, este mensaje sigue teniendo vigencia en la segunda mitad del año.
Si observamos los mercados verticales y sus tasas de bloqueo con el tiempo (figura 21), vemos que, en algún momento a lo largo de varios meses, cada sector ha sufrido tráfico de ataque en diversos niveles. Está claro que los ataques aumentan y disminuyen, y afectan a distintos mercados verticales en diversos momentos, pero ninguno es inofensivo
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
0%
20%
40%
Calefacción, plomería y A/A
Educación
Agricultura y minería
Energía, petróleo y gas
Comercio minorista y mayorista
Fabricación
Electrónica
Servicios públicos
Servicios profesionales
Banca y �nanzas
TI y telecomunicaciones
Ingeniería y construcción
Viajes y ocioTransporte y navegación
Productos farmacéuticos y químicos
Gobierno
Seguros Legales
Industrial
Alimentos y bebidas
Instituciones bené�cas y ONG
Bienes raíces y gestión de tierras
Atención médica
Entretenimiento
Automóviles AeronáuticaContabilidad
Medios de comunicación y editoriales
Figura 21. Porcentaje de las tasas mensuales de bloqueo vertical
Fuente: Cisco Security Research
Figura 21 Porcentaje de índices de bloqueos verticales mensuales
COMPARTIR
32
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Descripción general regional de la actividad de bloqueo webLos adversarios cambian con frecuencia su base de operaciones, en busca de infraestructura débil desde las que puedan iniciar sus campañas. Al analizar el volumen total de tráfico de Internet y la actividad de bloqueo, los investigadores de amenazas de Cisco brindan conocimientos sobre las fuentes de malware.
Como se muestra en la figura 22, el tráfico de los Estados Unidos aumentó levemente con respecto a las tasas de bloqueo observadas en el Informe semestral sobre
ciberseguridad de 2016 de Cisco. En Estados Unidos reside la mayor cantidad de bloqueos, pero esto se debe considerar una función de la mayor cantidad de tráfico en línea del país. Además, Estados Unidos es uno de los objetivos de ataques de malware más grandes del mundo.
Las conclusiones de los profesionales de seguridad: muy parecido a lo que sucede con la actividad de bloqueo web del mercado vertical, la actividad de bloqueo web regional muestra que el tráfico de malware es un problema global.
Belice
Estados Unidos
Alemania
Rumania
Canadá
Australia
1.54
1.20
3.88
2.77
1.001.60
3.52
1.31
1.43
2.11
Malasia
Turquía
0.94 Rusia
1.15 Venezuela
China
Perú
0.83Chile
2.84 Indonesia
1.07 Vietnam
1.47 Ucrania
1.46Panamá
1.22Italia
0.87Francia
Relación esperada: 1.0
Figura 22. Bloqueos web por país
Fuente: Cisco Security Research
Figura 22 Bloques web por país
COMPARTIR
33
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Tiempo de detección: una métrica fundamental para medir el progreso de los defensoresCisco redefine continuamente el enfoque para medir el tiempo de detección para que podamos asegurarnos de que realizamos el seguimiento y el informe del cálculo más preciso de nuestro tiempo de detección medio. Los ajustes recientes en nuestro enfoque han incrementado nuestra visibilidad de archivos que se clasificaron como “desconocidos” al ser vistos por primera vez y, luego, como “malos conocidos” después del análisis continuo y de la observación global. Gracias a una mirada más integral de los datos, podemos identificar mejor cuando surgió una amenaza por primera vez y exactamente cuánto tiempo necesitaron los equipos de seguridad para determinar que se trataba de una amenaza.
Este nuevo conocimiento nos ayudó a determinar que nuestro tiempo de detección medio era de 39 horas en noviembre de 2015. (Consulte la figura 23). Para enero del 2016, habíamos reducido el tiempo de detección medio a 6,9 horas. Después de recopilar y analizar datos para octubre de 2016, nuestros investigadores de amenazas determinaron que los productos de Cisco habían alcanzado un tiempo de detección medio de 14 horas para el período de noviembre de 2015 a octubre de 2016. (Nota: La figura del tiempo de detección medio para el 2016 es el promedio de los tiempos medios del período observado).
El tiempo de detección medio fluctuó a lo largo del 2016, pero, en general, tendió a disminuir. Los aumentos en el tiempo de detección medio señalan momentos en los que los atacantes iniciaron una ola de nuevas amenazas. Las posteriores disminuciones reflejan los períodos en que los defensores obtuvieron la ventaja y pudieron identificar amenazas conocidas rápidamente.
En la figura 23 también se muestra que el tiempo de detección medio era de aproximadamente 15 horas a finales de abril, que es mayor que la cifra de 13 horas que informamos en el Informe semestral de ciberseguridad de 2016 de Cisco.¹⁴ Esa cifra de 15 horas se obtuvo a partir de los datos recopilados de noviembre de 2015 a abril de 2016. No se obtuvo mediante el uso de nuestro enfoque modificado para analizar información retrospectiva más detallada sobre los archivos. Con la nueva cifra de tiempo de detección semestral, podemos informar que el tiempo de detección disminuyó a unas 9 horas para el período de mayo a octubre de 2016.
La revisión de datos retrospectivos es importante no solo para determinar una medida más precisa de nuestro tiempo de detección medio, sino también para estudiar cómo las amenazas se desarrollan con el tiempo. Las numerosas amenazas en el panorama son particularmente evasivas y puede llevar mucho tiempo identificarlas aunque la comunidad de seguridad las conozca.
Los adversarios desarrollarán algunas familias de malware para evitar la detección y aumentar su tiempo para operar. Esta táctica dificulta el progreso de los defensores de lograr, y luego mantener, una ventaja en la detección de muchos tipos de amenazas conocidas. (Para obtener más información sobre este tema, consulte “Tiempo de desarrollo: en el caso de algunas amenazas, el cambio es constante”, en la página 34). Sin embargo, el hecho de que los ciberdelincuentes se ocupen de un rápido y frecuente desarrollo de sus amenazas indica que enfrentan una presión intensa y sistemática para encontrar formas de mantener las amenazas en funcionamiento y rentables.
Hor
as m
edia
nas
Dic
.
Ene
2016
Nov
2015
Feb
Mar
Abr
May Jun
Jul
Ago
Sep Oct
Figura 23. TTD medio por mes
Fuente: Cisco Security Research
0
10
20
30
4039,16
6,89
18,22
8,48
15,19
8,586,48 6,05
8,11
Figura 23 TTD medio por mes
Cisco define el tiempo de detección (TTD) como la ventana de tiempo entre un riesgo y la detección de una amenaza. Determinamos este período mediante la telemetría de seguridad de inclusión voluntaria reunida de los productos de seguridad de Cisco implementados en todo el mundo. A través de nuestra visibilidad global y un modelo de análisis continuo, podemos realizar mediciones desde el momento en que el código malicioso se ejecuta en un terminal hasta el momento en que se determina que es una amenaza para todo el código malicioso que no se clasificó cuando se detectó.
¹⁴ Informe semestral sobre ciberseguridad 2016 de Cisco: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.
34
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Tiempo de desarrollo: en el caso de algunas amenazas, el cambio es constanteLos ciberdelincuentes utilizan diferentes técnicas de ofuscación para que su malware se mantenga fuerte y rentable. Dos métodos comunes que emplean consisten en desarrollar los tipos de distribución de carga útil y en generar rápidamente nuevos archivos (que anulan los métodos de detección de solo hash). Nuestros investigadores analizaron detenidamente cómo los adversarios usaron estas dos estrategias para ayudar a seis familias conocidas de malware (Locky, Cerber, Nemucod, Adwind RAT, Kryptik y Dridex) a evadir la detección y a continuar poniendo en riesgo a usuarios y sistemas.
Con nuestro análisis, intentamos medir el “tiempo de desarrollo”, es decir, el tiempo que les lleva a los adversarios cambiar la forma en que se distribuye el malware específico y el tiempo que transcurre entre cada cambio en las tácticas. Analizamos datos de ataque web de diferentes fuentes de Cisco, específicamente: datos de proxy web, productos avanzados contra malware en la nube y en terminales, y motores compuestos contra malware.
Nuestros investigadores buscaron cambios en las extensiones de archivo que distribuyen el malware y el tipo de contenido de archivo (o MIME) según lo define el sistema de un usuario. Determinamos que cada familia de malware tiene un patrón único de desarrollo. Para cada línea, analizamos los patrones en los métodos de distribución por la Web y por correo electrónico. También realizamos un seguimiento de la antigüedad de los algoritmos hash únicos asociados con cada familia de malware para determinar la rapidez con que los adversarios crean nuevos archivos (y, así, nuevos algoritmos hash).
A través de nuestra investigación, aprendimos lo siguiente:
● Las familias de ransomware tienen, aparentemente, una rotación similar de archivos binarios nuevos. Sin embargo, Locky utiliza más combinaciones de MIME y extensiones de archivos para distribuir su carga útil.
● Algunas familias de malware emplean solo unos pocos métodos de distribución de archivos. Otras utilizan 10 o más. Los adversarios suelen usar archivos binarios eficaces durante períodos prolongados. En otros casos, los archivos aparecen y luego desaparecen rápidamente, lo que indica que los creadores de malware tienen la presión de cambiar de táctica.
● Las familias de malware Adwind RAT y de Kryptik tienen un tiempo de detección medio más alto. (Para obtener más información sobre el tiempo de detección, consulte la página 33). También observamos una mayor combinación de antigüedades de archivos para estas familias. Esto sugiere que los adversarios reutilizan los archivos binarios eficaces que saben que son difíciles de detectar.
● Al observar la antigüedad de los archivos de la familia del malware Dridex, pareciera que la economía informal está abandonando el uso de este troyano alguna vez popular. A finales del 2016, el volumen de detección de Dridex disminuyó, al igual que el desarrollo de nuevos archivos binarios que distribuían este malware. Esta tendencia sugiere que los creadores de malware consideran que ya no vale la pena desarrollar esta amenaza o que han descubierto una nueva forma de distribuir el malware que lo ha vuelto más difícil de detectar.
35
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Tiempo de desarrollo y tiempo de detecciónEn la figura 24, se enumeran las seis familias de malware que analizamos en nuestro estudio sobre el tiempo de desarrollo. El gráfico representa el tiempo de detección medio para las 20 principales familias de malware (por recuento de detección) que nuestros investigadores observaron de noviembre de 2015 a noviembre de 2016. Nuestro tiempo medio de detección promedio para ese período fue de aproximadamente 14 horas. (Para obtener más información sobre cómo calculamos el tiempo de detección, consulte la página 33).
Muchas de las familias de malware que los productos Cisco están detectando dentro del tiempo de detección medio son las amenazas industrializadas que se diseminan rápidamente y, por lo tanto, son más frecuentes. Cerber y Locky (dos tipos de ransomware) son ejemplos.
Las amenazas antiguas y generalizadas que los adversarios no se preocupan por desarrollar demasiado, o en absoluto, también se detectan habitualmente en menos tiempo que el tiempo de detección medio. Entre los ejemplos se incluyen familias de malware, como Bayrob (botnet de malware), Mydoom (gusanos de computadoras que afectan a Microsoft Windows) y Dridex (troyano bancario).
En las siguientes secciones, presentamos los puntos destacados de la investigación sobre tiempo de desarrollo y tiempo de detección de las familias de malware Locky, Nemucod, Adwind RAT y Kryptik. La conclusión detallada sobre Cerber y Dridex se incluye en el apéndice de la página 78.
Por
cent
aje
de d
etec
cion
es t
otal
es
Horas de TTD medio
Figura 24: TTD medio de las principales familias de malware (principales 20 familias por recuento de detecciones)
0
5
10
15
20
25
30
35
0 5 10 15 20 25 30 35 40 45 50
docdldridexdono�
fareit
hancitor
insightlocky
mamianune
nemucod
zusyzbotupatrerazymydoom
kryptikmabezat adwind
bayrob
cerber
TTD promedio de Cisco
adnel
Fuente: Cisco Security Research
Figura 24 Medias de TTD de las principales familias de malware (principales 20 familias por recuento de detecciones)
COMPARTIR
36
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Análisis del tiempo de desarrollo: LockyMediante nuestra investigación sobre el tiempo de desarrollo, descubrimos que Locky y Cerber utilizan una cantidad limitada de combinaciones de MIME y de extensiones de archivos para distribuir malware por la Web y por correo electrónico. (Consulte la figura 25). Observamos varias combinaciones que incluían tipos de contenido de archivo relacionados con Microsoft Word (msdownload, ms-word). Sin embargo, las extensiones de archivo asociadas (.exe y .cgi) no apuntaban a un archivo de Word. También identificamos tipos de contenido que apuntaban a archivos .zip maliciosos.
Tanto Locky como Cerber también parecen utilizar nuevos archivos binarios con frecuencia en el intento de evadir la detección basada en archivos. La antigüedad de los archivos de la familia de Locky se muestran en la figura 26. La mitad superior de gráfico representa las antigüedades de archivos
que se observaron durante un mes específico. La parte inferior del gráfico muestra cambios mensuales en el volumen de algoritmos hash relacionados con Locky, tanto archivos nuevos como archivos observados anteriormente.
En la figura 26, también se señala una disminución en el volumen en junio, así como la distribución de las antigüedades de los archivos. El botnet Necurs, que se sabía que distribuía Locky, se desmontó en junio. Es probable que este hecho haya puesto a un lado los esfuerzos de los creadores de malware por mantener el malware actualizado durante ese mes. Sin embargo, está claro que se recuperaron rápidamente. En julio, el malware había vuelto a su combinación más estándar de antigüedades de archivos: la mayoría (74 %) con una antigüedad de menos de un día al ser detectados por primera vez.
Figura 25 La extensión del archivo y las combinaciones de MIME para la familia de amenazas e indicadores que condujeron a, e incluyen, la carga útil de Locky (vectores web y de correo electrónico)
Figura 26 Antigüedades de hash para la familia del malware Locky y porcentaje de volumen total de hash obtenido por mes
0%
25%
50%
75%
100%
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Por
cent
aje
de h
ash
de L
ocky
, añ
os d
e ha
sh <
24
hora
s
0%
5%
10%
Por
cent
aje
de v
olum
en
tota
l de
hash
Fuente: Cisco Security Research
Figura 26. Años de hash de malware de Locky Familia y el porcentaje de volumen total de hash observado por mes
Ene
Feb
Mar
Ene
May
Jun
Jul
Ago
Sep
Oct
Nov
Vectores exclusivosdoc y aplicación/msword
zip y aplicación/zipjs y texto/sin formato
xls y aplicación/vnd.ms-excel
doc y texto/sin formato
lib y texto/sin formato
rar y aplicación/x-rar
rtf y aplicación/msword
js y texto/html
docm y aplicación/vnd.open…
doc y aplicación/vnd.open…wsf y texto/html
sin extensión y aplicación/vnd…
wsf y aplicación/xml
xls y aplicación/vnd.openxml…
sin extensión y aplicación/vnd…
vbs y texto/sin formato
exe y aplicación/msdownload
sin extensión y aplicación/zip
exe y aplicación/msdos-prog…sin extensión y texto/sin formato
aspx y aplicación/zip
php y aplicación/zip
sin extensión y aplicación/dosexec
jsp y aplicación/zip
sin extensión y aplicación/ms-wo…cgi y aplicación/ms-word.doc…
js y texto/javascript
Correo electrónico Web
Fuente: Cisco Security Research
Figura 25. Extensión de archivo y combinaciones MIME para la familia de amenazas e indicadores que generan e incluyen la carga de Locky (vectores de correo electrónico y web)
COMPARTIR
37
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
La rápida alternancia de archivos binarios para este ransomware no es sorprendente. Las instancias de Locky y de Cerber suelen ser detectadas el mismo día que son introducidas o en un plazo de 1 a 2 días después, por lo cual los adversarios se ven ante la necesidad de desarrollar continuamente estas amenazas si desean que sigan siendo activas y eficaces. (En la figura 24, mencionada anteriormente, se muestran los productos de Cisco que detectaron el ransomware Locky y de Cerber dentro del tiempo de detección medio en el 2016).
En la figura 27 se muestra el tiempo de detección medio del ransomware Locky, que disminuyó considerablemente de aproximadamente 116 horas en noviembre de 2015 a menos de 5 horas en octubre de 2016.
100
120
0
20
40
60
80
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Hor
as m
edia
nas
Fuente: Cisco Security Research
116,1
89,3
7,1 5,94,7
Figura 27. TTD de la familia de malware de LockyFigura 27 TTD de la familia del malware Locky
38
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Análisis del tiempo de desarrollo: NemucodEn el 2016, Nemucod fue el malware detectado con mayor frecuencia entre las 20 familias principales que se muestran en la figura 24. Los adversarios usan este malware de aplicación de descarga para distribuir el ransomware y otras amenazas, como troyanos de puerta trasera que facilitan los fraudes mediante un clic. Algunas variantes de Nemucod también funcionan como motores para distribuir la carga útil del malware de Nemucod.
Un motivo por el cual el malware Nemucod fue tan predominante en el 2016, según nuestros investigadores de amenazas, es que sus creadores desarrollaron con frecuencia esta amenaza. Cisco identificó más de 15 combinaciones de MIME y de extensiones de archivos asociadas con la familia Nemucod que se usaban para distribuir malware por la Web. Muchas otras combinaciones se utilizaron para distribuir la amenaza a los usuarios a través del correo electrónico (figura 28).
Varios combinaciones de MIME y de extensiones de archivos (de distribución por la Web y por correo electrónico) fueron diseñadas para dirigir a los usuarios a archivos o ficheros .zip maliciosos. Los adversarios también reutilizaron varias combinaciones durante los meses que observamos.
Como se muestra en la figura 29, muchos algoritmos hash de Nemucod tienen menos de 2 días de antigüedad cuando se detectan. En septiembre y octubre del 2016, prácticamente cada archivo binario relacionado con la familia de Nemucod tenía menos de un día de antigüedad.
0
20
40
60
80
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Hor
as m
edia
nas
Fuente: Cisco Security Research
46,3
85,0
21,813,9 7,3
Figura 30. TTD de la familia de malware de NemucodFigura 30 TTD de la familia del malware Nemucod
Figura 29 Antigüedades de hash para la familia del malware Nemucod y porcentaje de volumen total de hash observado por mes
0%
25%
50%
75%
100%
Por
cent
aje
de h
ash
de N
emuc
od,
años
de
hash
< 2
4 ho
ras
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
0%
25%
50%
Por
cent
aje
de v
olum
en
tota
l de
hash
Fuente: Cisco Security Research
Figura 29. Años de hash para la familia de malware de Nemucod y porcentaje de volumen total de hash observado por mes
Figura 28 Extensión del archivo y combinaciones MIME para Nemucod (vectores web y de correo electrónico)
Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Vectores exclusivosjs y aplicación/javascript
html y texto/html
zip y aplicación/zip
sin extensión y aplicación/zipzip y aplicación/x-zip-comp…
html y aplicación/zipphp y aplicación/zip
zip y texto/sin formatojs y texto/sin formato
js y texto/x-pascaljs y texto/javascript
dat y aplicación/vnd.ms-tnefrar y aplicación/x-rar
aspxx y aplicación/zipxls y aplicación/zip
aspx y aplicación/zipcgi y aplicación/zip
wsf y texto/htmlsin extensión y aplicación/archivo
html y aplicación/archivocgi y aplicación/archivo
js y texto/x-make�lejs y texto/x-c
jsp y aplicación/zipsin extensión y texto/html
jse y texto/sin formatozip y aplicación/archivo
lib y texto/sin formatolib y texto/x-make�le
lib y texto/x-clib y texto/x-pascalgif y aplicación/zipjpg y aplicación/zippdf y aplicación/zip
docx y aplicación/zipti� y aplicación/zip
zip y aplicación/x-rarwrn y texto/sin formato
wrn y texto/x-cwrn y texto/x-pascal
vbs y texto/sin formatojs y texto/html
tgz y aplicación/x-gzipwsf y aplicación/xml
docx y aplicación/vnd.open…doc y aplicación/ziprar y aplicación/zip
php y aplicación/javascriptzip y aplicación/x-gzip
cab y aplicación/vnd.ms-cab…hta y texto/html
asp y aplicación/zipcgi y audio/wav
hta y aplicación/zip
Correo electrónico Web
Fuente: Cisco Security Research
Figura 28. Extensión de archivo y combinaciones MIME para Nemucod (vectores de correo electrónico y web)
39
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Análisis del tiempo de desarrollo: Adwind RATLos investigadores de amenazas de Cisco descubrieron que el malware Adwind RAT (troyano de acceso remoto) se distribuye a través de combinaciones de MIME y de extensiones de archivos, que incluyen archivos .zip o .jar. Esto es así independientemente de que el malware se distribuya mediante el vector de ataque por correo electrónico o por la Web. (Consulte la figura 31).
Adwind RAT utilizó una amplia gama de antigüedades de hash durante la mayor parte del período observado en el 2016, excepto en septiembre y en octubre, cuando la mayoría de los archivos vistos tenían 1 o 2 días de antigüedad (figura 32).
