Informe anual sobre ciberseguridad de 2017 de Cisco · De acuerdo con nuestra investigación, el...

2

Informe anual sobre ciberseguridad de 2017 de Cisco

Contenido

ContenidoRESUMEN EJECUTIVO Y PRINCIPALES CONCLUSIONES ......3

INTRODUCCIÓN .......................................................................8

LA EXPANSIÓN DE LA SUPERFICIE DE ATAQUE ..................10

COMPORTAMIENTO DEL ATACANTE ................................... 13

La fase de reconocimiento .................................................13Métodos de ataque web: las amenazas de “cola corta” permiten que los adversarios sienten las bases para las campañas .................................13

La fase armamentista .........................................................15Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertas .............................................................15 Seguridad de las aplicaciones: administración del riesgo de la conexión OAuth en medio de una explosión de aplicaciones............................................16

La fase de distribución .......................................................20La desaparición de los principales kits de ataques presenta oportunidades para usuarios más pequeños y nuevos participantes ........................................................20Publicidad maliciosa: los adversarios usan agentes para aumentar la velocidad y la agilidad ...............22De acuerdo con la investigación, el 75 % de las organizaciones se ven afectadas por infecciones por adware .........................................................................23El volumen de correos electrónicos no deseados a nivel mundial está creciendo del mismo modo que lo hace el porcentaje de archivos adjuntos maliciosos ............................................................25

La fase de instalación .........................................................30Métodos de ataque web: las instantáneas de “cola larga” revelan amenazas que los usuarios pueden evitar con facilidad ..................................30Riesgo vertical de hallazgos de malware: los atacantes ven el valor en todos los ámbitos .................31Descripción general regional de la actividad de bloqueo web .................................................................32Tiempo de detección: una métrica fundamental para medir el progreso de los defensores ..........................33Tiempo de desarrollo: en el caso de algunas amenazas, el cambio es constante ....................................34

COMPORTAMIENTO DEL DEFENSOR ...................................42Vulnerabilidades en disminución en el 2016.......................42Middleware: los adversarios ven una oportunidad en el software sin parches .................................................44Tiempo de implementación de parches: cierre del plazo de recuperación ........................................................45

ESTUDIO COMPARATIVO SOBRE LAS CAPACIDADES DE SEGURIDAD DE 2017 DE CISCO ............49

Percepciones: los profesionales de seguridad confían en las herramientas, pero tienen dudas respecto a si las usan en forma eficaz ...............................49Restricciones: el tiempo, el talento y el dinero afectan la capacidad de responder ante las amenazas ...................51Impacto: más organizaciones sufren pérdidas a causa de las infracciones ................................................55Resultados: un mayor escrutinio influirá en las mejoras de seguridad .........................................................58Confianza frente a costo: ¿qué factor impulsa las compras de seguridad? ................................................61Resumen: aportes del Estudio comparativo ........................62

SECTOR ..................................................................................64Seguridad de la cadena de valor: el éxito en un mundo digital depende de la mitigación de los riesgos de terceros ..................................................64Actualización geopolítica: encriptación, confianza y necesidad de transparencia .............................65Cifrado de alta velocidad: una solución escalable para proteger los datos en tránsito ....................................66Adopción y rendimiento de la red frente a madurez de la seguridad .................................................67

CONCLUSIÓN ........................................................................71Una superficie de ataque de rápida expansión requiere un enfoque interconectado e integrado para la seguridad ...............................................................71El objetivo principal: reducir el espacio operativo de los adversarios ..............................................................73

ACERCA DE CISCO ................................................................74Colaboradores del Informe anual de ciberseguridad de 2017 de Cisco ......................................75

APÉNDICE ..............................................................................78

Resumen ejecutivo y principales conclusiones3


Resumen ejecutivoA medida que la superficie de ataque aumenta de tamaño, los defensores deben centrarse en su objetivo más importante: reducir el espacio operativo de los adversarios.

Los adversarios tienen más herramientas que nunca a su disposición. También tienen una idea clara de cuándo utilizar cada una de ellas para lograr el máximo efecto. El intenso crecimiento de terminales móviles y del tráfico en línea juega a su favor. Tienen más espacio en el que pueden operar y más opciones de objetivos y enfoques.

Los defensores pueden usar una variedad de estrategias para afrontar los desafíos de un panorama de amenazas en expansión. Pueden adquirir las mejores soluciones que funcionan por separado para brindar información y protección. Además, pueden competir por personal en un mercado en el que el personal talentoso escasea y los presupuestos son ajustados.

Quizás no sea posible detener todos los ataques. Sin embargo, sí es posible minimizar el peligro y el impacto de las amenazas al limitar el espacio operativo de los adversarios y, así, su capacidad para poner en riesgo los recursos. Una medida que usted puede tomar consiste en simplificar su conjunto de herramientas de seguridad convirtiéndolo en una arquitectura de seguridad integrada e interconectada.

Las herramientas de seguridad integrada que funcionan juntas en una arquitectura automatizada pueden optimizar el proceso para detectar y mitigar amenazas. De este modo, tendrá tiempo para abordar problemas más complejos y persistentes. Muchas organizaciones usan por lo menos media docena de soluciones de diversos proveedores (página 53). En muchos casos, los equipos de seguridad pueden investigar solo la mitad de las alertas que reciben en un día determinado.

En el Informe anual sobre ciberseguridad de 2017 de Cisco se incluye información sobre investigación, consideraciones y perspectivas obtenidas por Cisco Security Research. Resaltamos la incesante dinámica de “tira y afloja” entre los adversarios que intentan conseguir más tiempo para operar y los defensores que trabajan para eliminar las oportunidades que los atacantes intentan aprovechar. Analizamos los datos

reunidos por los investigadores de Cisco y otros expertos. Nuestra información de investigación y consideraciones están diseñadas para ayudar a las organizaciones a responder con eficacia a las amenazas en rápida evolución y sofisticadas de la actualidad.

Este informe se divide en las siguientes secciones:

Comportamiento del atacanteEn esta sección, analizamos cómo los atacantes reconocen redes vulnerables y distribuyen malware. Explicamos de qué manera las herramientas, como el correo electrónico, las aplicaciones de la nube de terceros y el adware, se convierten en un arma. Además, describimos los métodos que los ciberdelincuentes utilizan durante la fase de la instalación de un ataque. En esta sección, también presentamos nuestra investigación “tiempo de desarrollo” (TTE), a través de la cual se muestra cómo los adversarios mantienen sus tácticas al día y evaden la detección. También ofrecemos una actualización sobre nuestros esfuerzos para reducir el tiempo medio de detección (TTD) promedio. Además, presentamos la última investigación de Cisco sobre el riesgo de malware para diversos sectores y regiones geográficas.

Comportamiento del defensorEn esta sección, ofrecemos actualizaciones sobre las vulnerabilidades. Un enfoque es en las debilidades emergentes en las bibliotecas de middleware que presentan oportunidades para que los adversarios utilicen las mismas herramientas en varias aplicaciones, lo que reduce el tiempo y el costo necesarios para poner en riesgo a los usuarios. También compartimos la investigación sobre las tendencias de implementación de parches de Cisco. Observamos el beneficio de ofrecerles a los usuarios un flujo regular de actualizaciones para fomentar la adopción de versiones más seguras de navegadores web y soluciones de productividad comunes.



Estudio comparativo sobre capacidades de seguridad de 2017 de CiscoEn esta sección se describen los resultados del tercer Estudio comparativo sobre capacidades de seguridad, que se centra en la percepción de los profesionales de seguridad acerca del estado de la seguridad en sus organizaciones. Este año, los profesionales de seguridad parecen tener confianza en las herramientas a su disposición, pero tienen dudas respecto a si estos recursos pueden ayudarlos a reducir el espacio operativo de los adversarios. De acuerdo con el estudio, las infracciones de seguridad públicas tienen un impacto mensurable en las oportunidades, los ingresos y los clientes. Al mismo tiempo, las infracciones impulsan las mejoras en materia de tecnología y proceso en las organizaciones. Para un análisis detallado sobre el estado de la seguridad en las organizaciones, vaya a la página 49.

SectorEn esta sección explicamos la importancia de garantizar la seguridad de la cadena de valor. Analizamos el daño potencial de que los gobiernos almacenen información sobre vulnerabilidades y ataques de día cero en los productos de los proveedores. Además, analizamos el uso de la encriptación rápida como una solución para proteger los datos en entornos de alta velocidad. Por último, describimos los desafíos de la seguridad en la organización a medida que el tráfico de Internet global y la superficie potencial de ataque crecen.

ConclusiónEn nuestra conclusión sugerimos que los defensores adapten las prácticas de seguridad para que puedan sortear mejor los desafíos de seguridad típicos que supone toda la cadena de ataque y reducir el espacio operativo de los adversarios. En esta sección también se ofrece orientación específica sobre cómo establecer un enfoque integrado y simplificado para la seguridad: uno que conectará el liderazgo ejecutivo, las políticas, los protocolos y las herramientas para prevenir, detectar y mitigar amenazas.



Principales conclusiones ● En el 2016, tres principales kits de ataque (Angler,

Nuclear y Neutrino) desaparecieron del panorama y, en consecuencia, dieron lugar a que usuarios más pequeños y nuevos dejen su huella.

● De acuerdo con el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, la mayoría de las empresas utilizan más de 5 proveedores de seguridad y más de 5 productos de seguridad en su entorno. El 55 % de los profesionales de seguridad utiliza al menos 6 proveedores, el 45 % utiliza de 1 a 5 proveedores y el 65 % utiliza 6 productos o más.

● Los principales obstáculos a la hora de adoptar los productos y las soluciones de seguridad avanzada, según el Estudio comparativo, son el presupuesto (mencionado por el 35 % de los encuestados), la compatibilidad de los productos (28 %), la certificación (25 %) y profesionales capacitados (25 %).

● Según el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, las organizaciones, debido a los distintos obstáculos, pueden investigar solo el 56 % de las alertas que reciben en un día determinado. La mitad de las alertas investigadas (28 %) se consideran legítimas y menos de la mitad (46 %) de las alertas legítimas se corrigen. Además, el 44 % de los gerentes de operaciones de seguridad ven más de 5000 alertas de seguridad por día.

● El 27 % de las aplicaciones de la nube de terceros conectadas introducidas por los empleados en entornos empresariales en el 2016 plantearon un alto riesgo de seguridad. Las conexiones de autenticación abierta (OAuth) entran en contacto con la infraestructura corporativa y pueden comunicarse libremente con las plataformas de la nube y de software como servicio (SaaS) corporativas después de que los usuarios otorgan acceso.

● De acuerdo con una investigación de Cisco que incluyó 130 organizaciones de mercados verticales, el 75 % de dichas empresas sufren infecciones por adware. Los adversarios pueden llegar a utilizar estas infecciones para facilitar otros ataques de malware.

● Cada vez en mayor medida, los operadores que están detrás de las campañas de publicidad maliciosa utilizan agentes (también denominados “puertas”). Los agentes les permiten moverse con mayor velocidad, mantener su espacio operativo y evadir la detección. Estos enlaces intermediarios permiten que los adversarios pasen rápidamente de un servidor malicioso a otro sin cambiar el redireccionamiento inicial.

● El correo electrónico no deseado representa casi dos tercios (65 %) del volumen total de correos electrónicos. De acuerdo con nuestra investigación, el volumen de correos electrónicos no deseados a nivel mundial está creciendo debido a botnets extendidos y en crecimiento que envían correos electrónicos no deseados. Según los investigadores de amenazas de Cisco, alrededor del 8 al 10 % de los correos electrónicos no deseados observados en 2016 en todo el mundo podrían clasificarse como maliciosos. Además, el porcentaje de correos electrónicos no deseados con archivos adjuntos maliciosos está aumentando, y los adversarios parecen estar probando una amplia variedad de tipos de archivos para que sus campañas resulten exitosas.

● Según el Estudio comparativo sobre capacidades de seguridad, las organizaciones que aún no han sufrido una infracción a la seguridad pueden creer que sus redes son seguras. Probablemente esta confianza sea inadecuada, si se tiene en cuenta que el 49 % de los profesionales de seguridad encuestados indicaron que sus organizaciones han tenido que enfrentarse al escrutinio público tras una infracción a la seguridad.



● Conforme al Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, casi un cuarto de las organizaciones que han sufrido un ataque perdieron oportunidades de negocio. Cuatro de cada diez expresaron que esas pérdidas fueron importantes. Una de cada cinco organizaciones perdió clientes debido a un ataque, y casi el 30 % perdió ingresos.

● De acuerdo con los encuestados en el estudio comparativo, cuando se produjeron infracciones, las operaciones y las finanzas eran las funciones con más probabilidades de verse afectadas (el 36 % y el 30 %, respectivamente), seguidas por la reputación y la retención de clientes (26 % en ambos casos).

● Las interrupciones en la red que se deben a las infracción a la seguridad pueden, a menudo, tener un impacto duradero. Según el estudio comparativo, el 45 % de las interrupciones duró de 1 a 8 horas, el 15 % duró de 9 a 16 horas y el 11 % duró de 17 a 24 horas. El 41 % (consulte la página 55) de las interrupciones afectó entre el 11 % y el 30 % de los sistemas.

● Las vulnerabilidades en el middleware (software que funciona como un puente o conector entre plataformas o aplicaciones) están siendo más evidentes, lo que genera inquietudes respecto a que el middleware se está convirtiendo en un vector de amenaza popular. Muchas empresas utilizan middleware, de modo que la amenaza podría afectar a todos los sectores. Durante el transcurso de un proyecto de Cisco®, nuestros investigadores de amenazas descubrieron que una importante cantidad de nuevas vulnerabilidades analizadas se debían al uso de middleware.

● El flujo de actualizaciones de software puede afectar el comportamiento del usuario cuando se trata de instalar parches y actualizaciones. Según nuestros investigadores, las actualizaciones periódicas y previsibles conllevan una actualización de software más rápido de parte de los usuarios, y esto reduce el tiempo durante el cual los adversarios pueden aprovechar vulnerabilidades.

● Según el Estudio comparativo sobre capacidades de seguridad de 2017, la mayoría de las organizaciones dejan en manos de proveedores de terceros al menos el 20 % de la seguridad, y las que utilizan estos recursos en mayor medida tienen más probabilidades de expandir su uso en el futuro.

Introducción


8 Introducción


IntroducciónLos adversarios disponen de un amplio y variado portafolio de técnicas para tener acceso a recursos de las organizaciones y para obtener tiempo ilimitado para operar. Sus estrategias cubren todos los aspectos básicos e incluyen lo siguiente:

● Aprovechar los intervalos en la implementación de parches y las actualizaciones.

● Hacer caer a los usuarios en trampas de ingeniería social.

● Introducir malware en contenido en línea supuestamente legítimo, como en las publicidades.

A su vez, cuentan con muchas otras funcionalidades: desde el aprovechamiento de las vulnerabilidades de middleware hasta el envío de correos electrónicos no deseados maliciosos. Una vez que alcanzan sus objetivos, pueden apagar sus operaciones en forma rápida y silenciosa.

Los adversarios trabajan sin cesar para desarrollar sus amenazas, se mueven incluso con más velocidad y encuentran maneras de ampliar el espacio operativo. El intenso crecimiento del tráfico de Internet (impulsado, en gran parte, por velocidades móviles más rápidas y la proliferación de dispositivos en línea) juega a su favor, ya que contribuye con la expansión de la superficie de ataque. A medida que eso sucede, los riesgos para las empresas son cada vez mayores. Según el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco, más de un tercio de las organizaciones que han sufrido un ataque perdió el 20 % de sus ingresos o más. El 49 % de los encuestados dijo que su empresa se ha enfrentado al escrutinio público debido a una infracción a la seguridad.

¿Cuántas empresas pueden sufrir un daño de este tipo en su aspecto más fundamental sin perder su solidez? Los defensores deben centrar sus recursos en reducir el espacio operativo de los adversarios. De esta manera, a los atacantes

les resultará extremadamente difícil obtener acceso a recursos valiosos de la empresa y llevar a cabo sus actividades sin que sean detectados.

La automatización es fundamental para lograr este objetivo. Esta permite comprender qué se considera actividad normal en el entorno de red, para que usted pueda destinar pocos recursos a la investigación y resolver las verdaderas amenazas. Simplificar las operaciones de seguridad también le permite ser más eficaz a la hora de eliminar el espacio operativo ilimitado de los adversarios. Sin embargo, de acuerdo con el Estudio comparativo, la mayoría de las organizaciones utilizan más de cinco soluciones de más de cinco proveedores (página 53).

Una red compleja de tecnología de este tipo y la enorme cantidad de alertas de seguridad son los ingredientes de una receta para menos protección, no para más. Naturalmente, incorporar más personas talentosas en materia de seguridad puede ser de ayuda. Con más expertos incorporados, según la lógica, mejor la capacidad de la organización para administrar la tecnología y obtener mejores resultados. Sin embargo, con el escaso personal capacitado en materia de seguridad y los presupuestos de seguridad limitados, contratar desaforadamente es muy poco probable. En cambio, la mayoría de las organizaciones debe conformarse con el personal capacitado que tengan. Utilizan personal capacitado tercerizado para agregar consistencia a sus equipos de seguridad sin salirse del presupuesto.

La respuesta real para superar estos desafíos, como explicamos más adelante en este informe, es poner en funcionamiento a personas, procesos y tecnología de forma integrada. Poner en funcionamiento la seguridad es comprender realmente lo que la empresa necesita proteger, así como las medidas que deben tomarse para proteger esos recursos fundamentales.

El informe anual de ciberseguridad 2017 de Cisco presenta nuestros últimos avances en el sector de seguridad, diseñados para ayudar a organizaciones y usuarios a defenderse contra ataques. También observamos las técnicas y estrategias que los atacantes utilizan para penetrar estas defensas. El informe además resalta importantes descubrimientos del Estudio comparativo de capacidades de seguridad 2017 de Cisco, el cual examina la postura de seguridad de las empresas y sus percepciones respecto de su preparación para defenderse de los ataques.

La expansión de la superficie de ataque

10



La expansión de la superficie de ataqueDispositivos móviles. Nube pública. Infraestructura de la nube. Comportamiento del usuario. Los profesionales de seguridad que participaron en el tercer Estudio comparativo sobre capacidades de seguridad anual de Cisco citaron todos esos elementos como principales fuentes de preocupación cuando piensan en el riesgo de exposición a un ataque cibernético que corre su organización (figura 1). Esto es comprensible: la proliferación de dispositivos móviles genera más terminales para proteger. La nube está expandiendo el perímetro de seguridad. Y los usuarios son, y siempre serán, un punto débil en la cadena de seguridad.

A medida que las empresas adoptan la digitalización, y que Internet de todo (IdT)¹ comienza a tener forma, los defensores tendrán incluso más cosas por las que preocuparse. La superficie de ataque también se expandirá y, en consecuencia, los adversarios tendrán más espacio para operar.

Durante más de una década, Cisco® Visual Networking Index (VNI) ha proporcionado pronósticos de tráfico IP global

y analizado los factores dinámicos que facilitan el crecimiento de la red. Analice las siguientes estadísticas del informe más reciente La era del zettabyte: tendencias y análisis:²

● El tráfico IP global anual superará el umbral de zettabyte en el 2016 y alcanzará los 2,3 zettabytes por año para el 2020. Un zettabyte corresponde a mil exabytes o a mil millones de terabytes. Eso significa que el tráfico IP global en los próximos 5 años será 3 veces mayor.

● El tráfico de dispositivos móviles e inalámbricos representará dos tercios (66 %) del tráfico IP total para el 2020. Los dispositivos cableados representarán solo el 34 %.

● De 2015 a 2020, las velocidades de banda ancha promedio prácticamente se duplicarán.

● Para el 2020, el 82 % de todo el tráfico de Internet de consumidores a nivel mundial será tráfico de video IP, en comparación con un 70 % registrado en el 2015.

Figura 1. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos

58%Dispositivos móviles Datos en la nube pública

57%Infraestructura de la nube

57%

Comportamiento del usuario (por ejemplo, hacer clic en enlaces maliciosos en el correo electrónico o los sitios web)

57%Porcentaje de profesionales de seguridad que encuentran las categorías muy o extremadamente exigentes

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

Figura 1 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los ataques informáticos

¹ “Preguntas frecuentes de Internet de todo”, Cisco: http://ioeassessment.cisco.com/learn/ioe-faq. ² La Era Zettabyte — Tendencias y Análisis, Cisco VNI, 2016: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html.

Descargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

http://www.cisco.com/c/en/us/solutions/service-provider/visual-networking-index-vni/index.html


http://ioeassessment.cisco.com/learn/ioe-faq

http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/vni-hyperconnectivity-wp.html

http://www.cisco.com/go/acr2017graphics


11



Además, el informe técnico de Previsión y metodología de 2015 a 2020 de Cisco VNI™³ arroja la previsión de que el volumen del tráfico de Internet global en el 2020 será 95 veces más grande que en el 2005.

Por supuesto, los ciberdelincuentes oportunistas también prestan especial atención a estas tendencias. Vemos ya que los operadores en la economía informal toman medidas para ser más ágiles en este entorno cambiante. Crean ataques sumamente dirigidos y diversos que están diseñados especialmente para tener un resultado satisfactorio en la superficie del ataque en expansión. Mientras tanto, los equipos de seguridad están en modo “contra incendios” en forma constante y se encuentran abrumados por las alertas. Tienen que utilizar una variedad de productos de seguridad en el entorno de red que solo aportan más complejidad e incluso pueden aumentar la susceptibilidad de una organización a las amenazas.

Las organizaciones deben realizar lo siguiente:

● Integrar la tecnología de seguridad.

● Simplificar las operaciones de seguridad.

● Recurrir más a la automatización.

Este enfoque ayudará a reducir los gastos operativos, a aliviarle la carga al personal de seguridad y a ofrecer mejores resultados en materia de seguridad. Lo más importante es que les dará a los defensores la capacidad de dedicar más tiempo a la eliminación del espacio ilimitado en el que los atacantes operan actualmente.

³ Previsión y metodología de Cisco VNI, 2015–2020, Cisco VNI, 2016: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.html.

http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.html

Comportamiento del atacante

13




Métodos de ataque web: las amenazas de “cola corta” permiten que los adversarios sienten las bases para las campañasEl reconocimiento es, por supuesto, un paso fundamental para iniciar un ataque cibernético. En esta etapa, los adversarios buscan infraestructura de Internet vulnerable o debilidades de la red que les permitan obtener acceso a las computadoras de los usuarios y, en última instancia, infiltrarse en las organizaciones.

Los archivos binarios de Windows sospechosos y las aplicaciones potencialmente no deseadas encabezaron la lista de métodos de ataque web en el 2016 por un margen significativo (consulte la figura 2). Los archivos binarios de Windows sospechosos contienen amenazas como spyware y adware. Las extensiones de navegador maliciosas son un ejemplo de aplicaciones potencialmente no deseadas.

Las estafas de Facebook, que incluyen ofertas y contenido de medios falsos junto con estafas de encuestas, ocuparon el tercer lugar en nuestra lista. El continuo protagonismo de las estafas de Facebook en nuestras listas anuales y semestrales sobre el malware observado con mayor frecuencia deja en clara evidencia el rol fundamental que desempeña la ingeniería social en muchos ataques cibernéticos. Facebook tiene casi 1,8 mil millones de usuarios activos por mes en todo el mundo.⁴ Se trata, entonces, de un territorio lógico para los ciberdelincuentes y otros actores que buscan engañar a los usuarios. Un desarrollo positivo es el reciente anuncio de la empresa de que está tomando medidas para eliminar las noticias falsas y los engaños. Los críticos sugieren que ese contenido podría haber tenido influencia en los votantes en la decisión presidencial de 2016 en los Estados Unidos.⁵

Reconocimiento Armamentización Método de entrega Instalación

Los atacantes investigan, identifican y seleccionan sus objetivos.

⁴ Estadísticas de Facebook, septiembre de 2016: http://newsroom.fb.com/company-info/. ⁵ “Zuckerberg Vows to Weed Out Facebook ‘Fake News,’” por Jessica Guynn y Kevin McCoy, USA Today, 14 de noviembre de 2016: http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed- out-facebook-fake-news/93770512/.

Conteo de muestra

PUA y binarios sospechosos

Instaladores de troyanos (VBS)

Enlaces fraudulentos de Facebook

Descargadores de troyanos (script)

Redireccionamiento del navegador (JS)

Redireccionamiento de las descargas del navegador

Suplantación de identidad (enlaces)

Troyanos Android (lop)

Redireccionamiento del navegador

Secuestro de Facebook

Bloques heurísticos (scripts)

Binarios en paquete

Descargadores de troyanos (JS)

Troyanos, heurísticos (Win32)

Ataques a los iFrame del navegador

Android (Axent)

Troyanos Android (Loki)

Malware (FakeAvCn)

Troyanos (HideLink)

Malware (HappJS)

87 329

50 081

35 887

27 627

24 737

18 505

15 933

14 020

12 848

11 600

11 506

7712

5995

5510

5467

4970

4584

4398

3646

3006

Figura 2. Malware más comúnmente observado

Fuente: Cisco Security Research

Figura 2 Malware más comúnmente observado

http://newsroom.fb.com/company-info/

http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed-out-facebook-fake-news/93770512/

http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed-out-facebook-fake-news/93770512/

14



El malware de redireccionamiento de navegador completó los cinco tipos de malware principales observados con más frecuencia en el 2016. Como se analizó en el Informe semestral sobre ciberseguridad de 2016 de Cisco,⁶ las infecciones en el navegador pueden exponer a los usuarios a publicidad maliciosa, que los adversarios utilizan para configurar el ransomware y otras campañas de malware. Los investigadores de amenazas de Cisco advierten que el adware malicioso, que incluye herramientas que introducen anuncios, secuestradores de las configuraciones del navegador, utilidades y aplicaciones de descarga, es un problema cada vez mayor. De hecho, hemos identificado infecciones por adware en el 75 % de las empresas que investigamos recientemente como parte de nuestra investigación sobre el problema del adware. (Para obtener más información sobre este tema, consulte “De acuerdo con la investigación, el 75 % de las organizaciones se ven afectadas por infecciones por adware”, en la página 23).