También descubrimos que el tiempo de detección medio para Adwind RAT es siempre más alto que el tiempo de detección medio para otras familias de malware que analizamos (figura 33). Aparentemente, los creadores de malware han desarrollado mecanismos de distribución difíciles de detectar que garantizan el éxito de Adwind RAT. Por lo tanto, no deben rotar por nuevos algoritmos hash con la misma rapidez o frecuencia como los que trabajan con otras familias de malware. El troyano Adwind también es conocido por otros nombres, como JSocket y AlienSpy.
Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Vectores exclusivosjar y aplicación/archivo java
jar y aplicación/zipjar y aplicación/archivo
zip y aplicación/zip
sin extensión y aplicación/archivosin extensión y aplicación/zip
clase y aplicación/x-java-applet
Correo electrónico Web
Fuente: Cisco Security Research
Figura 31. Extensión de archivo y combinaciones MIME para Adwind RAT (vectores de correo electrónico y web)
Figura 31 Extensión del archivo y combinaciones MIME para Adwind RAT (vectores web y de correo electrónico)
0
20
40
60
80
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Hor
as m
edia
nas
Fuente: Cisco Security Research
70,7
30,0 25,316,2
13,0
Figura 33. TTD de la familia de malware de Adwind RATFigura 33 TTD de la familia del malware Adwind RAT
Figura 32 Antigüedades de hash para la familia del malware Adwind RAT y porcentaje de volumen total de hash observado por mes
0%
25%
50%
75%
100%
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Por
cent
aje
de h
ash
de A
dwin
d R
AT,
años
de
hash
< 2
4 ho
ras
0%0,5%
1%1,5%
Por
cent
aje
de v
olum
en
tota
l de
hash
Fuente: Cisco Security Research
Figura 32. Años de hash para la familia de malware de Adwind RAT y porcentaje de volumen total de hash observado por mes
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
40
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del atacante
Análisis del tiempo de desarrollo: KryptikKryptik, como el malware Adwind RAT, tenía una tiempo de detección medio constantemente más alto (aproximadamente 20 horas) que otras familias de malware que Cisco analizó para el estudio sobre el tiempo de detección de noviembre de 2015 a octubre de 2016 (figura 36). Sin embargo, en octubre, los productos Cisco habían reducido el tiempo de detección medio del malware Kryptik a menos de 9 horas (figura 36).
La familia de malware Kryptik también utilizó una gama más amplia de antigüedades de hash en comparación con las otras familias de malware que analizamos, especialmente durante la primera mitad del 2016. La capacidad de los creadores de Kryptik de utilizar algoritmos hash antiguos durante tanto tiempo indica que a los defensores les resultada difícil detectar este tipo de malware.
Durante el período que observamos, los creadores de Kryptik emplearon una amplia gama de métodos de distribución de carga útil mediante el vector de ataque web. Los creadores utilizaron archivos JavaScript y archivos de almacenamiento, como .zip, en las combinaciones de MIME y de extensiones de archivos para la distribución tanto por la Web como por correo electrónico. (Consulte la figura 34). Algunas de las combinaciones se remontan al 2011.
En nuestro análisis de las seis familias de malware, descubrimos que los adversarios deben cambiar de táctica con frecuencia para aprovechar el poco tiempo durante el cual las amenazas pueden funcionar correctamente. Estos ajustes se indican que los defensores están teniendo un mejor desempeño en la rápida detección de malware conocido, incluso después de que una amenaza se haya desarrollado. Los atacantes tienen la presión de encontrar nuevas maneras de evitar la detección y de mantener sus campañas rentables.
En este panorama complejo de rápido desarrollo, en el que todas las familias de malware se comportan de una manera diferente, la experiencia humana y las soluciones puntuales no son suficientes para identificar y responder rápidamente a las amenazas. Para mejorar el tiempo de detección y garantizar una rápida solución cuando se producen infecciones, es fundamental contar con una arquitectura de seguridad integrada que proporcione conocimientos en tiempo real sobre amenazas, junto con detección y defensa automatizadas.
Figura 34 Extensión del archivo y combinaciones MIME para Kryptik (vectores web y de correo electrónico)
Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Vectores exclusivosjs y aplicación/javascript
gif e imagen/gifjpg e imagen/jpeg
html y texto/htmljs y texto/javascript
sin extensión y texto/htmlhtm y texto/htmlphp y texto/htmlico y texto/html
png e imagen/pngzip y aplicación/x-zip-comp…
zip y aplicación/zip
exe y aplicación/msdownloaddoc y aplicación/msword
sin extensión y aplicación/exesin extensión y aplicación/zip
js y texto/sin formatorar y aplicación/x-rar
scr y aplicación/x-dosexecexe y aplicación/x-dosexec
jar y aplicación/zipgif y texto/html
sin extensión y aplicación/archivovbs y texto/sin formato
asp y texto/htmlsin extensión y aplicación/java…
php y aplicación/exetbz2 y aplicación/x-rar
Correo electrónico Web
Fuente: Cisco Security Research
Figura 34. Extensión de archivo y combinaciones MIME para Kryptik (vectores de correo electrónico y web)
0
20
40
60
80
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Hor
as m
edia
nas
Fuente: Cisco Security Research
55,1
63,7
34,422,4
8,7
Figura 36. TTD de la familia de malware de KryptikFigura 36 TTD de la familia del malware Kryptik
Figura 35 Antigüedades de hash para la familia del malware Kryptik y porcentaje de volumen total de hash observado por mes
0%
25%
50%
75%
100%
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Por
cent
aje
de h
ash
de K
rypt
ik,
años
de
hash
< 2
4 ho
ras
0%
1%
2%
Por
cent
aje
de v
olum
en
tota
l de
hash
Fuente: Cisco Security Research
Figura 35. Años de hash para la familia de malware de Kryptik y porcentaje de volumen total de hash observado por mes
Comportamiento del defensor42
Informe anual sobre ciberseguridad de 2017 de Cisco
Comportamiento del defensorVulnerabilidades en disminución en el 2016En la segunda mitad del 2016, las vulnerabilidades divulgadas por los proveedores disminuyeron significativamente en comparación con el 2015, según nuestra investigación (figura 37). La base de datos de vulnerabilidad nacional muestra una disminución similar. No están completamente claros cuáles son los motivos por los que disminuyeron los avisos de vulnerabilidades divulgadas.
Debe resaltarse que el 2015 fue un año inusualmente activo para las vulnerabilidades, por lo que las cifras del 2016 pueden reflejar un ritmo normal de avisos de vulnerabilidad. De enero a octubre del 2015, las alertas alcanzaron 7602 en total. Durante el mismo período en el 2016, las alertas alcanzaron 6380 en total y, durante ese período en el 2014, las alertas fueron 6272 en total.
La gran cantidad de informes de vulnerabilidades en el 2015 puede indicar que los proveedores observaban más detenidamente los productos y los códigos existentes, implementaban con más cuidado prácticas seguras de ciclo de vida del desarrollo e identificaban vulnerabilidades y las corregían posteriormente. La disminución en la cantidad de
vulnerabilidades informadas puede indicar que estos esfuerzos están dando sus frutos. Es decir, los proveedores ahora se centran en la identificación de vulnerabilidades y en su corrección antes de que los productos lleguen al mercado.
En el 2016, Apple fue el proveedor que experimentó la disminución de vulnerabilidades más importante: la empresa informó 705 vulnerabilidades en el 2015 y 324 vulnerabilidades en el 2016 (una disminución del 54 %). De un modo similar, Cisco informó 488 vulnerabilidades en el 2015 y 310 en el 2016 (una disminución del 36 %).
Una preocupación entre los investigadores de seguridad es que los profesionales de seguridad comiencen a experimentar “cansancio por vulnerabilidades”. En los últimos meses, no ha habido ningún anuncio de vulnerabilidades importantes que genere la reacción de todo el sector, como lo hizo Heartbleed en el 2014. De hecho, la euforia en torno a las vulnerabilidades “con nombre”, como Heartbleed, y el aumento en el 2015 contribuyeron probablemente con el nivel de cansancio, al menos, con la disminución en el interés por informar vulnerabilidades.
Ene Feb Mar Abr May Jun Jul. Ago. Sep. Oct. Nov. Dic.0
1K
2K
3K
4K
5K
6K
7K
8K
9K
Figura 37. Totales de alertas anuales acumuladas
Fuente: Cisco Security Research
2013 2014 2015 2016
Ale
rtas
634
1327
2193
2992
3811
4407
49695483
59766380
Figura 37 Alertas acumulativas totales anuales
Comportamiento del defensor43
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 38. Recomendaciones importantes de vulnerabilidad por proveedor y tipo
Microsoft Adobe Cisco TPS ICS Apple Apache Oracle HPVMware
174 162 28 25 10 8 5 3 3 3
Fuente: Base de datos nacional de vulnerabilidad (NVD)
Figura 38 Asesorías de vulnerabilidad crítica por proveedor y tipo
Cisco ahora utiliza las calificaciones de gravedad/efecto (SIR), en las cuales los niveles de calificación son “crítico”, “alto”, “medio” y “bajo”. Las calificaciones reflejan una priorización simplificada de puntuaciones del sistema de puntuación de vulnerabilidades comunes (CVSS). Asimismo, Cisco ha adoptado CVSS v3.0, el sucesor de CVSS v2.0. Debido a este cambio, algunas vulnerabilidades pueden tener puntuaciones más elevadas que antes, por lo que los profesionales de la seguridad pueden ver un pequeño aumento en la cantidad de vulnerabilidades calificadas como “críticas” y “altas” en lugar de “medias” y “bajas”. Para más información con respecto a este cambio de puntuación, consulte la publicación del blog Seguridad de Cisco, Evolución de la puntuación de vulnerabilidades de seguridad: la secuela.
Las asesorías enumeradas arriba se relacionan con vulnerabilidades críticas seleccionadas de 2016 que fueron informadas por diversas fuentes por tener su código de ataque disponible públicamente o ser atacadas de manera activa en la web abierta.
En el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco (página 49), los profesionales de seguridad indicaron una ligera disminución en su acuerdo respecto a la puesta en operación de la seguridad. Esta disminución puede estar conectada con el “cansancio” que surge de la necesidad de implementar continuamente parches o actualizaciones. Por ejemplo, en el 2016, el 53 % de los profesionales de seguridad expresaron estar completamente de acuerdo con revisar y mejorar las prácticas de seguridad en forma periódica, formal y estratégica; en el 2014 y el 2015, el 56 % expresó total acuerdo.
Por supuesto, una disminución de las vulnerabilidades no debe conllevar una confianza excesiva respecto al panorama de amenazas: nadie debe pensar que la atención a las amenazas puede interrumpirse, incluso cuando no hay ataques destacados
Tal como lo hemos sugerido en informes anteriores, los profesionales de seguridad deben hacer un esfuerzo conjunto por priorizar los parches. Si la falta de personal y de recursos de otro tipo impide la instalación oportuna de todos los parches disponibles, evalúe cuáles son los más críticos para la seguridad de la red y póngalos arriba de la lista.
Título de la recomendaciónFecha de publicación
28 de julio de 2016
28 de julio de 2016
21 de julio de 2016
Martes, 23 de mayo de 2016
8 de febrero de 2016
28 de julio de 2016
18 de julio de 2016
Jun 23, 2016
Martes, 24 de mayo de 2016
Martes, 23 de mayo de 2016
Vulnerabilidad de ejecución del código de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de ejecución del código remoto de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de desbordamiento de operaciones de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de ejecución del código remoto de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Vulnerabilidad de corrupción de la memoria de Adobe Acrobat y Acrobat Reader
Figura 39. Recomendaciones importantes de vulnerabilidad seleccionadas
Fuente: Cisco Security Research
Figura 39 Asesorías de vulnerabilidades críticas seleccionadas
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
Comportamiento del defensor44
Informe anual sobre ciberseguridad de 2017 de Cisco
Vulnerabilidades de servidor y de clienteComo se analizó en el Informe semestral sobre ciberseguridad de 2016 de Cisco, los adversarios encuentran tiempo y espacio para operar dentro de las soluciones de servidor. Al iniciar ataques en el software de servidor, pueden llegar a ganar control de más recursos de red o moverse lateralmente entre otras soluciones críticas.
Los investigadores de Cisco han realizado un seguimiento de vulnerabilidades de cliente y de servidor por el proveedor (figura 40).
Middleware: los adversarios ven una oportunidad en el software sin parchesEn el Informe semestral sobre ciberseguridad de 2016 de Cisco, compartimos datos sobre ataques contra sistemas de servidor. En el 2017, el middleware, que conecta plataformas o aplicaciones, se prepara para atraer a los atacantes que buscan lugares para operar en los que los defensores están lentos para reaccionar o reconocer una amenaza.
Los investigadores de Cisco, mientras buscaban vulnerabilidades de software de terceros, descubrieron un promedio de 14 vulnerabilidades nuevas de software por mes. La mayoría de estas vulnerabilidades (62) podían atribuirse al uso de middleware. De las 62 vulnerabilidades, 20 se encontraron en el código que administra archivos PDF, 12 en el código que administra imágenes, 10 en el código para soluciones comunes de productividad de oficina, 9 en el código para la compresión y 11 en otras bibliotecas (figura 41).
Las vulnerabilidades de middleware constituyen una amenaza de seguridad única porque sus bibliotecas no se actualizan generalmente tan rápido como el software más orientado al cliente, es decir, software con los que los usuarios interactúan directamente todos los días, como las soluciones de productividad. Las bibliotecas de middleware pueden dejarse fuera de las auditorías de software, por lo que las vulnerabilidades quedan en el lugar.
Vulnerabilidades del servidor
(De 2332 a 3142)
Vulnerabilidades del cliente
(De 2300 a 2106)
Vulnerabilidades de la red
(De 501 a 396)
34% 8% 20%
Figura 40. Desglose de vulnerabilidades del cliente-servidor, 2015—2016
Fuente: Base de datos nacional de vulnerabilidad
Figura 40 Desglose de vulnerabilidades del servidor del cliente, de 2015 a 2016
Figura 41. Vulnerabilidades encontradas en bibliotecas de middleware
11Otro
9Compresión
10O�ce
12Imagen
20PDF
Fuente: Cisco Security Research
Figura 41 Vulnerabilidades encontradas en bibliotecas de middleware
COMPARTIR
Comportamiento del defensor45
Informe anual sobre ciberseguridad de 2017 de Cisco
Las organizaciones pueden apostar que el middleware es seguro y prestar mayor atención a la actualización de soluciones destacadas. Pero pueden perder la apuesta de que los atacantes no buscarán ingresar a las redes a través de estas rutas poco destacadas. El middleware se convierte en un punto ciego de seguridad para los defensores y en una oportunidad para los atacantes.
El desafío de actualizar bibliotecas de middleware se relaciona estrechamente con el problema del software de código abierto (analizado en el Informe semestral sobre seguridad de 2015 de Cisco), ya que muchas soluciones de middleware provienen de desarrolladores de código abierto. (Sin embargo, el problema en cuestión puede afectar tanto a desarrolladores de código abierto como a desarrolladores de middleware privado). Por lo tanto, las bibliotecas de middleware pueden depender de muchos desarrolladores para que las mantengan actualizadas. En la lista de tareas por hacer de un equipo de seguridad o de TI sobrecargado, las actualizaciones de biblioteca de middleware probablemente no ocupen el primer lugar, pero se les debería prestar mayor atención.
¿Cuál es el posible efecto de una vulnerabilidad de middleware que los adversarios continúan aprovechando? Dadas las conexiones entre el middleware y otros sistemas críticos, como el correo electrónico o la mensajería, un atacante podría introducirse lateralmente en estos sistemas y enviar mensajes de suplantación de identidad o correo electrónico no deseado. Otra opción es que los atacantes se enmascaren como usuarios autorizados y abusen de las relaciones de confianza entre los usuarios para obtener acceso adicional.
Para evitar ser la víctima de un ataque iniciado a través de una vulnerabilidad de middleware, usted debería adoptar las siguientes medidas:
● Mantener en forma activa una lista de dependencias y de bibliotecas conocidas en las aplicaciones que utiliza.
● Monitorear en forma activa la seguridad de estas aplicaciones y mitigar los riesgos tanto como sea posible.
● Insertar un acuerdo de nivel de servicio en contratos con proveedores de software para proporcionar parches en forma oportuna.
● Realizar auditorías regularmente y revisar las dependencias de software y el uso de las bibliotecas.
● Solicitarles a los proveedores de software detalles sobre cómo mantener sus productos y someterlos a prueba.
En síntesis: las demoras en la implementación de parches aumenta el espacio operativo para los atacantes y les da más tiempo para tener el control de sistemas críticos. En la siguiente sección, analizaremos este impacto y las tendencias en la implementación de parches de soluciones comunes de productividad, como navegadores web.
Tiempo de implementación de parches: cierre del plazo de recuperaciónMuchos usuarios no descargan ni instalan parches en forma oportuna. Los atacantes pueden utilizar estas vulnerabilidades sin parches para obtener acceso a las redes. En nuestra última investigación, descubrimos que la clave para alentar a los usuarios a descargar e instalar parches puede radicar en el flujo de las actualizaciones de software de proveedores.
Una versión de parche de seguridad es una clara indicación para los atacantes de que hay una vulnerabilidad que vale la pena aprovechar. Aunque los atacantes sofisticados probablemente hayan estado aprovechando las vulnerabilidades durante algún tiempo, la notificación de un parche les indica a muchos otros que es temporada de cacería en las versiones anteriores.
Cuando los proveedores de software lanzan nuevas versiones en forma regular, los usuarios deben descargar e instalar las actualizaciones. En cambio, cuando las versiones de actualizaciones de los proveedores son irregulares, son menos las probabilidades de que los usuarios las instalen. Continuarán utilizando soluciones desactualizadas que pueden contener vulnerabilidades que pueden ser aprovechadas.
Otros comportamientos que afectan el ciclo de actualización incluyen los siguientes:
● Cuán disruptiva es la experiencia de recordatorio.
● Cuán sencillo es realizar la exclusión voluntaria.
● Con qué frecuencia se utiliza el software.
Hay distintos tiempos en que los usuarios probablemente instalen una actualización cuando la lanza el proveedor. Nuestros investigadores observaron las instalaciones de software en las terminales usadas por nuestros clientes. Su software se divide en tres categorías:
● Nuevas versiones: la terminal ejecuta la versión del software más nueva disponible.
● Versiones recientes: la terminal ejecuta una de las tres versiones anteriores del software, pero no la más nueva.
● Versiones anteriores: la terminal ejecuta una versión del software más antigua que las tres versiones anteriores a la actual.
Por ejemplo, si un proveedor de software lanza la versión 28 en enero del 2017, la versión 28 sería nueva; la versión 26 sería reciente y la versión 23 sería anterior. (Las cifras que figuran en la página siguiente contienen los avisos en los períodos semanales en que se lanzaron una o más versiones de software).
Comportamiento del defensor46
Informe anual sobre ciberseguridad de 2017 de Cisco
8% 63% 48% 87% 54%54%
97%94%
97% 98%97%
95%98%
98%
70%
98%94%
63%78%
69%83%
70% 68% 76% 77% 94% 88% 80%93%
88% 94% 94% 92% 82% 86%88%94%99%67%
67%
15 20 25 30 35 40 45 50 550 5 10
Semana:
Semana:
15 20 25 30 35 40 45 50 55 60 65 70 750 5 10Mayo de 2015
Mayo de 2015
Versiones obsoletas:
AdobeFlash
Versiones obsoletas:
GoogleChrome
Actualizar versión Bajo AltoAdopción de la última actualización
Fuente: Cisco Security Research
Figura 42. Tiempo de parches para Adobe Flash y Google Chrome
Al analizar los usuarios de Adobe Flash (figura 42), descubrimos que, durante la semana posterior al lanzamiento de una actualización, casi el 80 % de los usuarios instala la última versión del software. En otras palabras, solo les lleva alrededor de una semana a los usuarios realizar la actualización con la última versión. Este período de “recuperación” de una semana de duración es la oportunidad que tienen los hackers.
Si observamos el último trimestre de 2015 en el cuadro de Adobe Flash, vemos una disminución brusca en la cantidad de usuarios que poseen la versión más reciente de la solución. En el período que analizamos, Adobe lanzó cinco versiones de Flash rápidamente una detrás de otra, con una combinación de incorporaciones de funcionalidad, reparaciones de errores y actualizaciones de seguridad. Un estallido de actualizaciones de este tipo puede confundir a los usuarios. Pueden preguntarse si necesitan descargar tantas actualizaciones, cansarse por la cantidad de notificaciones de actualización y pensar que ya han descargado una actualización importante y pueden ignorar nuevas notificaciones. Independientemente del factor que los lleve a perder el interés en instalar una actualización, los defensores se ven frente a una mala noticia.
Al analizar las actualizaciones del navegador web Google Chrome, vemos un patrón distinto. Refleja un flujo regular de actualizaciones, además de una política sólida de exclusión voluntaria que hace que a los usuarios le resulte difícil ignorar las notificaciones de actualización. Como se muestra en la figura 42, los terminales que ejecutan la versión más reciente permanecen relativamente estables durante varias semanas.
Los datos de Chrome revelan que los usuarios tienen un tiempo de recuperación relativamente rápido. En el caso de actualizaciones regulares, el tiempo de recuperación es de prácticamente una semana. En un período de 9 semanas durante el segundo y el tercer trimestre de 2016, sin embargo, hubo siete actualizaciones. Durante este período, los usuarios se recuperaron, pero comenzaron a cansarse. El porcentaje de usuarios que se quedan con una versión anterior aumenta continuamente, a pesar de que la mayoría se recupera.
El navegador Mozilla Firefox también ofrece actualizaciones en forma regular, pero el período de recuperación después de que se lanza una actualización parece ser de un mes. Es decir, los usuarios no descargan ni instalan actualizaciones con la misma frecuencia con la que lo hacen los usuarios de Chrome. Un motivo posible es que algunos usuarios quizás no utilicen el navegador regularmente y, por lo tanto, no vean ni descarguen actualizaciones. (Consulte la figura 43 en la página siguiente).
Figura 42 Tiempo para realizar correcciones en Adobe Flash y Google Chrome
COMPARTIR
Comportamiento del defensor47
Informe anual sobre ciberseguridad de 2017 de Cisco
Descubrimos que Firefox actualizó sus versiones aproximadamente una vez cada quince días, y la frecuencia de las actualizaciones aumentó durante el transcurso del período de observación. Este aumento en la frecuencia se refleja en la creciente cantidad de versiones antiguas de Firefox dentro de los usuarios. El tiempo de recuperación es de casi 1,5 semanas, pero los tiempos se superponen. De la base de usuarios, solo el 30 % intenta mantenerse actualizado. En algún momento, dos tercios de los usuarios han recurrido a ejecutar simplemente una versión del navegador más de cuatro veces anterior a la más reciente. Entonces, pese a que Firefox aborda los problemas y corrige los errores rápidamente, la base de usuarios no realiza las actualizaciones y los reinicios con la misma frecuencia.
En el caso del software, el nivel de uso también parece ser un indicador de esta vulnerabilidad. Cuando los usuarios no acceden al software a menudo y, en consecuencia, no se enteran de la necesidad de implementar parches y actualizarlo, el software ignorado les da tiempo y espacio a los atacantes para operar.
Podemos ver esto en la investigación sobre Microsoft Silverlight, que muestra un período de recuperación de
2 meses para que los usuarios instalen actualizaciones después de un lanzamiento. En un momento, había dos versiones en 5 semanas, lo que afectaba a los usuarios durante más de 3 meses, como se puede ver entre el cuarto trimestre de 2015 y el primer trimestre de 2016.
Microsoft anunció el fin de vida útil de Silverlight en el 2012, aunque aún se siguen lanzando parches y reparaciones de errores. Sin embargo, representa el mismo problema que Internet Explorer: el software desactualizado y sin parches implementados invita a los atacantes a que lo aprovechen fácilmente.
El período de recuperación para los usuarios de Java muestra que la mayoría utiliza versiones del software una o tres veces anteriores a la versión más reciente. El tiempo de recuperación es de alrededor de 3 semanas. Un patrón inusual con Java es que los usuarios dominantes son los que utilizan versiones recientes. El ciclo de actualización de Java es de 1 a 2 meses.
La lección general de los ciclos del tiempo de implementación de parches es que los patrones de lanzamiento de actualizaciones son un factor que contribuye al estado de la seguridad del usuario, que puede poner en riesgo las redes.
Figura 43 Tiempo para realizar correcciones en Firefox, Silverlight y Java
98% 98%94%
93%
92%
93%92%
99%
95% 97%99% 96%
88%99% 94% 96% 94%
95% 85%
94%93% 97% 99% 99% 97%
94% 87%99%
84% 99% 93% 99% 96% 91% 98% 97% 99% 98%
26% 88% 93% 91%
15 20 25 30 35 40 45 50 55 60 65 70 750 5 10Semana:
Semana:
Semana: 15 20 25 30 35 40 45 50 55 60 65 70 750 5 10
15 20 25 30 35 40 45 50 550 5 10
Mayo de 2015
Mayo de 2015
Mayo de 2015
Versiones obsoletas:
Versiones obsoletas:
Firefox
Silverlight
Versiones obsoletas:
Java
Actualizar versión Bajo AltoAdopción de la última actualización
Fuente: Cisco Security Research
Figura 43. Tiempo de parches para Firefox, Silverlight y Java
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
49
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de CiscoPara evaluar las percepciones de los profesionales de seguridad respecto del estado de la seguridad en las organizaciones, Cisco consultó a directores generales de seguridad (CSO) y a gerentes de operaciones de seguridad (SecOps) de varios países y organizaciones de diferentes tamaños sobre sus percepciones de los procedimientos y recursos de seguridad. En el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco se ofrece información sobre el nivel de madurez de las operaciones y las prácticas de seguridad actualmente en uso, y también se comparan estos resultados con los de los informes de 2015 y 2016. El estudio se realizó en 13 países con más de 2900 encuestados.
Los profesionales de seguridad quieren que sus organizaciones sean más seguras, pero de una manera que responda al panorama complejo de los atacantes y a los esfuerzos de los adversarios por expandir su espacio operativo. Muchas organizaciones utilizan muchas soluciones de diversos proveedores. Esta táctica aumenta la complejidad y la confusión de asegurar las redes, ya que Internet continúa creciendo en términos de velocidad, dispositivos conectados y tráfico. Las organizaciones, si desean protegerse, deben proponerse como objetivos la simplicidad y la integración.
Percepciones: los profesionales de seguridad confían en las herramientas, pero tienen dudas respecto a si las usan en forma eficazLa mayoría de los profesionales de seguridad consideran que disponen de soluciones adecuadas y que sus infraestructuras de seguridad están actualizadas. Sin embargo, según nuestro estudio, la confianza incluye cierta incertidumbre. Estos profesionales no siempre están seguros de puedan reunir los presupuestos y la capacidad intelectual para aprovechar verdaderamente la tecnología que poseen.
Las amenazas a las organizaciones provienen de todas las direcciones. Los adversarios son ágiles y creativos, y pueden sortear las defensas. Incluso en este entorno trascendente, la
mayoría de los profesionales de seguridad sienten la confianza de que su infraestructura de seguridad está actualizada, aunque esa confianza pareciera estar decayendo en comparación con años anteriores. En el 2016, el 58 % de los encuestados indicó que su infraestructura de seguridad está
Descrito comoMejores tecnologías disponibles
muy actualizadas
58%
Descrito como reemplazado/actualizado
de manera regularesin las mejores
y últimas herramientas
37%2016 (n=2912)
Figura 44. Porcentajes de profesionales de seguridad que sienten que su infraestructura de seguridad está actualizada
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 44 Porcentaje de profesionales de seguridad que consideran que su infraestructura de seguridad está actualizada
50
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
verdaderamente actualizada y modernizada constantemente con las últimas tecnologías. El 37 % afirmó que reemplaza o actualiza las tecnologías de seguridad periódicamente, pero que no cuenta con las mejores y más recientes herramientas (figura 44).
Además, más de dos tercios de los profesionales de seguridad cree que las herramientas de seguridad son muy o extremadamente eficaces. Por ejemplo, el 74 % considera que sus herramientas son muy o extremadamente eficaces en el bloqueo de las amenazas de seguridad conocidas, mientras que el 71 % cree que sus herramientas son eficaces en la detección de anomalías en la red y en la defensa dinámica contra cambios en las amenazas adaptables (figura 45).
El problema es el siguiente: la confianza en las herramientas tradicionales no significa necesariamente seguridad eficaz. Tal como lo indica el estudio, los departamentos de seguridad lidian con herramientas complejas de diversos proveedores, así como con la falta de personal talentoso interno. En esencia, se trata de un problema de “intención frente a realidad”. Los profesionales de seguridad quieren herramientas de seguridad simples y eficaces, pero no tienen el enfoque integrado que necesitan para hacer realidad esta visión.
La seguridad sigue siendo de suma prioridad para los niveles superiores de muchas organizaciones. Además, los profesionales de seguridad consideran que los equipos ejecutivos ubican la seguridad en la parte superior de lista de objetivos claves de las organizaciones. El desafío, por supuesto, consiste en establecer una correspondencia entre el soporte ejecutivo y el talento y la tecnología que pueden influir en los resultados de seguridad.
La cantidad de profesionales de seguridad completamente de acuerdo con que sus líderes ejecutivos consideran la seguridad una alta prioridad fue del 59 % en el 2016; un valor un poco más bajo en comparación con el 61 % registrado en el 2015 y el 63 % registrado en el 2014 (figura 46). En el 2016, el 55 % de los profesionales de seguridad expresó estar de acuerdo con que las funciones y las responsabilidades de seguridad están bien definidas en el equipo ejecutivo de su organización; en el 2014 y en el 2015, el porcentaje fue del 58 %.
En resumen, los profesionales de seguridad tienen confianza en las herramientas que disponen y demuestran tener el oído de líderes empresariales a la hora de abordar problemas de seguridad. Sin embargo, esa confianza está decayendo de a poco. Los profesionales de seguridad están teniendo consciencia del éxito de los atacantes y de la complejidad de controlar la creciente superficie de ataque.
Percibe que sus herramientas son muy o extremadamente
e�caces contra las amenazas de seguridad conocidas
74%Percibe que sus herramientas son muy o extremadamente e�caces en la detección de
anomalías en la red y la protección contra cambios en
las amenazas adaptables
71%
2016 (n=2912)
Figura 45. Porcentajes de profesionales de seguridad que perciben que varias herramientas de seguridad son muy efectivas
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 45 Porcentaje de profesionales de seguridad que consideran que diferentes herramientas de seguridad son muy efectivas
Figura 46 Porcentaje de profesionales de seguridad que consideran que la seguridad es una alta prioridad a nivel ejecutivo, de 2014 a 2016
2014
63% 61% 59% 58% 58% 55%
2015 2016 2014 2015 2016
Acuerdo sólido sobre que los líderes ejecutivos de la organización consideran
la seguridad como una alta prioridad
Acuerdo sólido sobre que las funciones y responsabilidades de seguridad se
deben aclarar dentro del equipo ejecutivo de la organización
2014 (n=1738), 2015 (n=2432), 2016 (n=2912)
Figura 46. Porcentajes de profesionales de seguridad que creen que la seguridad es una alta prioridad a nivel ejecutivo, 2014-2016
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
COMPARTIR
51
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Restricciones: el tiempo, el talento y el dinero afectan la capacidad de responder ante las amenazasSi los profesionales de seguridad están relativamente seguros de que tienen las herramientas necesarias para detectar amenazas y mitigar el daño, también aceptan que ciertas restricciones estructurales obstaculizan el logro de sus objetivos. Un presupuesto ajustado es un desafío eterno. Pero otras restricciones que afectan la eficacia en materia de seguridad están relacionadas con los problemas de simplificar y automatizar la seguridad.
En el 2016, el 35 % de los profesionales de seguridad dijo que el presupuesto era el obstáculo más grande para adoptar procesos y tecnología de seguridad avanzada (una leve disminución en comparación con el 2015, en que el 39 % afirmó que el presupuesto constituía el obstáculo principal), como se muestra en la figura 47. Como en el 2015, los problemas de compatibilidad con los sistemas heredados fueron el segundo obstáculo más común: el 28 % mencionó el tema de la compatibilidad en el 2016 en comparación con el 32 % en el 2015.
El dinero es solo una parte del problema. Por ejemplo, los problemas de compatibilidad están relacionados con el problema de sistemas desconectados que no se integran. A su vez, las preocupaciones por la falta de personal capacitado resalta el problema de contar con las herramientas pero no con el personal apto para comprender realmente qué sucede en el entorno de seguridad.
La lucha por encontrar personal apto es una preocupación, si se tiene en cuenta la experiencia y las capacidades para tomar decisiones necesarias para combatir los ataques dirigidos y las tácticas cambiantes de los adversarios. Un equipo de seguridad de TI que cuente con amplios recursos y expertos, en combinación con las herramientas adecuadas, puede hacer que la tecnología y las políticas funcionen juntas y lograr mejores resultados de seguridad.
La cantidad media de profesionales de seguridad de las organizaciones encuestadas fue de 33, mientras que en el 2015 fue de 25. En el 2016, el 19 % de las organizaciones tenía entre 50 y 99 profesionales exclusivos de seguridad; el 9 % tenía entre 100 y 199 profesionales de seguridad; y el 12 % tenía 200 o más (figura 48).
39%
32%
25%
22%
35%
28%
25%
25%
2015 (n=2432) 2016 (n=2912)
Figura 47. Mayores obstáculos para la seguridad
Restricciones de presupuesto
Problemas de compatibilidad
Requisitos de certi�cación
Falta de personal capacitado
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 47 Los mayores obstáculos para la seguridad Figura 48 Número de profesionales de seguridad empleados por organizaciones
1-9
10-19
20-29
30-39
40-49
302014
252015
332016
50-99
100-199
200+
0% 5% 10% 15% 20%
Porcentaje de organizaciones 2016
15
17
13
8
6
19
9
12
Can
tidad
de
prof
esio
nale
s de
dica
dos
a la
seg
urid
ad
Figura 48. Cantidad de profesionales de seguridad empleados por organizaciones
Cantidad promedio de profesionales dedicados a la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
COMPARTIR
52
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
La cantidad de profesionales de seguridad varía según el tamaño de la organización. Como se muestra en la figura 49, el 33 % de las corporaciones con más de 10 000 empleados tenía al menos 200 profesionales de seguridad.
Independientemente de cuáles sean las restricciones, los profesionales de seguridad deben hacer preguntas difíciles sobre los obstáculos que limitan la capacidad de hacer frente a las próximas amenazas.
Por ejemplo, cuando se trata del presupuesto, ¿cuánto es realmente suficiente? Tal como explicaron los encuestados, los equipos de seguridad deben competir con muchas otras prioridades corporativas, incluso dentro del entorno de TI. Si no pueden garantizar fondos para adquirir más herramientas, deben esforzarse por trabajar de la mejor manera con el presupuesto que sí tienen. Por ejemplo, la automatización se puede usar para compensar la mano de obra limitada.
Deben hacerse preguntas similares acerca del problema de compatibilidad de software y hardware. A medida que los problemas de compatibilidad aumentan, ¿cuántas versiones diferentes de software y de hardware (la mayoría de las cuales pueden no funcionar eficazmente) deben administrarse? ¿Cómo se ocuparán los equipos de seguridad de cumplir con los diferentes requisitos de certificación?
1-9 10-19 100-199 Más de 20020-29 30-39 40-49 50-99
Figura 49. Cantidad de profesionales de seguridad por tamaño de la organización
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Empresas grandes
22%
12%
15%
12%
7%7%
14%
11%
Empresa grande (más de 10 000)
16% 17%
33%
7%
4%
6%
10%7%
Empresas medianas
21%
15%10%
17%
5%5%
7%
20%
Figura 49 Número de profesionales de seguridad por tamaño de la organización
La tercerización y la ayuda en la nube amplían los presupuestos
Muchos profesionales de seguridad que participaron del estudio comparativo sentían que estaban con problemas de liquidez al realizar compras en el área de seguridad. Ampliaban su presupuesto mediante la tercerización de algunas tareas o utilizando soluciones de nube. También dependían de la automatización.
COMPARTIR
53
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Figura 51 Número de proveedores y productos de seguridad empleados por organizaciones
Cantidad de proveedores de seguridad en el entorno de seguridad2016 (n=2850), grá�cos redondeados al número entero más cercano
Cantidad de productos de seguridad en el entorno de seguridad2016 (n=2860), grá�cos redondeados al número entero más cercano
El 55% utiliza más de 5 proveedores
El 65% utiliza más de 5 productos
1–5proveedores
6–10proveedores
11–20proveedores
21–50proveedores
6-10productos
11–25productos
26–50productos
Más de 50 productos
Más de 50 proveedores
45% 29% 18% 7%
29% 21% 11% 6%
3%
35%
1–5productos
Figura 51. Cantidad de proveedores y productos de seguridad utilizados por las organizaciones
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 50 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de operacionalización de la seguridad
2014
56% 56% 53% 55% 56% 53%
2015 2016 2014 2015 2016
Revisamos y mejoramos nuestras prácticas de seguridad periódica, formal y estratégicamente todo
el tiempo.
Investigamos rutinaria y sistemáticamente los incidentes de seguridad.
2014 (n=1738), 2015 (n=2432), 2016 (n=2912)
Figura 50. Porcentajes de encuestados que está totalmente de acuerdo con las instrucciones de operacionalización de la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Aparte de estas limitaciones, los profesionales de seguridad también ponen un poco menos de énfasis en la puesta en operación de la seguridad. Esta tendencia puede generar inquietudes respecto a que los profesionales de seguridad están creando una infraestructura de seguridad que no llega a ser óptima. Los indicios de un menor énfasis en la puesta en operación de la seguridad pueden indicar que las organizaciones no están preparadas para brindar defensa en un panorama de ataque en expansión.
Por ejemplo, en el 2016, el 53 % de los encuestados expresó estar completamente de acuerdo con revisar y mejorar las prácticas de seguridad en forma periódica, formal y estratégica; en el 2014 y el 2015, el 56 % expresó estar completamente de acuerdo. Asimismo, en el 2016, el 53 % afirmó que estuvo completamente de acuerdo con investigar de manera rutinaria y sistemática los incidentes de seguridad, en comparación con el 55 % señalado en el 2014 y el 56 % señalado en el 2015 (figura 50).
Si los profesionales de seguridad están fallando en el cumplimiento de sus objetivos para poner en uso la seguridad, quizás no sea una sorpresa, entonces, que no puedan implementar eficazmente las herramientas que tienen, mucho menos incorporar herramientas nuevas. Si, como los encuestados del estudio nos dijeron, no pueden usar la tecnología con la que ya cuentan, necesitan herramientas optimizadas más simples que automaticen los procesos de seguridad. Esas herramientas deben proporcionar un panorama integral de lo que sucede en el entorno de red.
La falta de integración en la seguridad puede permitir que surjan brechas de tiempo y espacio, factores que pueden dar lugar a ataques. La tendencia de los profesionales de seguridad a hacer malabares con soluciones y plataformas de diversos proveedores puede complicar el establecimiento de una defensa sin grietas. Como se muestra en la figura 51, la mayoría de las empresas utilizan más de cinco proveedores de seguridad y más de cinco productos de seguridad en su entorno. El 55 % de los profesionales de seguridad utiliza al menos 6 proveedores, el 45 % utiliza de 1 a 5 proveedores y el 65 % utiliza 6 productos o más.
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
54
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
El 7%no experimentó
ninguna alertade seguridad
2016 (n=2796)
El 93%experimentó alertas de seguridad
El 28%de las alertas investigadas son legítimas
El 44%de las alertas NO se investigan
El 56%de las alertas se investigan
El 46%de alertas legítimas se solucionan
El 54%de alertas legítimas no se solucionan
Figura 52. Porcentajes de alertas de seguridad que no se investigan o solucionan
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Si el cumplimiento de los objetivos de puesta en operación está fallando, si el uso de las herramientas no alcanza la eficacia máxima y si la mano de obra no es sólida, el resultado es el fracaso de la seguridad. Los profesionales de seguridad se ven forzados a pasar por alto la investigación de alertas simplemente porque no tienen el talento, las herramientas ni las soluciones automatizadas disponibles para determinar cuáles son críticas y por qué se producen.
Quizás debido a varios factores, como la falta de un sistema de defensa integrado o la falta de tiempo del personal, las organizaciones pueden investigar apenas un poco más de la mitad de las alertas que reciben en un día determinado. Como se muestra en la figura 52, el 56 % de las alertas se investigan y el 44 % no; de las alertas que se investigan, el 28% se consideran alertas legítimas. El 46 % de las alertas legítimas son atendidas.
Para definir el problema en términos más específicos, si una organización registra 5000 alertas por día, esto significa:
● Un total de 2800 alertas (56 %) se investiga, mientras que 2200 (44 %) no.
● De las alertas investigadas, 784 (28 %) son legítimas, mientras que 2016 (72 %) no lo son.
● De las alertas legítimas, 360 (46 %) son atendidas, mientras 424 (54 %) no.
El hecho de que casi la mitad de las alertas no se investigue debería generar preocupación. ¿Cuál es el grupo de alertas que no se atienden?: ¿son amenazas de bajo nivel que pueden distribuirse exclusivamente a través del correo electrónico no deseado o podrían generar un ataque de ransomware o paralizar una red? Para investigar y comprender una mayor parte del panorama de amenazas, las organizaciones deben confiar en la automatización, así como en soluciones correctamente integradas. La automatización puede ayudar a ampliar los recursos valiosos y a eliminar la carga de la detección y la investigación que recae en el equipo de seguridad.
La incapacidad para ver tantas alertas plantea preguntas sobre su impacto en el éxito general de una organización. ¿Cómo podrían estas amenazas sin investigar afectar la productividad, la satisfacción del cliente y la confianza en la empresa? Tal como los encuestados nos dijeron, incluso las pequeñas interrupciones de la red o las infracciones a la seguridad pueden tener efectos a largo plazo en el balance. Aun cuando las pérdidas eran relativamente menores y los sistemas afectados eran bastante sencillos de identificar y de aislar, los líderes de seguridad consideran que tales infracciones son significativas debido a la presión que ejercen en la organización.
Figura 52 Porcentaje de alertas de seguridad no investigadas ni corregidas
COMPARTIR
55
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Las presiones pueden afectar a las organizaciones de diversas maneras. Los equipos de seguridad deben dedicar tiempo a administrar las interrupciones de red que se producen después de una infracción a la seguridad. Casi la mitad de estas interrupciones duran hasta 8 horas. El 45 % de las interrupciones duró de 1 a 8 horas (figura 53), el 15 % duró de 9 a 16 horas y el 11 % duró de 17 a 24 horas. El 41 % de las interrupciones afectó entre el 11 % y el 30 % de los sistemas de las organizaciones.