Otros tipos de malware que se enumeran en la figura 3, como el malware de abuso de JavaScript en el navegador y malware de abuso de IFrame en el navegador, también están diseñados para facilitar las infecciones en el navegador. Los troyanos (instaladores de malware y aplicaciones de descarga) también se encuentran entre los cinco tipos de malware principales observados con mayor frecuencia, lo que indica que siguen siendo herramientas populares para obtener acceso inicial a las computadoras de los usuarios y a las redes de las organizaciones.

Otra tendencia para observar: el uso constantemente alto de malware que apunta a usuarios de la plataforma operativa Android. Los troyanos de Android han escalado de posición continuamente en la lista de amenazas de “cola corta” durante

los últimos 2 años. Se ubicaron entre los 10 tipos principales de malware observados con mayor frecuencia en el 2016. El malware Loki, que aparece al final de la “cola corta” que se muestra en la figura 2 (consulte la página anterior), es muy molesto porque puede replicar e infectar otros archivos y programas.

La figura 3 ayuda a ilustrar las tendencias de malware que los investigadores de amenazas de Cisco han observado desde finales del 2015. Revela que los adversarios hicieron un cambio preciso en la fase de reconocimiento de ataques en línea. Más amenazas ahora buscan específicamente navegadores y complementos vulnerables. Este cambio coincide con el creciente uso de publicidad maliciosa por parte de los adversarios, ya que se torna más difícil aprovechar una gran cantidad de usuarios a través de vectores de ataque de la red tradicionales. (Consulte la sección siguiente “Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertas”, en la página 15).

El mensaje para los usuarios individuales, los profesionales de seguridad y las empresas es claro: asegurarse de que los navegadores sean seguros y desactivar o eliminar los complementos de navegador innecesarios son medidas que pueden hacer mucho para prevenir las infecciones por malware. Estas infecciones pueden provocar ataques más importantes, disruptivos y costosos, como las campañas de ransomware. Estos pasos simples pueden reducir significativamente su exposición a amenazas basadas en la Web comunes y evitar que los adversarios encuentren el espacio operativo para implementar la fase siguiente de la cadena de ataque: la fase armamentista.

Con

teo

de m

uest

ra

4T 2015 1T 2016 2T 2016 3T 2016

Figura 3. Malware más comúnmente observado, 4T 2015-3T 2016


0K

10K

20K

30K

40K

50K

PU

A y

bin

ario

s s

ospe

chos

os

Inst

alad

or t

roya

no d

e m

alw

are

(VB

S)

Red

irecc

iona

mie

nto

del

nav

egad

or (

JS)

Enla

ces

frau

dule

ntos

de

Face

book

Des

carg

ador

es t

roya

nos

(scr

ipt)

Sec

uest

ro d

e Fa

cebo

ok

Enla

ces

de s

upla

ntac

ión

de

iden

tidad

Red

irecc

iona

mie

nto

de

las

desc

arga

s d

el n

aveg

ador

Troy

anos

And

roid

(lo

p)

Red

irecc

iona

mie

nto

del

nav

egad

or

Troy

anos

de

los

iFra

me

Des

carg

ador

es d

e tr

oyan

os (

JS)

Blo

ques

heu

rístic

os

(Win

32)

Des

carg

ador

es d

e iF

ram

e

En p

aque

te (

en

múl

tiple

s pa

quet

es)

Figura 3 Malware más comúnmente observado, Q4 2015-Q3 2016

⁶ Informe semestral sobre ciberseguridad 2016 de Cisco: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.

http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html

15



Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertasAdobe Flash ha sido por mucho tiempo un atractivo vector de ataque web para los adversarios que desean aprovechar y comprometer los sistemas. Sin embargo, debido a que la cantidad de contenido de Adobe Flash en la Web sigue disminuyendo y a que el conocimiento sobre vulnerabilidades de Flash aumenta, es cada vez más difícil para los ciberdelincuentes aprovechar a los usuarios en un nivel que alguna vez alcanzaron.

Adobe mismo está abandonando el desarrollo y soporte completos de la plataforma de software y ha alentado a los desarrolladores a adoptar nuevos estándares, como HTML5.⁷ Los proveedores de navegadores web populares también están tomando una posición sólida respecto a Flash. Por ejemplo, Google anunció en el 2016 que eliminará el soporte completo de Adobe Flash en su navegador Chrome.⁸ Firefox continúa admitiendo contenido Flash heredado, pero está bloqueando “contenido Flash que no es esencial para la experiencia del usuario”.⁹

El uso de Flash puede estar disminuyendo, pero los desarrolladores de kits de ataque colaboran para que se mantenga como vector de ataque. Sin embargo, hay indicios de que esto puede estar cambiando. Después de que tres principales kits de ataque (Angler, Nuclear y Neutrino) desaparecieron del panorama de amenazas en el 2016, nuestros investigadores de amenazas observaron una disminución significativa en el tráfico de Internet relacionado con Flash. (Consulte “La desaparición de los principales kits de ataques presenta oportunidades para usuarios más pequeños y nuevos participantes”, en la página 20). Los creadores del kit de ataque Angler recurrieron en gran medida a las vulnerabilidades de Flash para poner en riesgo a los usuarios. El kit de ataque Nuclear tuvo un enfoque similar en Flash. Neutrino, por su parte, usaba archivos Flash para trasmitir ataques.

Los usuarios deben ser prudentes y desinstalar Flash, a menos que lo necesiten por motivos comerciales. En ese caso, deben mantenerse al día con las actualizaciones. Usar navegadores web que ofrecen capacidades de implementación de parches automática puede ser de ayuda. Como se observa en “Métodos de ataque web: las amenazas de “cola corta” permiten que los adversarios sienten las bases para las campañas”, en la página 13, usar navegadores seguros (y deshabilitar o eliminar complementos de navegadores innecesarios) reducirá significativamente su exposición a las amenazas basadas en la web.

Java, PDF y SilverlightEl tráfico de Internet de Java y PDF experimentó una disminución considerable en el 2016. El tráfico de Silverlight ya ha alcanzado un nivel al que, para los investigadores de amenazas, ya no vale la pena realizarle un seguimiento con regularidad.

Java, que en un momento fue el vector de ataque web dominante, ha experimentado una mejora considerable en el estado de la seguridad en los últimos años. La decisión de Oracle a principios del 2016 de eliminar el complemento de navegador Java colaboró para que Java se convierta en un vector de ataque web menos atractivo. Los ataques de PDF también son cada vez más escasos. Por ese motivo, pueden detectarse más fácilmente; por lo tanto, muchos adversarios ahora utilizan esta estrategia con menos frecuencia.

Sin embargo, como con Flash, los ciberdelincuentes aún utilizan Java, PDF y Silverlight para aprovecharse de los usuarios. Los usuarios individuales, las empresas y los profesionales de seguridad deben ser conscientes de estas posibles vías de riesgo. Para reducir el riesgo de exposición a estas amenazas, deben hacer lo siguiente:

● Descargar parches.

● Utilizar tecnología web actualizada.

● Evitar el contenido web que pueda representar un riesgo.

⁷ “Flash, HTML5 and Open Web Standards,” Adobe News, noviembre de 2015: https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html. ⁸ “Flash and Chrome,” por Anthony LaForge, The Keyword blog, Google, 9 de agosto de 2016: https://blog.google/products/chrome/flash-and-chrome/. ⁹ “Reducing Adobe Flash Usage in Firefox,” por Benjamin Smedberg, Future Release blog, Mozilla, 20 de julio de 2016: https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/.

Los atacantes combinan malware de acceso remoto con ataques en cargas útiles entregables.

Reconocimiento Armamentización Método de entrega

Instalación

https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html

https://blog.google/products/chrome/flash-and-chrome/

https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/

16



Seguridad de las aplicaciones: administración del riesgo de la conexión OAuth en medio de una explosión de aplicacionesCuando las empresas migran a la nube, el perímetro de seguridad se extiende al ámbito virtual. Sin embargo, el perímetro de seguridad se desvanece rápidamente con cada aplicación de la nube de terceros conectada que los empleados introduzcan en el entorno.

Los empleados desean mejorar la productividad y mantenerse conectados mientras trabajan. Pero estas aplicaciones de TI no autorizada crean un riesgo para las empresas. Entran en contacto con la infraestructura corporativa y pueden comunicarse libremente con las plataformas de la nube y de software como servicio corporativas tan pronto los usuarios les otorgan acceso a través de OAuth. Estas aplicaciones pueden tener alcances de acceso extensos y, a veces, excesivos. Deben administrarse cuidadosamente porque pueden ver, eliminar, exteriorizar y almacenar datos corporativos, e incluso actuar en nombre de los usuarios.

El proveedor de seguridad en la nube CloudLock, ahora parte de Cisco, ha realizado un seguimiento del crecimiento de las aplicaciones de la nube de terceros conectados a través de un grupo de ejemplo de 900 organizaciones que representaban una variedad de sectores. Como se muestra en la figura 4, había aproximadamente 129 000 aplicaciones únicas observadas a principios del 2016. A fines de octubre, esa cifra había ascendido a 222 000.

La cantidad de aplicaciones aumentó aproximadamente 11 veces desde el 2014. (Consulte la figura 5).

Clasificación de las aplicaciones que más riesgo representanPara ayudar a los equipos de seguridad a comprender cuáles son las aplicaciones de la nube de terceros conectadas en su entorno que representan el mayor riesgo para la seguridad de la red, CloudLock desarrolló el Índice de riesgo de las aplicaciones de la nube (CARI). El proceso consiste en varias evaluaciones:

● Requisitos de acceso a los datos: las organizaciones responden preguntas, entre ellas: ¿qué permisos son necesarios para autorizar la aplicación? ¿Otorgar acceso a los datos significa que la aplicación tiene acceso programático (API) a las plataformas SaaS corporativas a través de conexiones OAuth? ¿Puede la aplicación (y, por extensión, el proveedor) actuar en nombre de los usuarios y utilizar los datos corporativos, como verlos y eliminarlos?

● Community Trust Rating (índice de confianza colectivo): se utilizan evaluaciones impulsadas por pares y basadas en la comunidad para esta evaluación.

● Inteligencia de amenazas de la aplicación: esta verificación integral que realizan los expertos en ciberseguridad se basa en los diferentes atributos de seguridad de una aplicación, como certificaciones de seguridad, historial de infracciones y revisiones de analistas. Figura 4. Crecimiento explosivo de aplicaciones

conectadas de terceros en la nube, 2016

Fuente: Cisco CloudLock

Cantidad de aplicaciones exclusivas

222,000Octubre

129,000Enero

Oct 2014 Oct 2015 Oct 2016


Figura 5. Crecimiento de las aplicaciones de terceros en la nube, comparación interanual

20,400

108,000222,000

Figura 4 Crecimiento exponencial de aplicaciones de la nube de terceros conectadas, 2016

Figura 5 Crecimiento de aplicaciones de la nube de terceros, comparación interanual





17



CloudLock utilizó CARI para clasificar las 222 000 aplicaciones que había identificado en las 900 organizaciones en el ejemplo. De todas las aplicaciones, el 27 % se consideró de alto riesgo, mientras que la mayoría entró en la categoría de riesgo intermedio. (Consulte la figura 6). La mitad de esas organizaciones tenía conexiones OAuth relacionadas con una aplicación de juegos popular que se lanzó en el verano de 2016.

Puntuaciones y ejemplos de riesgos

Después de clasificar las aplicaciones de la nube de terceros mediante CARI, CloudLock asigna una puntuación de riesgo a cada aplicación en una escala de 1 (menor riesgo) a 5 (mayor riesgo).

Por ejemplo, una aplicación que obtenga una puntuación de 1 en la escala puede tener alcances de acceso mínimo (puede ver el correo electrónico únicamente), un índice de confianza colectivo del 100 por ciento, y ningún historial de amenazas.

Una aplicación que obtenga una puntuación de 5 en la escala puede que tenga acceso completo a las cuentas (puede ver todos los correos electrónicos y documentos, el historial de navegación, el calendario y más), un índice de confianza del 8 por ciento (es decir, solo el 8 por ciento de los administradores confía en ésta), y ninguna certificación de seguridad.

27%riesgo alto

15%riesgo bajo

Figura 6. Aplicaciones de terceros clasi�cadas como Alto riesgo


58%riesgo medio

222,000 aplicaciones de terceros

Figura 6 Aplicaciones de terceros clasificadas como de alto riesgo

COMPARTIR

https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fb2me.cisco.com%2Fes-mx-annual-cybersecurity-report-2017

https://twitter.com/intent/tweet?url=http%3A%2F%2Fb2me.cisco.com%2Fes-mx-annual-cybersecurity-report-2017&text=Obtenga%20el%20informe%20de%20Cisco%202017%20para%20saber%20c%C3%B3mo%20impedir%20que%20los%20adversarios%20aprovechen%20los%20puntos%20d%C3%A9biles%C2%A0%23CiscoACR

https://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fb2me.cisco.com%2Fes-mx-annual-cybersecurity-report-2017%3FLinkedIn&title=Nuevas%20tendencias%20en%20ciberseguridad&summary=Obtenga%20el%20informe%20del%202017%20de%20Cisco%20para%20saber%20c%C3%B3mo%20cerrar%20las%20ventanas%20de%20oportunidad%20que%20utilizan%20los%20adversarios%20para%20atacar.

mailto:?Subject=Nuevas%20tendencias%20en%20ciberseguridad&Body=Obtenga%20el%20informe%20del%202017%20de%20Cisco%20para%20saber%20c%C3%B3mo%20cerrar%20las%20ventanas%20de%20oportunidad%20que%20utilizan%20los%20adversarios%20para%20atacar.%0A%0Ahttp%3A%2F%2Fb2me.cisco.com%2Fes-mx-annual-cybersecurity-report-2017


18



Con nuestro análisis, descubrimos que todas las organizaciones, independientemente de su tamaño, del sector o de la región, tienen una distribución relativamente uniforme de aplicaciones de riesgo bajo, medio y alto (figuras 7 y 8).

Bajo riesgo Riesgo medio Alto riesgo

Figura 7. Distribución de aplicaciones de riesgo bajo, medio y alto, por región


15

54

América del Norte

3112

América Latina

58

10

58

Europa, Medio Oriente y África

11

30

APAC (Asia y Pací�co)

59

30 32

Figura 7 Distribución de aplicaciones de bajo, mediano y alto riesgo, por región

Alto riesgoRiesgo medioBajo riesgo

Figura 8. Distribución de aplicaciones de riesgo bajo, medio y alto, por sector


Servicios �nancieros

8

57

35

Manufactura

8

61

31

Comercio minorista

10

58

32

Proveedores de servicios de salud

16

56

28

Medios de comunicación

y entretenimiento

16

56

28

Gobierno

10

57

33

Otros

16

52

32

Colegios

17

52

31

Viajes, hotelería, y transporte

12

58

30

Tecnología

14

56

30

Educación superior

16

53

31

Figura 8 Distribución de aplicaciones de bajo, mediano y alto riesgo, por sector




19



Cómo esclarecer la confusiónPara identificar el comportamiento sospechoso de los usuarios y de las entidades en plataformas SaaS corporativas, incluidas las aplicaciones de la nube de terceros, los equipos de seguridad deben examinar mil millones de actividades de los usuarios para determinar patrones de comportamiento normal en el entorno de su organización. Deben buscar anomalías por fuera de esos patrones previstos. Luego, deben establecer una correlación entre las actividades sospechosas para determinar qué podría constituir una amenaza real que requiera investigación.

Los inicios de sesión excesivos desde distintos países en un período breve constituyen un ejemplo de actividad sospechosa. Supongamos que el comportamiento normal del usuario en una determinada organización es que los empleados inicien sesión en una aplicación específica desde no más de uno o dos países por semana. Si un usuario comienza a iniciar sesión en la aplicación desde 68 países

en el transcurso de una semana, un equipo de seguridad querrá investigar esa actividad para confirmar que sea legítima.

Según nuestro análisis, solo 1 de cada 5000 actividades del usuario (es decir, el 0,02 %) asociadas a aplicaciones de nube de terceros conectadas es sospechosa. El desafío para los equipos de seguridad es, naturalmente, dar con esa instancia individual.

Solo a través de la automatización los equipos de seguridad pueden penetrar la confusión que suponen las alertas de seguridad y centrar sus recursos en la investigación de amenazas verdaderas. El proceso de varias etapas de identificación de actividades del usuario normales y posiblemente sospechosas que se describe más arriba y que se ilustra en la figura 9 se basa en el uso de la automatización, con algoritmos que se aplican en cada etapa.

Amenaza verdadera

Comportamiento de todos los usuarios

AnomalíasActividades sospechosas0,02% de todas las actividades

Figura 9. Identi�cación de los patrones de comportamiento del usuario con automatización (proceso)


Inteligencia de amenazas Investigación de ciberseguridad

Información sobre las vulnerabilidades en la nube

Políticas centralizadas

Inteligencia basada en la comunidad Análisis del contexto

58% de conductas anormales

31% de actividades de inicio de sesión

11% de acciones del administrador

227 veces más descargas de archivos que el promedio

141 veces más eliminaciones de activos de datos que el promedio

113 veces más fallas de inicio de sesión que el promedio

1000 Millones de actividades del usuario por mes

Figura 9 Identificar patrones de comportamiento de los usuarios con la automatización (proceso)

COMPARTIR






20



La desaparición de los principales kits de ataque presenta oportunidades para usuarios más pequeños y nuevos participantesEn el 2016, se experimentaron cambios radicales en el entorno de kits de ataque. A principios de 2016, Angler, Nuclear, Neutrino y RIG fueron, entre los kits de ataque, líderes claros. En noviembre, RIG era el único de ese grupo aún en actividad. Como se muestra en la figura 10, la actividad de los kits de ataque disminuyó considerablemente alrededor de junio.

Nuclear fue el primero en desaparecer: en mayo dejó de funcionar repentinamente. El motivo por el cual sus creadores lo abandonaron es un misterio. El kit de ataque Neutrino, que también salió de la escena en el 2016, utilizaba archivos Flash para trasmitir vulnerabilidades. (Consulte la figura 11 en la página siguiente para ver una lista de las principales vulnerabilidades en kits de ataque conocidos en el 2016).

Flash sigue siendo un vector de ataque web atractivo para los adversarios, pero es probable que pierda protagonismo con el tiempo. Menos sitios y navegadores están admitiendo Flash en forma total o directamente no lo admiten; además, hay un conocimiento general mayor sobre las vulnerabilidades de Flash. (Para obtener más información sobre este tema, consulte “Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben mantenerse alertas”, en la página 15).

0

7K

6K

5K

4K

3K

2K

1K

Núm

ero

de b

loqu

eos

Ene

Feb

Mar

Abr

May Jun

Jul

Ago

Sep Oct

Nov

Figura 10. Bloqueos de la página de inicio de sesión del kit de vulnerabilidad de la seguridad Enero-noviembre 2016


7407

1051

Figura 10 La página de acceso a kits de ataque se bloquea, de enero a noviembre de 2016

Con el uso malicioso del correo electrónico, archivos adjuntos, sitios web y demás herramientas, los atacantes transmiten sus armas informáticas a sus blancos.






21



Un gigante que desapareceAngler, el más avanzado y más grande entre los kits de ataque conocidos, también se basaba en las vulnerabilidades de Flash y se vinculó con varias campañas destacadas de ransomware y publicidad maliciosa. Sin embargo, a diferencia de la desaparición de Nuclear y Neutrino, el caso de Angler en 2016 no es un misterio.

A finales de la primavera, alrededor de 50 hackers y ciberdelincuentes fueron arrestados en Rusia; el grupo estaba vinculado con el malware Lurk, un troyano bancario que se dirigía específicamente a los bancos rusos.¹⁰ Los investigadores de amenazas de Cisco identificaron conexiones claras entre Lurk y Angler, incluido el hecho de que Lurk era distribuido en gran parte a través de Angler a las víctimas en Rusia. Después de los arrestos, Angler desapareció del mercado de kits de ataque.¹¹

Ahora que tres de los kits de ataque más dominantes han abandonado el campo, los pequeños usuarios y los nuevos participantes pueden ampliar su participación en el mercado. Además, cada vez son más sofisticados y ágiles. Los kits de ataque que parecían listos para crecer a finales de 2016 eran Sundown, Sweet Orange y Magnitude. Estos kits, al igual que RIG, son conocidos por basarse en las vulnerabilidades de Flash, Silverlight y Microsoft Internet Explorer. (Consulte la figura 11). Desinstalar Flash y deshabilitar o eliminar complementos de navegador innecesarios son medidas que ayudarán a los usuarios a reducir la posibilidad de que se vean en riesgo por estas amenazas.

Figura 11 Principales vulnerabilidades de los kits de ataque

Flash Silverlight IE 9-11 IE 10-11

Angler

Neutrino (1,2)

Magnitude

RIG

Nuclear

Sundown

Hunter

CVE- 2015-7645

2015-8446

2015-8651

2016-0034

2016-1019

2016-1001

2016-4117

2016-0189

2015-5119

2015-5122

2015-3043

2015-0318

2015-3113

2015-2419

Source: Cisco Security Research

Figura 11. Principales vulnerabilidades del kit de vulnerabilidad de la seguridad Angler

¹⁰ “Russian Hacker Gang Arrested Over $25M Theft,” BBC News, 2 de junio de 2016: http://www.bbc.com/news/technology-36434104. ¹¹ Para más información sobre este tema, consulte la publicación del blog Cisco Talos de julio de 2016, Al realizar asociaciones, se descubre un cambio drástico en el Crimeware.

COMPARTIR

http://www.bbc.com/news/technology-36434104

http://blog.talosintel.com/2016/07/lurk-crimeware-connections.html






22



Publicidad maliciosa: los atacantes usan agentes para aumentar la velocidad y agilidad

Se dirige a los usuarios a kits de ataque a través de dos formas principales: sitios web comprometidos y publicidad maliciosa. Los atacantes colocan un enlace a una página de acceso a un kit de ataque en un aviso malicioso o un sitio web comprometido, o utilizan un enlace intermedio, conocido como agente. (Estos enlaces, colocados entre sitios web comprometidos y servidores de kits de ataque, también se denominan “portales”). El agente sirve como intermediario entre el redireccionamiento inicial y el kit de ataque que transmite la carga útil del malware a los usuarios.

Esta última táctica se está haciendo más popular a medida que los atacantes perciben que deben actuar con mayor rapidez para mantener su espacio operativo y evadir la detección. Los agentes permiten que los atacantes cambien rápidamente de un servidor malicioso a otro sin cambiar el redireccionamiento inicial. Debido a que no necesitan modificar sitios web o anuncios maliciosos constantemente para iniciar la cadena de infección, los operadores de kits de ataque pueden realizar campañas más extensas.

ShadowGate: una campaña rentableA medida que se torna más difícil poner en riesgo a un gran número de usuarios únicamente mediante vectores de ataque tradicionales de la web (consulte la página 15), los atacantes están utilizando cada vez más la publicidad maliciosa para exponer a los usuarios a kits de ataque. Nuestros investigadores de amenazas denominaron “ShadowGate” a una campaña de publicidad maliciosa global reciente. Esta campaña muestra cómo la publicidad maliciosa está brindando a los atacantes más flexibilidad y posibilidades de atacar a los usuarios a lo largo de regiones geográficas a gran escala.

ShadowGate involucró a sitios web que van de la cultura popular al comercio minorista, y de la pornografía a las noticias. Millones de usuarios se vieron potencialmente

afectados en América del Norte, Europa, Asia Pacífico y Medio Oriente. Son notables el alcance global de la campaña y el uso de varios idiomas.

ShadowGate, el cual utilizó seguimiento de dominio, se observó por primera vez a principios de 2015. Por momentos permanecía inactivo, para luego comenzar aleatoriamente a dirigir el tráfico hacia páginas de acceso a kits de ataque. En un principio, ShadowGate se utilizaba para dirigir a los usuarios únicamente al kit de ataque Angler. Pero después de que Angler desapareciera en el verano de 2016, los usuarios empezaron a ser dirigidos al kit de ataque Neutrino, hasta que éste desapareciera también algunos meses después. (Para más información sobre esta historia, consulte la “Desaparición de los principales kits de ataque presenta oportunidades para empresas más pequeñas y nuevas empresas”, en la página 20).

Aunque ShadowGate tuvo un alto volumen de tráfico web, solo una pequeña fracción de interacciones provocó que un usuario fuera dirigido a un kit de ataque. Los anuncios maliciosos eran principalmente impresiones, anuncios que aparecen en la página y no requieren ninguna interacción del usuario. Este modelo de publicidad en línea permitió que los responsables de ShadowGate dirijan su campaña en forma más rentable.

Nuestra investigación de ShadowGate condujo a un esfuerzo conjunto con una importante empresa de alojamiento web. Trabajamos juntos para mitigar la amenaza recuperando cuentas de usuarios inscriptos que los atacantes habían utilizado para alojar la actividad. Luego, desactivamos todos los subdominios correspondientes.