Impacto: más organizaciones sufren pérdidas a causa de las infraccionesLos efectos de las infracciones no se limitan a las interrupciones. Las infracciones también se traducen en pérdida de dinero, de tiempo y de reputación. Los equipos de seguridad que creen que no les pasará a ellos ignoran la realidad de la información. Tal como señala nuestro estudio, casi la mitad de las organizaciones han tenido que lidiar con el escrutinio público tras una infracción a la seguridad. Dado el rango de capacidades y tácticas de los atacantes, la pregunta no es si se producirá una infracción a la seguridad, sino cuándo ocurrirá.
Como se muestra en el estudio comparativo, los profesionales de seguridad son traídos de vuelta a la realidad cuando se producen infracciones. A menudo cambian las estrategias de seguridad o refuerzan las defensas. Las organizaciones que aún no han sufrido el ataque de una infracción en la red pueden sentirse aliviadas y creer que se han escapado. Sin embargo, probablemente esta confianza sea inadecuada.
El 49 % de los profesionales de seguridad encuestados dijo que su organización ha debido manejar el escrutinio público tras una infracción a la seguridad. De estas organizaciones, el 49 % divulgó la infracción en forma voluntaria, mientras que el 31 % afirmó que un tercero realizó la divulgación (figura 54). En otras palabras, casi un tercio de las organizaciones encuestadas se vieron forzadas a lidiar con la divulgación involuntaria de una infracción. Está claro que los días de enfrentar infracciones en forma silenciosa quedaron atrás. Hay muchísimos reguladores, medios y usuarios de medios sociales que harán públicas las noticias.
31% 31% 50%
49%Tuvo que manejar el escrutinio público tras una infracción a la seguridad
2016 (n=2824)
Cómo se conoció externamente la amenaza más reciente
(n=1389)
Divulgado accidentalmente
(tercero)
Informe necesario
(normativo/legal)
Divulgado voluntariamente
Figura 54. Porcentaje de organizaciones que experimentan una infracción pública
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 54 Porcentaje de organizaciones que sufren una infracción pública
Figura 53 Longitud y alcance de las interrupciones causadas por infracciones a la seguridad
Tiempo de inactividad de los sistemas de las organizaciones debido a las infracciones
2016 (n=2665)
Porcentaje de sistemas afectados por la infracción
2016 (n=2463)
7%
1%
13% 45% 15% 11% 9%
19% 41% 24% 15%
Más de 24 horas
De 17 a 24 horas
De 9 a 16 horas
De 1 a 8 horas
Menos de 1 hora
Sin interrupción
Más del 50% afectado
31–50%afectado
11–30%afectado
1–10%afectado
Sin impacto
Figura 53. Alcance de las interrupciones ocasionadas por infracciones a la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
COMPARTIR
56
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
El daño que sufren las organizaciones excede por mucho el tiempo que les lleva lidiar con una infracción o con una interrupción. Hay impactos reales e importantes que las empresas deberían, en gran medida, intentar evitar.
Como se muestra en la figura 55, el 36 % de los profesionales de seguridad dijo que las operaciones fueron la función con más probabilidades de verse afectadas. Esto significa que los sistemas centrales de productividad, que afectan a distintos sectores (desde transporte hasta servicios de salud y fabricación), pueden volverse lentos o incluso detenerse.
A las operaciones les siguen las finanzas como función con más probabilidades de verse afectada (mencionada por el 30 % de los encuestados), seguida por la reputación de la marca y la retención de clientes (26 % en ambos casos).
Ninguna organización que planee crecer y lograr el éxito desea estar en una posición de tener departamentos críticos afectados por infracciones a la seguridad. Los profesionales de seguridad deben ver los resultados de la encuesta con sus propias organizaciones en mente y preguntarse: “si mi organización sufre este tipo de pérdida como consecuencia de una amenaza, ¿qué sucederá con el negocio con el futuro?”.
Figura 55 Funciones que probablemente se vean afectadas por una infracción pública
Operaciones
36% 30%Finanzas
26%
Reputaciónde la marca
26%
Retención de clientes
24%
Propiedad intelectual
No sufrieron ninguna infracción a la seguridad en el último año
10%22%
Relaciones con el partner de negocios
20%
Relaciones con el proveedor
20%
Compromisos legales
19%
Escrutinionormativo
Figura 55. Funciones con mayor probabilidad de verse afectadas por una infracción pública
Fuente: Cisco Security Research
COMPARTIR
57
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Las pérdidas de oportunidades para las empresas que sufren ataques en línea son enormes. El 23 % de los profesionales de seguridad encuestados afirmó que en el 2016 sus organizaciones experimentaron una pérdida de oportunidades debido a ataques (figura 56). De ese grupo, el 58 % dijo que la pérdida de oportunidades total fue inferior al 20 %; el 25 % afirmó que la pérdida de oportunidad fue del 20 % al 40 %; y el 9 % indicó que la pérdida de oportunidades llegó a ser del 40 % al 60 %.
Muchas organizaciones pueden cuantificar las pérdidas de ingresos que sufren debido a infracciones públicas. Como se muestra en la figura 57, el 29 % de los profesionales de seguridad dijo que sus organizaciones sufrieron una pérdida de ingresos como resultado de los ataques. De ese grupo, el 38 % dijo que la pérdida de ingresos fue de un 20 % o más.
Los ataques en línea también generan una reducción en la cantidad de clientes. Como se muestra en la figura 58, el 22 % de las organizaciones expresó haber perdido clientes como resultado de los ataques. De ese grupo, el 39 % afirmó que perdió el 20 % de sus clientes o más.
Figura 56 Porcentaje de oportunidades empresariales perdidas como resultado de un ataque
58%
23%
25% 9% 5% 3%
Experimentó una importante pérdida de oportunidad
(n=625)
42%
Experimentó una pérdida de oportunidad
Personal de seguridad de TI (n=2912)
Pérdidade entre un
80% y un 100%
Pérdidade entre un
60% y un 80%
Pérdidade entre un
40% y un 60%
Pérdidade entre un
20% y un 40%
Pérdidamenoral 20%
Figura 56. Porcentaje de oportunidad empresarial perdida como resultado de un ataque
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 57 Porcentaje de ingresos de la organización perdidos como resultado de un ataque
62%
29%
20% 10% 4% 4%
Experimentó una importante pérdida de ingresos
(n=778)
38%
Experimentó una pérdida de ingresos
Personal de seguridad de TI (n=2912)
Pérdidade entre un
80% y un 100%
Pérdidade entre un
60% y un 80%
Pérdidade entre un
40% y un 60%
Pérdidade entre un
20% y un 40%
Pérdidamenoral 20%
Figura 57. Porcentaje de ingresos de la organización como resultado de un ataque
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de CiscoDescargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
Figura 58 Porcentaje de clientes perdidos por las empresas como resultado de un ataque
61%
22%
21% 8% 6% 4%
Experimentó una importante pérdida de clientes
(n=641)
39%
Experimentó una pérdida de clientes
Personal de seguridad de TI (n=2912)
Pérdidade entre un
80% y un 100%
Pérdidade entre un
60% y un 80%
Pérdidade entre un
40% y un 60%
Pérdidade entre un
20% y un 40%
Pérdidamenoral 20%
Figura 58. Porcentaje de clientes perdidos por las empresas debido a los ataques
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
58
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Resultados: un mayor escrutinio influirá en las mejoras de seguridadTal como revelan los resultados de la encuesta, el impacto de las infracciones puede ser duradero y generalizado. Si uno supone que una organización se verá afectada por una infracción en algún momento, la pregunta es “¿qué sucederá después?”. ¿A qué debe prestarle atención la gerencia y hacia dónde deben orientarse los recursos para reducir las probabilidades de que ocurra una infracción?
Las consecuencias de una infracción representan una oportunidad de aprendizaje, una experiencia que no debe desaprovecharse en términos de inversión en mejores enfoques.
El 90 % de los profesionales de seguridad dijo que una infracción a la seguridad impulsó mejoras en las tecnologías y procesos de defensa ante amenazas, como se muestra en la figura 59. De las organizaciones afectadas por infracciones, el 38 % afirmó que respondió dividiendo al equipo de seguridad del departamento de TI; el 38 % dijo que aumentó la capacitación sobre el conocimiento de la seguridad entre los empleados; y el 37 % afirmó que aumentó su enfoque para el análisis y la mitigación de riesgos.
90%Se dice que la infracción a la seguridad impulsa mejoras en las tecnologías, las políticas o los procedimientos de defensa ante amenazas
Profesionales de seguridad (n=1388)
Separación del equipo de seguridad del departamento de TI
Aumento de las capacitaciones para la concientización sobre la seguridad entre los empleados
Profundización del enfoque sobre el análisis de riesgos y la mitigación de riesgos
Aumento de las inversiones en tecnologías o soluciones para la defensa ante amenazas de seguridad
Aumento de las inversiones en capacitación del personal de seguridad
38%
38%
37%
37%
37%
2016 (n=1375)
Las 5 principales mejoras realizadas para proteger a la empresa contra las infracciones a la seguridad
Figura 59. Cómo las infracciones a la seguridad impulsan mejoras
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 59 Cómo las infracciones a la seguridad impulsan mejoras
COMPARTIR
59
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Las organizaciones reconocen que tienen que ser creativas para superar los límites que plantean el personal talentoso, la compatibilidad de tecnología y el presupuesto. Una estrategia es adoptar servicios tercerizados para fortalecer el presupuesto y, también, para tener acceso a personal que quizás no sea interno a la organización.
En el 2016, el 51 % de los profesionales de seguridad subcontrató servicios de asesoramiento y consultoría, mientras que el 45 % subcontrató servicios de respuesta ante incidentes (figura 60). El 52 % afirmó que subcontrata servicios porque es más rentable, mientras que el 49 % afirmó que subcontrata servicios para obtener perspectivas objetivas.
Tal como lo hacen con la subcontratación, las organizaciones también recurren a proveedores de terceros para aumentar sus estrategias de defensa. El ecosistema de seguridad les ofrece modos de compartir la responsabilidad de la seguridad.
El 72 % de los profesionales de seguridad dijo que recurre a proveedores de terceros para el 20 % al 80 % de su seguridad, como se muestra en la figura 61. Aquellas organizaciones que dependen en gran medida de recursos externos para la seguridad fueron más propensas a decir que aumentarán el uso de proveedores de terceros en el futuro.
Figura 60 Dependencia de las organizaciones en relación a la tercerización
El 72%depende de
proveedores de terceros para entre el 20%
y el 80% de la seguridad
49%21%
19%9%
3%
43%25%
25%
5%
2%
39%25%
24%
6%
6%
33%27%
11%14%
15%
6%
Dependencia superior al 80%
31%Dependencia
de entre el 40% y el 80%
22%
Rely Less Than 20%
41%Dependencia de entre el 20% y el 40%
Personal de seguridad de TI (n=2595)
Cambio en la dependencia para el próximo añoPersonal de seguridad de TI que depende de proveedores de terceros (n=2504)
Crecimiento signi�cativoAumento leveIgualDisminución leveDisminución signi�cativa
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 61. Porcentaje de dependencia de las organizaciones en la tercerizaciónFigura 61 Porcentaje de dependencia de las organizaciones en relación a la tercerización
Asesoramiento y consultoría
51%Respuesta a incidentes
45%
Ser más rentable
52%Obtener una perspectiva objetiva
48%
Servicios de seguridad tercerizados2016 (n=2912)
Por qué se tercerizan los servicios2016 (n=2631)
Figura 60. Dependencia de las organizaciones en la tercerización
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
COMPARTIR
60
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Ya que las organizaciones toman medidas para fortalecer el estado de la seguridad, pueden esperar que se preste más atención a sus esfuerzos. Este escrutinio provendrá de un público influyente y, por lo tanto, no se puede ignorar. El modo en que se manejan las preocupaciones de este público puede tener un impacto significativo en la capacidad de una organización para defenderse.
El 74 % de los profesionales de seguridad dijo que el escrutinio provendrá de liderazgo ejecutivo; el 73 %, de clientes; y el 72 %, de empleados, como se muestra en la figura 62.
Figura 62 Fuentes de análisis aumentado
2016 (n=2912)
Líderes ejecutivos
74% 73%Clientes
72%Empleados
72%
Partners comerciales
70%
Grupos guardianes y de interés
70%Reguladores
69%Inversionistas
67%
Compañías de seguros
60%Oprima
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
61
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Confianza frente a costo: ¿qué factor impulsa las compras de seguridad?Los profesionales de seguridad buscan las mejores soluciones para proteger sus organizaciones, pero sus percepciones en cuanto a cómo crear un entorno seguro ideal difieren. ¿Compran las mejores soluciones de diversos proveedores porque confían en que solucionarán muchos problemas diferentes? ¿O recurren a una arquitectura integrada porque creen que este enfoque es más rentable? Si bien son muchos los factores que impulsan las inversiones en seguridad, una mayor simplicidad puede beneficiar a todas las organizaciones.
Como se muestra en la figura 63, los profesionales de seguridad se dividen en forma pareja entre confianza y costos a la hora de elegir entre soluciones excelentes y soluciones de arquitectura. El 65 % afirmó que prefiere soluciones excelentes porque confía más en ellas que en un enfoque de arquitectura empresarial. Por otra parte, el 59 % expresó que prefiere un enfoque de arquitectura porque cree que es más rentable.
Esto no es un dilema de ningún tipo. Las organizaciones necesitan tanto soluciones excelentes como soluciones de seguridad integrada. Ambos enfoques ofrecen beneficios y simplificarán la seguridad, al mismo tiempo que brindarán herramientas de respuesta automatizada (figura 63).
Al combinar soluciones excelentes con un enfoque integrado, los equipos de seguridad pueden avanzar hacia una seguridad menos compleja y más eficaz. El enfoque integrado les permite a los profesionales de seguridad comprender qué ocurre en cada etapa de la defensa. Un enfoque de este tipo reduce el espacio operativo de los atacantes. Es simple: permite que los equipos implementen soluciones a escala. Es abierto: permite implementar soluciones excelentes según sea necesario. Es automatizado: permite una detección más rápida.
65% 36%
41% 59%
24% 33%
13% 10%
39%
4%
39%
18%
Compra de una Solución de defensa ante amenazas de seguridadpor parte del personal de seguridad de TI (n=2665)
Motivos para favorecer el enfoque de uso del mejor producto de su claseOrganización que compró las mejores soluciones puntuales de su clase
Motivos para favorecer un enfoque de arquitectura empresarialOrganizaciones que, generalmente, respetan un enfoque de arquitectura empresarial
Generalmente, se respeta el enfoque basado en el proyecto (por ejemplo, los mejores productos puntuales de su clase)
Generalmente, se respeta el enfoque de arquitectura empresarial
Implementar losproductos puntuales según sea necesario
Implementar solo para respetar el cumplimiento o los requisitos normativos
Con�ar más que en el enfoque de arquitectura empresarial
Con�ar más que en los mejores productos de su clase
Las mejores soluciones de su clase son más rentables
Las mejores soluciones de su clase son más fáciles de implementar
Las mejores soluciones de su clase son más rápidas de implementar
El enfoque de la arquitectura empresarial es más rentable
El enfoque de la arquitectura empresarial es más fácil de implementar
El enfoque de la arquitectura empresarial es más rápido de implementar
Figura 63. Cómo la con�anza y la rentabilidad impulsan las decisiones de seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 63 Cómo la confianza y la rentabilidad motivan las decisiones de seguridad
62
Informe anual sobre ciberseguridad de 2017 de Cisco
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Resumen: aportes del Estudio comparativoHay una enorme diferencia entre acumular herramientas de seguridad y realmente tener la capacidad para usar dichas herramientas para reducir el riesgo y el espacio operativo para los adversarios. Los encuestados del estudio comparativo creen que tienen las herramientas que detendrán a los atacantes. No obstante, también reconocen que las restricciones, como la falta de mano de obra y la escasa compatibilidad de productos, pueden hacer que buenas herramientas sean mucho menos eficaces de lo previsto.
La conclusión trascendente sobre el impacto de las infracciones debe proporcionarles a los profesionales de seguridad prueba más que suficiente de la necesidad de mejorar los procesos y los protocolos. Las organizaciones, que enfrentan efectos reales e inmediatos (como la pérdida de ingresos y clientes), ya no pueden querer simplemente
eliminar las brechas en la protección de seguridad, puesto que la pregunta no es si se producirá una infracción, sino cuándo sucederá.
Una conclusión del Estudio comparativo es que siempre enfrentaremos restricciones que limiten una seguridad ágil y eficaz: nunca habrá el presupuesto y el personal calificado que los profesionales de seguridad consideran necesarios. Si aceptamos estas restricciones, la idea de simplificar la seguridad e implementar soluciones automatizadas tiene sentido.
La simplificación de la seguridad también hace uso de soluciones excelentes y de una arquitectura integrada. Las organizaciones necesitan los beneficios de ambos enfoques.
64
Informe anual sobre ciberseguridad de 2017 de Cisco
Sector
SectorSeguridad de la cadena de valor: el éxito en un mundo digital depende de la mitigación de los riesgos de tercerosLa seguridad de la cadena de valor es un componente esencial del éxito en una economía conectada. Es fundamental garantizar que la seguridad correcta esté en el lugar correcto en el momento indicado durante todo el ciclo de vida de la cadena de valor: el ciclo de vida correcto para hardware, software y servicios.
En la figura 64 se muestran las ocho etapas de la cadena de valor.
La tecnología de la información (TI) y la tecnología operativa convergen en este mundo digitalizado. No basta con que las organizaciones se centren únicamente en proteger los modelos comerciales, las ofertas y la infraestructura internos. Las organizaciones deben observar la cadena de valor en forma integral y determinar si los terceros que participan en su modelo comercial o en contacto con sus ofertas representan un riesgo para la seguridad.
La respuesta breve es que probablemente lo hagan: de acuerdo con una investigación realizada por el Instituto SANS, el 80 % de las violaciones de datos provienen de otros proveedores.¹⁵ Para reducir el riesgo, las organizaciones deben fomentar una cadena de valor en la que la confianza no sea implícita y la seguridad sea responsabilidad de todos. Como paso fundamental hacia el logro de este objetivo, las organizaciones deben hacer lo siguiente:
● Identificar a los principales participantes en el ecosistema de terceros y comprender qué ofrecen.
● Desarrollar una arquitectura de seguridad flexible que pueda compartirse con todos los terceros en el ecosistema y ser implementada por ellos.
● Evaluar si los terceros trabajan dentro de los niveles de tolerancia establecidos por la arquitectura de seguridad de la organización.
● Estar alerta a nuevos riesgos de seguridad que el ecosistema puede presentar a medida que la digitalización aumenta.
Las organizaciones también deben pensar en la seguridad antes de introducir un nuevo modelo comercial o una oferta que requiera la participación del ecosistema de terceros o que lo afecte de otra manera. Cualquier valor potencial y aumento en la productividad debe evaluarse en relación con los posibles riesgos, particularmente en la seguridad de los datos y la privacidad.
La conciencia respecto a la importancia de la cadena de valor global está aumentando tanto a nivel mundial como en sectores específicos. La legislación reciente sobre la adquisición de TI de los EE. UU ordenó una evaluación de un año del Departamento de Defensa de los EE. UU respecto a las normas abiertas de tecnología para las adquisiciones de productos de tecnología de la información y ciberseguridad.¹⁶ En el sector muy convergente de energía, la Corporación Norteamericana de Confiabilidad Eléctrica (NERC) desarrolla activamente requisitos nuevos en relación con su cadena de valor cibernética.¹⁷
Diseñar Plani�car Obtener Hacer Calidad Entregar Mantener Fin de vida útil
Figura 64. Las etapas de la cadena de valor
Fuente: Cisco
Figura 64 Etapas de la cadena de valor
¹⁵ Combatting Cyber Risks in the Supply Chain, SANS Institute, 2015: https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252. ¹⁶ Ley Pública 114-92 § ¹⁷ NERC ordenó que la Comisión Federal Reguladora de Energía de los Estados Unidos lleve a cabo este esfuerzo 18 CFR Parte 40 [Rótulo N° RM15-14-002; Orden N° 829].
COMPARTIR
65
Informe anual sobre ciberseguridad de 2017 de Cisco
Sector
Las organizaciones, junto con los terceros que participan en ellas, deben responder preguntas como “¿cómo se generarán los datos y quiénes estarán a cargo de hacerlo?” y “¿los datos deben obtenerse digitalmente?”. Para una mayor claridad, es necesario responder otras preguntas, tales como “¿quién posee los recursos digitales que recopilamos o creamos?” y “¿con quién debemos compartir esa información?”. Otra pregunta esencial para responder es “¿quién tiene determinada responsabilidad y obligación cuando se produce una infracción?”.
Este enfoque que se centra en la cadena de valor ayuda a garantizar que las consideraciones de seguridad se incorporen en cada etapa del ciclo de vida de las soluciones. La arquitectura adecuada, en combinación con el cumplimiento de las normas de seguridad correspondientes, ayudará a impulsar la seguridad generalizada de toda la cadena de valor y a generar confianza en ella.