Para más detalles sobre la campaña de ShadowGate, consulte la publicación del blog de Cisco Talos de septiembre de 2016 Desactivación de Talos ShadowGate: campaña global de publicidad maliciosa frustrada.

http://blog.talosintel.com/2016/09/shadowgate-takedown.html



23



De acuerdo con la investigación, el 75 % de las organizaciones se ven afectadas por infecciones por adwareEl adware, cuando se utiliza para fines legítimos, es el software que descarga o muestra publicidades a través de redireccionamientos, elementos emergentes y herramientas que introducen anuncios, y que genera ingresos para sus creadores. Sin embargo, los ciberdelincuentes también están usando el adware como una herramienta para ayudar a aumentar su flujo de ingresos. Utilizan adware malicioso no solo para beneficiarse de introducir publicidades, sino también como primer paso para facilitar otras campañas de malware, como el malware DNSChanger. El adware malicioso se distribuye a través de paquetes de software; los editores crean un programa de instalación con una aplicación legítima junto con docenas de aplicaciones de adware malicioso.

Los delincuentes usan adware para lo siguiente:

● Introducir publicidades, que pueden generar otras infecciones o exposición a kits de ataque.

● Cambiar la configuración de navegadores y sistemas operativos para debilitar la seguridad.

● Corromper antivirus u otros productos de seguridad.

● Obtener control total del host, para poder instalar otro software malicioso.

● Realizar el seguimiento de usuarios por ubicación, identidad, servicios utilizados y sitios visitados frecuentemente.

● Retirar información, como datos personales, credenciales e información sobre la infraestructura (por ejemplo, las páginas de ventas internas de una empresa).

A fin de evaluar el alcance del problema de adware para las empresas, los investigadores de amenazas de Cisco analizaron 80 variantes de adware diferentes. Alrededor de 130 organizaciones en mercados verticales se incluyeron en nuestra investigación, que se llevó a cabo de noviembre de 2015 a noviembre de 2016.

Clasificamos el adware en cuatro grupos, según el comportamiento principal de cada componente:

● Herramientas que introducen anuncios: este adware generalmente reside en el navegador y puede afectar a todos los sistemas operativos.

● Secuestradores de las configuraciones del navegador: este componente de adware puede modificar las configuraciones de las computadoras para que el navegador sea menos seguro.

● Utilidades: esta es una categoría grande y en crecimiento de adware. Las utilidades son aplicaciones web que ofrecen un servicio útil para los usuarios, como optimización de PC. Estas aplicaciones puedan introducir publicidades, pero su objetivo principal es convencer a los usuarios de pagar por el servicio. Sin embargo, en muchos casos, las utilidades son simples estafas y no proporcionan ningún beneficio para los usuarios.

● Aplicaciones de descarga: este adware puede ofrecer otro software, como una barra de herramientas.

Determinamos que el 75 % de las organizaciones que formaron parte de nuestro estudio se vieron afectadas por infecciones por adware.

>75%En los últimos 12 meses

de las organizaciones investigadas tiene

infecciones de adware

Figura 12. Porcentaje de organizaciones con infecciones de adware


Figura 12 Porcentaje de organizaciones con infecciones de adware

COMPARTIR






24



En la figura 13, se muestran los tipos de incidentes que observamos en las organizaciones incluidas en nuestra investigación. Las herramientas que introducen anuncios eran la fuente principal de infecciones. Este hallazgo indica que la mayoría de estas aplicaciones no deseadas apuntan a los navegadores web. También hemos observado un aumento de las infecciones basadas en el navegador durante los últimos años, lo que sugiere que los adversarios están obteniendo buenos resultados con esta estrategia para poner en riesgo a los usuarios.

Todos los componentes de adware que identificamos durante nuestra investigación pueden exponer a los usuarios y a las organizaciones al riesgo de actividad maliciosa. Los equipos de seguridad deben reconocer la amenaza que plantean las infecciones por adware y asegurarse de que los usuarios de la organización tengan pleno conocimiento de los riesgos.

Para obtener más información sobre este tema, consulte la entrada del blog de seguridad de Cisco realizada en febrero de 2016: Ataques de DNSChanger vinculados con la base instalada de adware.

0.5%

0

2.0%

1.0%

1.5%

0%

20%

10%

30%

40%

50%

60%

Porc

enta

je d

e us

uario

s in

fect

ados

con

adw

are

Porc

enta

je d

e us

uario

s in

fect

ados

Feb MarDic. Abr May Jun Jul Ago Sep OctNov2015

Ene2016

Feb MarDic. Abr May Jun Jul Ago Sep OctNov2015

Ene2016

Servicios públicos Secuestradores de con guración del navegador Descargadores Inyectores de anuncios

Figura 13. Desglose de los incidentes totales por componente de adware


Figura 13 Desglose de incidentes totales por componente de adware


http://blogs.cisco.com/security/dnschanger-outbreak-linked-to-adware-install-base

http://blogs.cisco.com/security/dnschanger-outbreak-linked-to-adware-install-base



25



El volumen de correos electrónicos no deseados a nivel mundial está creciendo del mismo modo que lo hace el porcentaje de archivos adjuntos maliciososEn el 2016, los investigadores de amenazas de Cisco realizaron dos estudios en el que emplearon telemetría de clientes que decidieron participar para calcular qué porcentaje del total de correos electrónicos es correo electrónico no deseado. Descubrimos que el correo electrónico no deseado representa casi dos tercios (65 %) del volumen total de correos electrónicos. Nuestra investigación también sugiere que el volumen de correos electrónicos no deseados a nivel mundial está aumentando, principalmente, debido a botnets extendidos y en crecimiento que envían correos electrónicos

no deseados. Además, a través de nuestro análisis, determinamos que alrededor del 8 al 10 % de los correos electrónicos no deseados observados en 2016 en todo el mundo podrían clasificarse como maliciosos.

Desde agosto hasta octubre del 2016, hubo un aumento considerable en la cantidad de bloqueos de conexiones IP (figura 14).¹² Esta tendencia puede atribuirse a un aumento general del volumen de correos electrónicos no deseados, así como a sistemas de reputación que se adaptan a información sobre los emisores de correos electrónicos no deseados.

Vietnam

China

India

Alemania

México

Rusia

Francia

Japón

Brasil

Estados Unidos1351K | 2046K

214K | 495K

252K | 587K

343K | 352K

194K | 286K

990K | 1684K

222K | 467K

254K | 1662K

903K | 760K

414K | 548K

Dic. 2015 Oct 2016

Figura 14. Bloqueos de IP por país, diciembre 2015-noviembre 2016


Figura 14 Bloqueos de IP por país, de diciembre de 2015 a noviembre de 2016

¹² Los bloqueos de la conexión IP son correos electrónicos no deseados bloqueados inmediatamente por una tecnología de detección de los mismos, la cual se basa en la mala reputación del remitente de este tipo de correos electrónicos. Entre éstos, se incluyen mensajes que se han originado a partir de botnets conocidos por enviar correos electrónicos no deseados o redes comprometidas, conocidas por participar en este tipo de ataques.

COMPARTIR






26



El gráfico de cinco años de la Lista de bloqueo compuesto (CBL), una “lista negra” basada en DNS de posibles infecciones de computadoras que envían correos electrónicos no deseados,¹³ también revela un importante aumento en el volumen total de correos electrónicos no deseados en el 2016 (figura 15).

De acuerdo con una revisión de datos de 10 años de la CBL (no se muestra), en el 2016, el volumen total de correos electrónicos no deseados está cerca de los más altos niveles registrados en el 2010. Las nuevas tecnologías de protección contra correos electrónicos no deseados y los desmontajes destacados de botnets relacionados con correo electrónico no deseado han colaborado para que los niveles de correo electrónico no deseado se mantengan bajos en los últimos años. Nuestros investigadores de amenazas atribuyen el aumento reciente del volumen global de correos electrónicos no deseados al botnet Necurs. Necurs es un vector principal para el ransomware Locky. También distribuye amenazas como el troyano bancario Dridex.

La figura 16 es un gráfico interno generado por el servicio SpamCop de Cisco que ilustra el cambio en el volumen de correos electrónicos no deseados observado en el 2016. Este gráfico muestra el tamaño total de la lista de bloqueo de SpamCop (SCBL) de noviembre de 2015 a noviembre de 2016. Cada fila de la SCBL representa una dirección IP diferente.

De noviembre de 2015 a febrero de 2016, el tamaño de las SCBL se mantuvo en menos de 200 000 direcciones IP. En septiembre y octubre, el tamaño de la SCBL superó las 400 000 direcciones IP antes de disminuir en octubre, hecho que nuestros investigadores de amenazas atribuyen a que los operadores de Necurs simplemente se tomaron un tiempo. También observe la disminución significativa que se produjo en junio. A fines de mayo, ocurrieron arrestos en Rusia relacionados con el troyano bancario Lurk (consulte la página 21). Posteriormente, varias amenazas destacadas, incluido Necurs, desaparecieron. Sin embargo, 3 semanas más tarde, Necurs volvió al ruedo y agregó más de 200 000 direcciones IP a la SCBL en menos de 2 horas.

¹³ Para más información acerca de CBL, visite http://www.abuseat.org/.

Figura 15. Volumen total de correo electrónico no deseado

3,5K

3K

2,5K

2K

1,5K

1K

0,5K

02012 2013 2014 2015 2016

Cor

reos

ele

ctró

nico

s/se

gund

os

Fuente: CBL

Figura 15 Volumen total de correos electrónicos no deseados

Figura 16 Tamaño total de SCBL

0

100k

300k

200k

400k

500k

Nov2015 2016

Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov

Fila

s

Figura 16. Tamaño total de SCBL

Fuente: SpamCop

COMPARTIR

http://www.abuseat.org/






27



Muchas de las direcciones IP de host que enviaba el correo electrónico no deseado de Necurs han estado infectadas durante más de 2 años. Para mantener el alcance total del botnet oculto, Necurs enviará correo electrónico no deseado solo de un subconjunto de hosts infectados. Un host infectado puede utilizarse durante 2 o 3 días y luego, algunas veces, no volver a usarse durante 2 o 3 semanas. Este comportamiento complica el trabajo del personal de seguridad que responde a ataques por correo electrónico no deseado. Pueden creer que han identificado y limpiado correctamente un host infectado, pero los actores detrás de Necurs solo están haciendo tiempo hasta poner en marcha otro ataque.

El 75 % del total de correos electrónicos no deseados observado en octubre de 2016 contenía archivos adjuntos maliciosos. El botnet Necurs envió la mayoría de los correos electrónicos no deseados. (Consulte la figura 17). Necurs envía los archivos adjuntos en formato .zip maliciosos que incluyen archivos ejecutables integrados, como JavaScript, .hta, .wsf y aplicaciones de descarga VBScript. Para calcular el porcentaje del total de correos electrónicos no deseados que contienen archivos adjuntos maliciosos, contamos tanto el archivo “contenedor” (.zip) como los archivos “secundarios” incluidos en él (como un archivo JavaScript) como archivos adjuntos maliciosos individuales.

Los atacantes prueban con los tipos de archivos adjuntos para mantener actualizadas las campañas de correo electrónico no deseado maliciosoNuestros investigadores de amenazas analizaron el modo en que los adversarios utilizan distintos tipos de archivos adjuntos para evitar que el correo electrónico no deseado malintencionado sea detectado. Descubrimos que desarrollan continuamente sus estrategias; para ello, hacen pruebas con una amplia variedad de tipos de archivo y cambian de táctica rápidamente cuando no logran resultados satisfactorios.

En la figura 17 se muestra cómo los operadores de correo electrónico no deseado malicioso hicieron pruebas con el uso de archivos .docm, JavaScript, .wsf y .hta durante el período observado. Como se mencionó anteriormente, muchos de estos tipos de archivos están asociados con correo electrónico no deseado enviado por el botnet Necurs. (Para conocer la investigación relacionada con otros tipos de archivo que analizamos, consulte el apéndice en la página 78).

Los porcentajes específicos para los diferentes tipos de archivo en un mes determinado se obtienen a partir del porcentaje del total de correo electrónico no deseado que contenía archivos adjuntos maliciosos observados en el mes en cuestión. Entonces, por ejemplo, en julio del 2016, los archivos .docm representaron el 8 % del porcentaje total de los archivos adjuntos maliciosos observados.

Los patrones con archivos .wsf durante el 2016 (consulte la figura 17) proporcionan un ejemplo de cómo los adversarios desarrollan las tácticas de correo electrónico no deseado malicioso con el tiempo. Antes de febrero de 2016, este tipo de archivo muy rara vez se usó como archivo adjunto malicioso. Luego, el uso de este tipo de archivo comenzó a aumentar a medida que el botnet Necurs cobraba más actividad. En julio, los archivos .wsf representaron el 22 % de todos los archivos adjuntos de correo electrónico no deseado malicioso. Esto también sucedió en torno al momento en que la actividad de correo electrónico no deseado a nivel mundial aumentó notablemente (consulte la sección anterior), un incremento que se debió en gran parte al botnet Necurs.

Durante agosto, septiembre y octubre, vimos fluctuaciones en los porcentajes de archivos .wsf. Esto indica que los adversarios se retiraban en los momentos en que el tipo de archivo se detectaba con mayor frecuencia.

Con archivos adjuntos maliciosos

Contiene .js malicioso

Contiene .zip malicioso

Contiene .docm malicioso

Contiene .wsf malicioso

Contiene .hta malicioso

0%

80%

60%

40%

20%

Por

cent

aje

de c

orre

os e

lect

róni

cos

no d

esea

dos

tota

les

2015

Ene Oct

Nov

Dic

.

Abr

May Jun

Feb

Mar

Ago

SepJu

l

2016

Ene Abr

May Jun

Feb

Mar

Ago

Sep OctJu

l


Figura 17. Porcentaje del total del correo electrónico no deseado que contiene archivos adjuntos maliciosos

Figura 17 Porcentaje del total de correos electrónicos no deseados que contienen archivos adjuntos maliciosos

COMPARTIR






28



Ataques por correo electrónico no deseado: hailstorm y snowshoeDos tipos de ataques maliciosos por correo electrónico no deseado son especialmente problemáticos para los defensores: los ataques denominados “hailstorm” (granizada) y “snowshoe” (calzado para la nieve). Ambos recurren a la velocidad y al punto al que se dirigen, y ambos son altamente eficaces.

Los ataques de tipo hailstorm se dirigen a sistemas contra correo electrónico no deseado. Los operadores detrás de estos ataques hacen uso del poco tiempo que hay entre el momento en que inician su campaña de correo electrónico no deseado y el momento en que los sistemas de protección contra correo electrónico no deseado la detectan e impulsan la cobertura con los análisis de protección contra correo electrónico. Generalmente, los adversarios tienen unos solos segundos o minutos para actuar antes de que sus campañas sean detectadas y bloqueadas.

El pico que se observa en la figura 18 es un ataque de tipo hailstorm. La actividad se muestra en la interfaz de investigación de Cisco. Justo antes del ataque, nadie resolvía la dirección IP. Luego, de pronto, la cantidad de computadoras que resolvían el dominio en DNS aumentó a más de 78 000 antes de volver a 0.

Compare el ataque de tipo hailstorm con una campaña de correo electrónico no deseado de tipo snowshoe, que también se muestra en la figura 18, en la que los atacantes intentan pasar desapercibidos ante las soluciones de detección basadas en volúmenes. La cantidad de búsquedas de DNS es constante, pero solo hay unas 25 consultas por hora. Estos ataques de bajo volumen permiten que los adversarios distribuyan correo electrónico no deseado en forma silenciosa a partir de una amplio rango de direcciones IP.

Si bien estos ataques por correo electrónico no deseado funcionan de manera diferente, tienen aspectos en común. Con cualquiera de estos dos enfoques, los adversarios pueden hacer lo siguiente:

● Evadir una mala reputación mediante envíos desde dominios y dirección IP limpios.

● Emular correo de marketing con contenido profesional y administración de suscripciones.

● Utilizar sistemas de correo electrónico bien configurados en lugar de scripts descuidados o bots de correo electrónico no deseado.

● Configurar correctamente registros de marco de directivas de remitente (SPF) y DNS inverso doble.

78 651 consultas

35 consultas

0

20

40

0

25,000

50,000

75,000

Con

sult

as D

NS

/hor

aC

onsu

ltas

DN

S/h

ora

Fecha

16 18 20 22 24 26 8 10 12 1428 30 2 4 6OctSep

16 18 20 22 24 26 8 10 12 1428 30 2 4 6OctSep

Ataque de correo electrónico no deseado tipo Hailstorm

Ataque de correo electrónico no deseado tipo Snowshoe

Fuente: Cisco Investigate

Figura 18. Comparación de los ataques de correo electrónico no deseado tipo Hailstorm y SnowshoeFigura 18 Comparación de los ataques de correo electrónico no deseado de Hailstorm y Snowshoe

COMPARTIR






29



Los adversarios también pueden afectar la detección de contenido al transformar el texto y alternar entre distintos tipos de archivo. (Para obtener más información sobre cómo los ciberdelincuentes desarrollan sus amenazas para evadir a los defensores, consulte la sección “Tiempo de desarrollo”, en la página 34). Para obtener más información sobre cómo hacen pruebas con archivos adjuntos maliciosos para el correo electrónico no deseado, consulte la sección anterior.

En la figura 19 se muestran las principales alertas de ataques de amenazas. Esta es una descripción general de los mensajes de correo electrónico no deseado y de suplantación de identidad que observamos que los adversarios con frecuencia actualizaron en el 2016 para sortear los controles y las reglas de seguridad de correo electrónico. Es importante saber qué tipos de amenazas de correo electrónico son los más predominantes para que pueda evitar ser engañado por estos mensajes maliciosos.

Nombre y URL de la publicación Resumen del mensaje

Tipos de archivo adjunto Idioma

Última fecha de publicación

Identi�cador de la publicaciónVersión

41886 RuleID4961 .zip Inglés, alemán,español 22/02/201647 Transferencia, envío,

facturación

39150 Inglés, alemán,Multiple Languages.zip 25/01/201658 RuleID4961KVR Solicitud de cotización,

pedido de productos

38095 .zip Inglés 01/08/201661 RuleID858KVR Envío, cotización, pago

37179 .zip Inglés, español 21/07/201663 RuleID13288 Aviso de entrega, comparecencia judicial, factura del ticket

36917 .zip Inglés 08/07/201664 RuleID4961KVR Con�rmación, pago/transferencia, pedido, envío

34796 .zip Alemán, inglés 29/09/201666 RuleID5118 Pedido de productos, pago

40056 .rar Inglés 07/06/201670 RuleID6396 Orden de compra, pago, recibo

41513 .zip Inglés 01/09/201672 RuleID18688 Pedido, pago, seminario

38971 .zip, .gz Inglés 08/08/201674 RuleID15448 Orden de compra, pago, recibo

36916 .zip Inglés 01/02/201682 RuleID4400KVR Órdenes de compra

34577 .zip Alemán, inglés87 02/06/2016RuleID10277 Orden de compra

35656 .zip Alemán, inglés 25/04/201696 RuleID4626 Facturación, pago

39317 .zip Inglés, alemán,español 28/01/201664 RuleID4626 (cont) Factura, pago, envío

Figura 19. Principales alertas de ataques de amenazas


Figura 19 Alertas principales de brotes de amenazas




30



Métodos de ataque web: las instantáneas de “cola larga” revelan amenazas que los usuarios pueden evitar con facilidadLa denominada “cola larga” del espectro de métodos de ataque web (figura 20) incluye un conjunto de tipos de malware de menor volumen que se emplean en una etapa posterior en la cadena de ataque: la instalación. En esta etapa, la amenaza distribuida (un troyano bancario, un virus, una aplicación de descarga o algún ataque de otro tipo) instala una puerta trasera en el sistema objetivo, y así los adversarios obtienen acceso continuo y la oportunidad para retirar datos, iniciar ataques de ransomware y participar en otra acción maliciosa.

Las amenazas incluidas en la figura 20 son ejemplos de firmas de malware que no se encuentran dentro de los 50 tipos de malware más comúnmente observados. La “cola larga” de los métodos de ataque web es, básicamente, una instantánea de amenazas que trabajan silenciosamente en una máquina o sistema después de un ataque exitoso. Muchas de estas infecciones se generaron, en principio, por exponerse a adware malicioso o a un fraude de suplantación de identidad bien diseñado. Estas son situaciones que los usuarios pueden a menudo evitar fácilmente o corregir rápidamente.

PUA y binarios sospechosos91

Heurístico36

Gusano (Allaple)16

Descargador troyano (HTML)14

Descargador troyano (JS)10

Troyanos (Agent)9

Descargador troyano (VBS)7

Puerta trasera (Java)

Troyanos (Locky)Heurístico (CVE-2013-0422)Virus (Replog)Troyanos (Win32)Virus (Fas)Malware de descargador troyano (Small)Troyanos (Cryptodef)Puerta trasera (Far�i)Puerta trasera (Gbot)Linux (Veribak)Troyanos de redireccionamiento del navegador (JSRedir)Descargador troyano (Upatre)Descargador troyano (Win32)Puerta trasera (NuPrader)Troyanos (Shifu)Troyanos (Zbot)Troyanos (Yakes)Troyanos (Scar)Troyanos (Reconyc)Troyanos (Crypt)Troyanos (Crypmod)Troyanos (Bitman)Troyanos (Deshacop)

7

55322222211111111111111

Figura 20. Muestra de malware de bajo volumen observado


Figura 20 Muestra de malware de bajo volumen observado

Una vez que la amenaza se establece, instala una puerta trasera en el sistema de un blanco, lo que les brinda a los atacantes un acceso persistente.


COMPARTIR






31



Riesgo vertical de hallazgos de malware: los atacantes ven el valor en todos los ámbitosEn el Informe semestral sobre ciberseguridad de 2016 de Cisco, un mensaje clave sobre el riesgo de malware fue que “no hay ningún mercado vertical seguro”. A partir del análisis periódico que realizan nuestros investigadores sobre el tráfico de ataque (“tasas de bloqueo”) y el tráfico “normal” o previsto para cada sector, este mensaje sigue teniendo vigencia en la segunda mitad del año.

Si observamos los mercados verticales y sus tasas de bloqueo con el tiempo (figura 21), vemos que, en algún momento a lo largo de varios meses, cada sector ha sufrido tráfico de ataque en diversos niveles. Está claro que los ataques aumentan y disminuyen, y afectan a distintos mercados verticales en diversos momentos, pero ninguno es inofensivo

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

0%

20%

40%

Calefacción, plomería y A/A

Educación

Agricultura y minería

Energía, petróleo y gas

Comercio minorista y mayorista

Fabricación

Electrónica

Servicios públicos

Servicios profesionales

Banca y �nanzas

TI y telecomunicaciones

Ingeniería y construcción

Viajes y ocioTransporte y navegación

Productos farmacéuticos y químicos

Gobierno

Seguros Legales

Industrial

Alimentos y bebidas

Instituciones bené�cas y ONG

Bienes raíces y gestión de tierras

Atención médica

Entretenimiento

Automóviles AeronáuticaContabilidad

Medios de comunicación y editoriales

Figura 21. Porcentaje de las tasas mensuales de bloqueo vertical


Figura 21 Porcentaje de índices de bloqueos verticales mensuales

COMPARTIR








32



Descripción general regional de la actividad de bloqueo webLos adversarios cambian con frecuencia su base de operaciones, en busca de infraestructura débil desde las que puedan iniciar sus campañas. Al analizar el volumen total de tráfico de Internet y la actividad de bloqueo, los investigadores de amenazas de Cisco brindan conocimientos sobre las fuentes de malware.

Como se muestra en la figura 22, el tráfico de los Estados Unidos aumentó levemente con respecto a las tasas de bloqueo observadas en el Informe semestral sobre

ciberseguridad de 2016 de Cisco. En Estados Unidos reside la mayor cantidad de bloqueos, pero esto se debe considerar una función de la mayor cantidad de tráfico en línea del país. Además, Estados Unidos es uno de los objetivos de ataques de malware más grandes del mundo.

Las conclusiones de los profesionales de seguridad: muy parecido a lo que sucede con la actividad de bloqueo web del mercado vertical, la actividad de bloqueo web regional muestra que el tráfico de malware es un problema global.

Belice

Estados Unidos

Alemania

Rumania

Canadá

Australia

1.54

1.20

3.88

2.77

1.001.60

3.52

1.31

1.43

2.11

Malasia

Turquía

0.94 Rusia

1.15 Venezuela

China

Perú

0.83Chile

2.84 Indonesia

1.07 Vietnam

1.47 Ucrania

1.46Panamá

1.22Italia

0.87Francia

Relación esperada: 1.0

Figura 22. Bloqueos web por país


Figura 22 Bloques web por país

COMPARTIR








33



Tiempo de detección: una métrica fundamental para medir el progreso de los defensoresCisco redefine continuamente el enfoque para medir el tiempo de detección para que podamos asegurarnos de que realizamos el seguimiento y el informe del cálculo más preciso de nuestro tiempo de detección medio. Los ajustes recientes en nuestro enfoque han incrementado nuestra visibilidad de archivos que se clasificaron como “desconocidos” al ser vistos por primera vez y, luego, como “malos conocidos” después del análisis continuo y de la observación global. Gracias a una mirada más integral de los datos, podemos identificar mejor cuando surgió una amenaza por primera vez y exactamente cuánto tiempo necesitaron los equipos de seguridad para determinar que se trataba de una amenaza.

Este nuevo conocimiento nos ayudó a determinar que nuestro tiempo de detección medio era de 39 horas en noviembre de 2015. (Consulte la figura 23). Para enero del 2016, habíamos reducido el tiempo de detección medio a 6,9 horas. Después de recopilar y analizar datos para octubre de 2016, nuestros investigadores de amenazas determinaron que los productos de Cisco habían alcanzado un tiempo de detección medio de 14 horas para el período de noviembre de 2015 a octubre de 2016. (Nota: La figura del tiempo de detección medio para el 2016 es el promedio de los tiempos medios del período observado).

El tiempo de detección medio fluctuó a lo largo del 2016, pero, en general, tendió a disminuir. Los aumentos en el tiempo de detección medio señalan momentos en los que los atacantes iniciaron una ola de nuevas amenazas. Las posteriores disminuciones reflejan los períodos en que los defensores obtuvieron la ventaja y pudieron identificar amenazas conocidas rápidamente.

En la figura 23 también se muestra que el tiempo de detección medio era de aproximadamente 15 horas a finales de abril, que es mayor que la cifra de 13 horas que informamos en el Informe semestral de ciberseguridad de 2016 de Cisco.¹⁴ Esa cifra de 15 horas se obtuvo a partir de los datos recopilados de noviembre de 2015 a abril de 2016. No se obtuvo mediante el uso de nuestro enfoque modificado para analizar información retrospectiva más detallada sobre los archivos. Con la nueva cifra de tiempo de detección semestral, podemos informar que el tiempo de detección disminuyó a unas 9 horas para el período de mayo a octubre de 2016.

La revisión de datos retrospectivos es importante no solo para determinar una medida más precisa de nuestro tiempo de detección medio, sino también para estudiar cómo las amenazas se desarrollan con el tiempo. Las numerosas amenazas en el panorama son particularmente evasivas y puede llevar mucho tiempo identificarlas aunque la comunidad de seguridad las conozca.

Los adversarios desarrollarán algunas familias de malware para evitar la detección y aumentar su tiempo para operar. Esta táctica dificulta el progreso de los defensores de lograr, y luego mantener, una ventaja en la detección de muchos tipos de amenazas conocidas. (Para obtener más información sobre este tema, consulte “Tiempo de desarrollo: en el caso de algunas amenazas, el cambio es constante”, en la página 34). Sin embargo, el hecho de que los ciberdelincuentes se ocupen de un rápido y frecuente desarrollo de sus amenazas indica que enfrentan una presión intensa y sistemática para encontrar formas de mantener las amenazas en funcionamiento y rentables.

Hor

as m

edia

nas

Dic

.

Ene

2016

Nov

2015

Feb

Mar

Abr

May Jun

Jul

Ago

Sep Oct

Figura 23. TTD medio por mes


0

10

20

30

4039,16

6,89

18,22

8,48

15,19

8,586,48 6,05

8,11

Figura 23 TTD medio por mes

Cisco define el tiempo de detección (TTD) como la ventana de tiempo entre un riesgo y la detección de una amenaza. Determinamos este período mediante la telemetría de seguridad de inclusión voluntaria reunida de los productos de seguridad de Cisco implementados en todo el mundo. A través de nuestra visibilidad global y un modelo de análisis continuo, podemos realizar mediciones desde el momento en que el código malicioso se ejecuta en un terminal hasta el momento en que se determina que es una amenaza para todo el código malicioso que no se clasificó cuando se detectó.

¹⁴ Informe semestral sobre ciberseguridad 2016 de Cisco: http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html.


34



Tiempo de desarrollo: en el caso de algunas amenazas, el cambio es constanteLos ciberdelincuentes utilizan diferentes técnicas de ofuscación para que su malware se mantenga fuerte y rentable. Dos métodos comunes que emplean consisten en desarrollar los tipos de distribución de carga útil y en generar rápidamente nuevos archivos (que anulan los métodos de detección de solo hash). Nuestros investigadores analizaron detenidamente cómo los adversarios usaron estas dos estrategias para ayudar a seis familias conocidas de malware (Locky, Cerber, Nemucod, Adwind RAT, Kryptik y Dridex) a evadir la detección y a continuar poniendo en riesgo a usuarios y sistemas.

Con nuestro análisis, intentamos medir el “tiempo de desarrollo”, es decir, el tiempo que les lleva a los adversarios cambiar la forma en que se distribuye el malware específico y el tiempo que transcurre entre cada cambio en las tácticas. Analizamos datos de ataque web de diferentes fuentes de Cisco, específicamente: datos de proxy web, productos avanzados contra malware en la nube y en terminales, y motores compuestos contra malware.

Nuestros investigadores buscaron cambios en las extensiones de archivo que distribuyen el malware y el tipo de contenido de archivo (o MIME) según lo define el sistema de un usuario. Determinamos que cada familia de malware tiene un patrón único de desarrollo. Para cada línea, analizamos los patrones en los métodos de distribución por la Web y por correo electrónico. También realizamos un seguimiento de la antigüedad de los algoritmos hash únicos asociados con cada familia de malware para determinar la rapidez con que los adversarios crean nuevos archivos (y, así, nuevos algoritmos hash).

A través de nuestra investigación, aprendimos lo siguiente:

● Las familias de ransomware tienen, aparentemente, una rotación similar de archivos binarios nuevos. Sin embargo, Locky utiliza más combinaciones de MIME y extensiones de archivos para distribuir su carga útil.

● Algunas familias de malware emplean solo unos pocos métodos de distribución de archivos. Otras utilizan 10 o más. Los adversarios suelen usar archivos binarios eficaces durante períodos prolongados. En otros casos, los archivos aparecen y luego desaparecen rápidamente, lo que indica que los creadores de malware tienen la presión de cambiar de táctica.

● Las familias de malware Adwind RAT y de Kryptik tienen un tiempo de detección medio más alto. (Para obtener más información sobre el tiempo de detección, consulte la página 33). También observamos una mayor combinación de antigüedades de archivos para estas familias. Esto sugiere que los adversarios reutilizan los archivos binarios eficaces que saben que son difíciles de detectar.

● Al observar la antigüedad de los archivos de la familia del malware Dridex, pareciera que la economía informal está abandonando el uso de este troyano alguna vez popular. A finales del 2016, el volumen de detección de Dridex disminuyó, al igual que el desarrollo de nuevos archivos binarios que distribuían este malware. Esta tendencia sugiere que los creadores de malware consideran que ya no vale la pena desarrollar esta amenaza o que han descubierto una nueva forma de distribuir el malware que lo ha vuelto más difícil de detectar.

35



Tiempo de desarrollo y tiempo de detecciónEn la figura 24, se enumeran las seis familias de malware que analizamos en nuestro estudio sobre el tiempo de desarrollo. El gráfico representa el tiempo de detección medio para las 20 principales familias de malware (por recuento de detección) que nuestros investigadores observaron de noviembre de 2015 a noviembre de 2016. Nuestro tiempo medio de detección promedio para ese período fue de aproximadamente 14 horas. (Para obtener más información sobre cómo calculamos el tiempo de detección, consulte la página 33).

Muchas de las familias de malware que los productos Cisco están detectando dentro del tiempo de detección medio son las amenazas industrializadas que se diseminan rápidamente y, por lo tanto, son más frecuentes. Cerber y Locky (dos tipos de ransomware) son ejemplos.

Las amenazas antiguas y generalizadas que los adversarios no se preocupan por desarrollar demasiado, o en absoluto, también se detectan habitualmente en menos tiempo que el tiempo de detección medio. Entre los ejemplos se incluyen familias de malware, como Bayrob (botnet de malware), Mydoom (gusanos de computadoras que afectan a Microsoft Windows) y Dridex (troyano bancario).

En las siguientes secciones, presentamos los puntos destacados de la investigación sobre tiempo de desarrollo y tiempo de detección de las familias de malware Locky, Nemucod, Adwind RAT y Kryptik. La conclusión detallada sobre Cerber y Dridex se incluye en el apéndice de la página 78.

Por

cent

aje

de d

etec

cion

es t

otal

es

Horas de TTD medio

Figura 24: TTD medio de las principales familias de malware (principales 20 familias por recuento de detecciones)

0

5

10

15

20

25

30

35

0 5 10 15 20 25 30 35 40 45 50

docdldridexdono�

fareit

hancitor

insightlocky

mamianune

nemucod

zusyzbotupatrerazymydoom

kryptikmabezat adwind

bayrob

cerber

TTD promedio de Cisco

adnel


Figura 24 Medias de TTD de las principales familias de malware (principales 20 familias por recuento de detecciones)

COMPARTIR






36



Análisis del tiempo de desarrollo: LockyMediante nuestra investigación sobre el tiempo de desarrollo, descubrimos que Locky y Cerber utilizan una cantidad limitada de combinaciones de MIME y de extensiones de archivos para distribuir malware por la Web y por correo electrónico. (Consulte la figura 25). Observamos varias combinaciones que incluían tipos de contenido de archivo relacionados con Microsoft Word (msdownload, ms-word). Sin embargo, las extensiones de archivo asociadas (.exe y .cgi) no apuntaban a un archivo de Word. También identificamos tipos de contenido que apuntaban a archivos .zip maliciosos.

Tanto Locky como Cerber también parecen utilizar nuevos archivos binarios con frecuencia en el intento de evadir la detección basada en archivos. La antigüedad de los archivos de la familia de Locky se muestran en la figura 26. La mitad superior de gráfico representa las antigüedades de archivos

que se observaron durante un mes específico. La parte inferior del gráfico muestra cambios mensuales en el volumen de algoritmos hash relacionados con Locky, tanto archivos nuevos como archivos observados anteriormente.

En la figura 26, también se señala una disminución en el volumen en junio, así como la distribución de las antigüedades de los archivos. El botnet Necurs, que se sabía que distribuía Locky, se desmontó en junio. Es probable que este hecho haya puesto a un lado los esfuerzos de los creadores de malware por mantener el malware actualizado durante ese mes. Sin embargo, está claro que se recuperaron rápidamente. En julio, el malware había vuelto a su combinación más estándar de antigüedades de archivos: la mayoría (74 %) con una antigüedad de menos de un día al ser detectados por primera vez.

Figura 25 La extensión del archivo y las combinaciones de MIME para la familia de amenazas e indicadores que condujeron a, e incluyen, la carga útil de Locky (vectores web y de correo electrónico)

Figura 26 Antigüedades de hash para la familia del malware Locky y porcentaje de volumen total de hash obtenido por mes

0%

25%

50%

75%

100%

Nov Dic. Ene Feb Mar Abr May Jul Ago SepJun Oct2015 2016


Por

cent

aje

de h

ash

de L

ocky

, añ

os d

e ha

sh <

24

hora

s

0%

5%

10%

Por

cent

aje

de v

olum

en

tota

l de

hash


Figura 26. Años de hash de malware de Locky Familia y el porcentaje de volumen total de hash observado por mes

Ene

Feb

Mar

Ene

May

Jun

Jul

Ago

Sep

Oct

Nov

Vectores exclusivosdoc y aplicación/msword

zip y aplicación/zipjs y texto/sin formato

xls y aplicación/vnd.ms-excel

doc y texto/sin formato

lib y texto/sin formato

rar y aplicación/x-rar

rtf y aplicación/msword

js y texto/html

docm y aplicación/vnd.open…

doc y aplicación/vnd.open…wsf y texto/html

sin extensión y aplicación/vnd…

wsf y aplicación/xml

xls y aplicación/vnd.openxml…

sin extensión y aplicación/vnd…

vbs y texto/sin formato

exe y aplicación/msdownload

sin extensión y aplicación/zip

exe y aplicación/msdos-prog…sin extensión y texto/sin formato

aspx y aplicación/zip

php y aplicación/zip

sin extensión y aplicación/dosexec

jsp y aplicación/zip

sin extensión y aplicación/ms-wo…cgi y aplicación/ms-word.doc…

js y texto/javascript

Correo electrónico Web


Figura 25. Extensión de archivo y combinaciones MIME para la familia de amenazas e indicadores que generan e incluyen la carga de Locky (vectores de correo electrónico y web)

COMPARTIR






37



La rápida alternancia de archivos binarios para este ransomware no es sorprendente. Las instancias de Locky y de Cerber suelen ser detectadas el mismo día que son introducidas o en un plazo de 1 a 2 días después, por lo cual los adversarios se ven ante la necesidad de desarrollar continuamente estas amenazas si desean que sigan siendo activas y eficaces. (En la figura 24, mencionada anteriormente, se muestran los productos de Cisco que detectaron el ransomware Locky y de Cerber dentro del tiempo de detección medio en el 2016).

En la figura 27 se muestra el tiempo de detección medio del ransomware Locky, que disminuyó considerablemente de aproximadamente 116 horas en noviembre de 2015 a menos de 5 horas en octubre de 2016.

100

120

0

20

40

60

80


Hor

as m

edia

nas


116,1

89,3

7,1 5,94,7

Figura 27. TTD de la familia de malware de LockyFigura 27 TTD de la familia del malware Locky

38



Análisis del tiempo de desarrollo: NemucodEn el 2016, Nemucod fue el malware detectado con mayor frecuencia entre las 20 familias principales que se muestran en la figura 24. Los adversarios usan este malware de aplicación de descarga para distribuir el ransomware y otras amenazas, como troyanos de puerta trasera que facilitan los fraudes mediante un clic. Algunas variantes de Nemucod también funcionan como motores para distribuir la carga útil del malware de Nemucod.

Un motivo por el cual el malware Nemucod fue tan predominante en el 2016, según nuestros investigadores de amenazas, es que sus creadores desarrollaron con frecuencia esta amenaza. Cisco identificó más de 15 combinaciones de MIME y de extensiones de archivos asociadas con la familia Nemucod que se usaban para distribuir malware por la Web. Muchas otras combinaciones se utilizaron para distribuir la amenaza a los usuarios a través del correo electrónico (figura 28).

Varios combinaciones de MIME y de extensiones de archivos (de distribución por la Web y por correo electrónico) fueron diseñadas para dirigir a los usuarios a archivos o ficheros .zip maliciosos. Los adversarios también reutilizaron varias combinaciones durante los meses que observamos.

Como se muestra en la figura 29, muchos algoritmos hash de Nemucod tienen menos de 2 días de antigüedad cuando se detectan. En septiembre y octubre del 2016, prácticamente cada archivo binario relacionado con la familia de Nemucod tenía menos de un día de antigüedad.

0

20

40

60

80


Hor

as m

edia

nas


46,3

85,0

21,813,9 7,3

Figura 30. TTD de la familia de malware de NemucodFigura 30 TTD de la familia del malware Nemucod

Figura 29 Antigüedades de hash para la familia del malware Nemucod y porcentaje de volumen total de hash observado por mes

0%

25%

50%

75%

100%

Por

cent

aje

de h

ash

de N

emuc

od,

años

de

hash

< 2

4 ho

ras



0%

25%

50%

Por

cent

aje

de v

olum

en

tota

l de

hash


Figura 29. Años de hash para la familia de malware de Nemucod y porcentaje de volumen total de hash observado por mes

Figura 28 Extensión del archivo y combinaciones MIME para Nemucod (vectores web y de correo electrónico)

Ene

Feb

Mar

Abr

May

Jun

Jul

Ago

Sep

Oct

Nov

Vectores exclusivosjs y aplicación/javascript

html y texto/html

zip y aplicación/zip

sin extensión y aplicación/zipzip y aplicación/x-zip-comp…

html y aplicación/zipphp y aplicación/zip

zip y texto/sin formatojs y texto/sin formato

js y texto/x-pascaljs y texto/javascript

dat y aplicación/vnd.ms-tnefrar y aplicación/x-rar

aspxx y aplicación/zipxls y aplicación/zip

aspx y aplicación/zipcgi y aplicación/zip

wsf y texto/htmlsin extensión y aplicación/archivo

html y aplicación/archivocgi y aplicación/archivo

js y texto/x-make�lejs y texto/x-c

jsp y aplicación/zipsin extensión y texto/html

jse y texto/sin formatozip y aplicación/archivo

lib y texto/sin formatolib y texto/x-make�le

lib y texto/x-clib y texto/x-pascalgif y aplicación/zipjpg y aplicación/zippdf y aplicación/zip

docx y aplicación/zipti� y aplicación/zip

zip y aplicación/x-rarwrn y texto/sin formato

wrn y texto/x-cwrn y texto/x-pascal

vbs y texto/sin formatojs y texto/html

tgz y aplicación/x-gzipwsf y aplicación/xml

docx y aplicación/vnd.open…doc y aplicación/ziprar y aplicación/zip

php y aplicación/javascriptzip y aplicación/x-gzip

cab y aplicación/vnd.ms-cab…hta y texto/html

asp y aplicación/zipcgi y audio/wav

hta y aplicación/zip



Figura 28. Extensión de archivo y combinaciones MIME para Nemucod (vectores de correo electrónico y web)

39



Análisis del tiempo de desarrollo: Adwind RATLos investigadores de amenazas de Cisco descubrieron que el malware Adwind RAT (troyano de acceso remoto) se distribuye a través de combinaciones de MIME y de extensiones de archivos, que incluyen archivos .zip o .jar. Esto es así independientemente de que el malware se distribuya mediante el vector de ataque por correo electrónico o por la Web. (Consulte la figura 31).

Adwind RAT utilizó una amplia gama de antigüedades de hash durante la mayor parte del período observado en el 2016, excepto en septiembre y en octubre, cuando la mayoría de los archivos vistos tenían 1 o 2 días de antigüedad (figura 32).

También descubrimos que el tiempo de detección medio para Adwind RAT es siempre más alto que el tiempo de detección medio para otras familias de malware que analizamos (figura 33). Aparentemente, los creadores de malware han desarrollado mecanismos de distribución difíciles de detectar que garantizan el éxito de Adwind RAT. Por lo tanto, no deben rotar por nuevos algoritmos hash con la misma rapidez o frecuencia como los que trabajan con otras familias de malware. El troyano Adwind también es conocido por otros nombres, como JSocket y AlienSpy.

Ene

Feb

Mar

Abr

May

Jun

Jul

Ago

Sep

Oct

Nov

Vectores exclusivosjar y aplicación/archivo java

jar y aplicación/zipjar y aplicación/archivo


sin extensión y aplicación/archivosin extensión y aplicación/zip

clase y aplicación/x-java-applet



Figura 31. Extensión de archivo y combinaciones MIME para Adwind RAT (vectores de correo electrónico y web)

Figura 31 Extensión del archivo y combinaciones MIME para Adwind RAT (vectores web y de correo electrónico)

0

20

40

60

80


Hor

as m

edia

nas


70,7

30,0 25,316,2

13,0

Figura 33. TTD de la familia de malware de Adwind RATFigura 33 TTD de la familia del malware Adwind RAT

Figura 32 Antigüedades de hash para la familia del malware Adwind RAT y porcentaje de volumen total de hash observado por mes

0%

25%

50%

75%

100%



Por

cent

aje

de h

ash

de A

dwin

d R

AT,

años

de

hash

< 2

4 ho

ras

0%0,5%

1%1,5%

Por

cent

aje

de v

olum

en

tota

l de

hash


Figura 32. Años de hash para la familia de malware de Adwind RAT y porcentaje de volumen total de hash observado por mes





40



Análisis del tiempo de desarrollo: KryptikKryptik, como el malware Adwind RAT, tenía una tiempo de detección medio constantemente más alto (aproximadamente 20 horas) que otras familias de malware que Cisco analizó para el estudio sobre el tiempo de detección de noviembre de 2015 a octubre de 2016 (figura 36). Sin embargo, en octubre, los productos Cisco habían reducido el tiempo de detección medio del malware Kryptik a menos de 9 horas (figura 36).

La familia de malware Kryptik también utilizó una gama más amplia de antigüedades de hash en comparación con las otras familias de malware que analizamos, especialmente durante la primera mitad del 2016. La capacidad de los creadores de Kryptik de utilizar algoritmos hash antiguos durante tanto tiempo indica que a los defensores les resultada difícil detectar este tipo de malware.

Durante el período que observamos, los creadores de Kryptik emplearon una amplia gama de métodos de distribución de carga útil mediante el vector de ataque web. Los creadores utilizaron archivos JavaScript y archivos de almacenamiento, como .zip, en las combinaciones de MIME y de extensiones de archivos para la distribución tanto por la Web como por correo electrónico. (Consulte la figura 34). Algunas de las combinaciones se remontan al 2011.

En nuestro análisis de las seis familias de malware, descubrimos que los adversarios deben cambiar de táctica con frecuencia para aprovechar el poco tiempo durante el cual las amenazas pueden funcionar correctamente. Estos ajustes se indican que los defensores están teniendo un mejor desempeño en la rápida detección de malware conocido, incluso después de que una amenaza se haya desarrollado. Los atacantes tienen la presión de encontrar nuevas maneras de evitar la detección y de mantener sus campañas rentables.

En este panorama complejo de rápido desarrollo, en el que todas las familias de malware se comportan de una manera diferente, la experiencia humana y las soluciones puntuales no son suficientes para identificar y responder rápidamente a las amenazas. Para mejorar el tiempo de detección y garantizar una rápida solución cuando se producen infecciones, es fundamental contar con una arquitectura de seguridad integrada que proporcione conocimientos en tiempo real sobre amenazas, junto con detección y defensa automatizadas.

Figura 34 Extensión del archivo y combinaciones MIME para Kryptik (vectores web y de correo electrónico)

Ene

Feb

Mar

Abr

May

Jun

Jul

Ago

Sep

Oct

Nov

Vectores exclusivosjs y aplicación/javascript

gif e imagen/gifjpg e imagen/jpeg

html y texto/htmljs y texto/javascript

sin extensión y texto/htmlhtm y texto/htmlphp y texto/htmlico y texto/html

png e imagen/pngzip y aplicación/x-zip-comp…


exe y aplicación/msdownloaddoc y aplicación/msword

sin extensión y aplicación/exesin extensión y aplicación/zip

js y texto/sin formatorar y aplicación/x-rar

scr y aplicación/x-dosexecexe y aplicación/x-dosexec

jar y aplicación/zipgif y texto/html

sin extensión y aplicación/archivovbs y texto/sin formato

asp y texto/htmlsin extensión y aplicación/java…

php y aplicación/exetbz2 y aplicación/x-rar



Figura 34. Extensión de archivo y combinaciones MIME para Kryptik (vectores de correo electrónico y web)

0

20

40

60

80


Hor

as m

edia

nas


55,1

63,7

34,422,4

8,7

Figura 36. TTD de la familia de malware de KryptikFigura 36 TTD de la familia del malware Kryptik

Figura 35 Antigüedades de hash para la familia del malware Kryptik y porcentaje de volumen total de hash observado por mes

0%

25%

50%

75%

100%



Por

cent

aje

de h

ash

de K

rypt

ik,

años

de

hash

< 2

4 ho

ras

0%

1%

2%

Por

cent

aje

de v

olum

en

tota

l de

hash


Figura 35. Años de hash para la familia de malware de Kryptik y porcentaje de volumen total de hash observado por mes

Comportamiento del defensor

Comportamiento del defensor42


Comportamiento del defensorVulnerabilidades en disminución en el 2016En la segunda mitad del 2016, las vulnerabilidades divulgadas por los proveedores disminuyeron significativamente en comparación con el 2015, según nuestra investigación (figura 37). La base de datos de vulnerabilidad nacional muestra una disminución similar. No están completamente claros cuáles son los motivos por los que disminuyeron los avisos de vulnerabilidades divulgadas.

Debe resaltarse que el 2015 fue un año inusualmente activo para las vulnerabilidades, por lo que las cifras del 2016 pueden reflejar un ritmo normal de avisos de vulnerabilidad. De enero a octubre del 2015, las alertas alcanzaron 7602 en total. Durante el mismo período en el 2016, las alertas alcanzaron 6380 en total y, durante ese período en el 2014, las alertas fueron 6272 en total.

La gran cantidad de informes de vulnerabilidades en el 2015 puede indicar que los proveedores observaban más detenidamente los productos y los códigos existentes, implementaban con más cuidado prácticas seguras de ciclo de vida del desarrollo e identificaban vulnerabilidades y las corregían posteriormente. La disminución en la cantidad de

vulnerabilidades informadas puede indicar que estos esfuerzos están dando sus frutos. Es decir, los proveedores ahora se centran en la identificación de vulnerabilidades y en su corrección antes de que los productos lleguen al mercado.

En el 2016, Apple fue el proveedor que experimentó la disminución de vulnerabilidades más importante: la empresa informó 705 vulnerabilidades en el 2015 y 324 vulnerabilidades en el 2016 (una disminución del 54 %). De un modo similar, Cisco informó 488 vulnerabilidades en el 2015 y 310 en el 2016 (una disminución del 36 %).

Una preocupación entre los investigadores de seguridad es que los profesionales de seguridad comiencen a experimentar “cansancio por vulnerabilidades”. En los últimos meses, no ha habido ningún anuncio de vulnerabilidades importantes que genere la reacción de todo el sector, como lo hizo Heartbleed en el 2014. De hecho, la euforia en torno a las vulnerabilidades “con nombre”, como Heartbleed, y el aumento en el 2015 contribuyeron probablemente con el nivel de cansancio, al menos, con la disminución en el interés por informar vulnerabilidades.

Ene Feb Mar Abr May Jun Jul. Ago. Sep. Oct. Nov. Dic.0

1K

2K

3K

4K

5K

6K

7K

8K

9K

Figura 37. Totales de alertas anuales acumuladas


2013 2014 2015 2016

Ale

rtas

634

1327

2193

2992

3811

4407

49695483

59766380

Figura 37 Alertas acumulativas totales anuales

https://nvd.nist.gov/



Figura 38. Recomendaciones importantes de vulnerabilidad por proveedor y tipo

Microsoft Adobe Cisco TPS ICS Apple Apache Oracle HPVMware

174 162 28 25 10 8 5 3 3 3

Fuente: Base de datos nacional de vulnerabilidad (NVD)

Figura 38 Asesorías de vulnerabilidad crítica por proveedor y tipo

Cisco ahora utiliza las calificaciones de gravedad/efecto (SIR), en las cuales los niveles de calificación son “crítico”, “alto”, “medio” y “bajo”. Las calificaciones reflejan una priorización simplificada de puntuaciones del sistema de puntuación de vulnerabilidades comunes (CVSS). Asimismo, Cisco ha adoptado CVSS v3.0, el sucesor de CVSS v2.0. Debido a este cambio, algunas vulnerabilidades pueden tener puntuaciones más elevadas que antes, por lo que los profesionales de la seguridad pueden ver un pequeño aumento en la cantidad de vulnerabilidades calificadas como “críticas” y “altas” en lugar de “medias” y “bajas”. Para más información con respecto a este cambio de puntuación, consulte la publicación del blog Seguridad de Cisco, Evolución de la puntuación de vulnerabilidades de seguridad: la secuela.