Actualización geopolítica: encriptación, confianza y necesidad de transparenciaEn informes anteriores sobre ciberseguridad, los expertos en geopolítica de Cisco analizaron la incertidumbre en el panorama de la gestión de Internet, los derechos de las personas frente a los derechos del estado y las maneras en que los gobiernos y las empresas privadas pueden dirigir el dilema que plantea la protección de datos. Un tema común entre estos análisis ha sido la encriptación. Creemos que la encriptación continuará impregnando, quizás incluso dominando, el debate sobre ciberseguridad para el futuro cercano.
La proliferación de las leyes nacionales y regionales de privacidad de los datos ha generado preocupación entre los proveedores y usuarios que buscan dirigir dichas leyes. En este entorno incierto, problemas como la autonomía de los datos y la localización de los datos han cobrado importancia y contribuido, en consecuencia, con el crecimiento de la computación en la nube y almacenamiento de datos localizado a medida que las empresas buscan una solución creativa para cumplir con las normativas de privacidad complejas y en evolución.¹⁸
Al mismo tiempo, la cantidad en aumento de violaciones de datos y amenazas avanzadas persistentes, y la publicidad en torno a hacks patrocinados por estados nación (incluidos los realizados durante eventos destacados, como la elección presidencial en los EE. UU) hacen que los usuarios tengan aún menos seguridad de que sus datos sean confidenciales y de que se protegerá la privacidad.
En la era posterior a Snowden, los gobiernos han hecho hincapié cada vez con más vehemencia en su deseo de regular las comunicaciones digitales y de acceder a los datos cuando sea necesario. Sin embargo, los usuarios demostraron la misma pasión al pedir privacidad. Eventos como el reciente enfrentamiento entre Apple y el FBI por un iPhone que pertenecía a un terrorista no han contribuido a apaciguar las inquietudes de los usuarios sobre la privacidad. Si sirvió de algo fue que le enseñó a una generación de usuarios digitales, especialmente en los Estados Unidos, sobre la encriptación integral. Muchos usuarios ahora exigen encriptación integral a sus proveedores de tecnología y quieren tener las claves de cifrado.
Esto marca un cambio fundamental en el panorama de ciberseguridad tal como lo conocíamos. Las organizaciones van a necesitar diseñar sus entornos de modo que puedan dirigir y responder a las agendas de la competencia.
Mientras este cambio se implementa, más gobiernos se atribuyen el derecho legal (a menudo en forma general) a omitir o interrumpir la encriptación o las medidas de protección técnica, en general sin el conocimiento del fabricante, el proveedor de comunicaciones o el usuario. Esto genera tensión no solo entre las autoridades y las empresas tecnológicas sino también entre los gobiernos, que no desean necesariamente que las autoridades de países que no pertenecen a la Unión Europea accedan a los datos de los ciudadanos. Muchos gobiernos recopilan información sobre las vulnerabilidades y los ataques de día cero que detectan en software de proveedores; sin embargo, no siempre son transparentes con los proveedores sobre información que poseen o no la comparten en forma oportuna.
La acumulación de dicha información valiosa impide que los proveedores mejoren la seguridad de sus productos y proporcionen a los usuarios una mejor protección contra las amenazas. Aunque los gobiernos pueden tener una buena razón para realizar parte de este cierre de la inteligencia, también hay una necesidad de mayor transparencia y confianza en el panorama de ciberseguridad global. Los gobiernos, por lo tanto, deben realizar una evaluación honesta de sus políticas actuales relacionadas con la acumulación de información sobre ataques de día cero. Deben partir de la posición predeterminada de que compartir información con proveedores puede solo conllevar un entorno digital mucho más seguro para todos.
¹⁸ Para más información sobre este tema, consulte “Data Localization Takes Off as Regulation Uncertainty Continues,” por Stephen Dockery, 6 de junio de 2016, The Wall Street Journal: http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertainty-continues/.
66
Informe anual sobre ciberseguridad de 2017 de Cisco
Sector
Cifrado de alta velocidad: solución escalable para proteger datos en tránsito
Como se explicó en la sección geopolítica en la página 65, la encriptación integral continuará siendo un tema de mucho debate y desconcierto entre los gobiernos y el sector en el futuro próximo. No obstante, independientemente de cualquier tensión que surja de este asunto, la demanda de los usuarios por un cifrado integral de datos con claves administradas por los clientes va en aumento.
Los expertos en geopolítica de Cisco anticipan que algunos flujos y conjuntos de datos probablemente permanecerán cifrados con claves administradas por el proveedor, al menos en el corto plazo, en particular en modelos comerciales basados en anuncios. No obstante, en otros casos, se espera ver un mayor uso de cifrado integral con claves administradas por los clientes, a menos que un mandato judicial indique lo contrario.
Mientras tanto, se espera que las organizaciones busquen más control de la forma en que protegen sus datos, mientras se encuentran en tránsito, en particular, mientras se transfieren a alta velocidad de un centro de datos a otro. En una época, ésta era una tarea ardua para las empresas, debido a las limitaciones de tecnologías de legado y el impacto en el rendimiento de la red. No obstante, nuevos enfoques están simplificando este proceso.
Una solución es la seguridad de la capa de aplicaciones, en donde las aplicaciones se modifican para cifrar datos. La implementación de este tipo de seguridad puede ser compleja y demandar muchos recursos, además de ser costosa a nivel operativo, dependiendo de la cantidad de aplicaciones que usa una organización.
Otro enfoque que se está implementando cada vez más son las funcionalidades de cifrado incorporadas a una red o servicio en la nube para proteger datos en tránsito. Ésta es una evolución del modelo VPN de gateway tradicional, una solución que aborda la naturaleza dinámica de las redes y las tasas de transmisión a alta velocidad del tráfico de centros de datos. Las empresas están utilizando las eficacias operativas y la rentabilidad que aportan las nuevas funcionalidades para proteger datos que provengan de cualquier aplicación en ese entorno, mientras se transmiten a alta velocidad a otra ubicación.
No obstante, el cifrado basado en la red es tan solo una de las herramientas para proteger datos. Para asegurarse de estar realizando lo suficiente para proteger sus datos mientras están en tránsito o inmóviles, las organizaciones deben abordar el desafío de manera holística. Un buen punto de partida es formular a los proveedores de tecnología preguntas básicas pero importantes, a saber:
● ¿Cómo se protegen los datos mientras están en tránsito?
● ¿Cómo se protegen los datos mientras están inmóviles?
● ¿Quién tiene acceso a los datos?
● ¿Dónde se almacenan los datos?
● ¿Cuál es la política para eliminar datos, cuando, y si, deben eliminarse?
Nuevamente, estar preguntas son solo un punto de partida para un diálogo más amplio acerca de la protección de datos, el cual debe progresar para abarcar la discusión de temas como la recuperabilidad y la disponibilidad de los datos.
67
Informe anual sobre ciberseguridad de 2017 de Cisco
Sector
Adopción y rendimiento de la red frente a desarrollo de la seguridad: las velocidades, el tráfico y la preparación en línea no crecen al mismo ritmoLos defensores desean adelantarse a los adversarios. Estar detrás de ellos es estar en un lugar potencialmente peligroso. La preocupación es que los defensores no pueden mejorar su estado de la seguridad al mismo ritmo con que los adversarios pueden obtener tiempo y espacio para operar. Dado el ritmo del crecimiento del tráfico de Internet fijo y móvil en todo el mundo, los defensores se ven obligados a equiparar este crecimiento con una mayor desarrollo de su infraestructura de seguridad.
La previsión de Cisco VNI analiza el tráfico IP global anual, incluido el tráfico móvil e inalámbrico. Las previsiones proporcionan proyecciones de cinco años relativas al tráfico IP, la cantidad de usuarios de Internet y la cantidad de conexiones de máquina a máquina y de dispositivos personales que admitan las redes IP. (Visite esta página para obtener más información sobre la previsión de VNI). Por ejemplo, la previsión calcula que para el 2020, los smartphones generarán el 30 % del tráfico IP total.
Cisco ha coincidido con los datos de la previsión de VNI respecto al desarrollo de los defensores, obtenidos del Estudio comparativo sobre capacidades de seguridad anual de Cisco (consulte la página 49). Al analizar las tasas de crecimiento del desarrollo en los informes comparativos de 2015, 2016 y 2017, como se muestra en la figura 65, el desarrollo de la seguridad es decepcionante en comparación con el crecimiento del tráfico de Internet. Algunos países, como China y Alemania, muestran efectivamente una disminución leve del desarrollo durante este período. Las velocidades de banda ancha, en particular, están mejorando y aumentando a una velocidad considerablemente mayor que otras variables de red que se muestran en la figura 65. Las velocidades más rápidas y la mayor cantidad de dispositivos conectados fomentan un mayor crecimiento del tráfico, pero las organizaciones se están esforzando por reforzar sus medidas e infraestructuras de seguridad a velocidades similares.
0%
100%
50%
150%
200%
250%
300%
Porc
enta
je d
e cr
ecim
ient
o
Australia Brasil Canadá China Francia Alemania India Italia Japón México Rusia ReinoUnido
EstadosUnidos
General
Madurez de la seguridad Trá�co total Dispositivos Usuarios �jos de Internet Trá�co de Internet móvil Velocidad móvil
Figura 65. Madurez y tasas de crecimiento de la seguridad
Fuente: Cisco Security Research, Cisco VNI y el Estudio comparativo de capacidades de seguridad 2017 de Cisco
Figura 65 Madurez de la seguridad y tasas de crecimiento
COMPARTIR
68
Informe anual sobre ciberseguridad de 2017 de Cisco
Sector
Ciertos sectores también quedan rezagados en términos de desarrollo de la seguridad en comparación con otros, como se muestra en la figura 66. En particular, los sectores de productos farmacéuticos, servicios de salud y transporte están detrás de otros.
Es importante señalar que el enorme aumento en las velocidades móviles es el resultado de la adopción generalizada de redes 4G y LTE de parte de los proveedores de telecomunicaciones. Cuando las implementaciones a gran escala de redes 5G pasen a estar disponibles al final de esta década, se espera que las velocidades móviles sean similares a las velocidades de red fija. Según la previsión de VNI móvil actual, el tráfico global de datos móviles ganará probablemente una mayor parte del tráfico IP total cuando
se adopte 5G en forma generalizada. El tráfico global de datos móviles representó el 5 % del tráfico IP total en el 2015 y, de acuerdo con la previsión de VNI, se espera que represente el 16 % del tráfico IP total para el 2020.
Está claro que las organizaciones de seguridad deben redoblar sus esfuerzos de madurez, y rápidamente, si pretenden estar a la altura del crecimiento del tráfico de Internet, el cual se prevé que aumentará en la superficie de posibles ataques. Asimismo, las organizaciones deben responder al crecimiento en el uso de terminales que no son fijas o conectadas por cable a redes corporativas. También deben admitir un uso más amplio de dispositivos personales, desde los cuales los trabajadores tengan acceso a datos corporativos.
Figura 66. Madurez de la seguridad en mercados verticales del sector
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Sector por segmento
Educación(n=44)
5
30
18
48
Servicios �nancieros(n=501)
4
31
29
36
Gobierno(n=345)
7
30
23
39
Atención médica(n=211)
14
31
27
29
Fabricantes no relacionados
con la informática(n=355)
5
27
29
39
Servicios públicos/energía(n=113)
5
33
24
38
Transporte(n=174)
5
38
27
30
Telecomunicaciones(n=303)
24
28
42
Sector minorista(n=286)
5
30
34
32
Industria farmacéutica(n=56)
9
39
21
30
AltoMedio-AltoMedioBajo
3
Grá�co redondeado al número entero más cercano
Figura 66 Madurez de la seguridad y mercados verticales del sector
69
Informe anual sobre ciberseguridad de 2017 de Cisco
Sector
Las mayores velocidades no son el único factor que impulsa el crecimiento del tráfico de Internet. La IdC cuenta con cada vez más dispositivos que se conectan a Internet, lo cual no solo hace crecer el tráfico, sino que también aumenta las posibles rutas de acceso de los atacantes.
Para más información sobre la Previsión VNI de Cisco, visite el sitio web de Cisco o consulte la publicación de blog de Cisco en la previsión VNI anual para el período de 2015 a 2020.
Figura 67. Madurez de la seguridad por país
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
AltoMedio-AltoMedioBajo
4
25
29
41EE. UU.
425
30
41Brasil
7
31
28
34Alemania
5
36
31
28
Italia
29
5
38
28Reino Unido
5
31
34
31Australia
13
35
21
31China
317
31
47 India
7
32
26
35Japón
421
26
47México
4
30
27
39Rusia
6
35
26
32Francia
7
36
23
33Canadá
2016 (n=2852) Grá�cos redondeados al número entero más cercano
Figura 67 Madurez de la seguridad por país
71
Informe anual sobre ciberseguridad de 2017 de Cisco
Conclusión
ConclusiónPara abordar una superficie de ataque en rápida expansión se necesita un enfoque interconectado e integrado de la seguridadAl analizar los datos del Estudio de los parámetros de funcionalidades de seguridad de Cisco (consulte la página 49), podemos analizar patrones y decisiones que ayudan a las organizaciones a minimizar el riesgo. Por lo tanto, podemos determinar las áreas en las que deben realizar inversiones de seguridad que puedan marcar una diferencia significativa en la exposición a riesgos. Hemos medido el riesgo analizando la duración de las infracciones y el porcentaje de interrupciones del sistema (consulte la figura 53 en la página 55 con respecto a la duración de las infracciones y los sistemas afectados).
Para comprender cómo las organizaciones desarrollan medidas de seguridad eficaces contra el riesgo, debemos analizar qué factores afectan su capacidad para evitar, detectar y mitigar el riesgo. (Consulte la figura 68). Los factores de motivación deben incluir los siguientes elementos:
● Líderes ejecutivos: los altos dirigentes deben priorizar la seguridad. Esto es fundamental para mitigar ataques, así como para prevenirlos. El equipo ejecutivo también debe contar con métricas claras y establecidas para evaluar la eficacia de un programa de seguridad.
● Políticas: las políticas están profundamente relacionadas a la mitigación. El control de los derechos de acceso a redes, sistemas, aplicaciones, funciones y datos afectará la capacidad de mitigar el daño causado por infracciones a la seguridad. Asimismo, las políticas para garantizar una revisión periódica de las prácticas de seguridad ayudarán a prevenir ataques.
● Protocolos: los protocolos correctos pueden ayudar a prevenir y detectar infracciones, aunque también están profundamente relacionados a la mitigación. En particular, para garantizar que las medidas de seguridad estén funcionando, las revisiones periódicas de la actividad de conexión a redes son clave tanto para la prevención como para la mitigación. También es beneficioso revisar y mejorar a lo largo del tiempo las prácticas de seguridad con regularidad y de manera formal y estratégica.
● Herramientas: la aplicación cuidadosa y adecuada de las herramientas es lo que más influye en la mitigación. Con la implementación de herramientas, los usuarios pueden revisar y aportar comentarios, lo cual es fundamental para la detección y prevención, así como para la mitigación.
Figura 68. Controladores y protecciones para minimizar los riesgos
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Medidas de seguridadMida la in�uencia de la capacidad de la empresa para evitar, detectar y mitigar los efectos de un riesgo de infracción
Factores de impulsoMida la in�uencia de las políticas, el liderazgo ejecutivo, los protocolos y las herramientas sobre la capacidad de la empresa para evitar, detectar y mitigar los efectos de la infracción
Líderesejecutivos
Política
Protocolos
Herramientas
Riesgo mínimoDetectar
Mitigar
Prevenir
Figura 68 Factores de motivación y medidas de seguridad para minimizar riesgos
Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics
72
Informe anual sobre ciberseguridad de 2017 de Cisco
Conclusión
Las medidas de protección de la seguridad que aplican las organizaciones (prevención, detección y mitigación) se pueden ver como medidas que influyen en la capacidad que tienen de minimizar el riesgo. (Consulte la figura 68).
Estas medidas de protección deben incluir los siguientes elementos:
● Prevención: para minimizar el efecto de las infracciones a la seguridad, los empleados deben informar fallas y problemas relacionados con la seguridad. También es fundamental que los procedimientos y procesos de seguridad sean claros y se comprendan bien.
● Detección: los mejores métodos de detección para minimizar el efecto de las infracciones son los que permiten que las organizaciones detecten puntos débiles en la seguridad antes de que se conviertan en verdaderos incidentes. Para lograrlo, es fundamental tener un buen sistema de categorización de la información relacionada con los incidentes.
● Mitigación: contar con procesos y procedimientos bien documentados para la respuesta ante los incidentes, como también realizar un seguimiento, son factores clave para una mitigación efectiva de las infracciones. Las organizaciones también deben contar con protocolos sólidos para administrar su respuesta ante las crisis.
Todos estos factores de motivación y medidas de seguridad están interconectados y son interdependientes. Los profesionales de seguridad no pueden simplemente seleccionar algunos factores de motivación y medidas de seguridad, y creer que han solucionado el problema de la seguridad. Necesitan tener en cuenta todos los factores y todas las medidas. Los equipos de seguridad deben analizar cuáles son sus puntos débiles (por ejemplo, niveles bajos de respaldo por parte de los líderes, o la falta de herramientas para mitigar infracciones) y calcular en qué áreas se deben realizar inversiones en seguridad.
73
Informe anual sobre ciberseguridad de 2017 de Cisco
Conclusión
Objetivo principal: reducir el espacio operativo de los atacantesLas principales prioridades de los defensores deben ser reducir (y preferentemente eliminar) el espacio operativo ilimitado de los atacantes, como también revelar la presencia de los mismos. La realidad es que nadie puede detener todos los ataques, o proteger todo lo que puede y debe protegerse. Pero si se centra en cerrar el espacio operativo que los criminales informáticos deben tener para que sus campañas sean eficaces y rentables, puede evitar que logren acceso a sistemas y datos críticos evadiendo por completo la detección.
Este informe clasificó diferentes enfoques que los atacantes utilizan para comprometer y atacar a usuarios y sistemas. Basamos nuestras categorías (reconocimiento, armamentización, entrega e instalación) en el área en que los ataques suelen llevarse a cabo en la cadena de ataque. Este ejercicio pretende ilustrar cuándo, cómo y dónde los atacantes se aprovechan de las vulnerabilidades y otros puntos débiles para acceder a un dispositivo o un sistema, lanzar su campaña, y luego obtener las recompensas que buscan.
Sugerimos que los defensores adapten sus enfoques de seguridad para adelantarse a los procesos básicos de los atacantes. Por ejemplo, para obstaculizar la tarea de los atacantes durante la fase de reconocimiento, los equipos de seguridad deben:
● Recopilar información sobre las últimas amenazas y vulnerabilidades
● Asegurarse de tener el control del acceso a sus redes
● Limitar la exposición de la organización en una superficie de ataque en expansión
● Administrar configuraciones
● Desarrollar prácticas y procedimientos de respuesta uniformes, los cuales estén informados por este trabajo
Cuando se aplican las amenazas dañinas, los defensores deben aplicar todas las herramientas a su disposición para impedir que se extiendan y se vuelvan más peligrosas. Aquí es donde una arquitectura de seguridad integrada se vuelve crucial. Aportará una perspectiva en tiempo real de las amenazas, como también una detección y defensa automatizadas, las cuales son fundamentales para mejorar la detección de amenazas.
En la fase de instalación, los equipos de seguridad deben mantenerse informados sobre el estado del entorno mientras investigan y responden al riesgo. Si ese entorno es simple, abierto y automatizado, y si los defensores han adoptado las otras medidas proactivas mencionadas, pueden enfocar sus recursos en ayudar a la empresa a responder preguntas críticas, a saber:
● ¿A qué accedieron los atacantes?
● ¿Por qué pudieron acceder?
● ¿Adónde se dirigieron?
● ¿Aún están operando en nuestra red?
Las respuestas a estas preguntas permitirán que los equipos de seguridad no solo tomen las medidas pertinentes para evitar otros ataques, sino que también informen a la administración y la junta directiva sobre posibles exposiciones y divulgaciones necesarias. A partir de allí, la empresa puede comenzar el proceso de asegurarse de implementar controles y técnicas de mitigación integrales para abordar todas las brechas en la seguridad (los puntos débiles que permitieron a los atacantes tener el espacio operativo necesario para lograr su cometido) identificadas durante el ataque.
74
Informe anual sobre ciberseguridad de 2017 de Cisco
Acerca de Cisco
Acerca de CiscoCisco ofrece ciberseguridad inteligente para el mundo real a través de uno de los portafolios de soluciones de protección avanzada contra amenazas más integrales del sector, que aborda la gama más amplia de vectores de ataque. El enfoque sobre la seguridad implementado y centrado en las amenazas de Cisco reduce la complejidad y la fragmentación mientras proporciona una visibilidad superior, control uniforme y protección avanzada contra amenazas antes, durante y después de un ataque.
Los investigadores especializados en amenazas del ecosistema Cisco Collective Security Intelligence (CSI) reúnen, en una misma estructura, la inteligencia de amenazas líder del sector; para ello, usan la telemetría obtenida de la enorme impronta de dispositivos y sensores, fuentes públicas y privadas, y la comunidad de código abierto. Esto equivale a un ingreso diario de miles de millones de solicitudes web y millones de correos electrónicos, muestras de malware e intrusiones en las redes.