Las asesorías enumeradas arriba se relacionan con vulnerabilidades críticas seleccionadas de 2016 que fueron informadas por diversas fuentes por tener su código de ataque disponible públicamente o ser atacadas de manera activa en la web abierta.

En el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco (página 49), los profesionales de seguridad indicaron una ligera disminución en su acuerdo respecto a la puesta en operación de la seguridad. Esta disminución puede estar conectada con el “cansancio” que surge de la necesidad de implementar continuamente parches o actualizaciones. Por ejemplo, en el 2016, el 53 % de los profesionales de seguridad expresaron estar completamente de acuerdo con revisar y mejorar las prácticas de seguridad en forma periódica, formal y estratégica; en el 2014 y el 2015, el 56 % expresó total acuerdo.

Por supuesto, una disminución de las vulnerabilidades no debe conllevar una confianza excesiva respecto al panorama de amenazas: nadie debe pensar que la atención a las amenazas puede interrumpirse, incluso cuando no hay ataques destacados

Tal como lo hemos sugerido en informes anteriores, los profesionales de seguridad deben hacer un esfuerzo conjunto por priorizar los parches. Si la falta de personal y de recursos de otro tipo impide la instalación oportuna de todos los parches disponibles, evalúe cuáles son los más críticos para la seguridad de la red y póngalos arriba de la lista.

Título de la recomendaciónFecha de publicación

28 de julio de 2016

28 de julio de 2016

21 de julio de 2016

Martes, 23 de mayo de 2016

8 de febrero de 2016

28 de julio de 2016

18 de julio de 2016

Jun 23, 2016



Vulnerabilidad de ejecución del código de corrupción de la memoria de Adobe Acrobat y Acrobat Reader

Vulnerabilidad de ejecución del código remoto de corrupción de la memoria de Adobe Acrobat y Acrobat Reader

Vulnerabilidad de corrupción de la memoria de Adobe Acrobat y Acrobat Reader

Vulnerabilidad de desbordamiento de operaciones de Adobe Acrobat y Acrobat Reader

Vulnerabilidad de ejecución del código remoto de corrupción de la memoria de Adobe Acrobat y Acrobat Reader






Figura 39. Recomendaciones importantes de vulnerabilidad seleccionadas


Figura 39 Asesorías de vulnerabilidades críticas seleccionadas


https://blogs.cisco.com/security/cvssv3-study






Vulnerabilidades de servidor y de clienteComo se analizó en el Informe semestral sobre ciberseguridad de 2016 de Cisco, los adversarios encuentran tiempo y espacio para operar dentro de las soluciones de servidor. Al iniciar ataques en el software de servidor, pueden llegar a ganar control de más recursos de red o moverse lateralmente entre otras soluciones críticas.

Los investigadores de Cisco han realizado un seguimiento de vulnerabilidades de cliente y de servidor por el proveedor (figura 40).

Middleware: los adversarios ven una oportunidad en el software sin parchesEn el Informe semestral sobre ciberseguridad de 2016 de Cisco, compartimos datos sobre ataques contra sistemas de servidor. En el 2017, el middleware, que conecta plataformas o aplicaciones, se prepara para atraer a los atacantes que buscan lugares para operar en los que los defensores están lentos para reaccionar o reconocer una amenaza.

Los investigadores de Cisco, mientras buscaban vulnerabilidades de software de terceros, descubrieron un promedio de 14 vulnerabilidades nuevas de software por mes. La mayoría de estas vulnerabilidades (62) podían atribuirse al uso de middleware. De las 62 vulnerabilidades, 20 se encontraron en el código que administra archivos PDF, 12 en el código que administra imágenes, 10 en el código para soluciones comunes de productividad de oficina, 9 en el código para la compresión y 11 en otras bibliotecas (figura 41).

Las vulnerabilidades de middleware constituyen una amenaza de seguridad única porque sus bibliotecas no se actualizan generalmente tan rápido como el software más orientado al cliente, es decir, software con los que los usuarios interactúan directamente todos los días, como las soluciones de productividad. Las bibliotecas de middleware pueden dejarse fuera de las auditorías de software, por lo que las vulnerabilidades quedan en el lugar.

Vulnerabilidades del servidor

(De 2332 a 3142)

Vulnerabilidades del cliente

(De 2300 a 2106)

Vulnerabilidades de la red

(De 501 a 396)

34% 8% 20%

Figura 40. Desglose de vulnerabilidades del cliente-servidor, 2015—2016

Fuente: Base de datos nacional de vulnerabilidad

Figura 40 Desglose de vulnerabilidades del servidor del cliente, de 2015 a 2016

Figura 41. Vulnerabilidades encontradas en bibliotecas de middleware

11Otro

9Compresión

10O�ce

12Imagen

20PDF


Figura 41 Vulnerabilidades encontradas en bibliotecas de middleware

COMPARTIR












Las organizaciones pueden apostar que el middleware es seguro y prestar mayor atención a la actualización de soluciones destacadas. Pero pueden perder la apuesta de que los atacantes no buscarán ingresar a las redes a través de estas rutas poco destacadas. El middleware se convierte en un punto ciego de seguridad para los defensores y en una oportunidad para los atacantes.

El desafío de actualizar bibliotecas de middleware se relaciona estrechamente con el problema del software de código abierto (analizado en el Informe semestral sobre seguridad de 2015 de Cisco), ya que muchas soluciones de middleware provienen de desarrolladores de código abierto. (Sin embargo, el problema en cuestión puede afectar tanto a desarrolladores de código abierto como a desarrolladores de middleware privado). Por lo tanto, las bibliotecas de middleware pueden depender de muchos desarrolladores para que las mantengan actualizadas. En la lista de tareas por hacer de un equipo de seguridad o de TI sobrecargado, las actualizaciones de biblioteca de middleware probablemente no ocupen el primer lugar, pero se les debería prestar mayor atención.

¿Cuál es el posible efecto de una vulnerabilidad de middleware que los adversarios continúan aprovechando? Dadas las conexiones entre el middleware y otros sistemas críticos, como el correo electrónico o la mensajería, un atacante podría introducirse lateralmente en estos sistemas y enviar mensajes de suplantación de identidad o correo electrónico no deseado. Otra opción es que los atacantes se enmascaren como usuarios autorizados y abusen de las relaciones de confianza entre los usuarios para obtener acceso adicional.

Para evitar ser la víctima de un ataque iniciado a través de una vulnerabilidad de middleware, usted debería adoptar las siguientes medidas:

● Mantener en forma activa una lista de dependencias y de bibliotecas conocidas en las aplicaciones que utiliza.

● Monitorear en forma activa la seguridad de estas aplicaciones y mitigar los riesgos tanto como sea posible.

● Insertar un acuerdo de nivel de servicio en contratos con proveedores de software para proporcionar parches en forma oportuna.

● Realizar auditorías regularmente y revisar las dependencias de software y el uso de las bibliotecas.

● Solicitarles a los proveedores de software detalles sobre cómo mantener sus productos y someterlos a prueba.

En síntesis: las demoras en la implementación de parches aumenta el espacio operativo para los atacantes y les da más tiempo para tener el control de sistemas críticos. En la siguiente sección, analizaremos este impacto y las tendencias en la implementación de parches de soluciones comunes de productividad, como navegadores web.

Tiempo de implementación de parches: cierre del plazo de recuperaciónMuchos usuarios no descargan ni instalan parches en forma oportuna. Los atacantes pueden utilizar estas vulnerabilidades sin parches para obtener acceso a las redes. En nuestra última investigación, descubrimos que la clave para alentar a los usuarios a descargar e instalar parches puede radicar en el flujo de las actualizaciones de software de proveedores.

Una versión de parche de seguridad es una clara indicación para los atacantes de que hay una vulnerabilidad que vale la pena aprovechar. Aunque los atacantes sofisticados probablemente hayan estado aprovechando las vulnerabilidades durante algún tiempo, la notificación de un parche les indica a muchos otros que es temporada de cacería en las versiones anteriores.

Cuando los proveedores de software lanzan nuevas versiones en forma regular, los usuarios deben descargar e instalar las actualizaciones. En cambio, cuando las versiones de actualizaciones de los proveedores son irregulares, son menos las probabilidades de que los usuarios las instalen. Continuarán utilizando soluciones desactualizadas que pueden contener vulnerabilidades que pueden ser aprovechadas.

Otros comportamientos que afectan el ciclo de actualización incluyen los siguientes:

● Cuán disruptiva es la experiencia de recordatorio.

● Cuán sencillo es realizar la exclusión voluntaria.

● Con qué frecuencia se utiliza el software.

Hay distintos tiempos en que los usuarios probablemente instalen una actualización cuando la lanza el proveedor. Nuestros investigadores observaron las instalaciones de software en las terminales usadas por nuestros clientes. Su software se divide en tres categorías:

● Nuevas versiones: la terminal ejecuta la versión del software más nueva disponible.

● Versiones recientes: la terminal ejecuta una de las tres versiones anteriores del software, pero no la más nueva.

● Versiones anteriores: la terminal ejecuta una versión del software más antigua que las tres versiones anteriores a la actual.

Por ejemplo, si un proveedor de software lanza la versión 28 en enero del 2017, la versión 28 sería nueva; la versión 26 sería reciente y la versión 23 sería anterior. (Las cifras que figuran en la página siguiente contienen los avisos en los períodos semanales en que se lanzaron una o más versiones de software).

http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html

http://www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html



8% 63% 48% 87% 54%54%

97%94%

97% 98%97%

95%98%

98%

70%

98%94%

63%78%

69%83%

70% 68% 76% 77% 94% 88% 80%93%

88% 94% 94% 92% 82% 86%88%94%99%67%

67%

15 20 25 30 35 40 45 50 550 5 10

Semana:

Semana:

15 20 25 30 35 40 45 50 55 60 65 70 750 5 10Mayo de 2015

Mayo de 2015

Versiones obsoletas:

AdobeFlash


GoogleChrome

Actualizar versión Bajo AltoAdopción de la última actualización


Figura 42. Tiempo de parches para Adobe Flash y Google Chrome

Al analizar los usuarios de Adobe Flash (figura 42), descubrimos que, durante la semana posterior al lanzamiento de una actualización, casi el 80 % de los usuarios instala la última versión del software. En otras palabras, solo les lleva alrededor de una semana a los usuarios realizar la actualización con la última versión. Este período de “recuperación” de una semana de duración es la oportunidad que tienen los hackers.

Si observamos el último trimestre de 2015 en el cuadro de Adobe Flash, vemos una disminución brusca en la cantidad de usuarios que poseen la versión más reciente de la solución. En el período que analizamos, Adobe lanzó cinco versiones de Flash rápidamente una detrás de otra, con una combinación de incorporaciones de funcionalidad, reparaciones de errores y actualizaciones de seguridad. Un estallido de actualizaciones de este tipo puede confundir a los usuarios. Pueden preguntarse si necesitan descargar tantas actualizaciones, cansarse por la cantidad de notificaciones de actualización y pensar que ya han descargado una actualización importante y pueden ignorar nuevas notificaciones. Independientemente del factor que los lleve a perder el interés en instalar una actualización, los defensores se ven frente a una mala noticia.

Al analizar las actualizaciones del navegador web Google Chrome, vemos un patrón distinto. Refleja un flujo regular de actualizaciones, además de una política sólida de exclusión voluntaria que hace que a los usuarios le resulte difícil ignorar las notificaciones de actualización. Como se muestra en la figura 42, los terminales que ejecutan la versión más reciente permanecen relativamente estables durante varias semanas.

Los datos de Chrome revelan que los usuarios tienen un tiempo de recuperación relativamente rápido. En el caso de actualizaciones regulares, el tiempo de recuperación es de prácticamente una semana. En un período de 9 semanas durante el segundo y el tercer trimestre de 2016, sin embargo, hubo siete actualizaciones. Durante este período, los usuarios se recuperaron, pero comenzaron a cansarse. El porcentaje de usuarios que se quedan con una versión anterior aumenta continuamente, a pesar de que la mayoría se recupera.

El navegador Mozilla Firefox también ofrece actualizaciones en forma regular, pero el período de recuperación después de que se lanza una actualización parece ser de un mes. Es decir, los usuarios no descargan ni instalan actualizaciones con la misma frecuencia con la que lo hacen los usuarios de Chrome. Un motivo posible es que algunos usuarios quizás no utilicen el navegador regularmente y, por lo tanto, no vean ni descarguen actualizaciones. (Consulte la figura 43 en la página siguiente).

Figura 42 Tiempo para realizar correcciones en Adobe Flash y Google Chrome

COMPARTIR








Descubrimos que Firefox actualizó sus versiones aproximadamente una vez cada quince días, y la frecuencia de las actualizaciones aumentó durante el transcurso del período de observación. Este aumento en la frecuencia se refleja en la creciente cantidad de versiones antiguas de Firefox dentro de los usuarios. El tiempo de recuperación es de casi 1,5 semanas, pero los tiempos se superponen. De la base de usuarios, solo el 30 % intenta mantenerse actualizado. En algún momento, dos tercios de los usuarios han recurrido a ejecutar simplemente una versión del navegador más de cuatro veces anterior a la más reciente. Entonces, pese a que Firefox aborda los problemas y corrige los errores rápidamente, la base de usuarios no realiza las actualizaciones y los reinicios con la misma frecuencia.

En el caso del software, el nivel de uso también parece ser un indicador de esta vulnerabilidad. Cuando los usuarios no acceden al software a menudo y, en consecuencia, no se enteran de la necesidad de implementar parches y actualizarlo, el software ignorado les da tiempo y espacio a los atacantes para operar.

Podemos ver esto en la investigación sobre Microsoft Silverlight, que muestra un período de recuperación de

2 meses para que los usuarios instalen actualizaciones después de un lanzamiento. En un momento, había dos versiones en 5 semanas, lo que afectaba a los usuarios durante más de 3 meses, como se puede ver entre el cuarto trimestre de 2015 y el primer trimestre de 2016.

Microsoft anunció el fin de vida útil de Silverlight en el 2012, aunque aún se siguen lanzando parches y reparaciones de errores. Sin embargo, representa el mismo problema que Internet Explorer: el software desactualizado y sin parches implementados invita a los atacantes a que lo aprovechen fácilmente.

El período de recuperación para los usuarios de Java muestra que la mayoría utiliza versiones del software una o tres veces anteriores a la versión más reciente. El tiempo de recuperación es de alrededor de 3 semanas. Un patrón inusual con Java es que los usuarios dominantes son los que utilizan versiones recientes. El ciclo de actualización de Java es de 1 a 2 meses.

La lección general de los ciclos del tiempo de implementación de parches es que los patrones de lanzamiento de actualizaciones son un factor que contribuye al estado de la seguridad del usuario, que puede poner en riesgo las redes.

Figura 43 Tiempo para realizar correcciones en Firefox, Silverlight y Java

98% 98%94%

93%

92%

93%92%

99%

95% 97%99% 96%

88%99% 94% 96% 94%

95% 85%

94%93% 97% 99% 99% 97%

94% 87%99%

84% 99% 93% 99% 96% 91% 98% 97% 99% 98%

26% 88% 93% 91%

15 20 25 30 35 40 45 50 55 60 65 70 750 5 10Semana:

Semana:

Semana: 15 20 25 30 35 40 45 50 55 60 65 70 750 5 10

15 20 25 30 35 40 45 50 550 5 10

Mayo de 2015

Mayo de 2015

Mayo de 2015



Firefox

Silverlight


Java

Actualizar versión Bajo AltoAdopción de la última actualización


Figura 43. Tiempo de parches para Firefox, Silverlight y Java




Estudio comparativo sobre capacidades de seguridad 2017 de Cisco

49


Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco

Estudio comparativo sobre capacidades de seguridad de 2017 de CiscoPara evaluar las percepciones de los profesionales de seguridad respecto del estado de la seguridad en las organizaciones, Cisco consultó a directores generales de seguridad (CSO) y a gerentes de operaciones de seguridad (SecOps) de varios países y organizaciones de diferentes tamaños sobre sus percepciones de los procedimientos y recursos de seguridad. En el Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco se ofrece información sobre el nivel de madurez de las operaciones y las prácticas de seguridad actualmente en uso, y también se comparan estos resultados con los de los informes de 2015 y 2016. El estudio se realizó en 13 países con más de 2900 encuestados.

Los profesionales de seguridad quieren que sus organizaciones sean más seguras, pero de una manera que responda al panorama complejo de los atacantes y a los esfuerzos de los adversarios por expandir su espacio operativo. Muchas organizaciones utilizan muchas soluciones de diversos proveedores. Esta táctica aumenta la complejidad y la confusión de asegurar las redes, ya que Internet continúa creciendo en términos de velocidad, dispositivos conectados y tráfico. Las organizaciones, si desean protegerse, deben proponerse como objetivos la simplicidad y la integración.

Percepciones: los profesionales de seguridad confían en las herramientas, pero tienen dudas respecto a si las usan en forma eficazLa mayoría de los profesionales de seguridad consideran que disponen de soluciones adecuadas y que sus infraestructuras de seguridad están actualizadas. Sin embargo, según nuestro estudio, la confianza incluye cierta incertidumbre. Estos profesionales no siempre están seguros de puedan reunir los presupuestos y la capacidad intelectual para aprovechar verdaderamente la tecnología que poseen.

Las amenazas a las organizaciones provienen de todas las direcciones. Los adversarios son ágiles y creativos, y pueden sortear las defensas. Incluso en este entorno trascendente, la

mayoría de los profesionales de seguridad sienten la confianza de que su infraestructura de seguridad está actualizada, aunque esa confianza pareciera estar decayendo en comparación con años anteriores. En el 2016, el 58 % de los encuestados indicó que su infraestructura de seguridad está

Descrito comoMejores tecnologías disponibles

muy actualizadas

58%

Descrito como reemplazado/actualizado

de manera regularesin las mejores

y últimas herramientas

37%2016 (n=2912)

Figura 44. Porcentajes de profesionales de seguridad que sienten que su infraestructura de seguridad está actualizada


Figura 44 Porcentaje de profesionales de seguridad que consideran que su infraestructura de seguridad está actualizada

50



verdaderamente actualizada y modernizada constantemente con las últimas tecnologías. El 37 % afirmó que reemplaza o actualiza las tecnologías de seguridad periódicamente, pero que no cuenta con las mejores y más recientes herramientas (figura 44).

Además, más de dos tercios de los profesionales de seguridad cree que las herramientas de seguridad son muy o extremadamente eficaces. Por ejemplo, el 74 % considera que sus herramientas son muy o extremadamente eficaces en el bloqueo de las amenazas de seguridad conocidas, mientras que el 71 % cree que sus herramientas son eficaces en la detección de anomalías en la red y en la defensa dinámica contra cambios en las amenazas adaptables (figura 45).

El problema es el siguiente: la confianza en las herramientas tradicionales no significa necesariamente seguridad eficaz. Tal como lo indica el estudio, los departamentos de seguridad lidian con herramientas complejas de diversos proveedores, así como con la falta de personal talentoso interno. En esencia, se trata de un problema de “intención frente a realidad”. Los profesionales de seguridad quieren herramientas de seguridad simples y eficaces, pero no tienen el enfoque integrado que necesitan para hacer realidad esta visión.

La seguridad sigue siendo de suma prioridad para los niveles superiores de muchas organizaciones. Además, los profesionales de seguridad consideran que los equipos ejecutivos ubican la seguridad en la parte superior de lista de objetivos claves de las organizaciones. El desafío, por supuesto, consiste en establecer una correspondencia entre el soporte ejecutivo y el talento y la tecnología que pueden influir en los resultados de seguridad.

La cantidad de profesionales de seguridad completamente de acuerdo con que sus líderes ejecutivos consideran la seguridad una alta prioridad fue del 59 % en el 2016; un valor un poco más bajo en comparación con el 61 % registrado en el 2015 y el 63 % registrado en el 2014 (figura 46). En el 2016, el 55 % de los profesionales de seguridad expresó estar de acuerdo con que las funciones y las responsabilidades de seguridad están bien definidas en el equipo ejecutivo de su organización; en el 2014 y en el 2015, el porcentaje fue del 58 %.

En resumen, los profesionales de seguridad tienen confianza en las herramientas que disponen y demuestran tener el oído de líderes empresariales a la hora de abordar problemas de seguridad. Sin embargo, esa confianza está decayendo de a poco. Los profesionales de seguridad están teniendo consciencia del éxito de los atacantes y de la complejidad de controlar la creciente superficie de ataque.

Percibe que sus herramientas son muy o extremadamente

e�caces contra las amenazas de seguridad conocidas

74%Percibe que sus herramientas son muy o extremadamente e�caces en la detección de

anomalías en la red y la protección contra cambios en

las amenazas adaptables

71%

2016 (n=2912)

Figura 45. Porcentajes de profesionales de seguridad que perciben que varias herramientas de seguridad son muy efectivas


Figura 45 Porcentaje de profesionales de seguridad que consideran que diferentes herramientas de seguridad son muy efectivas

Figura 46 Porcentaje de profesionales de seguridad que consideran que la seguridad es una alta prioridad a nivel ejecutivo, de 2014 a 2016

2014

63% 61% 59% 58% 58% 55%

2015 2016 2014 2015 2016

Acuerdo sólido sobre que los líderes ejecutivos de la organización consideran

la seguridad como una alta prioridad

Acuerdo sólido sobre que las funciones y responsabilidades de seguridad se

deben aclarar dentro del equipo ejecutivo de la organización

2014 (n=1738), 2015 (n=2432), 2016 (n=2912)

Figura 46. Porcentajes de profesionales de seguridad que creen que la seguridad es una alta prioridad a nivel ejecutivo, 2014-2016


COMPARTIR






51



Restricciones: el tiempo, el talento y el dinero afectan la capacidad de responder ante las amenazasSi los profesionales de seguridad están relativamente seguros de que tienen las herramientas necesarias para detectar amenazas y mitigar el daño, también aceptan que ciertas restricciones estructurales obstaculizan el logro de sus objetivos. Un presupuesto ajustado es un desafío eterno. Pero otras restricciones que afectan la eficacia en materia de seguridad están relacionadas con los problemas de simplificar y automatizar la seguridad.

En el 2016, el 35 % de los profesionales de seguridad dijo que el presupuesto era el obstáculo más grande para adoptar procesos y tecnología de seguridad avanzada (una leve disminución en comparación con el 2015, en que el 39 % afirmó que el presupuesto constituía el obstáculo principal), como se muestra en la figura 47. Como en el 2015, los problemas de compatibilidad con los sistemas heredados fueron el segundo obstáculo más común: el 28 % mencionó el tema de la compatibilidad en el 2016 en comparación con el 32 % en el 2015.

El dinero es solo una parte del problema. Por ejemplo, los problemas de compatibilidad están relacionados con el problema de sistemas desconectados que no se integran. A su vez, las preocupaciones por la falta de personal capacitado resalta el problema de contar con las herramientas pero no con el personal apto para comprender realmente qué sucede en el entorno de seguridad.

La lucha por encontrar personal apto es una preocupación, si se tiene en cuenta la experiencia y las capacidades para tomar decisiones necesarias para combatir los ataques dirigidos y las tácticas cambiantes de los adversarios. Un equipo de seguridad de TI que cuente con amplios recursos y expertos, en combinación con las herramientas adecuadas, puede hacer que la tecnología y las políticas funcionen juntas y lograr mejores resultados de seguridad.

La cantidad media de profesionales de seguridad de las organizaciones encuestadas fue de 33, mientras que en el 2015 fue de 25. En el 2016, el 19 % de las organizaciones tenía entre 50 y 99 profesionales exclusivos de seguridad; el 9 % tenía entre 100 y 199 profesionales de seguridad; y el 12 % tenía 200 o más (figura 48).

39%

32%

25%

22%

35%

28%

25%

25%

2015 (n=2432) 2016 (n=2912)

Figura 47. Mayores obstáculos para la seguridad

Restricciones de presupuesto

Problemas de compatibilidad

Requisitos de certi�cación

Falta de personal capacitado


Figura 47 Los mayores obstáculos para la seguridad Figura 48 Número de profesionales de seguridad empleados por organizaciones

1-9

10-19

20-29

30-39

40-49

302014

252015

332016

50-99

100-199

200+

0% 5% 10% 15% 20%

Porcentaje de organizaciones 2016

15

17

13

8

6

19

9

12

Can

tidad

de

prof

esio

nale

s de

dica

dos

a la

seg

urid

ad

Figura 48. Cantidad de profesionales de seguridad empleados por organizaciones

Cantidad promedio de profesionales dedicados a la seguridad


COMPARTIR






52



La cantidad de profesionales de seguridad varía según el tamaño de la organización. Como se muestra en la figura 49, el 33 % de las corporaciones con más de 10 000 empleados tenía al menos 200 profesionales de seguridad.

Independientemente de cuáles sean las restricciones, los profesionales de seguridad deben hacer preguntas difíciles sobre los obstáculos que limitan la capacidad de hacer frente a las próximas amenazas.