Nuestra sofisticada infraestructura y nuestros sistemas consumen esta telemetría, lo que permite a los investigadores y los sistemas de aprendizaje automático seguir las amenazas de la red, los centros de datos, los terminales, los dispositivos móviles, los sistemas virtuales, la web, los correos electrónicos y la nube a fin de identificar las causas principales y examinar el alcance del daño causado. La inteligencia resultante se traduce en protecciones en tiempo real para nuestra oferta de productos y servicios que se distribuyen inmediatamente a los clientes internacionales de Cisco.
Para obtener más información sobre el enfoque centrado en amenazas de Cisco, visite www.cisco.com/go/security.
75
Informe anual sobre ciberseguridad de 2017 de Cisco
Acerca de Cisco
Colaboradores del Informe anual de ciberseguridad 2017 de Cisco
CloudLockCloudLock, una empresa de Cisco, es un proveedor líder de soluciones de intermediación de seguridad de acceso a la nube (CASB), las cuales permiten a las organizaciones usar la nube con seguridad. CloudLock brinda visibilidad y control para entornos de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS) para todos los usuarios, datos y aplicaciones. CloudLock ofrece una inteligencia de ciberseguridad procesable mediante su CyberLab liderado por científicos de datos y un análisis de seguridad colectivo. Para más información, visite https://www.cloudlock.com.
Security and Trust OrganizationSecurity and Trust Organization, de Cisco, subraya el compromiso que asume Cisco para abordar dos de los problemas más críticos que son la principal prioridad de salas de juntas y líderes mundiales por igual. Las tareas centrales de esta organización incluyen brindar protección a clientes públicos y privados de Cisco, habilitar y garantizar iniciativas de Ciclo de vida del desarrollo seguro y de Sistemas confiables de Cisco en todo el portafolio de productos y servicios de Cisco, y brindar protección a Cisco contra amenazas cambiantes. Cisco adopta un enfoque integral hacia la seguridad y la confianza generalizadas, que comprende personas, políticas, procesos y tecnología. Security and Trust Organization impulsa la excelencia operativa centrándose en seguridad informática, ingeniería confiable, protección y privacidad de datos, seguridad en la nube, transparencia y validación, e investigación y gestión de seguridad avanzada. Para obtener más información, visite http://trust.cisco.com.
Asuntos gubernamentales globalesCisco se relaciona con gobiernos en distintos niveles para colaborar en la creación de normas y políticas públicas que respaldan el sector tecnológico y ayudan a los gobiernos a alcanzar sus objetivos. El equipo de Asuntos gubernamentales globales desarrolla y ejerce influencia en las normas y las políticas públicas a favor de la tecnología. Mediante el trabajo en colaboración con las partes interesadas del sector y partners asociados, el equipo entabla relaciones con líderes gubernamentales para ejercer influencia en las políticas que afectan el negocio de Cisco y la adopción general de tecnologías de la información y la comunicación (TIC), con la intención de ayudar a crear decisiones sobre políticas tanto a nivel local como nacional y global. El equipo de Asuntos gubernamentales está compuesto por exfuncionarios electos, miembros del Parlamento, reguladores, altos funcionarios gubernamentales de EE. UU. y profesionales de asuntos gubernamentales que ayudan a Cisco a promover y proteger el uso de la tecnología en todo el mundo.
Cognitive Threat AnalyticsCognitive Threat Analytics de Cisco es un servicio basado en la nube que detecta violaciones, malware que funciona dentro de redes protegidas y otras amenazas a la seguridad mediante al análisis estadístico de los datos del tráfico de red. Esta solución aborda las brechas de las defensas perimétricas mediante la identificación de los síntomas de una infección de malware o violación de datos; para ello, hace uso del análisis de comportamiento y la detección de anomalías. Cisco Cognitive Threat Analytics depende del modelado estadístico avanzado y del aprendizaje automático para identificar amenazas nuevas de manera independiente, aprender de lo que ve y adaptarse con el tiempo.
76
Informe anual sobre ciberseguridad de 2017 de Cisco
Acerca de Cisco
Equipo IntelliShieldEl equipo IntelliShield realiza la investigación, el análisis, la integración y la correlación de datos e información relacionados con amenazas y vulnerabilidades provenientes de Cisco Security Research and Operations y fuentes externas para brindar el servicio de inteligencia de seguridad IntelliShield, que respalda diversos productos y servicios de Cisco.
Grupo de Investigación e Inteligencia de Seguridad Talos Talos es una organización de inteligencia de amenazas de Cisco, un grupo selecto de expertos de seguridad dedicados a brindar protección superior para los clientes, productos y servicios de Cisco. Talos está compuesto por investigadores líderes especializados en amenazas y respaldados por sistemas sofisticados que les permiten crear inteligencia de amenazas para los productos Cisco que detectan, analizan y protegen contra las amenazas conocidas y emergentes. Talos mantiene el conjunto de reglas oficiales de Snort.org, ClamAV, SenderBase.org y SpamCop, y es el equipo principal que aporta información sobre amenazas al ecosistema Cisco CSI.
Security Research and Operations (SR&O)Security Research and Operations (SR&O) es responsable de la gestión de amenazas y vulnerabilidades de todos los productos y servicios de Cisco, incluido el Equipo de respuesta a incidentes de seguridad de productos (PSIRT), líder del sector. SR&O ayuda a los clientes a comprender el panorama de amenazas en evolución a través de eventos, como Cisco Live y Black Hat, y también a través de la colaboración con sus pares en Cisco y el sector. Asimismo, SR&O presta nuevos servicios, como Inteligencia de amenazas personalizada (CTI) de Cisco, los cuales pueden identificar indicadores de riesgo que no han sido detectados ni mitigados por las infraestructuras de seguridad existentes.
Cisco Visual Networking Index (VNI)La previsión de tráfico IP global de Cisco VNI para el período de 2015 a 2020 depende de pronósticos de analistas independientes y datos de uso de la red del mundo real. A partir de estas proyecciones, Cisco elabora sus propias estimaciones del tráfico IP global y la adopción del servicio. En el informe completo se incluye una descripción detallada de la metodología. En su trayectoria de 11 años, la investigación de Cisco VNI se ha convertido en una medida muy reconocida del crecimiento de Internet. Los gobiernos nacionales, los reguladores de la red, los investigadores académicos, las empresas de telecomunicaciones, los expertos en tecnología y la prensa y los analistas del sector y de la empresa dependen del estudio anual para planificar el futuro digital.
78
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
ApéndiceEstudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Educación(instituciones
de educación superior)
50%
49%
54%
49%
45%
54%
51%
55%
46%
38%
38%
46%
Recomendaciones �nales de la marca relacionadas con soluciones
Sectores
Tamaño de la organización CSO frente a Sec Op
Áreas de participación en seguridad
Sector no clave
Empresas medianas Empresas grandes CSO Sec OpCorporaciones
2016
2015
2014
2016
2015
2014
Servicios públicos/energía
Transporte
Telecomunicaciones
Sector minorista
Industria farmacéutica
Fabricación:no relacionada
con computadoras
Atención médica
Gobierno
Servicios �nancieros:banca, seguro
Aprobación de presupuestos
De�nición de requisitos
Implementación y administración de soluciones
Investigación y evaluación de soluciones
Estrategias y puntos de vista generales
74%76%
81%
73%75%
83%
72%75%
78%
54%57%
66%
71%73%
79%
67%71%
76%
12%
13%
3%3%
2%
1%2%2%
3%3%10%
15%14%
18%
9%12%12%
14%15%
12%
6%8%11%
8%5%6%
21%27%
16%
7%3%4%
6%4%
8%
2016 (n=2912) 2015 (n=2432) 2014 (n=1738)
Figura 69. Estudio comparativo de las capacidades de encuesta
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 69 Estudio comparativo sobre capacidades de la encuesta
79
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Percepciones
64%
59%
58%
33%
37%
37%
3%
5%
5%
2014(n=1738)
2015(n=2432)
2016(n=2912)
Cuenta con las mejores tecnologías disponibles muy actualizadas
Es reemplazada/actualizada de manera regular sin las mejores y últimas herramientas
Es reemplazada/actualizada solo cuando es necesario porque ya no funciona, es obsoleta o hay nuevas necesidades
¿Cómo describiría su infraestructura de seguridad?
Figura 71. La mayoría de los profesionales de seguridad sienten que la infraestructura de seguridad está actualizada
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 70 Cantidad de profesionales dedicados a la seguridad
Figura 71 La mayoría de los profesionales de seguridad considera que su infraestructura de seguridad está actualizada
2015 (n=2432)2014 (n=1738) 2016 (n=2912)
1-9
10-19
20-29
30-39
50-99
40-49
100-199
200 o más
Cantidad promedio de profesionales dedicados a la seguridad 30 25 33
17%
18%
17%
9%
4%
16%
9%
10%
18%
16%
12%
8%
4%
19%
9%
15%
15%
17%
13%
6%
8%
9%
19%
12%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 70. Cantidad de profesionales de seguridad dedicados
80
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
2016 (n=2912), grá�cos redondeados al número entero más cercano
<1%
<1%
<1%
<1%
<1%
24%
27%
28%
29%
28%
51%
50%
49%
49%
49%
23%
21%
22%
20%
20%
2%
2%
2%
2%
2%
74%
71%
71%
69%
69%
Muy e�cacesAlgo e�cacesNo muy e�cacesNada e�caces Extremadamente e�caces
Muy + extremadamente e�caz
%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 72. Porcentajes de profesionales de seguridad que perciben que varias herramientas de seguridad son muy efectivas
Bloquean contra amenazas de seguridad conocidas
Detectan anomalías en la red y protegen dinámicamente contra cambios en las amenazas adaptables
Nos permiten hacer cumplir las políticas de seguridad.
Nos permiten evaluar los posibles riesgos de seguridad.
Determinan el alcance de un riesgo, lo contienen y corrigen otras vulnerabilidades
Figura 72 Porcentaje de profesionales de seguridad que consideran que diferentes herramientas de seguridad son muy efectivas
Figura 73 Porcentaje de profesionales de seguridad que consideran que la seguridad es una alta prioridad a nivel ejecutivo
Los líderes ejecutivos de mi organización consideran que la seguridad es de absoluta prioridad.
Las funciones y responsabilidades en torno a la seguridad se aclaran en el equipo ejecutivo de mi organización.
Las evaluaciones de riesgos cibernéticos se incorporan rutinariamente a nuestro proceso de evaluación de riesgos general.
2016
2015
2014
El equipo ejecutivo de mi organización ha establecido métricas claras para evaluar la e�cacia de nuestro programa de seguridad.
2016
2015
2014
94%
96%
96%
63%
61%
59%
32%
35%
37%
40%
41%
44%
4%
4%
4%1%
1%
2% 94%
95%
96%
58%
58%
55%
5%
4%
4%1%
1%
2% 93%
95%
96%
57%
55%
53%
4%
4%
4%1%
1%
2%
93%
94%
95%
53%
53%
51%
6%
5%
4%1%
1%
2%
35%
36%
41%
36%
40%
43%
94%51%
De acuerdoEn desacuerdoTotalmenteen desacuerdo
Totalmentede acuerdo
De acuerdo +Totalmente de acuerdo
%2016 (n=2912)2015 (n=2432)2014 (n=1738)
Figura 73. Porcentajes de profesionales de seguridad que creen que la seguridad es una alta prioridad a nivel ejecutivo
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
81
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Revisamos y mejoramos nuestras prácticas de seguridad periódica, formal y estratégicamente todo el tiempo.
Our Threat Detection and Blocking Capabilities Are Kept Up to Date
We Regularly Review ConnectionActivity on Network to Ensure SecurityMeasures Are Working as Intended
2016
2015
2014
Podemos incrementar los controles de seguridad de los activos de gran valor si las circunstancias lo requieren.
La seguridad está bien integrada a las capacidades comerciales y los objetivos de nuestra organización.
Nuestras tecnologías de seguridad están bien integradas a �n de que funcionen e�cazmente en conjunto.
2016
2015
2014
Investigamos rutinaria y sistemáticamente los incidentes de seguridad.
Contamos con herramientas que nos permiten revisar y brindar comentarios relacionados con las capacidades de nuestras prácticas de seguridad.
Es fácil determinar el alcance de un riesgo, contenerlo y corregir los ataques.
2016
2015
2014
95%
96%
96%
56%
56%
53%
38%
40%
42%
40%
41%
45%
41%
4%
4%
4%0%
1%
1% 94%
96%
95%
57%
56%
55%
5%
3%
4%0%
1%
1% 94%
96%
95%
58%
57%
53%
4%
3%
4%0%
1%
2%
94%
96%
95%
54%
56%
51%
5%
3%
4%0%
1%
1%
38%
40%
93%
96%
55%
56%
5%
4%1%
2%
94%
96%
95%
58%
56%
55%
5%
4%
4%1%
1%
2% 93%
95%
95%
56%
52%
53%
5%
4%
5%0%
1%
2%
95%53%5%0%
37%
40%
41%
36%
40%
40%
36%
39%
43%
38%
43%
42%
93%
95%
95%
53%
52%
49%
5%
4%
5%0%
1%
1% 89%
91%
92%
46%
45%
43%
9%
8%
7%1%
1%
2%40%
44%
46%
43%
46%
49%
De acuerdoEn desacuerdoTotalmenteen desacuerdo
Totalmentede acuerdo
De acuerdo +Totalmente de acuerdo
%2016 (n=2912)2015 (n=2432)2014 (n=1738)
Figura 74. Porcentajes de encuestados que está totalmente de acuerdo con las instrucciones de operacionalización de la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 74 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de operacionalización de la seguridad
82
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Restricciones
Figura 75 Los mayores obstáculos para la seguridad
35%39%
32% 28%
25%
22%
24%
24%
23%
22%
23%
25%
25%
24%
23%
22%
22%
22%
18%
17%
N/D
N/D
2015 (n=2432) 2016 (n=2912)
Figura 75. Mayores obstáculos para la seguridad
Restricciones de presupuesto
Problemas de compatibilidad
Requisitos de certi�cación
Falta de personal capacitado
Prioridades contrapuestas
Carga de trabajo actual muy pesada
Falta de conocimiento
Reticencia a comprar hasta que no se comprueben
Cultura/actitud de la organización
La organización no es un objetivo de gran valor para los atacantes
La seguridad no es una prioridad de nivel ejecutivo
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
1-5 productos
Más de 100 productos
2016 (n=2860)
51-100 productos
26-50 productos
11-25 productos
6-10 productos
�35%
2%
4%
11%
21%
29%
Figura 76. Cantidad de proveedores y productos de seguridad utilizados por las organizaciones
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 76 Número de proveedores y productos de seguridad empleados por organizaciones
Figura 77 Número de proveedores de seguridad utilizados por tamaño de la organización
Figura 78 Número de productos de seguridad utilizados por tamaño de la organización
46,9%
¿Cuántos diferentes proveedores de seguridad (es decir, marcas, fabricantes) forman parte de su entorno de seguridad?
Mercado de empresas medianas entre 250 y 1000 empleados
Empresasentre 1000 y 10 000 empleados
Grandes empresas más de 10 000 empleados
Organizaciones totales 1435 1082 333
6,9%2,8%1,4%Más de 50
1-5
8,7%7,1%5,6%21-50
23,1%15,8%17,6%11-20
21,3%30,9%28,4%6-10
39,9%43,4%
Figura 77. Cantidad de proveedores de seguridad utilizados por tamaño de la organización
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
37.9%
¿Cuántos productos de seguridad diferentes forman parte de su entorno de seguridad?
Mercado de empresas medianasentre 250 y 1000 empleados
Empresasentre 1000 y 10 000 empleados
Grandes empresas más de 10 000 empleados
Organizaciones totales 1442 1084 334
7.8%4.3%3.0%51-100
5.4%1.9%0.8%Más de 100
1-5
15.6%10.5%9.6%26-50
23.7%20.4%19.8%11-25
22.5%30.1%29.0%6-10
25.1%32.7%
Figura 78. Cantidad de productos de seguridad utilizados por tamaño de la organización
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
83
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Figura 79 Disminución interanual del presupuesto de seguridad dentro del presupuesto de TI
Figura 80 Disminución interanual del gasto de seguridad como proporción del presupuesto de TI
¿Forma parte del presupuesto de TI el presupuesto de seguridad? (Miembros del departamento de TI) 2015 (n=2374)2014 (n=1673) 2016 (n=2828)
Totalmente dentro de TI
Parcialmente dentro de TI
Completamente independiente
58%
33%
9%
61%
33%
6%
55%
36%
9%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 79. Disminución interanual del presupuesto de seguridad que ingresa al presupuesto de TI
Presupuesto de TI dedicado a la seguridad como función 2015 (n=2374)2014 (n=1673) 2016 (n=2828)
0%
1-5%
6-10%
16-25%
26%-50%
51% o más
11-15%
9%
3%
11%
31%
19%
4%
23%
7%
4%
12%
29%
21%
5%
23%
10%
4%
16%
26%
15%
2%
27%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 80. Disminución interanual del gasto en seguridad como una proporción del presupuesto de TI
84
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Efectos
Encuestados de las organizaciones que perdieron ingresos el año pasado (n=778)
Ninguno (0%)
Todos (100%)
Entre el 80% y el 100%
Entre el 60% y el 80%
Entre el 40% y el 60%
Entre el 20% y el 40%
Algunos, pero menosdel 20%
1%
4%
3%
1%
10%
20%
62%
Figura 82. Porcentajes de ingresos perdidos de la organización como resultado de los ataques
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 81 Porcentaje de oportunidades perdidas de una organización como resultado de ataques
Figura 82 Porcentaje de ingresos perdidos de una organización como resultado de ataques
Figura 83 Porcentaje de clientes perdidos de una organización como resultado de ataques
Encuestados de las organizaciones que perdieron oportunidades durante el año pasado (n=625)
Ninguna (0%)
Todas (100%)
Entre el 80% y el 100%
Entre el 60% y el 80%
Entre el 40% y el 60%
Entre el 20% y el 40%
Algunas, pero menosdel 20%
1%
5%
3%
0%
9%
25%
58%
Figura 81. Porcentajes de la organización Oportunidades perdidas como resultado de los ataques
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Encuestados de las organizaciones que perdieron clientes el año pasado (n=641)
Ninguno (0%)
Todos (100%)
Entre el 80% y el 100%
Entre el 60% y el 80%
Entre el 40% y el 60%
Entre el 20% y el 40%
Algunos, pero menosdel 20%
1%
6%
4%
1%
8%
21%
60%
Figura 83. Porcentajes de clientes de la organización perdidos como resultado de los ataques
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
85
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Resultados
Ninguno (0%)
Personal de seguridad de TI (n=2595)
Todos (100%)
Entre el 80% y el 100%
Entre el 60% y el 80%
Entre el 40% y el 60%
Entre el 20% y el 40%
Algunos, pero menosdel 20%
4%
4%
1%
10%
21%
41%
18%
Figura 85. Porcentajes de seguridad de la organización que depende de proveedores de terceros
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 84. Porcentajes de organizaciones que dependen de la tercerización
52%
47%
42%
44%
39%
36%
12%
51%
41%
35%
42%
34%
21%
53%
49%
46%
31%
31%
10%
51%
46%
45%
41%
45%
35%
52%
48%
46%
33%
33%
N/D
Asesoramiento y consultoría
Auditoría
Respuesta a incidentes
Supervisión
Corrección
Inteligencia de amenazas
Ninguno/Todos internos
Más rentable
Deseo de contar con una perspectiva objetiva
Una respuesta más oportuna a incidentes
Falta de experiencia interna
Falta de recursos internos
¿Qué servicios de seguridad se subcontratan?
¿Por qué se subcontratan estos servicios?