Por ejemplo, cuando se trata del presupuesto, ¿cuánto es realmente suficiente? Tal como explicaron los encuestados, los equipos de seguridad deben competir con muchas otras prioridades corporativas, incluso dentro del entorno de TI. Si no pueden garantizar fondos para adquirir más herramientas, deben esforzarse por trabajar de la mejor manera con el presupuesto que sí tienen. Por ejemplo, la automatización se puede usar para compensar la mano de obra limitada.

Deben hacerse preguntas similares acerca del problema de compatibilidad de software y hardware. A medida que los problemas de compatibilidad aumentan, ¿cuántas versiones diferentes de software y de hardware (la mayoría de las cuales pueden no funcionar eficazmente) deben administrarse? ¿Cómo se ocuparán los equipos de seguridad de cumplir con los diferentes requisitos de certificación?

1-9 10-19 100-199 Más de 20020-29 30-39 40-49 50-99

Figura 49. Cantidad de profesionales de seguridad por tamaño de la organización


Empresas grandes

22%

12%

15%

12%

7%7%

14%

11%

Empresa grande (más de 10 000)

16% 17%

33%

7%

4%

6%

10%7%

Empresas medianas

21%

15%10%

17%

5%5%

7%

20%

Figura 49 Número de profesionales de seguridad por tamaño de la organización

La tercerización y la ayuda en la nube amplían los presupuestos

Muchos profesionales de seguridad que participaron del estudio comparativo sentían que estaban con problemas de liquidez al realizar compras en el área de seguridad. Ampliaban su presupuesto mediante la tercerización de algunas tareas o utilizando soluciones de nube. También dependían de la automatización.

COMPARTIR






53



Figura 51 Número de proveedores y productos de seguridad empleados por organizaciones

Cantidad de proveedores de seguridad en el entorno de seguridad2016 (n=2850), grá�cos redondeados al número entero más cercano

Cantidad de productos de seguridad en el entorno de seguridad2016 (n=2860), grá�cos redondeados al número entero más cercano

El 55% utiliza más de 5 proveedores

El 65% utiliza más de 5 productos

1–5proveedores

6–10proveedores

11–20proveedores

21–50proveedores

6-10productos

11–25productos

26–50productos

Más de 50 productos

Más de 50 proveedores

45% 29% 18% 7%

29% 21% 11% 6%

3%

35%

1–5productos

Figura 51. Cantidad de proveedores y productos de seguridad utilizados por las organizaciones


Figura 50 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de operacionalización de la seguridad

2014

56% 56% 53% 55% 56% 53%

2015 2016 2014 2015 2016

Revisamos y mejoramos nuestras prácticas de seguridad periódica, formal y estratégicamente todo

el tiempo.

Investigamos rutinaria y sistemáticamente los incidentes de seguridad.

2014 (n=1738), 2015 (n=2432), 2016 (n=2912)

Figura 50. Porcentajes de encuestados que está totalmente de acuerdo con las instrucciones de operacionalización de la seguridad


Aparte de estas limitaciones, los profesionales de seguridad también ponen un poco menos de énfasis en la puesta en operación de la seguridad. Esta tendencia puede generar inquietudes respecto a que los profesionales de seguridad están creando una infraestructura de seguridad que no llega a ser óptima. Los indicios de un menor énfasis en la puesta en operación de la seguridad pueden indicar que las organizaciones no están preparadas para brindar defensa en un panorama de ataque en expansión.

Por ejemplo, en el 2016, el 53 % de los encuestados expresó estar completamente de acuerdo con revisar y mejorar las prácticas de seguridad en forma periódica, formal y estratégica; en el 2014 y el 2015, el 56 % expresó estar completamente de acuerdo. Asimismo, en el 2016, el 53 % afirmó que estuvo completamente de acuerdo con investigar de manera rutinaria y sistemática los incidentes de seguridad, en comparación con el 55 % señalado en el 2014 y el 56 % señalado en el 2015 (figura 50).

Si los profesionales de seguridad están fallando en el cumplimiento de sus objetivos para poner en uso la seguridad, quizás no sea una sorpresa, entonces, que no puedan implementar eficazmente las herramientas que tienen, mucho menos incorporar herramientas nuevas. Si, como los encuestados del estudio nos dijeron, no pueden usar la tecnología con la que ya cuentan, necesitan herramientas optimizadas más simples que automaticen los procesos de seguridad. Esas herramientas deben proporcionar un panorama integral de lo que sucede en el entorno de red.

La falta de integración en la seguridad puede permitir que surjan brechas de tiempo y espacio, factores que pueden dar lugar a ataques. La tendencia de los profesionales de seguridad a hacer malabares con soluciones y plataformas de diversos proveedores puede complicar el establecimiento de una defensa sin grietas. Como se muestra en la figura 51, la mayoría de las empresas utilizan más de cinco proveedores de seguridad y más de cinco productos de seguridad en su entorno. El 55 % de los profesionales de seguridad utiliza al menos 6 proveedores, el 45 % utiliza de 1 a 5 proveedores y el 65 % utiliza 6 productos o más.





54



El 7%no experimentó

ninguna alertade seguridad

2016 (n=2796)

El 93%experimentó alertas de seguridad

El 28%de las alertas investigadas son legítimas

El 44%de las alertas NO se investigan

El 56%de las alertas se investigan

El 46%de alertas legítimas se solucionan

El 54%de alertas legítimas no se solucionan

Figura 52. Porcentajes de alertas de seguridad que no se investigan o solucionan


Si el cumplimiento de los objetivos de puesta en operación está fallando, si el uso de las herramientas no alcanza la eficacia máxima y si la mano de obra no es sólida, el resultado es el fracaso de la seguridad. Los profesionales de seguridad se ven forzados a pasar por alto la investigación de alertas simplemente porque no tienen el talento, las herramientas ni las soluciones automatizadas disponibles para determinar cuáles son críticas y por qué se producen.

Quizás debido a varios factores, como la falta de un sistema de defensa integrado o la falta de tiempo del personal, las organizaciones pueden investigar apenas un poco más de la mitad de las alertas que reciben en un día determinado. Como se muestra en la figura 52, el 56 % de las alertas se investigan y el 44 % no; de las alertas que se investigan, el 28% se consideran alertas legítimas. El 46 % de las alertas legítimas son atendidas.

Para definir el problema en términos más específicos, si una organización registra 5000 alertas por día, esto significa:

● Un total de 2800 alertas (56 %) se investiga, mientras que 2200 (44 %) no.

● De las alertas investigadas, 784 (28 %) son legítimas, mientras que 2016 (72 %) no lo son.

● De las alertas legítimas, 360 (46 %) son atendidas, mientras 424 (54 %) no.

El hecho de que casi la mitad de las alertas no se investigue debería generar preocupación. ¿Cuál es el grupo de alertas que no se atienden?: ¿son amenazas de bajo nivel que pueden distribuirse exclusivamente a través del correo electrónico no deseado o podrían generar un ataque de ransomware o paralizar una red? Para investigar y comprender una mayor parte del panorama de amenazas, las organizaciones deben confiar en la automatización, así como en soluciones correctamente integradas. La automatización puede ayudar a ampliar los recursos valiosos y a eliminar la carga de la detección y la investigación que recae en el equipo de seguridad.

La incapacidad para ver tantas alertas plantea preguntas sobre su impacto en el éxito general de una organización. ¿Cómo podrían estas amenazas sin investigar afectar la productividad, la satisfacción del cliente y la confianza en la empresa? Tal como los encuestados nos dijeron, incluso las pequeñas interrupciones de la red o las infracciones a la seguridad pueden tener efectos a largo plazo en el balance. Aun cuando las pérdidas eran relativamente menores y los sistemas afectados eran bastante sencillos de identificar y de aislar, los líderes de seguridad consideran que tales infracciones son significativas debido a la presión que ejercen en la organización.

Figura 52 Porcentaje de alertas de seguridad no investigadas ni corregidas

COMPARTIR






55



Las presiones pueden afectar a las organizaciones de diversas maneras. Los equipos de seguridad deben dedicar tiempo a administrar las interrupciones de red que se producen después de una infracción a la seguridad. Casi la mitad de estas interrupciones duran hasta 8 horas. El 45 % de las interrupciones duró de 1 a 8 horas (figura 53), el 15 % duró de 9 a 16 horas y el 11 % duró de 17 a 24 horas. El 41 % de las interrupciones afectó entre el 11 % y el 30 % de los sistemas de las organizaciones.

Impacto: más organizaciones sufren pérdidas a causa de las infraccionesLos efectos de las infracciones no se limitan a las interrupciones. Las infracciones también se traducen en pérdida de dinero, de tiempo y de reputación. Los equipos de seguridad que creen que no les pasará a ellos ignoran la realidad de la información. Tal como señala nuestro estudio, casi la mitad de las organizaciones han tenido que lidiar con el escrutinio público tras una infracción a la seguridad. Dado el rango de capacidades y tácticas de los atacantes, la pregunta no es si se producirá una infracción a la seguridad, sino cuándo ocurrirá.

Como se muestra en el estudio comparativo, los profesionales de seguridad son traídos de vuelta a la realidad cuando se producen infracciones. A menudo cambian las estrategias de seguridad o refuerzan las defensas. Las organizaciones que aún no han sufrido el ataque de una infracción en la red pueden sentirse aliviadas y creer que se han escapado. Sin embargo, probablemente esta confianza sea inadecuada.

El 49 % de los profesionales de seguridad encuestados dijo que su organización ha debido manejar el escrutinio público tras una infracción a la seguridad. De estas organizaciones, el 49 % divulgó la infracción en forma voluntaria, mientras que el 31 % afirmó que un tercero realizó la divulgación (figura 54). En otras palabras, casi un tercio de las organizaciones encuestadas se vieron forzadas a lidiar con la divulgación involuntaria de una infracción. Está claro que los días de enfrentar infracciones en forma silenciosa quedaron atrás. Hay muchísimos reguladores, medios y usuarios de medios sociales que harán públicas las noticias.

31% 31% 50%

49%Tuvo que manejar el escrutinio público tras una infracción a la seguridad

2016 (n=2824)

Cómo se conoció externamente la amenaza más reciente

(n=1389)

Divulgado accidentalmente

(tercero)

Informe necesario

(normativo/legal)

Divulgado voluntariamente

Figura 54. Porcentaje de organizaciones que experimentan una infracción pública


Figura 54 Porcentaje de organizaciones que sufren una infracción pública

Figura 53 Longitud y alcance de las interrupciones causadas por infracciones a la seguridad

Tiempo de inactividad de los sistemas de las organizaciones debido a las infracciones

2016 (n=2665)

Porcentaje de sistemas afectados por la infracción

2016 (n=2463)

7%

1%

13% 45% 15% 11% 9%

19% 41% 24% 15%

Más de 24 horas

De 17 a 24 horas

De 9 a 16 horas

De 1 a 8 horas

Menos de 1 hora

Sin interrupción

Más del 50% afectado

31–50%afectado

11–30%afectado

1–10%afectado

Sin impacto

Figura 53. Alcance de las interrupciones ocasionadas por infracciones a la seguridad


COMPARTIR






56



El daño que sufren las organizaciones excede por mucho el tiempo que les lleva lidiar con una infracción o con una interrupción. Hay impactos reales e importantes que las empresas deberían, en gran medida, intentar evitar.

Como se muestra en la figura 55, el 36 % de los profesionales de seguridad dijo que las operaciones fueron la función con más probabilidades de verse afectadas. Esto significa que los sistemas centrales de productividad, que afectan a distintos sectores (desde transporte hasta servicios de salud y fabricación), pueden volverse lentos o incluso detenerse.

A las operaciones les siguen las finanzas como función con más probabilidades de verse afectada (mencionada por el 30 % de los encuestados), seguida por la reputación de la marca y la retención de clientes (26 % en ambos casos).

Ninguna organización que planee crecer y lograr el éxito desea estar en una posición de tener departamentos críticos afectados por infracciones a la seguridad. Los profesionales de seguridad deben ver los resultados de la encuesta con sus propias organizaciones en mente y preguntarse: “si mi organización sufre este tipo de pérdida como consecuencia de una amenaza, ¿qué sucederá con el negocio con el futuro?”.

Figura 55 Funciones que probablemente se vean afectadas por una infracción pública

Operaciones

36% 30%Finanzas

26%

Reputaciónde la marca

26%

Retención de clientes

24%

Propiedad intelectual

No sufrieron ninguna infracción a la seguridad en el último año

10%22%

Relaciones con el partner de negocios

20%

Relaciones con el proveedor

20%

Compromisos legales

19%

Escrutinionormativo

Figura 55. Funciones con mayor probabilidad de verse afectadas por una infracción pública


COMPARTIR






57



Las pérdidas de oportunidades para las empresas que sufren ataques en línea son enormes. El 23 % de los profesionales de seguridad encuestados afirmó que en el 2016 sus organizaciones experimentaron una pérdida de oportunidades debido a ataques (figura 56). De ese grupo, el 58 % dijo que la pérdida de oportunidades total fue inferior al 20 %; el 25 % afirmó que la pérdida de oportunidad fue del 20 % al 40 %; y el 9 % indicó que la pérdida de oportunidades llegó a ser del 40 % al 60 %.

Muchas organizaciones pueden cuantificar las pérdidas de ingresos que sufren debido a infracciones públicas. Como se muestra en la figura 57, el 29 % de los profesionales de seguridad dijo que sus organizaciones sufrieron una pérdida de ingresos como resultado de los ataques. De ese grupo, el 38 % dijo que la pérdida de ingresos fue de un 20 % o más.

Los ataques en línea también generan una reducción en la cantidad de clientes. Como se muestra en la figura 58, el 22 % de las organizaciones expresó haber perdido clientes como resultado de los ataques. De ese grupo, el 39 % afirmó que perdió el 20 % de sus clientes o más.

Figura 56 Porcentaje de oportunidades empresariales perdidas como resultado de un ataque

58%

23%

25% 9% 5% 3%

Experimentó una importante pérdida de oportunidad

(n=625)

42%

Experimentó una pérdida de oportunidad

Personal de seguridad de TI (n=2912)

Pérdidade entre un

80% y un 100%

Pérdidade entre un

60% y un 80%

Pérdidade entre un

40% y un 60%

Pérdidade entre un

20% y un 40%

Pérdidamenoral 20%

Figura 56. Porcentaje de oportunidad empresarial perdida como resultado de un ataque


Figura 57 Porcentaje de ingresos de la organización perdidos como resultado de un ataque

62%

29%

20% 10% 4% 4%

Experimentó una importante pérdida de ingresos

(n=778)

38%

Experimentó una pérdida de ingresos


Pérdidade entre un

80% y un 100%

Pérdidade entre un

60% y un 80%

Pérdidade entre un

40% y un 60%

Pérdidade entre un

20% y un 40%

Pérdidamenoral 20%

Figura 57. Porcentaje de ingresos de la organización como resultado de un ataque

Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de CiscoDescargue los gráficos de 2017 en: www.cisco.com/go/acr2017graphics

Figura 58 Porcentaje de clientes perdidos por las empresas como resultado de un ataque

61%

22%

21% 8% 6% 4%

Experimentó una importante pérdida de clientes

(n=641)

39%

Experimentó una pérdida de clientes


Pérdidade entre un

80% y un 100%

Pérdidade entre un

60% y un 80%

Pérdidade entre un

40% y un 60%

Pérdidade entre un

20% y un 40%

Pérdidamenoral 20%

Figura 58. Porcentaje de clientes perdidos por las empresas debido a los ataques





58



Resultados: un mayor escrutinio influirá en las mejoras de seguridadTal como revelan los resultados de la encuesta, el impacto de las infracciones puede ser duradero y generalizado. Si uno supone que una organización se verá afectada por una infracción en algún momento, la pregunta es “¿qué sucederá después?”. ¿A qué debe prestarle atención la gerencia y hacia dónde deben orientarse los recursos para reducir las probabilidades de que ocurra una infracción?

Las consecuencias de una infracción representan una oportunidad de aprendizaje, una experiencia que no debe desaprovecharse en términos de inversión en mejores enfoques.

El 90 % de los profesionales de seguridad dijo que una infracción a la seguridad impulsó mejoras en las tecnologías y procesos de defensa ante amenazas, como se muestra en la figura 59. De las organizaciones afectadas por infracciones, el 38 % afirmó que respondió dividiendo al equipo de seguridad del departamento de TI; el 38 % dijo que aumentó la capacitación sobre el conocimiento de la seguridad entre los empleados; y el 37 % afirmó que aumentó su enfoque para el análisis y la mitigación de riesgos.

90%Se dice que la infracción a la seguridad impulsa mejoras en las tecnologías, las políticas o los procedimientos de defensa ante amenazas

Profesionales de seguridad (n=1388)

Separación del equipo de seguridad del departamento de TI

Aumento de las capacitaciones para la concientización sobre la seguridad entre los empleados

Profundización del enfoque sobre el análisis de riesgos y la mitigación de riesgos

Aumento de las inversiones en tecnologías o soluciones para la defensa ante amenazas de seguridad

Aumento de las inversiones en capacitación del personal de seguridad

38%

38%

37%

37%

37%

2016 (n=1375)

Las 5 principales mejoras realizadas para proteger a la empresa contra las infracciones a la seguridad

Figura 59. Cómo las infracciones a la seguridad impulsan mejoras


Figura 59 Cómo las infracciones a la seguridad impulsan mejoras

COMPARTIR






59



Las organizaciones reconocen que tienen que ser creativas para superar los límites que plantean el personal talentoso, la compatibilidad de tecnología y el presupuesto. Una estrategia es adoptar servicios tercerizados para fortalecer el presupuesto y, también, para tener acceso a personal que quizás no sea interno a la organización.

En el 2016, el 51 % de los profesionales de seguridad subcontrató servicios de asesoramiento y consultoría, mientras que el 45 % subcontrató servicios de respuesta ante incidentes (figura 60). El 52 % afirmó que subcontrata servicios porque es más rentable, mientras que el 49 % afirmó que subcontrata servicios para obtener perspectivas objetivas.

Tal como lo hacen con la subcontratación, las organizaciones también recurren a proveedores de terceros para aumentar sus estrategias de defensa. El ecosistema de seguridad les ofrece modos de compartir la responsabilidad de la seguridad.

El 72 % de los profesionales de seguridad dijo que recurre a proveedores de terceros para el 20 % al 80 % de su seguridad, como se muestra en la figura 61. Aquellas organizaciones que dependen en gran medida de recursos externos para la seguridad fueron más propensas a decir que aumentarán el uso de proveedores de terceros en el futuro.

Figura 60 Dependencia de las organizaciones en relación a la tercerización

El 72%depende de

proveedores de terceros para entre el 20%

y el 80% de la seguridad

49%21%

19%9%

3%

43%25%

25%

5%

2%

39%25%

24%

6%

6%

33%27%

11%14%

15%

6%

Dependencia superior al 80%

31%Dependencia

de entre el 40% y el 80%

22%

Rely Less Than 20%

41%Dependencia de entre el 20% y el 40%


Cambio en la dependencia para el próximo añoPersonal de seguridad de TI que depende de proveedores de terceros (n=2504)

Crecimiento signi�cativoAumento leveIgualDisminución leveDisminución signi�cativa


Figura 61. Porcentaje de dependencia de las organizaciones en la tercerizaciónFigura 61 Porcentaje de dependencia de las organizaciones en relación a la tercerización

Asesoramiento y consultoría

51%Respuesta a incidentes

45%

Ser más rentable

52%Obtener una perspectiva objetiva

48%

Servicios de seguridad tercerizados2016 (n=2912)

Por qué se tercerizan los servicios2016 (n=2631)

Figura 60. Dependencia de las organizaciones en la tercerización


COMPARTIR






60



Ya que las organizaciones toman medidas para fortalecer el estado de la seguridad, pueden esperar que se preste más atención a sus esfuerzos. Este escrutinio provendrá de un público influyente y, por lo tanto, no se puede ignorar. El modo en que se manejan las preocupaciones de este público puede tener un impacto significativo en la capacidad de una organización para defenderse.

El 74 % de los profesionales de seguridad dijo que el escrutinio provendrá de liderazgo ejecutivo; el 73 %, de clientes; y el 72 %, de empleados, como se muestra en la figura 62.

Figura 62 Fuentes de análisis aumentado

2016 (n=2912)

Líderes ejecutivos

74% 73%Clientes

72%Empleados

72%

Partners comerciales

70%

Grupos guardianes y de interés

70%Reguladores

69%Inversionistas

67%

Compañías de seguros

60%Oprima



61



Confianza frente a costo: ¿qué factor impulsa las compras de seguridad?Los profesionales de seguridad buscan las mejores soluciones para proteger sus organizaciones, pero sus percepciones en cuanto a cómo crear un entorno seguro ideal difieren. ¿Compran las mejores soluciones de diversos proveedores porque confían en que solucionarán muchos problemas diferentes? ¿O recurren a una arquitectura integrada porque creen que este enfoque es más rentable? Si bien son muchos los factores que impulsan las inversiones en seguridad, una mayor simplicidad puede beneficiar a todas las organizaciones.

Como se muestra en la figura 63, los profesionales de seguridad se dividen en forma pareja entre confianza y costos a la hora de elegir entre soluciones excelentes y soluciones de arquitectura. El 65 % afirmó que prefiere soluciones excelentes porque confía más en ellas que en un enfoque de arquitectura empresarial. Por otra parte, el 59 % expresó que prefiere un enfoque de arquitectura porque cree que es más rentable.

Esto no es un dilema de ningún tipo. Las organizaciones necesitan tanto soluciones excelentes como soluciones de seguridad integrada. Ambos enfoques ofrecen beneficios y simplificarán la seguridad, al mismo tiempo que brindarán herramientas de respuesta automatizada (figura 63).

Al combinar soluciones excelentes con un enfoque integrado, los equipos de seguridad pueden avanzar hacia una seguridad menos compleja y más eficaz. El enfoque integrado les permite a los profesionales de seguridad comprender qué ocurre en cada etapa de la defensa. Un enfoque de este tipo reduce el espacio operativo de los atacantes. Es simple: permite que los equipos implementen soluciones a escala. Es abierto: permite implementar soluciones excelentes según sea necesario. Es automatizado: permite una detección más rápida.

65% 36%

41% 59%

24% 33%

13% 10%

39%

4%

39%

18%

Compra de una Solución de defensa ante amenazas de seguridadpor parte del personal de seguridad de TI (n=2665)

Motivos para favorecer el enfoque de uso del mejor producto de su claseOrganización que compró las mejores soluciones puntuales de su clase

Motivos para favorecer un enfoque de arquitectura empresarialOrganizaciones que, generalmente, respetan un enfoque de arquitectura empresarial

Generalmente, se respeta el enfoque basado en el proyecto (por ejemplo, los mejores productos puntuales de su clase)

Generalmente, se respeta el enfoque de arquitectura empresarial

Implementar losproductos puntuales según sea necesario

Implementar solo para respetar el cumplimiento o los requisitos normativos

Con�ar más que en el enfoque de arquitectura empresarial

Con�ar más que en los mejores productos de su clase

Las mejores soluciones de su clase son más rentables

Las mejores soluciones de su clase son más fáciles de implementar

Las mejores soluciones de su clase son más rápidas de implementar

El enfoque de la arquitectura empresarial es más rentable

El enfoque de la arquitectura empresarial es más fácil de implementar

El enfoque de la arquitectura empresarial es más rápido de implementar

Figura 63. Cómo la con�anza y la rentabilidad impulsan las decisiones de seguridad


Figura 63 Cómo la confianza y la rentabilidad motivan las decisiones de seguridad

62



Resumen: aportes del Estudio comparativoHay una enorme diferencia entre acumular herramientas de seguridad y realmente tener la capacidad para usar dichas herramientas para reducir el riesgo y el espacio operativo para los adversarios. Los encuestados del estudio comparativo creen que tienen las herramientas que detendrán a los atacantes. No obstante, también reconocen que las restricciones, como la falta de mano de obra y la escasa compatibilidad de productos, pueden hacer que buenas herramientas sean mucho menos eficaces de lo previsto.

La conclusión trascendente sobre el impacto de las infracciones debe proporcionarles a los profesionales de seguridad prueba más que suficiente de la necesidad de mejorar los procesos y los protocolos. Las organizaciones, que enfrentan efectos reales e inmediatos (como la pérdida de ingresos y clientes), ya no pueden querer simplemente

eliminar las brechas en la protección de seguridad, puesto que la pregunta no es si se producirá una infracción, sino cuándo sucederá.

Una conclusión del Estudio comparativo es que siempre enfrentaremos restricciones que limiten una seguridad ágil y eficaz: nunca habrá el presupuesto y el personal calificado que los profesionales de seguridad consideran necesarios. Si aceptamos estas restricciones, la idea de simplificar la seguridad e implementar soluciones automatizadas tiene sentido.

La simplificación de la seguridad también hace uso de soluciones excelentes y de una arquitectura integrada. Las organizaciones necesitan los beneficios de ambos enfoques.

Sector

64


Sector

SectorSeguridad de la cadena de valor: el éxito en un mundo digital depende de la mitigación de los riesgos de tercerosLa seguridad de la cadena de valor es un componente esencial del éxito en una economía conectada. Es fundamental garantizar que la seguridad correcta esté en el lugar correcto en el momento indicado durante todo el ciclo de vida de la cadena de valor: el ciclo de vida correcto para hardware, software y servicios.

En la figura 64 se muestran las ocho etapas de la cadena de valor.

La tecnología de la información (TI) y la tecnología operativa convergen en este mundo digitalizado. No basta con que las organizaciones se centren únicamente en proteger los modelos comerciales, las ofertas y la infraestructura internos. Las organizaciones deben observar la cadena de valor en forma integral y determinar si los terceros que participan en su modelo comercial o en contacto con sus ofertas representan un riesgo para la seguridad.

La respuesta breve es que probablemente lo hagan: de acuerdo con una investigación realizada por el Instituto SANS, el 80 % de las violaciones de datos provienen de otros proveedores.¹⁵ Para reducir el riesgo, las organizaciones deben fomentar una cadena de valor en la que la confianza no sea implícita y la seguridad sea responsabilidad de todos. Como paso fundamental hacia el logro de este objetivo, las organizaciones deben hacer lo siguiente:

● Identificar a los principales participantes en el ecosistema de terceros y comprender qué ofrecen.

● Desarrollar una arquitectura de seguridad flexible que pueda compartirse con todos los terceros en el ecosistema y ser implementada por ellos.

● Evaluar si los terceros trabajan dentro de los niveles de tolerancia establecidos por la arquitectura de seguridad de la organización.

● Estar alerta a nuevos riesgos de seguridad que el ecosistema puede presentar a medida que la digitalización aumenta.

Las organizaciones también deben pensar en la seguridad antes de introducir un nuevo modelo comercial o una oferta que requiera la participación del ecosistema de terceros o que lo afecte de otra manera. Cualquier valor potencial y aumento en la productividad debe evaluarse en relación con los posibles riesgos, particularmente en la seguridad de los datos y la privacidad.

La conciencia respecto a la importancia de la cadena de valor global está aumentando tanto a nivel mundial como en sectores específicos. La legislación reciente sobre la adquisición de TI de los EE. UU ordenó una evaluación de un año del Departamento de Defensa de los EE. UU respecto a las normas abiertas de tecnología para las adquisiciones de productos de tecnología de la información y ciberseguridad.¹⁶ En el sector muy convergente de energía, la Corporación Norteamericana de Confiabilidad Eléctrica (NERC) desarrolla activamente requisitos nuevos en relación con su cadena de valor cibernética.¹⁷

Diseñar Plani�car Obtener Hacer Calidad Entregar Mantener Fin de vida útil

Figura 64. Las etapas de la cadena de valor

Fuente: Cisco

Figura 64 Etapas de la cadena de valor

¹⁵ Combatting Cyber Risks in the Supply Chain, SANS Institute, 2015: https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252. ¹⁶ Ley Pública 114-92 § ¹⁷ NERC ordenó que la Comisión Federal Reguladora de Energía de los Estados Unidos lleve a cabo este esfuerzo 18 CFR Parte 40 [Rótulo N° RM15-14-002; Orden N° 829].

COMPARTIR

https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252






65


Sector

Las organizaciones, junto con los terceros que participan en ellas, deben responder preguntas como “¿cómo se generarán los datos y quiénes estarán a cargo de hacerlo?” y “¿los datos deben obtenerse digitalmente?”. Para una mayor claridad, es necesario responder otras preguntas, tales como “¿quién posee los recursos digitales que recopilamos o creamos?” y “¿con quién debemos compartir esa información?”. Otra pregunta esencial para responder es “¿quién tiene determinada responsabilidad y obligación cuando se produce una infracción?”.

Este enfoque que se centra en la cadena de valor ayuda a garantizar que las consideraciones de seguridad se incorporen en cada etapa del ciclo de vida de las soluciones. La arquitectura adecuada, en combinación con el cumplimiento de las normas de seguridad correspondientes, ayudará a impulsar la seguridad generalizada de toda la cadena de valor y a generar confianza en ella.

Actualización geopolítica: encriptación, confianza y necesidad de transparenciaEn informes anteriores sobre ciberseguridad, los expertos en geopolítica de Cisco analizaron la incertidumbre en el panorama de la gestión de Internet, los derechos de las personas frente a los derechos del estado y las maneras en que los gobiernos y las empresas privadas pueden dirigir el dilema que plantea la protección de datos. Un tema común entre estos análisis ha sido la encriptación. Creemos que la encriptación continuará impregnando, quizás incluso dominando, el debate sobre ciberseguridad para el futuro cercano.

La proliferación de las leyes nacionales y regionales de privacidad de los datos ha generado preocupación entre los proveedores y usuarios que buscan dirigir dichas leyes. En este entorno incierto, problemas como la autonomía de los datos y la localización de los datos han cobrado importancia y contribuido, en consecuencia, con el crecimiento de la computación en la nube y almacenamiento de datos localizado a medida que las empresas buscan una solución creativa para cumplir con las normativas de privacidad complejas y en evolución.¹⁸

Al mismo tiempo, la cantidad en aumento de violaciones de datos y amenazas avanzadas persistentes, y la publicidad en torno a hacks patrocinados por estados nación (incluidos los realizados durante eventos destacados, como la elección presidencial en los EE. UU) hacen que los usuarios tengan aún menos seguridad de que sus datos sean confidenciales y de que se protegerá la privacidad.

En la era posterior a Snowden, los gobiernos han hecho hincapié cada vez con más vehemencia en su deseo de regular las comunicaciones digitales y de acceder a los datos cuando sea necesario. Sin embargo, los usuarios demostraron la misma pasión al pedir privacidad. Eventos como el reciente enfrentamiento entre Apple y el FBI por un iPhone que pertenecía a un terrorista no han contribuido a apaciguar las inquietudes de los usuarios sobre la privacidad. Si sirvió de algo fue que le enseñó a una generación de usuarios digitales, especialmente en los Estados Unidos, sobre la encriptación integral. Muchos usuarios ahora exigen encriptación integral a sus proveedores de tecnología y quieren tener las claves de cifrado.

Esto marca un cambio fundamental en el panorama de ciberseguridad tal como lo conocíamos. Las organizaciones van a necesitar diseñar sus entornos de modo que puedan dirigir y responder a las agendas de la competencia.

Mientras este cambio se implementa, más gobiernos se atribuyen el derecho legal (a menudo en forma general) a omitir o interrumpir la encriptación o las medidas de protección técnica, en general sin el conocimiento del fabricante, el proveedor de comunicaciones o el usuario. Esto genera tensión no solo entre las autoridades y las empresas tecnológicas sino también entre los gobiernos, que no desean necesariamente que las autoridades de países que no pertenecen a la Unión Europea accedan a los datos de los ciudadanos. Muchos gobiernos recopilan información sobre las vulnerabilidades y los ataques de día cero que detectan en software de proveedores; sin embargo, no siempre son transparentes con los proveedores sobre información que poseen o no la comparten en forma oportuna.

La acumulación de dicha información valiosa impide que los proveedores mejoren la seguridad de sus productos y proporcionen a los usuarios una mejor protección contra las amenazas. Aunque los gobiernos pueden tener una buena razón para realizar parte de este cierre de la inteligencia, también hay una necesidad de mayor transparencia y confianza en el panorama de ciberseguridad global. Los gobiernos, por lo tanto, deben realizar una evaluación honesta de sus políticas actuales relacionadas con la acumulación de información sobre ataques de día cero. Deben partir de la posición predeterminada de que compartir información con proveedores puede solo conllevar un entorno digital mucho más seguro para todos.

¹⁸ Para más información sobre este tema, consulte “Data Localization Takes Off as Regulation Uncertainty Continues,” por Stephen Dockery, 6 de junio de 2016, The Wall Street Journal: http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertainty-continues/.

http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertai

66


Sector

Cifrado de alta velocidad: solución escalable para proteger datos en tránsito

Como se explicó en la sección geopolítica en la página 65, la encriptación integral continuará siendo un tema de mucho debate y desconcierto entre los gobiernos y el sector en el futuro próximo. No obstante, independientemente de cualquier tensión que surja de este asunto, la demanda de los usuarios por un cifrado integral de datos con claves administradas por los clientes va en aumento.

Los expertos en geopolítica de Cisco anticipan que algunos flujos y conjuntos de datos probablemente permanecerán cifrados con claves administradas por el proveedor, al menos en el corto plazo, en particular en modelos comerciales basados en anuncios. No obstante, en otros casos, se espera ver un mayor uso de cifrado integral con claves administradas por los clientes, a menos que un mandato judicial indique lo contrario.

Mientras tanto, se espera que las organizaciones busquen más control de la forma en que protegen sus datos, mientras se encuentran en tránsito, en particular, mientras se transfieren a alta velocidad de un centro de datos a otro. En una época, ésta era una tarea ardua para las empresas, debido a las limitaciones de tecnologías de legado y el impacto en el rendimiento de la red. No obstante, nuevos enfoques están simplificando este proceso.

Una solución es la seguridad de la capa de aplicaciones, en donde las aplicaciones se modifican para cifrar datos. La implementación de este tipo de seguridad puede ser compleja y demandar muchos recursos, además de ser costosa a nivel operativo, dependiendo de la cantidad de aplicaciones que usa una organización.

Otro enfoque que se está implementando cada vez más son las funcionalidades de cifrado incorporadas a una red o servicio en la nube para proteger datos en tránsito. Ésta es una evolución del modelo VPN de gateway tradicional, una solución que aborda la naturaleza dinámica de las redes y las tasas de transmisión a alta velocidad del tráfico de centros de datos. Las empresas están utilizando las eficacias operativas y la rentabilidad que aportan las nuevas funcionalidades para proteger datos que provengan de cualquier aplicación en ese entorno, mientras se transmiten a alta velocidad a otra ubicación.

No obstante, el cifrado basado en la red es tan solo una de las herramientas para proteger datos. Para asegurarse de estar realizando lo suficiente para proteger sus datos mientras están en tránsito o inmóviles, las organizaciones deben abordar el desafío de manera holística. Un buen punto de partida es formular a los proveedores de tecnología preguntas básicas pero importantes, a saber:

● ¿Cómo se protegen los datos mientras están en tránsito?

● ¿Cómo se protegen los datos mientras están inmóviles?

● ¿Quién tiene acceso a los datos?

● ¿Dónde se almacenan los datos?

● ¿Cuál es la política para eliminar datos, cuando, y si, deben eliminarse?

Nuevamente, estar preguntas son solo un punto de partida para un diálogo más amplio acerca de la protección de datos, el cual debe progresar para abarcar la discusión de temas como la recuperabilidad y la disponibilidad de los datos.

67


Sector

Adopción y rendimiento de la red frente a desarrollo de la seguridad: las velocidades, el tráfico y la preparación en línea no crecen al mismo ritmoLos defensores desean adelantarse a los adversarios. Estar detrás de ellos es estar en un lugar potencialmente peligroso. La preocupación es que los defensores no pueden mejorar su estado de la seguridad al mismo ritmo con que los adversarios pueden obtener tiempo y espacio para operar. Dado el ritmo del crecimiento del tráfico de Internet fijo y móvil en todo el mundo, los defensores se ven obligados a equiparar este crecimiento con una mayor desarrollo de su infraestructura de seguridad.

La previsión de Cisco VNI analiza el tráfico IP global anual, incluido el tráfico móvil e inalámbrico. Las previsiones proporcionan proyecciones de cinco años relativas al tráfico IP, la cantidad de usuarios de Internet y la cantidad de conexiones de máquina a máquina y de dispositivos personales que admitan las redes IP. (Visite esta página para obtener más información sobre la previsión de VNI). Por ejemplo, la previsión calcula que para el 2020, los smartphones generarán el 30 % del tráfico IP total.

Cisco ha coincidido con los datos de la previsión de VNI respecto al desarrollo de los defensores, obtenidos del Estudio comparativo sobre capacidades de seguridad anual de Cisco (consulte la página 49). Al analizar las tasas de crecimiento del desarrollo en los informes comparativos de 2015, 2016 y 2017, como se muestra en la figura 65, el desarrollo de la seguridad es decepcionante en comparación con el crecimiento del tráfico de Internet. Algunos países, como China y Alemania, muestran efectivamente una disminución leve del desarrollo durante este período. Las velocidades de banda ancha, en particular, están mejorando y aumentando a una velocidad considerablemente mayor que otras variables de red que se muestran en la figura 65. Las velocidades más rápidas y la mayor cantidad de dispositivos conectados fomentan un mayor crecimiento del tráfico, pero las organizaciones se están esforzando por reforzar sus medidas e infraestructuras de seguridad a velocidades similares.

0%

100%

50%

150%

200%

250%

300%

Porc

enta

je d

e cr

ecim

ient

o

Australia Brasil Canadá China Francia Alemania India Italia Japón México Rusia ReinoUnido

EstadosUnidos

General

Madurez de la seguridad Trá�co total Dispositivos Usuarios �jos de Internet Trá�co de Internet móvil Velocidad móvil

Figura 65. Madurez y tasas de crecimiento de la seguridad

Fuente: Cisco Security Research, Cisco VNI y el Estudio comparativo de capacidades de seguridad 2017 de Cisco

Figura 65 Madurez de la seguridad y tasas de crecimiento

COMPARTIR







68


Sector

Ciertos sectores también quedan rezagados en términos de desarrollo de la seguridad en comparación con otros, como se muestra en la figura 66. En particular, los sectores de productos farmacéuticos, servicios de salud y transporte están detrás de otros.

Es importante señalar que el enorme aumento en las velocidades móviles es el resultado de la adopción generalizada de redes 4G y LTE de parte de los proveedores de telecomunicaciones. Cuando las implementaciones a gran escala de redes 5G pasen a estar disponibles al final de esta década, se espera que las velocidades móviles sean similares a las velocidades de red fija. Según la previsión de VNI móvil actual, el tráfico global de datos móviles ganará probablemente una mayor parte del tráfico IP total cuando

se adopte 5G en forma generalizada. El tráfico global de datos móviles representó el 5 % del tráfico IP total en el 2015 y, de acuerdo con la previsión de VNI, se espera que represente el 16 % del tráfico IP total para el 2020.

Está claro que las organizaciones de seguridad deben redoblar sus esfuerzos de madurez, y rápidamente, si pretenden estar a la altura del crecimiento del tráfico de Internet, el cual se prevé que aumentará en la superficie de posibles ataques. Asimismo, las organizaciones deben responder al crecimiento en el uso de terminales que no son fijas o conectadas por cable a redes corporativas. También deben admitir un uso más amplio de dispositivos personales, desde los cuales los trabajadores tengan acceso a datos corporativos.

Figura 66. Madurez de la seguridad en mercados verticales del sector


Sector por segmento

Educación(n=44)

5

30

18

48

Servicios �nancieros(n=501)

4

31

29

36

Gobierno(n=345)

7

30

23

39

Atención médica(n=211)

14

31

27

29

Fabricantes no relacionados

con la informática(n=355)

5

27

29

39

Servicios públicos/energía(n=113)

5

33

24

38

Transporte(n=174)

5

38

27

30

Telecomunicaciones(n=303)

24

28

42

Sector minorista(n=286)

5

30

34

32

Industria farmacéutica(n=56)

9

39

21

30

AltoMedio-AltoMedioBajo

3

Grá�co redondeado al número entero más cercano

Figura 66 Madurez de la seguridad y mercados verticales del sector

69


Sector

Las mayores velocidades no son el único factor que impulsa el crecimiento del tráfico de Internet. La IdC cuenta con cada vez más dispositivos que se conectan a Internet, lo cual no solo hace crecer el tráfico, sino que también aumenta las posibles rutas de acceso de los atacantes.

Para más información sobre la Previsión VNI de Cisco, visite el sitio web de Cisco o consulte la publicación de blog de Cisco en la previsión VNI anual para el período de 2015 a 2020.

Figura 67. Madurez de la seguridad por país


AltoMedio-AltoMedioBajo

4

25

29

41EE. UU.

425

30

41Brasil

7

31

28

34Alemania

5

36

31

28

Italia

29

5

38

28Reino Unido

5

31

34

31Australia

13

35

21

31China

317

31

47 India

7

32

26

35Japón

421

26

47México

4

30

27

39Rusia

6

35

26

32Francia

7

36

23

33Canadá

2016 (n=2852) Grá�cos redondeados al número entero más cercano

Figura 67 Madurez de la seguridad por país


http://blogs.cisco.com/sp/updated-cisco-vni-complete-forecast-released-today-so-what?_ga=1.213955538.475831013.1478563405

Conclusión

71


Conclusión

ConclusiónPara abordar una superficie de ataque en rápida expansión se necesita un enfoque interconectado e integrado de la seguridadAl analizar los datos del Estudio de los parámetros de funcionalidades de seguridad de Cisco (consulte la página 49), podemos analizar patrones y decisiones que ayudan a las organizaciones a minimizar el riesgo. Por lo tanto, podemos determinar las áreas en las que deben realizar inversiones de seguridad que puedan marcar una diferencia significativa en la exposición a riesgos. Hemos medido el riesgo analizando la duración de las infracciones y el porcentaje de interrupciones del sistema (consulte la figura 53 en la página 55 con respecto a la duración de las infracciones y los sistemas afectados).

Para comprender cómo las organizaciones desarrollan medidas de seguridad eficaces contra el riesgo, debemos analizar qué factores afectan su capacidad para evitar, detectar y mitigar el riesgo. (Consulte la figura 68). Los factores de motivación deben incluir los siguientes elementos:

● Líderes ejecutivos: los altos dirigentes deben priorizar la seguridad. Esto es fundamental para mitigar ataques, así como para prevenirlos. El equipo ejecutivo también debe contar con métricas claras y establecidas para evaluar la eficacia de un programa de seguridad.

● Políticas: las políticas están profundamente relacionadas a la mitigación. El control de los derechos de acceso a redes, sistemas, aplicaciones, funciones y datos afectará la capacidad de mitigar el daño causado por infracciones a la seguridad. Asimismo, las políticas para garantizar una revisión periódica de las prácticas de seguridad ayudarán a prevenir ataques.

● Protocolos: los protocolos correctos pueden ayudar a prevenir y detectar infracciones, aunque también están profundamente relacionados a la mitigación. En particular, para garantizar que las medidas de seguridad estén funcionando, las revisiones periódicas de la actividad de conexión a redes son clave tanto para la prevención como para la mitigación. También es beneficioso revisar y mejorar a lo largo del tiempo las prácticas de seguridad con regularidad y de manera formal y estratégica.

● Herramientas: la aplicación cuidadosa y adecuada de las herramientas es lo que más influye en la mitigación. Con la implementación de herramientas, los usuarios pueden revisar y aportar comentarios, lo cual es fundamental para la detección y prevención, así como para la mitigación.

Figura 68. Controladores y protecciones para minimizar los riesgos


Medidas de seguridadMida la in�uencia de la capacidad de la empresa para evitar, detectar y mitigar los efectos de un riesgo de infracción

Factores de impulsoMida la in�uencia de las políticas, el liderazgo ejecutivo, los protocolos y las herramientas sobre la capacidad de la empresa para evitar, detectar y mitigar los efectos de la infracción

Líderesejecutivos

Política

Protocolos

Herramientas

Riesgo mínimoDetectar

Mitigar

Prevenir

Figura 68 Factores de motivación y medidas de seguridad para minimizar riesgos




72


Conclusión

Las medidas de protección de la seguridad que aplican las organizaciones (prevención, detección y mitigación) se pueden ver como medidas que influyen en la capacidad que tienen de minimizar el riesgo. (Consulte la figura 68).

Estas medidas de protección deben incluir los siguientes elementos:

● Prevención: para minimizar el efecto de las infracciones a la seguridad, los empleados deben informar fallas y problemas relacionados con la seguridad. También es fundamental que los procedimientos y procesos de seguridad sean claros y se comprendan bien.

● Detección: los mejores métodos de detección para minimizar el efecto de las infracciones son los que permiten que las organizaciones detecten puntos débiles en la seguridad antes de que se conviertan en verdaderos incidentes. Para lograrlo, es fundamental tener un buen sistema de categorización de la información relacionada con los incidentes.

● Mitigación: contar con procesos y procedimientos bien documentados para la respuesta ante los incidentes, como también realizar un seguimiento, son factores clave para una mitigación efectiva de las infracciones. Las organizaciones también deben contar con protocolos sólidos para administrar su respuesta ante las crisis.

Todos estos factores de motivación y medidas de seguridad están interconectados y son interdependientes. Los profesionales de seguridad no pueden simplemente seleccionar algunos factores de motivación y medidas de seguridad, y creer que han solucionado el problema de la seguridad. Necesitan tener en cuenta todos los factores y todas las medidas. Los equipos de seguridad deben analizar cuáles son sus puntos débiles (por ejemplo, niveles bajos de respaldo por parte de los líderes, o la falta de herramientas para mitigar infracciones) y calcular en qué áreas se deben realizar inversiones en seguridad.

73


Conclusión

Objetivo principal: reducir el espacio operativo de los atacantesLas principales prioridades de los defensores deben ser reducir (y preferentemente eliminar) el espacio operativo ilimitado de los atacantes, como también revelar la presencia de los mismos. La realidad es que nadie puede detener todos los ataques, o proteger todo lo que puede y debe protegerse. Pero si se centra en cerrar el espacio operativo que los criminales informáticos deben tener para que sus campañas sean eficaces y rentables, puede evitar que logren acceso a sistemas y datos críticos evadiendo por completo la detección.

Este informe clasificó diferentes enfoques que los atacantes utilizan para comprometer y atacar a usuarios y sistemas. Basamos nuestras categorías (reconocimiento, armamentización, entrega e instalación) en el área en que los ataques suelen llevarse a cabo en la cadena de ataque. Este ejercicio pretende ilustrar cuándo, cómo y dónde los atacantes se aprovechan de las vulnerabilidades y otros puntos débiles para acceder a un dispositivo o un sistema, lanzar su campaña, y luego obtener las recompensas que buscan.

Sugerimos que los defensores adapten sus enfoques de seguridad para adelantarse a los procesos básicos de los atacantes. Por ejemplo, para obstaculizar la tarea de los atacantes durante la fase de reconocimiento, los equipos de seguridad deben:

● Recopilar información sobre las últimas amenazas y vulnerabilidades

● Asegurarse de tener el control del acceso a sus redes

● Limitar la exposición de la organización en una superficie de ataque en expansión

● Administrar configuraciones

● Desarrollar prácticas y procedimientos de respuesta uniformes, los cuales estén informados por este trabajo

Cuando se aplican las amenazas dañinas, los defensores deben aplicar todas las herramientas a su disposición para impedir que se extiendan y se vuelvan más peligrosas. Aquí es donde una arquitectura de seguridad integrada se vuelve crucial. Aportará una perspectiva en tiempo real de las amenazas, como también una detección y defensa automatizadas, las cuales son fundamentales para mejorar la detección de amenazas.

En la fase de instalación, los equipos de seguridad deben mantenerse informados sobre el estado del entorno mientras investigan y responden al riesgo. Si ese entorno es simple, abierto y automatizado, y si los defensores han adoptado las otras medidas proactivas mencionadas, pueden enfocar sus recursos en ayudar a la empresa a responder preguntas críticas, a saber:

● ¿A qué accedieron los atacantes?

● ¿Por qué pudieron acceder?

● ¿Adónde se dirigieron?

● ¿Aún están operando en nuestra red?

Las respuestas a estas preguntas permitirán que los equipos de seguridad no solo tomen las medidas pertinentes para evitar otros ataques, sino que también informen a la administración y la junta directiva sobre posibles exposiciones y divulgaciones necesarias. A partir de allí, la empresa puede comenzar el proceso de asegurarse de implementar controles y técnicas de mitigación integrales para abordar todas las brechas en la seguridad (los puntos débiles que permitieron a los atacantes tener el espacio operativo necesario para lograr su cometido) identificadas durante el ataque.

74


Acerca de Cisco

Acerca de CiscoCisco ofrece ciberseguridad inteligente para el mundo real a través de uno de los portafolios de soluciones de protección avanzada contra amenazas más integrales del sector, que aborda la gama más amplia de vectores de ataque. El enfoque sobre la seguridad implementado y centrado en las amenazas de Cisco reduce la complejidad y la fragmentación mientras proporciona una visibilidad superior, control uniforme y protección avanzada contra amenazas antes, durante y después de un ataque.

Los investigadores especializados en amenazas del ecosistema Cisco Collective Security Intelligence (CSI) reúnen, en una misma estructura, la inteligencia de amenazas líder del sector; para ello, usan la telemetría obtenida de la enorme impronta de dispositivos y sensores, fuentes públicas y privadas, y la comunidad de código abierto. Esto equivale a un ingreso diario de miles de millones de solicitudes web y millones de correos electrónicos, muestras de malware e intrusiones en las redes.

Nuestra sofisticada infraestructura y nuestros sistemas consumen esta telemetría, lo que permite a los investigadores y los sistemas de aprendizaje automático seguir las amenazas de la red, los centros de datos, los terminales, los dispositivos móviles, los sistemas virtuales, la web, los correos electrónicos y la nube a fin de identificar las causas principales y examinar el alcance del daño causado. La inteligencia resultante se traduce en protecciones en tiempo real para nuestra oferta de productos y servicios que se distribuyen inmediatamente a los clientes internacionales de Cisco.

Para obtener más información sobre el enfoque centrado en amenazas de Cisco, visite www.cisco.com/go/security.

http://www.cisco.com/go/security

75


Acerca de Cisco

Colaboradores del Informe anual de ciberseguridad 2017 de Cisco

CloudLockCloudLock, una empresa de Cisco, es un proveedor líder de soluciones de intermediación de seguridad de acceso a la nube (CASB), las cuales permiten a las organizaciones usar la nube con seguridad. CloudLock brinda visibilidad y control para entornos de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS) para todos los usuarios, datos y aplicaciones. CloudLock ofrece una inteligencia de ciberseguridad procesable mediante su CyberLab liderado por científicos de datos y un análisis de seguridad colectivo. Para más información, visite https://www.cloudlock.com.