2014(n=1738)
2015(n=2432)
2016(n=2912)
2015(n=2129)
2016(n=2631)
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 84 Porcentaje de dependencia de las organizaciones en relación a la tercerización
Figura 85 Porcentaje de la seguridad de una organización que depende de proveedores terceros
86
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Asesoramiento y consultoría
Auditoría
Supervisión
Respuesta a incidentes
Corrección
Ninguno/Todos internos
Inteligencia de amenazas
¿Qué servicios de seguridad se subcontratan? Empresas medianas (n=1459) Grandes empresas (n=1102) Corporaciones (n=351)
52%
47%
43%
44%
34%
11%
41%
50%
44%
46%
48%
35%
8%
41%
51%
50%
44%
39%
37%
11%
40%
Figura 86. Porcentajes de servicios de seguridad tercerizados por tamaño de la organización
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
2016 (n=2912), grá�cos redondeados al número entero más cercano
4%
4%
5%
5%
5%
4%
5%
5%
8%
20%
21%
22%
22%
23%
24%
23%
25%
28%
44%
41%
44%
43%
44%
43%
41%
41%
39%
30%
32%
28%
29%
26%
27%
28%
26%
21%
2%
2%
2%
2%
2%
2%
3%
3%
4%
74%
73%
72%
72%
70%
70%
69%
67%
60%
Con mucho escrutinio
Algode escrutinio
Con pocoescrutinio
Sinescrutinio
Con extremado escrutinio
Con mucho + extremado escrutinio
%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 87. Fuentes de mayor escrutinio
Líderes ejecutivos
Clientes
Empleados
Partners comerciales
Grupos guardianes y de interés
Reguladores
Inversionistas
Compañías de seguros
Oprima
Figura 86 Porcentaje de servicios de seguridad tercerizados por tamaño de la organización
Figura 87 Fuentes de análisis aumentado
87
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Dónde se alojan las redes 2015 (n=2417)2014 (n=1727) 2016 (n=2887)
En las instalaciones, como parte de una nube privada
En las instalaciones
En las instalaciones, pero administradas por un proveedor externo
Nube privada fuera de las instalaciones
Nube pública fuera de las instalaciones
51%
48%
24%
20%
10%
50%
54%
23%
18%
8%
50%
46%
27%
25%
9%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 88. Aumento de la nube privada fuera de las instalaciones y del alojamiento administrado de terceros en las instalaciones
Operaciones, políticas, procedimientos y funcionalidades
2016(n=2754)
Gerente de seguridad (CSO)
¿Cuenta su organización con un ejecutivo con responsabilidad directa sobre la seguridad?Encuestados que informaron funciones y responsabilidades aclaradas
Puesto del ejecutivoEncuestados que informaron un ejecutivo con responsabilidad sobre la seguridad
2015(n=2288)
2014(n=1603)
8%
8%
9%
92%
92%
91%
SíNo
Otro cargo
Director de operaciones (COO)
Director de riesgos y cumplimiento (CRO) o (CCO)
Director general de tecnología (CTO)
Vicepresidente Sénior (SVP) o vicepresidente (VP) de TI
Director general (CEO) o equivalente
Director general (CIO)
53%52%53%
14%15%16%
10%11%
10%
8%
4%
8%9%
3%2%4%
1%1%1%
N/AN/A
8%11%
7%
2016 (n=2530) 2015 (n=2095) 2014 (n=1465)
Figura 89. Proporción de empresas con un ejecutivo de seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 88 Aumento de la nube privada fuera de las instalaciones y alojamiento en las instalaciones gestionado por terceros
Figura 89 Proporción de empresas con ejecutivo de seguridad
88
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Figura 90 Porcentaje de compañías que cuentan con una estrategia de seguridad formal en toda la organización y observan prácticas de política de seguridad estandarizadas
Figura 91 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de procesos de seguridad
Se estimula a los empleados de mi organización a informar las fallas y los problemas de seguridad.
Los procedimientos y procesos de seguridad de mi organización son claros e inequívocos.
Se estimula a los gerentes de la línea de negocios a contribuir a los procedimientos y las políticas de seguridad.
2016
2015
2014
Los procesos de seguridad de mi organización nos permiten anticipar y mitigar los posibles problemas de seguridad de forma proactiva.
Los procesos de seguridad de mi organización se miden y controlan mediante datos cuantitativos.
Mi organización ha optimizado sus procesos de seguridad y ahora se centra en la mejora de dichos procesos.
2016
2015
2014
Mi organización es capaz de detectar las debilidades de seguridad antes de que se conviertan en incidentes completos.
Los gerentes de la línea de negocios involucran al grupo de políticas de seguridad antes de tomar una decisión sobre las aplicaciones de la línea de negocios
2016
2015
2014
92%
95%
96%
61%
62%
58%
32%
33%
38%
38%
43%
43%
41%
45%
46%
5%
4%
4%1%
1%
3% 91%
95%
96%
56%
57%
55%
6%
4%
4%<1%
1%
3% 92%
94%
95%
53%
55%
52%
5%
5%
4%1%
1%
3%
91%
95%
96%
53%
53%
53%
7%
4%
4%1%
1%
3% 91%
95%
95%
54%
53%
50%
6%
4%
4%1%
1%
3% 92%
95%
95%
53%
53%
52%
5%
4%
4%1%
1%
3%
91%
95%
96%
49%
51%
49%
6%
4%
4%1%
1%
3%
94%49%5%
36%
39%
40%
37%
42%
45%
45%
39%
40%
43%
39%
42%
43%
1% 94%51%
N/D
N/D
2016 (n=2912)2015 (n=2432)2014 (n=1738)
De acuerdoEn desacuerdoTotalmente en desacuerdo
Totalmente de acuerdo
De acuerdo + Totalmente de acuerdo
%
Figura 91. Porcentajes de encuestados que están completamente de acuerdo con las a�rmaciones de los procesos de seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Estándares de seguridad Práctica estandarizada de políticas de seguridad
Tener una estrategia de seguridad escrita y formal para toda la organización que se revisa periódicamente
Seguir una práctica estandarizada de la política de seguridad informática, como ISO 27001
De�nir formalmente los recursos empresariales críticos que requieren consideraciones especiales para la administración de riesgos que son cruciales para el negocio o que están reguladas para tener mayor protección.
Seguir las políticas estandarizadas de seguridad enfocadas en la atención médica, como NIST 800‒66, ISO27799, ISO80001
Ninguna de las opciones anteriores
Ya certi�cada
Actualmente en proceso de certi�cación
Preparación para el proceso de certi�cación
Respeta la práctica estandarizada de la
política de seguridad de la información
2016 (n=1596)
62%
2% 65%
28%
7%
1%1%1%
66%59%
55%52%52%
43%38%
54%
N/AN/A
2016 (n=2912) 2015 (n=2432) 2014 (n=1738)
Figura 90. Porcentaje de empresas que tiene una estrategia de seguridad formal para toda la organización y que respetan las prácticas de la política de seguridad estandarizada
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
89
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Los derechos de acceso a las redes, los sistemas, las aplicaciones, las funciones y los datos se controlan adecuadamente.
Los controles de seguridad técnica de los sistemas y las redes están bien administrados.
Las instalaciones informáticas de mi organización están bien protegidas.
2016
2015
2014
2016 (n=2912)2015 (n=2432)2014 (n=1738)
Revisamos regularmente nuestras herramientas y prácticas de seguridad para garantizar que estén actualizadas y sean e�caces.
Realizamos un buen trabajo en la integración de la seguridad en los sistemas y las aplicaciones.
Realizamos un buen trabajo en la integración de la seguridad en los procedimientos de adquisición, desarrollo y mantenimiento de los sistemas.
2016
2015
2014
Se llevan a cabo clasi�caciones claras e inventarios de los recursos de información.
Realizamos un excelente trabajo en el manejo de la seguridad de RR. HH.
Realizamos un buen trabajo de creación de seguridad en aplicaciones móviles externas de los clientes
2016
2015
2014
94%
97%
97%
61%
59%
55%
33%
38%
41%
35%
37%
40%
39%
42%
44%
4%
3%
3%<1%
1%
2% 95%
96%
96%
60%
57%
56%
3%
4%
4%<1%
0%
2% 94%
96%
96%
57%
56%
55%
4%
4%
4%<1%
1%
2%
93%
97%
96%
59%
60%
56%
5%
3%
4%<1%
1%
2% 93%
96%
96%
58%
54%
53%
5%
4%
4%<1%
1%
2% 94%
96%
96%
56%
56%
52%
4%
3%
4%<1%
1%
2%
93%
95%
95%
54%
53%
51%
6%
5%
4%<1%
1%
2% 93%
94%
94%
53%
51%
49%
5%
5%
5%
35%
38%
40%
35%
42%
43%
40%
44%
45%
36%
40%
41%
38%
41%
43%
N/D
N/D
43%1%
1%
2%
94%51%6%1%
De acuerdoEn desacuerdoTotalmenteen desacuerdo
Totalmentede acuerdo
De acuerdo +Totalmente de acuerdo
%
Figura 92. Porcentajes de encuestados que están completamente de acuerdo con las a�rmaciones de los procesos de seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 92 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de procesos de seguridad
90
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Contamos con procedimientos y procesos bien documentados para la respuesta ante los incidentes y el seguimiento de estos.
Disponemos de buenos sistemas de comprobación de ocurrencia real de incidentes de seguridad.
Realizamos un buen trabajo en la noti�cación a las partes interesadas y la colaboración con ellas respecto de los incidentes de seguridad.
2016
2015
2014
Disponemos de un buen sistema de categorización de información relacionada con incidentes.
Contamos con procesos e�caces para interpretar, priorizar y comprender los informes entrantes de incidentes.
Seguimos prácticas de respuesta a incidentes estandarizadas, como RFC2350, ISO/IEC 27035:2011 o certi�caciones de EE. UU.
2016
2015
2014
Disponemos de un buen protocolo de respuesta para la gestión de situaciones de crisis
2016
2015
2014
94%
96%
95%
56%
54%
53%
37%
42%
42%
40%
43%
44%
44%
5%
4%
4%<1%
1%
2% 93%
95%
95%
54%
54%
53%
6%
5%
4%<1%
1%
1% 94%
95%
95%
51%
53%
52%
5%
4%
5%1%
1%
2%
93%
96%
96%
54%
53%
51%
5%
4%
4%<1%
1%
2% 93%
95%
96%
51%
52%
50%
5%
5%
4%<1%
1%
2% 90%
93%
93%
49%
49%
50%
8%
6%
6%1%
1%
2%
95%51%5%<1%
38%
41%
42%
42%
43%
45%
43%
42%
43%
41%
44%
44%
94%51%
N/D
N/D
De acuerdoEn desacuerdoTotalmenteen desacuerdo
Totalmentede acuerdo
De acuerdo +Totalmente de acuerdo
%2016 (n=2912)2015 (n=2432)2014 (n=1738)
Figura 93. Porcentajes de encuestados que están completamente de acuerdo con las a�rmaciones de los controles de seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 94. Administración y e�cacia de las tecnologías de seguridad¿Cuáles son las tecnologías de seguridad más e�caces utilizadas por la organización?2016 (n=2895)
¿Cuáles son las tecnologías de seguridad que consumen más tiempo y que son más difíciles de administrar para el personal?(Menciones superiores al 10%) 2016 (n=2895)
Firewall
Defensa de DDoS
Prevención de pérdida de datos
Cifrado/privacidad/protección de datos
Protección de terminales/antivirus, antimalware
Seguridad móvil
DNS seguro
Seguridad de mensajería/correo electrónico
Control de acceso/autorización
Prevención de intrusiones
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
28%
14%
14%
15%
10%
13%
17%
20%
16%
16%
12%
12%
12%
15%
12%
14%
10%
11%
11%
11%
Figura 93 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de controles de seguridad
Figura 94 Administración y eficacia de tecnologías de seguridad
91
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Firewall** Seguridad móvil
Ninguna de las opciones anteriores
Seguridad de la red,�rewalls y prevención
de intrusiones**
de dos factores
Informática forense de terminales
Pruebas de penetración
Autenticación de varios factores
Revisión y con�guración
Análisis de vulnerabilidades
Administración de información y eventos de seguridad (SIEM)
Informática forense de red
VPN
Prevención de intrusiones**
Administración de identidad/
aprovisionamiento de usuarios
Tecnología inalámbrica protegida
Defensa de DDoS
Control de acceso/autorización
Protección terminal/anti-malware
Seguridad web
Seguridad de mensajería/correo electrónico
DNS seguro
Cifrado/privacidad/protección de datos
Prevención de pérdida de datos
Defensas a través de servicios basados en la nube*
Defensas contra amenazas de seguridad utilizadas por la organización
Defensas a través de servicios basados en la nube*
Defensas contra amenazas de seguridad utilizadas por la organización
* Encuestados sobre seguridad que utilizan defensas contra amenazas de seguridad
** El �rewall y la prevención de intrusiones constituían un código en 2014: “Seguridad de la red, �rewalls y prevención de intrusiones”.
2016 (n=2912)2015 (n=2432)2014 (n=1738)
2016 (n=2725)2015 (n=2268)2014 (n=1646)
58%65%
34%31%
N/D N/D
N/D N/DN/D N/D
N/D N/D
N/DN/DN/D
N/DN/DN/D
N/DN/DN/D
N/DN/DN/D
N/DN/DN/D
N/DN/DN/D
N/DN/DN/D
N/DN/DN/D
N/DN/D
N/DN/D
N/D
N/DN/D
N/DN/DN/D
N/DN/DN/D
N/DN/DN/D
45%56%55%
35%44%
51%
32%40%
48%
32%41%
48%
32%38%
43%
30%
29%
32%39%
12%17%20%
8%1%1%1%
11%13%
27%34%
38%
26%26%
53%52%
60% 35%
31%
15%21%
25%
32%31%
42%
20%24%
28%
18%21%
26%
44%
42% 22%
53%53%
42%52%
56%
27%34%37%
41%51%
59%
40%48%
53%
37%41%
50%
38%37%36%
41%49%49%
35%45%
35%44%
45%
24%25%25%
19%19%
26%
17%20%
25%31%
37%
2016 2015 2014
Figura 95. Uso interanual de la defensa ante amenazas de seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 95 Uso interanual de defensa ante amenazas de seguridad
92
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
¿Hasta qué punto in�uye el factor de protección del cliente en la toma de decisiones de seguridad?
2016 (n=2878)Grá�co redondeado al número entero más cercano
1% 10% 45% 44%0% 89%
MuchoDe alguna maneraPocoPara nada Extremadamente e�caces Mucho + extremadamente
%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 96. Alcance que tienen los factores de protección del cliente en la toma de decisiones de seguridad
Riesgos y vulnerabilidades
2016 (n=2912)Grá�co redondeado al número entero más cercano
4%
4%
6%
6%
5%
6%
6%
6%
7%
18%
<1%
20%
22%
23%
23%
23%
25%
24%
36%
33%
28%
30%
26%
26%
25%
25%
26%
42%
43%
45%
42%
47%
46%
46%
44%
43%
78%
76%
74%
72%
72%
72%
71%
69%
69%
Riesgo moderadoRiesgo leveSin riesgo Alto riesgo Moderado + alto riesgo%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 97. Mayores fuentes de preocupación del personal de seguridad de TI relacionadas con los ataques cibernéticos
Ataques especí�cos
Amenazas persistentes avanzadas
Proliferación de BYOD y dispositivos inteligentes
Viabilidad de recuperación tras un desastre y continuidad de los negocios
Ex�ltración interna
Tercerización de los procesos empresariales importantes (y falta de control sobre los servicios de terceros)
Ransomware
Computación en la nube
Restricciones del cumplimiento reglamentario
Figura 96 Medida en la que los factores de protección de clientes influyen en la toma de decisiones de seguridad
Figura 97 Los principales motivos de preocupación del personal de seguridad de TI en relación a los ataques informáticos
93
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
2016 (n=2912)Grá�co redondeado al número entero más cercano
10%
10%
11%
10%
11%
11%
12%
11%
11%
14%
30%
30%
30%
31%
32%
32%
32%
33%
34%
32%
38%
36%
38%
37%
37%
37%
37%
37%
36%
36%
20%
21%
19%
20%
18%
18%
17%
17%
16%
16%
3%
2%
2%
2%
2%
3%
2%
2%
2%
3%
58%
57%
57%
57%
54%
54%
54%
54%
52%
52%
Muy desa�anteAlgo desa�antePoco desa�anteNo desa�ante Extremadamente desa�ante
Muy + extremadamente desa�ante
%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 98. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos
Dispositivos móviles
Datos en la nube pública
Infraestructura de la nube
Comportamiento del usuario (por ejemplo, hacer clic en enlaces maliciosos en el correo electrónico o los sitios web)
Datos del cliente
Centros de datos/Servidores
Datos de la organización
Infraestructura de red
Aplicaciones
Sistemas operativos del cliente (p. ej., Windows 7, Windows 10, MacOS, etc.)
Figura 98 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los ataques informáticos
Figura 99 Distribución de esfuerzos de los equipos de seguridad
¿Dónde se esfuerza más el equipo de seguridad? 47%29%23%
ServidoresDatos del clienteTerminalesPersonal de seguridad de TI (n=2854)
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 99. Distribución de los esfuerzos de los equipos de seguridad
94
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Respuesta a incidentes
El 28% de las alertas investigadas son legítimas
El 56% de las alertas vistas se investigan
ha experimentado una alerta de seguridadEl 93%
El 7% no ha experimentado una alerta de seguridad
50%
15%
11%
8%
6%
4%
Menos que 5000
Alertas promedio vistas por la organización a diario
Entre 5000 y 10 000
Entre 10 000 y 50 000
Entre 50 000 y 100 000
Entre 100 000 y 150 000
Más de 150 000
2016 (n=2796)
El 46% de alertas legítimas se solucionan
Figura 100. Porcentajes de alertas de seguridad que se investigan o solucionan
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 100 Porcentaje de alertas de seguridad investigadas o corregidas
Figura 101 Tiempo promedio de detección de infracciones a la seguridad
8 horas o menos
Entre 9 y 24 horas
Entre 25 y 48 horas
Más de 2 días pero menos de 1 semana
Entre 1 y 2 semanas
Entre 3 semanas y un mes
De 1 a 3 meses
Más de 3 meses, pero menos de 1 año
1 año o más
2016 (n=2860)
43%
25%
15%
7%
3%
5%
1%
0%
1%
Figura 101. Tiempo promedio para detectar infracciones a la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
95
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
46%45%
N/D
N/D N/D
40%40%
46%
36%34%
45%
31%33%
36%
30%32%
36%
22%26%
31%
21%21%
15%15%
32%
15%18%
22%
29%33%
38%
25%27%
35%
25%28%
33%
23%24%
28%
37%40%
O�cina del CEO o presidente
Todos los empleados
Autoridades externas
Compañías de seguros
Partners comerciales
Marketing
Relaciones públicas
Fabricación
Ingeniería
Legales
Recursos humanos
Partners tecnológicos
Departamento de �nanzas
Operaciones
2016 (n=2912) 2015 (n=2432) 2014 (n=1738)
Figura 102. Grupos noti�cados en caso de un incidente
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 102 Grupos notificados en caso de un incidente
Figura 103 KPI utilizados por las organizaciones para evaluar el rendimiento de la seguridad
59%
52%
44%
3%
30%
2016 (n=2912)
Figura 103. KPI utilizados por las organizaciones para evaluar el rendimiento de la seguridad
Tiempo de detección (por ejemplo, tiempo desde que la amenaza ingresó al entorno hasta que se detectó)
Tiempo para implementar parches (por ejemplo, tiempo desde el lanzamiento del parche hasta la implementación)
Tiempo para contener (por ejemplo, tiempo desde la detección hasta la contención/cuarentena)
Tiempo de corrección (por ejemplo, tiempo desde la cuarentena hasta estar operativo)
Ninguna de las opciones anteriores
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
96
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Figura 104 Uso interanual del proceso de análisis de los sistemas en riesgo
Figura 105 Uso interanual del proceso para eliminar las causas de incidentes de seguridad
Procesos de análisis de los sistemas en riesgo 2015 (n=2432)2014 (n=1738) 2016 (n=2912)
Registros de �rewall
Análisis de registros de sistemas
Análisis del �ujo de red
Análisis de regresión de archivos o malware
Análisis de registros
Análisis de captura de paquete completo
Detección de indicadores de riesgo
Análisis forense del disco
Análisis de registros/eventos correlacionados
Análisis forense de la memoria
Equipos externos de análisis/respuesta ante los incidentes
Ninguna de las opciones anteriores
57%
53%
49%
48%
47%
38%
35%
36%
37%
34%
33%
1%
61%
59%
53%
55%
50%
47%
38%
40%
42%
41%
37%
2%
56%
50%
49%
47%
43%
40%
38%
36%
35%
34%
34%
1%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 104. Uso interanual del proceso para analizar los sistemas afectados
Procesos para eliminar las causas de incidentes de seguridad 2015 (n=2432)2014 (n=1738) 2016 (n=2912)
Cuarentena o eliminación de las aplicaciones maliciosas
Análisis de causa raíz
Detención de la comunicación del software malicioso
Supervisión adicional
Actualización de las políticas
Detención de la comunicación de las aplicaciones comprometidas
Desarrollo de correcciones a largo plazo
Replicación de la imagen del sistema al estado anterior
Ninguna de las opciones anteriores
55%
55%
53%
48%
47%
47%
40%
41%
1%
58%
55%
53%
52%
51%
48%
47%
45%
2%
52%
51%
48%
48%
45%
43%
41%
39%
1%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 105. Uso interanual del proceso para eliminar la causa de los incidentes de seguridad
97
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Semanal
¿Con qué frecuencia su organización ejecuta simulaciones de un ataque?
2016 (n=2868)
¿En qué medida los resultados de las simulaciones del ataque impulsan mejoras en sus políticas y procedimientos de defensa de seguridad, o en sus tecnologías de seguridad?
2016 (n=2736)
Nunca
1 2 3 4 5
Para nada En gran medida
Regularmente, pero menos de una vez al año
Anual
Semestral
Trimestral
Mensual
�28%
3% 0%
4%
4%
8%
21%
33%
47%44%
8%1%
Figura 107. Simulaciones del ataque: Frecuencia y maneras de impulsar mejoras de defensa de la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
¿Cuán importante es la asignación de su empresa al momento de responder a una infracción a la seguridad?
Personal de seguridad de TI (n=2901), grá�co redondeado al número entero más cercano
1% 7% 41% 52%0% 92%
Muy importante
Medianamente importante
No muy importante
No es importante en absoluto
Extremadamente importante
Muy + extremadamente importante
%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 108. Importancia de asignar el origen de una infracción a la seguridad
Figura 106 Uso interanual del proceso de restauración de los sistemas afectados
Figura 107 Simulación de ataques: frecuencia y alcance de implementar mejoras en la defensa de la seguridad
Figura 108 Importancia de atribuir el origen de una infracción a la seguridad
Procesos de restauración de sistemas afectados 2015 (n=2432)2014 (n=1738) 2016 (n=2912)
Implementación de detecciones y controles nuevos o adicionales en función de las debilidades identi�cadas posteriores a los incidentes
Restauración a partir de una copia de respaldo previa al incidente
Revisión y actualización de aplicaciones consideradas vulnerables
Restauración diferencial (eliminación de cambios producidos por un incidente)
Restauración mediante imagen de implementación virtual
Ninguna de las opciones anteriores
56%
59%
55%
51%
35%
1%
60%
57%
60%
56%
35%
2%
56%
55%
53%
50%
34%
1%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figure 106 Year-over-Year Use of Process to Restore A�ected Systems
98
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Infracciones y sus efectos
2014(n=1701)
2015(n=2347)
2016(n=2824)
53% 48% 49%
Figura 109. Porcentaje de organizaciones que experimenta una infracción pública
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
0 Horas, ninguna interrupción 0%
Más de 24 horas
Entre 17 y 24 horas
Entre 9 y 16 horas
Entre 5 y 8 horas
Entre 1 y 4 horas
Menos de 1 hora
61% o más
51‒60%
41‒50%
31‒40%
21‒30%
11‒20%
1‒10%
Duración de las interrupciones en el sistema debido a una infracción
2016 (n=2665)
Porcentaje de sistemas afectados por la infracción
2016 (n=2463)
7% 1%
9%
11%
15%
20%
25%
13%
9%
6%
10%
15%
20%
22%
19%
Figura 111. Alcance de las interrupciones ocasionadas por infracciones a la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 110. Qué generó la amenaza ¿Mejoras en sus políticas, procedimientos o tecnologías de defensa contra amenazas de seguridad?
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
1 2 3
Encuestados afectados por una infracción a la seguridad (n=1388)
4 5Para nada En gran medida
0%
38%52%
9%1%
Figura 109 Porcentaje de organizaciones que sufren una infracción pública
Figura 111 Longitud y alcance de las interrupciones causadas por infracciones a la seguridad
Figura 110 ¿En qué medida la infracción motivó mejoras en materia de políticas, procedimientos o tecnologías para la defensa ante amenazas a la seguridad?
99
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Separación del equipo de seguridad del
departamento de TI
Aumento de las capacitaciones para la concientización sobre
la seguridad entre los empleados
Profundización del enfoque sobre el análisis
de riesgos y la mitigación de riesgos
Aumento de las inversiones en tecnologías o soluciones
para la defensa ante amenazas de seguridad
Aumento de las inversiones en
capacitación del personal de seguridad
38%37% 37% 42% 37%38%43%
38% 37% 40%
2015 (n=1109) 2016 (n=1375)
Figura 112. Mejoras realizadas para proteger a la empresa contra las infracciones a la seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 112 Mejoras hechas para proteger a su compañía de infracciones a la seguridad
100
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
¿Qué procesos y políticas de protección de datos y de privacidad son más importantes para un proveedor?
2016 (n=2912)
¿Qué protección de datos, normas de privacidad y certi�caciones necesita un proveedor para trabajar con su organización?
2016 (n=2870)
Políticas para toda la organización sobre los
controles de acceso de datos
Programa de respuesta ante los incidentes de datos
Políticas para toda la organización sobre las
noti�caciones de la infracción
Políticas para toda la organización sobre el acceso
a los datos del proveedor
Capacitación de los empleados obligatoria y continua
Privacidad de diseño a nivel de la organización
Evaluación del riesgo de datos y de la madurez de la
organización
Políticas sobre la distribución de la residencia y soberanía
de datos
Diálogo activo con la junta directiva con respecto a los
riesgos de datos
Políticas de conservación de datos
Medición y supervisión/cumplimiento de
auditoría proactivos
ISO 27001
ISO 27018
Marco/estándares de ciberseguridad de NIST
Escudo de la privacidad
Cumplimiento de los controles organizacionales
de servicio (SOC)
Cumplimiento de TRUSTe
GAPP (principios de privacidad generalmente aceptados)
Cumplimiento de las normas HIPAA
Cláusulas del modelo de la UE
Cumplimiento de las normas PCI-DSS
Reglas corporativas obligatorias
Reglas fronterizas de privacidad de APEC
FedRAMP
FISMA
35%
33%
31%
27%
27%
26%
25%
24%
22%
13%
9%
39%
34%
28%
28%
28%
26%
26%
25%
25%
23%
23%
18%
18%
17%
Figura 113. Importancia de la protección de datos y la privacidad para los proveedores
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Opción de proveedores y expectativas
Figura 113 Importancia de la protección de datos y la privacidad para los proveedores
101
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Modelo de madurez de funcionalidades de seguridad
Medio-alto
Alto
Medio
Bajo
Medio-bajo
OptimizadoSe enfoca en la mejora del proceso
5 segmentos según la serie Q9
InicialLos procesos son Ad Hoc; impredecibles
RepetibleProcesos caracterizados por proyectos; a menudo son reactivos
De�nidoProcesos caracterizado por la organización; a menudo son proactivos
Administrado cuantitativamenteProcesos controlados y medidos cuantitativamente
Nivel 5
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Figura 115. El modelo de madurez clasi�ca a las organizaciones según los procesos de seguridad
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Medio-alto
Alto
Medio
Bajo
Medio-bajo
36%36%
39%
6%9%
8%
4%2%
1%
28%25%
23%
30%28%
26%
2016 (n=2852) 2015 (n=2401) 2014 (n=1637)
Figura 116. Estimación de tamaño del segmento para el modelo de madurez
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
5%
4%
10%
6%
13%
3%
5%
5%
16%
5%
7%
23%
7%
12%
4%
4%
9%
5%
4%
4%
10%
14%
5%
16%
22% N/D N/D N/D
16%
7%
7%
14%
4%
14%
4%
15%
6%
17% 31% 47%
21% 40%34%
16% 54%20%
35% 21% 31%
37% 32%25%
29% 36%32%
29%
31% 34% 31%
35% 30%19%
36% 31% 28%
36% 34%23%
25% 38%13%
31% 28% 34%
24% 39%24%
43%25% 27%
25% 30% 41%
24% 40%26%
35% 34%24%
22% 45%27%
25% 29% 41%
16% 44%27%
32% 32%22%
38% 29% 28%
18% 41%25%
40% 24%14%
34% 32%16%
32% 26% 35%
36% 23% 33%
20% 50%16%
21% 26% 47%
27% 32%26%
30% 27% 39%
35% 29%20%
35% 26% 32%
36%29%
2014
2015
2016
2014
2015
2016
2014
2015
2016
2016
IndiaChinaAustralia
ItaliaAlemaniaBrasilEE. UU.
Reino Unido
Japón
Canadá
México Rusia Francia
Medio-bajoBajo Medio-Alto Alto
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 114. Madurez de la seguridad por paísFigura 114 Madurez de la seguridad por país
Figura 115 El modelo de madurez clasifica a las organizaciones según el proceso de seguridad
Figura 116 Estimación de tamaño del segmento para el modelo de madurez
102
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Exclusivo del sector
Figura 119. Medidas de seguridad más comunes entre los negocios de servicios de salud con redes de dispositivos médicos
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
SíNo, las redes de dispositivos médicos son independientes y las administra un proveedor
No, las redes de dispositivos médicos se aíslan y administran internamente
No, no hay una red de dispositivos médicos en nuestra organización
63%
15%
6%
16%
¿Cuál de estas medidas de seguridad, si existen, ha implementado su empresa para proteger y asegurar su red de dispositivos médicos?Empresas con una red de dispositivos médicos en su organización (n=207)
Negocios de servicios de
salud (n=219)
¿Su organización tiene una red de dispositivos médicos incluida en la red de un hospital principal?
Control de acceso a la red
Protección/Detección avanzadas de malwareAutenticación del dispositivo de varios factoresIPS/IDS, Inspección profunda de paquetesDefensa/Respuesta automatizada ante amenazasAnálisis de trá�co/Detección de anomalíasEvaluación del estado o per�les de dispositivosSegmentación/Microsegmentación
Ninguna de las opciones anteriores 1%
59%
56%
49%
48%
45%
40%
48%
32%
Figura 118. Recursos que las empresas de servicios de salud usan para medirse en comparación con las reglas de privacidad HIPAA
Orientación de seguridad HIT
¿Qué recursos se utilizan para medir las empresas en comparación con las reglas y la seguridad de la privacidad HIPAA?
Documento actual HIPAA (actualmente Omnibus)
Marcos de auditoría HHS.OCR
HITRUST u otro marco privado
Evaluaciones de terceros
Empresas de servicios de salud 2016 (n=219)
52%
52%
40%
37%
Ninguna de las opciones anteriores 6%
24%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 117 Porcentaje de empresas de servicios de salud que han implementado políticas de seguridad estandarizadas
Figura 119 Las medidas de seguridad más implementadas entre las empresas de servicios de salud con redes de dispositivos médicos
Figura 118 Recursos que utilizan las empresas de servicios de salud para evaluarse en relación a las Reglas de Privacidad HIPAA
SO80001 (dispositivo médico)
ISO27799
NIST 800-66
74%
60%
45%
Políticas de seguridad estandarizadas implementadas Los negocios de servicios de salud respetan la práctica de la política de seguridad informática especí�ca de los servicios de salud 2016 (n=65)
Figura 117. Porcentaje de negocios de servicios de salud que han implementado políticas de seguridad estandarizadas
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
103
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Figura 120. Per�l de muestra para telecomunicaciones
¿De qué subsector de telecomunicaciones participa su organización?Empresas de telecomunicaciones (n=307)
¿Cuál de estos servicios ofrece su empresa a sus clientes? Empresas de telecomunicaciones (n=308)
Equipo de comunicaciones
Proveedor de servicios (tradicional)
Operador de cable/satelital
Medios/Transmisión
Proveedor de contenidos en línea (Net�ix, Hulu, etc.)
Centros de datos
Entorno empresarial
Principales redes de producción, como IP (televisión incluida), móvil, etc.
Servicios de seguridad administrados proporcionados a los clientes �nales47%
33%
11%
2%
7%
71%
60%
59%
57%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Prioridad relativa a las estrategias y los protocolos de seguridadEmpresas de telecomunicaciones (n=308)
Figura 121. Factores de las estrategias de seguridad para telecomunicaciones
34% 31%36%
Porcentaje promedio de disponibilidad
Porcentaje promedio de con�dencialidad
Porcentaje promedio de integridad
Disponibilidad: Asegurar el acceso con�able a los datos
Condencialidad: Garantizar que solo las partes apropiadas puedan acceder a los datos
Integridad: Garantizar que los datos sean precisos y exactos
Figura 120 Perfil de muestra para telecomunicaciones
Figura 121 Factores de estrategias de seguridad para telecomunicaciones
Asegurar los centros de datos
En la red de producción principal que ofrece servicios IP o móviles altamente disponibles
Brindar servicios de seguridad administrados
La red empresarial y los datos internos
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Clasi�car en términos de prioridad de la seguridad en la organización Empresas de telecomunicaciones (n=308)
34% 24%21% 22%
26% 29%21% 24%
21% 19%30% 30%
20% 29%28% 24%
Figura 122. Prioridades de seguridad para telecomunicaciones
Clasi�cada 4ªClasi�cada 3ªClasi�cada 2ªClasi�cada 1ª
Figura 122 Prioridades de seguridad para telecomunicaciones
104
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Figura 123. Per�l de muestra para transporte
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Sí
No, y no hay planes inmediatos para implementar un centro de operaciones de seguridad.
No, pero hay planes para implementar un centro de operaciones de seguridad el próximo año.
Empresas de transporte
(n=179)75%
11%
14%
Sí
No
88%
12%
Empresas de transporte
(n=179)
¿De qué subsector de transporte participa su organización?Empresas de transporte (n=180)
¿De cuál de las siguientes áreas de seguridad es responsable?Empresas de transporte (n=180)
¿Su empresa participa en Organismos de estándares de seguridad o en Organizaciones industriales?
¿Su empresa utiliza un Centro de Operaciones de seguridad (SOC)?
Vehículos
Marítima
Aeronáutica
Vial
Ferroviaria
Transporte masivo
Fletes y logística
Seguridad del vehículo
Seguridad de infraestructura crítica
Seguridad de tecnología operativa54%
11%
9%
7%
5%
9%
5%
84%
71%
43%
Figura 123 Perfil de muestra para transporte
105
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Figura 124. Per�l de muestra para servicios públicos/energía
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
58%
42%Empresas de
servicios públicos/energía (n=116)
Petróleo y gas
Empresas de electricidad
Empresas de servicios públicos/energía (n=116)
Empresas de servicios públicos/energía (n=116)
¿De qué subsector de servicios públicos/energía participa principalmente su organización?
¿Con qué frecuencia su organización realiza un simulacro o ejercicio para probar el plan de respuesta de su empresa frente a un incidente de ciberseguridad?
Cuándo se realizan estos simulacros o ejercicios, ¿qué partes participan?
Una vez cada 6 meses
Una vez al año
Una vez cada 2 años
Muy pocas veces
Nunca
Partners de seguridad
Personal interno que no pertenece a seguridad
Partners comerciales
Miembros que responden en primera instancia
Organismos locales o estatales
Organismos federales
Otros proveedores de servicios públicos
Ninguna de las opciones anteriores
55%
37%
2%
0%
6%
84%
69%
33%
31%
26%
64%
20%
1%
Empresas de servicios �nancieros (n=509)Grá�co redondeado al número entero más cercano
¿En qué medida piensa que la seguridad se ve in uenciada por las siguientes tendencias?
¿De qué subsector de servicios �nancieros participa principalmente su organización?
Mercados �nancieros
Sistema bancario minorista
Seguros
Negocios digitales
FinTech
Operaciones de desarrollo (DevOps)
TI bimodal
0%
88%42%
88%47%
85%39%
82%15%
13%
35%
46%
41%10%
10%
47%
48%
1% 1%
0%
0%
0%
1%
2%
2%
Para nada En gran medida Principales 2 opciones
%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 125. Per�l de muestra para servicios �nancieros
52%
25%
23%
Figura 124 Perfil de muestra para servicios públicos/energía
Figura 125 Perfil de muestra para servicios financieros
106
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
2%
3%
3%
66%
61%
63%
1%
<1%
1%
32%
36%
33%
98%
97%
96%
¿Hasta qué punto concuerda usted o no con estas declaraciones?
Garantizar la seguridad de los datos de nuestros clientes minoristas es de extrema importancia para el liderazgo ejecutivo de mi organización.Mi empresa puede cumplir por completo con la PCI (industria de tarjetas de pago).Los datos con�denciales de la tarjeta de crédito del cliente se conservan seguros durante su ciclo de vida en mi empresa.
Negocios minoristas (n=290), grá�co redondeado al número entero más cercano
Relativamente de acuerdo
Relativamente en desacuerdo
Totalmente en desacuerdo
Totalmente de acuerdo
Un poco + completamente de acuerdo
%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Figura 126. Seguridad de los datos para comercios minoristasFigura 126 Seguridad de los datos para el comercio minorista
107
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
0%
20%
40%
60%
80%
100%
Por
cent
aje
de lo
s ha
shes
Dri
dex
0%
0.5%
1%
Por
cent
aje
de v
olum
en
tota
l de
hash
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 4 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
Fuente: Cisco Security Research
Figura 128. Años de hash para la familia de malware de Dridex y porcentaje de volumen total de hash observado por mes
Figura 127 Extensión del archivo y combinaciones MIME para Dridex (vectores web y de correo electrónico)
Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Vectores exclusivosexe y aplicación/msdos-program
docm y aplicación/vnd.ms-word…docm y aplicación/vnd.openxml…
xls y aplicación/vnd.ms-exceldoc y aplicación/msword
exe y aplicación/msdownloaddoc y texto/sin formato
pxls y aplicación/vnd.ms-excelpdf y aplicación/msword
zip y aplicación/zipzip y aplicación/zip
doc y aplicación/textodoc y aplicación/vnd.msword
doc y aplicación/winworddoc y aplicación/word
doc y aplicación/x-msw6doc y aplicación/documento
doc y aplicación/vnd.ms-worddoc y aplicación/x-msword
sin extensión y aplicación/mswordsin extensión y texto/sin formato
js y texto/sin formatortf y aplicación/vnd.openxml…
sin extensión y aplicación/rtfsin extensión y aplicación/vnd…
exe y aplicación/ejecutabledoc y aplicación/vnd.openxml…
doc y aplicación/xmlrtf y aplicación/xml
rtf y texto/sin formatortf y aplicación/msword
pdf y aplicación/vnd.openxml…dot y aplicación/vnd.openxml…
Correo electrónico Web
Fuente: Cisco Security Research
Figura 127. Extensión de archivo y combinaciones MIME para Dridex (vectores de correo electrónico y web)
Figura 128 Antigüedades de hash para la familia del malware Dridex y porcentaje de volumen total de hash observado por mes
0
5
10
15
20
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Hor
as m
edia
nas
Fuente: Cisco Security Research
20,416,9
10,27,2 5,5
Figura 129. TTD de la familia de malware de DridexFigura 129 TTD de la familia del malware Dridex
Familias de malware
108
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
Nov
Vectores exclusivos
zip y aplicación/zip
doc y aplicación/mswordvbs y texto/sin formato
rtf y aplicación/vnd.openxml…dotm y aplicación/vnd.open…exe y aplicación/msdownload
js y texto/sin formatosin extensión y aplicación/zip
html y aplicación/zipjpg e imagen/jpeg
rtf y aplicación/msword
Correo electrónico Web
Fuente: Cisco Security Research
Figura 130. Extensión de archivo y combinaciones MIME para la familia de amenazas e indicadores que generan e incluyen la carga de Cerber (vectores de correo electrónico y web)
Figura 130 La extensión del archivo y las combinaciones de MIME para la familia de amenazas e indicadores que condujeron a, e incluyen, la carga útil de Cerber (vectores web y de correo electrónico)
0%
20%
40%
60%
80%
100%
Por
cent
aje
de lo
s ha
shes
Cer
ber
0%
0.1%
0.2%
Por
cent
aje
de v
olum
en to
tal d
e ha
sh
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 10 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
Fuente: Cisco Security Research
Figura 132. Años de hash para la familia de malware de Cerber y porcentaje de volumen total de hash observado por mes
Figura 131 TTD de la familia del malware Cerber
Figura 132 Antigüedades de hash para la familia del malware Cerber y porcentaje de volumen total de hash observado por mes
Figura 133 Antigüedades de hash para la familia del malware Locky por mes
Figura 134 Antigüedades de hash para la familia del malware Nemucod por mes
120
160
0
40
80
Ene Feb Mar Abr May Jul Ago SepJun Oct2016
Hor
as m
edia
nas
Fuente: Cisco Security Research
116,126,2
5,1 5,9
Figura 131. TTD de la familia de malware de Cerber
0%
20%
40%
60%
80%
100%
Por
cent
aje
de lo
s ha
shes
Nem
ucod
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 10 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
Fuente: Cisco Security Research
Figura 134. Años de hash para la familia de malware de Nemucod por mes
0%
20%
40%
60%
80%
100%
Por
cent
aje
de lo
s ha
shes
Loc
ky
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 10 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
Fuente: Cisco Security Research
Figura 133. Años de hash para la familia de malware de Locky por mes
109
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
0%
20%
40%
60%
80%
100%
Por
cent
aje
de lo
s ha
shes
Adw
ind
RAT
Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 10 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
Fuente: Cisco Security Research
Figura 135. Años de hash para la familia de malware de Adwind RAT por mes
0%
20%
40%
60%
80%
100%
Por
cent
aje
de lo
s ha
shes
Kry
ptik
Nov Dec Jan Feb Mar Apr May Jul Aug SepJun Oct2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 10 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
Fuente: Cisco Security Research
Figura 136. Años de hash de malware de Kryptik Familia por mesFigura 136 Antigüedades de hash para la familia del malware Kryptik por mes
Figura 135 Antigüedades de hash para la familia del malware Adwind RAT por mes
Descargue los gráficos
Todos los gráficos incluidos en este informe pueden descargarse en: www.cisco.com/go/acr2017graphics
Actualizaciones y correcciones
Para ver actualizaciones y correcciones de la información de este informe, visite: www.cisco.com/go/acr2017errata
Sede central en AméricaCisco Systems, Inc.San Jose, CA
Sede central en Asia PacíficoCisco Systems (EE. UU.) Pte. Ltd.Singapur
Sede central en EuropaCisco Systems International BV Ámsterdam,Países Bajos
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax se pueden consultar en el sitio web de Cisco www.cisco.com/go/offices.
Publicado en enero de 2017
© 2017 Cisco y/o sus filiales. Todos los derechos reservados.
Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o de sus filiales en EE. UU. y en otros países. Para ver una lista de las marcas comerciales de Cisco, visite: www.cisco.com/go/trademarks. Todas las marcas comerciales registradas de terceros mencionadas en este documento pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica una relación de asociación entre Cisco y cualquier otra compañía. (1110R)
Adobe, Acrobat y Flash son marcas comerciales registradas o marcas comerciales de Adobe Systems Incorporated en los Estados Unidos y/o en otros países.