Security and Trust OrganizationSecurity and Trust Organization, de Cisco, subraya el compromiso que asume Cisco para abordar dos de los problemas más críticos que son la principal prioridad de salas de juntas y líderes mundiales por igual. Las tareas centrales de esta organización incluyen brindar protección a clientes públicos y privados de Cisco, habilitar y garantizar iniciativas de Ciclo de vida del desarrollo seguro y de Sistemas confiables de Cisco en todo el portafolio de productos y servicios de Cisco, y brindar protección a Cisco contra amenazas cambiantes. Cisco adopta un enfoque integral hacia la seguridad y la confianza generalizadas, que comprende personas, políticas, procesos y tecnología. Security and Trust Organization impulsa la excelencia operativa centrándose en seguridad informática, ingeniería confiable, protección y privacidad de datos, seguridad en la nube, transparencia y validación, e investigación y gestión de seguridad avanzada. Para obtener más información, visite http://trust.cisco.com.

Asuntos gubernamentales globalesCisco se relaciona con gobiernos en distintos niveles para colaborar en la creación de normas y políticas públicas que respaldan el sector tecnológico y ayudan a los gobiernos a alcanzar sus objetivos. El equipo de Asuntos gubernamentales globales desarrolla y ejerce influencia en las normas y las políticas públicas a favor de la tecnología. Mediante el trabajo en colaboración con las partes interesadas del sector y partners asociados, el equipo entabla relaciones con líderes gubernamentales para ejercer influencia en las políticas que afectan el negocio de Cisco y la adopción general de tecnologías de la información y la comunicación (TIC), con la intención de ayudar a crear decisiones sobre políticas tanto a nivel local como nacional y global. El equipo de Asuntos gubernamentales está compuesto por exfuncionarios electos, miembros del Parlamento, reguladores, altos funcionarios gubernamentales de EE. UU. y profesionales de asuntos gubernamentales que ayudan a Cisco a promover y proteger el uso de la tecnología en todo el mundo.

Cognitive Threat AnalyticsCognitive Threat Analytics de Cisco es un servicio basado en la nube que detecta violaciones, malware que funciona dentro de redes protegidas y otras amenazas a la seguridad mediante al análisis estadístico de los datos del tráfico de red. Esta solución aborda las brechas de las defensas perimétricas mediante la identificación de los síntomas de una infección de malware o violación de datos; para ello, hace uso del análisis de comportamiento y la detección de anomalías. Cisco Cognitive Threat Analytics depende del modelado estadístico avanzado y del aprendizaje automático para identificar amenazas nuevas de manera independiente, aprender de lo que ve y adaptarse con el tiempo.

https://www.cloudlock.com

http://trust.cisco.com

76


Acerca de Cisco

Equipo IntelliShieldEl equipo IntelliShield realiza la investigación, el análisis, la integración y la correlación de datos e información relacionados con amenazas y vulnerabilidades provenientes de Cisco Security Research and Operations y fuentes externas para brindar el servicio de inteligencia de seguridad IntelliShield, que respalda diversos productos y servicios de Cisco.

Grupo de Investigación e Inteligencia de Seguridad Talos Talos es una organización de inteligencia de amenazas de Cisco, un grupo selecto de expertos de seguridad dedicados a brindar protección superior para los clientes, productos y servicios de Cisco. Talos está compuesto por investigadores líderes especializados en amenazas y respaldados por sistemas sofisticados que les permiten crear inteligencia de amenazas para los productos Cisco que detectan, analizan y protegen contra las amenazas conocidas y emergentes. Talos mantiene el conjunto de reglas oficiales de Snort.org, ClamAV, SenderBase.org y SpamCop, y es el equipo principal que aporta información sobre amenazas al ecosistema Cisco CSI.

Security Research and Operations (SR&O)Security Research and Operations (SR&O) es responsable de la gestión de amenazas y vulnerabilidades de todos los productos y servicios de Cisco, incluido el Equipo de respuesta a incidentes de seguridad de productos (PSIRT), líder del sector. SR&O ayuda a los clientes a comprender el panorama de amenazas en evolución a través de eventos, como Cisco Live y Black Hat, y también a través de la colaboración con sus pares en Cisco y el sector. Asimismo, SR&O presta nuevos servicios, como Inteligencia de amenazas personalizada (CTI) de Cisco, los cuales pueden identificar indicadores de riesgo que no han sido detectados ni mitigados por las infraestructuras de seguridad existentes.

Cisco Visual Networking Index (VNI)La previsión de tráfico IP global de Cisco VNI para el período de 2015 a 2020 depende de pronósticos de analistas independientes y datos de uso de la red del mundo real. A partir de estas proyecciones, Cisco elabora sus propias estimaciones del tráfico IP global y la adopción del servicio. En el informe completo se incluye una descripción detallada de la metodología. En su trayectoria de 11 años, la investigación de Cisco VNI se ha convertido en una medida muy reconocida del crecimiento de Internet. Los gobiernos nacionales, los reguladores de la red, los investigadores académicos, las empresas de telecomunicaciones, los expertos en tecnología y la prensa y los analistas del sector y de la empresa dependen del estudio anual para planificar el futuro digital.

Apéndice

78


Apéndice

ApéndiceEstudio comparativo sobre capacidades de seguridad de 2017 de Cisco

Educación(instituciones

de educación superior)

50%

49%

54%

49%

45%

54%

51%

55%

46%

38%

38%

46%

Recomendaciones �nales de la marca relacionadas con soluciones

Sectores

Tamaño de la organización CSO frente a Sec Op

Áreas de participación en seguridad

Sector no clave

Empresas medianas Empresas grandes CSO Sec OpCorporaciones

2016

2015

2014

2016

2015

2014

Servicios públicos/energía

Transporte

Telecomunicaciones

Sector minorista

Industria farmacéutica

Fabricación:no relacionada

con computadoras

Atención médica

Gobierno

Servicios �nancieros:banca, seguro

Aprobación de presupuestos

De�nición de requisitos

Implementación y administración de soluciones

Investigación y evaluación de soluciones

Estrategias y puntos de vista generales

74%76%

81%

73%75%

83%

72%75%

78%

54%57%

66%

71%73%

79%

67%71%

76%

12%

13%

3%3%

2%

1%2%2%

3%3%10%

15%14%

18%

9%12%12%

14%15%

12%

6%8%11%

8%5%6%

21%27%

16%

7%3%4%

6%4%

8%

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Figura 69. Estudio comparativo de las capacidades de encuesta


Figura 69 Estudio comparativo sobre capacidades de la encuesta

79


Apéndice

Percepciones

64%

59%

58%

33%

37%

37%

3%

5%

5%

2014(n=1738)

2015(n=2432)

2016(n=2912)

Cuenta con las mejores tecnologías disponibles muy actualizadas

Es reemplazada/actualizada de manera regular sin las mejores y últimas herramientas

Es reemplazada/actualizada solo cuando es necesario porque ya no funciona, es obsoleta o hay nuevas necesidades

¿Cómo describiría su infraestructura de seguridad?

Figura 71. La mayoría de los profesionales de seguridad sienten que la infraestructura de seguridad está actualizada


Figura 70 Cantidad de profesionales dedicados a la seguridad

Figura 71 La mayoría de los profesionales de seguridad considera que su infraestructura de seguridad está actualizada

2015 (n=2432)2014 (n=1738) 2016 (n=2912)

1-9

10-19

20-29

30-39

50-99

40-49

100-199

200 o más

Cantidad promedio de profesionales dedicados a la seguridad 30 25 33

17%

18%

17%

9%

4%

16%

9%

10%

18%

16%

12%

8%

4%

19%

9%

15%

15%

17%

13%

6%

8%

9%

19%

12%


Figura 70. Cantidad de profesionales de seguridad dedicados

80


Apéndice

2016 (n=2912), grá�cos redondeados al número entero más cercano

<1%

<1%

<1%

<1%

<1%

24%

27%

28%

29%

28%

51%

50%

49%

49%

49%

23%

21%

22%

20%

20%

2%

2%

2%

2%

2%

74%

71%

71%

69%

69%

Muy e�cacesAlgo e�cacesNo muy e�cacesNada e�caces Extremadamente e�caces

Muy + extremadamente e�caz

%


Figura 72. Porcentajes de profesionales de seguridad que perciben que varias herramientas de seguridad son muy efectivas

Bloquean contra amenazas de seguridad conocidas

Detectan anomalías en la red y protegen dinámicamente contra cambios en las amenazas adaptables

Nos permiten hacer cumplir las políticas de seguridad.

Nos permiten evaluar los posibles riesgos de seguridad.

Determinan el alcance de un riesgo, lo contienen y corrigen otras vulnerabilidades

Figura 72 Porcentaje de profesionales de seguridad que consideran que diferentes herramientas de seguridad son muy efectivas

Figura 73 Porcentaje de profesionales de seguridad que consideran que la seguridad es una alta prioridad a nivel ejecutivo

Los líderes ejecutivos de mi organización consideran que la seguridad es de absoluta prioridad.

Las funciones y responsabilidades en torno a la seguridad se aclaran en el equipo ejecutivo de mi organización.

Las evaluaciones de riesgos cibernéticos se incorporan rutinariamente a nuestro proceso de evaluación de riesgos general.

2016

2015

2014

El equipo ejecutivo de mi organización ha establecido métricas claras para evaluar la e�cacia de nuestro programa de seguridad.

2016

2015

2014

94%

96%

96%

63%

61%

59%

32%

35%

37%

40%

41%

44%

4%

4%

4%1%

1%

2% 94%

95%

96%

58%

58%

55%

5%

4%

4%1%

1%

2% 93%

95%

96%

57%

55%

53%

4%

4%

4%1%

1%

2%

93%

94%

95%

53%

53%

51%

6%

5%

4%1%

1%

2%

35%

36%

41%

36%

40%

43%

94%51%

De acuerdoEn desacuerdoTotalmenteen desacuerdo

Totalmentede acuerdo

De acuerdo +Totalmente de acuerdo

%2016 (n=2912)2015 (n=2432)2014 (n=1738)

Figura 73. Porcentajes de profesionales de seguridad que creen que la seguridad es una alta prioridad a nivel ejecutivo


81


Apéndice

Revisamos y mejoramos nuestras prácticas de seguridad periódica, formal y estratégicamente todo el tiempo.

Our Threat Detection and Blocking Capabilities Are Kept Up to Date

We Regularly Review ConnectionActivity on Network to Ensure SecurityMeasures Are Working as Intended

2016

2015

2014

Podemos incrementar los controles de seguridad de los activos de gran valor si las circunstancias lo requieren.

La seguridad está bien integrada a las capacidades comerciales y los objetivos de nuestra organización.

Nuestras tecnologías de seguridad están bien integradas a �n de que funcionen e�cazmente en conjunto.

2016

2015

2014

Investigamos rutinaria y sistemáticamente los incidentes de seguridad.

Contamos con herramientas que nos permiten revisar y brindar comentarios relacionados con las capacidades de nuestras prácticas de seguridad.

Es fácil determinar el alcance de un riesgo, contenerlo y corregir los ataques.

2016

2015

2014

95%

96%

96%

56%

56%

53%

38%

40%

42%

40%

41%

45%

41%

4%

4%

4%0%

1%

1% 94%

96%

95%

57%

56%

55%

5%

3%

4%0%

1%

1% 94%

96%

95%

58%

57%

53%

4%

3%

4%0%

1%

2%

94%

96%

95%

54%

56%

51%

5%

3%

4%0%

1%

1%

38%

40%

93%

96%

55%

56%

5%

4%1%

2%

94%

96%

95%

58%

56%

55%

5%

4%

4%1%

1%

2% 93%

95%

95%

56%

52%

53%

5%

4%

5%0%

1%

2%

95%53%5%0%

37%

40%

41%

36%

40%

40%

36%

39%

43%

38%

43%

42%

93%

95%

95%

53%

52%

49%

5%

4%

5%0%

1%

1% 89%

91%

92%

46%

45%

43%

9%

8%

7%1%

1%

2%40%

44%

46%

43%

46%

49%




%2016 (n=2912)2015 (n=2432)2014 (n=1738)

Figura 74. Porcentajes de encuestados que está totalmente de acuerdo con las instrucciones de operacionalización de la seguridad


Figura 74 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de operacionalización de la seguridad

82


Apéndice

Restricciones

Figura 75 Los mayores obstáculos para la seguridad

35%39%

32% 28%

25%

22%

24%

24%

23%

22%

23%

25%

25%

24%

23%

22%

22%

22%

18%

17%

N/D

N/D

2015 (n=2432) 2016 (n=2912)

Figura 75. Mayores obstáculos para la seguridad

Restricciones de presupuesto

Problemas de compatibilidad

Requisitos de certi�cación

Falta de personal capacitado

Prioridades contrapuestas

Carga de trabajo actual muy pesada

Falta de conocimiento

Reticencia a comprar hasta que no se comprueben

Cultura/actitud de la organización

La organización no es un objetivo de gran valor para los atacantes

La seguridad no es una prioridad de nivel ejecutivo


1-5 productos

Más de 100 productos

2016 (n=2860)

51-100 productos

26-50 productos

11-25 productos

6-10 productos

�35%

2%

4%

11%

21%

29%

Figura 76. Cantidad de proveedores y productos de seguridad utilizados por las organizaciones


Figura 76 Número de proveedores y productos de seguridad empleados por organizaciones

Figura 77 Número de proveedores de seguridad utilizados por tamaño de la organización

Figura 78 Número de productos de seguridad utilizados por tamaño de la organización

46,9%

¿Cuántos diferentes proveedores de seguridad (es decir, marcas, fabricantes) forman parte de su entorno de seguridad?

Mercado de empresas medianas entre 250 y 1000 empleados

Empresasentre 1000 y 10 000 empleados

Grandes empresas más de 10 000 empleados

Organizaciones totales 1435 1082 333

6,9%2,8%1,4%Más de 50

1-5

8,7%7,1%5,6%21-50

23,1%15,8%17,6%11-20

21,3%30,9%28,4%6-10

39,9%43,4%

Figura 77. Cantidad de proveedores de seguridad utilizados por tamaño de la organización


37.9%

¿Cuántos productos de seguridad diferentes forman parte de su entorno de seguridad?

Mercado de empresas medianasentre 250 y 1000 empleados

Empresasentre 1000 y 10 000 empleados

Grandes empresas más de 10 000 empleados

Organizaciones totales 1442 1084 334

7.8%4.3%3.0%51-100

5.4%1.9%0.8%Más de 100

1-5

15.6%10.5%9.6%26-50

23.7%20.4%19.8%11-25

22.5%30.1%29.0%6-10

25.1%32.7%

Figura 78. Cantidad de productos de seguridad utilizados por tamaño de la organización


83


Apéndice

Figura 79 Disminución interanual del presupuesto de seguridad dentro del presupuesto de TI

Figura 80 Disminución interanual del gasto de seguridad como proporción del presupuesto de TI

¿Forma parte del presupuesto de TI el presupuesto de seguridad? (Miembros del departamento de TI) 2015 (n=2374)2014 (n=1673) 2016 (n=2828)

Totalmente dentro de TI

Parcialmente dentro de TI

Completamente independiente

58%

33%

9%

61%

33%

6%

55%

36%

9%


Figura 79. Disminución interanual del presupuesto de seguridad que ingresa al presupuesto de TI

Presupuesto de TI dedicado a la seguridad como función 2015 (n=2374)2014 (n=1673) 2016 (n=2828)

0%

1-5%

6-10%

16-25%

26%-50%

51% o más

11-15%

9%

3%

11%

31%

19%

4%

23%

7%

4%

12%

29%

21%

5%

23%

10%

4%

16%

26%

15%

2%

27%


Figura 80. Disminución interanual del gasto en seguridad como una proporción del presupuesto de TI

84


Apéndice

Efectos

Encuestados de las organizaciones que perdieron ingresos el año pasado (n=778)

Ninguno (0%)

Todos (100%)

Entre el 80% y el 100%




Algunos, pero menosdel 20%

1%

4%

3%

1%

10%

20%

62%

Figura 82. Porcentajes de ingresos perdidos de la organización como resultado de los ataques


Figura 81 Porcentaje de oportunidades perdidas de una organización como resultado de ataques

Figura 82 Porcentaje de ingresos perdidos de una organización como resultado de ataques

Figura 83 Porcentaje de clientes perdidos de una organización como resultado de ataques

Encuestados de las organizaciones que perdieron oportunidades durante el año pasado (n=625)

Ninguna (0%)

Todas (100%)





Algunas, pero menosdel 20%

1%

5%

3%

0%

9%

25%

58%

Figura 81. Porcentajes de la organización Oportunidades perdidas como resultado de los ataques


Encuestados de las organizaciones que perdieron clientes el año pasado (n=641)

Ninguno (0%)

Todos (100%)






1%

6%

4%

1%

8%

21%

60%

Figura 83. Porcentajes de clientes de la organización perdidos como resultado de los ataques


85


Apéndice

Resultados

Ninguno (0%)


Todos (100%)






4%

4%

1%

10%

21%

41%

18%

Figura 85. Porcentajes de seguridad de la organización que depende de proveedores de terceros


Figura 84. Porcentajes de organizaciones que dependen de la tercerización

52%

47%

42%

44%

39%

36%

12%

51%

41%

35%

42%

34%

21%

53%

49%

46%

31%

31%

10%

51%

46%

45%

41%

45%

35%

52%

48%

46%

33%

33%

N/D


Auditoría

Respuesta a incidentes

Supervisión

Corrección

Inteligencia de amenazas

Ninguno/Todos internos

Más rentable

Deseo de contar con una perspectiva objetiva

Una respuesta más oportuna a incidentes

Falta de experiencia interna

Falta de recursos internos

¿Qué servicios de seguridad se subcontratan?

¿Por qué se subcontratan estos servicios?

2014(n=1738)

2015(n=2432)

2016(n=2912)

2015(n=2129)

2016(n=2631)


Figura 84 Porcentaje de dependencia de las organizaciones en relación a la tercerización

Figura 85 Porcentaje de la seguridad de una organización que depende de proveedores terceros

86


Apéndice


Auditoría

Supervisión


Corrección

Ninguno/Todos internos

Inteligencia de amenazas

¿Qué servicios de seguridad se subcontratan? Empresas medianas (n=1459) Grandes empresas (n=1102) Corporaciones (n=351)

52%

47%

43%

44%

34%

11%

41%

50%

44%

46%

48%

35%

8%

41%

51%

50%

44%

39%

37%

11%

40%

Figura 86. Porcentajes de servicios de seguridad tercerizados por tamaño de la organización


2016 (n=2912), grá�cos redondeados al número entero más cercano

4%

4%

5%

5%

5%

4%

5%

5%

8%

20%

21%

22%

22%

23%

24%

23%

25%

28%

44%

41%

44%

43%

44%

43%

41%

41%

39%

30%

32%

28%

29%

26%

27%

28%

26%

21%

2%

2%

2%

2%

2%

2%

3%

3%

4%

74%

73%

72%

72%

70%

70%

69%

67%

60%

Con mucho escrutinio

Algode escrutinio

Con pocoescrutinio

Sinescrutinio

Con extremado escrutinio

Con mucho + extremado escrutinio

%


Figura 87. Fuentes de mayor escrutinio

Líderes ejecutivos

Clientes

Empleados


Grupos guardianes y de interés

Reguladores

Inversionistas


Oprima

Figura 86 Porcentaje de servicios de seguridad tercerizados por tamaño de la organización

Figura 87 Fuentes de análisis aumentado

87


Apéndice

Dónde se alojan las redes 2015 (n=2417)2014 (n=1727) 2016 (n=2887)

En las instalaciones, como parte de una nube privada

En las instalaciones

En las instalaciones, pero administradas por un proveedor externo

Nube privada fuera de las instalaciones

Nube pública fuera de las instalaciones

51%

48%

24%

20%

10%

50%

54%

23%

18%

8%

50%

46%

27%

25%

9%


Figura 88. Aumento de la nube privada fuera de las instalaciones y del alojamiento administrado de terceros en las instalaciones

Operaciones, políticas, procedimientos y funcionalidades

2016(n=2754)

Gerente de seguridad (CSO)

¿Cuenta su organización con un ejecutivo con responsabilidad directa sobre la seguridad?Encuestados que informaron funciones y responsabilidades aclaradas

Puesto del ejecutivoEncuestados que informaron un ejecutivo con responsabilidad sobre la seguridad

2015(n=2288)

2014(n=1603)

8%

8%

9%

92%

92%

91%

SíNo

Otro cargo

Director de operaciones (COO)

Director de riesgos y cumplimiento (CRO) o (CCO)

Director general de tecnología (CTO)

Vicepresidente Sénior (SVP) o vicepresidente (VP) de TI

Director general (CEO) o equivalente

Director general (CIO)

53%52%53%

14%15%16%

10%11%

10%

8%

4%

8%9%

3%2%4%

1%1%1%

N/AN/A

8%11%

7%

2016 (n=2530) 2015 (n=2095) 2014 (n=1465)

Figura 89. Proporción de empresas con un ejecutivo de seguridad


Figura 88 Aumento de la nube privada fuera de las instalaciones y alojamiento en las instalaciones gestionado por terceros

Figura 89 Proporción de empresas con ejecutivo de seguridad

88


Apéndice

Figura 90 Porcentaje de compañías que cuentan con una estrategia de seguridad formal en toda la organización y observan prácticas de política de seguridad estandarizadas

Figura 91 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de procesos de seguridad

Se estimula a los empleados de mi organización a informar las fallas y los problemas de seguridad.

Los procedimientos y procesos de seguridad de mi organización son claros e inequívocos.

Se estimula a los gerentes de la línea de negocios a contribuir a los procedimientos y las políticas de seguridad.

2016

2015

2014

Los procesos de seguridad de mi organización nos permiten anticipar y mitigar los posibles problemas de seguridad de forma proactiva.

Los procesos de seguridad de mi organización se miden y controlan mediante datos cuantitativos.

Mi organización ha optimizado sus procesos de seguridad y ahora se centra en la mejora de dichos procesos.

2016

2015

2014

Mi organización es capaz de detectar las debilidades de seguridad antes de que se conviertan en incidentes completos.

Los gerentes de la línea de negocios involucran al grupo de políticas de seguridad antes de tomar una decisión sobre las aplicaciones de la línea de negocios

2016

2015

2014

92%

95%

96%

61%

62%

58%

32%

33%

38%

38%

43%

43%

41%

45%

46%

5%

4%

4%1%

1%

3% 91%

95%

96%

56%

57%

55%

6%

4%

4%<1%

1%

3% 92%

94%

95%

53%

55%

52%

5%

5%

4%1%

1%

3%

91%

95%

96%

53%

53%

53%

7%

4%

4%1%

1%

3% 91%

95%

95%

54%

53%

50%

6%

4%

4%1%

1%

3% 92%

95%

95%

53%

53%

52%

5%

4%

4%1%

1%

3%

91%

95%

96%

49%

51%

49%

6%

4%

4%1%

1%

3%

94%49%5%

36%

39%

40%

37%

42%

45%

45%

39%

40%

43%

39%

42%

43%

1% 94%51%

N/D

N/D

2016 (n=2912)2015 (n=2432)2014 (n=1738)

De acuerdoEn desacuerdoTotalmente en desacuerdo

Totalmente de acuerdo

De acuerdo + Totalmente de acuerdo

%

Figura 91. Porcentajes de encuestados que están completamente de acuerdo con las a�rmaciones de los procesos de seguridad


Estándares de seguridad Práctica estandarizada de políticas de seguridad

Tener una estrategia de seguridad escrita y formal para toda la organización que se revisa periódicamente

Seguir una práctica estandarizada de la política de seguridad informática, como ISO 27001

De�nir formalmente los recursos empresariales críticos que requieren consideraciones especiales para la administración de riesgos que son cruciales para el negocio o que están reguladas para tener mayor protección.

Seguir las políticas estandarizadas de seguridad enfocadas en la atención médica, como NIST 800‒66, ISO27799, ISO80001

Ninguna de las opciones anteriores

Ya certi�cada

Actualmente en proceso de certi�cación

Preparación para el proceso de certi�cación

Respeta la práctica estandarizada de la

política de seguridad de la información

2016 (n=1596)

62%

2% 65%

28%

7%

1%1%1%

66%59%

55%52%52%

43%38%

54%

N/AN/A

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Figura 90. Porcentaje de empresas que tiene una estrategia de seguridad formal para toda la organización y que respetan las prácticas de la política de seguridad estandarizada


89


Apéndice

Los derechos de acceso a las redes, los sistemas, las aplicaciones, las funciones y los datos se controlan adecuadamente.

Los controles de seguridad técnica de los sistemas y las redes están bien administrados.

Las instalaciones informáticas de mi organización están bien protegidas.

2016

2015

2014

2016 (n=2912)2015 (n=2432)2014 (n=1738)

Revisamos regularmente nuestras herramientas y prácticas de seguridad para garantizar que estén actualizadas y sean e�caces.

Realizamos un buen trabajo en la integración de la seguridad en los sistemas y las aplicaciones.

Realizamos un buen trabajo en la integración de la seguridad en los procedimientos de adquisición, desarrollo y mantenimiento de los sistemas.

2016

2015

2014

Se llevan a cabo clasi�caciones claras e inventarios de los recursos de información.

Realizamos un excelente trabajo en el manejo de la seguridad de RR. HH.

Realizamos un buen trabajo de creación de seguridad en aplicaciones móviles externas de los clientes

2016

2015

2014

94%

97%

97%

61%

59%

55%

33%

38%

41%

35%

37%

40%

39%

42%

44%

4%

3%

3%<1%

1%

2% 95%

96%

96%

60%

57%

56%

3%

4%

4%<1%

0%

2% 94%

96%

96%

57%

56%

55%

4%

4%

4%<1%

1%

2%

93%

97%

96%

59%

60%

56%

5%

3%

4%<1%

1%

2% 93%

96%

96%

58%

54%

53%

5%

4%

4%<1%

1%

2% 94%

96%

96%

56%

56%

52%

4%

3%

4%<1%

1%

2%

93%

95%

95%

54%

53%

51%

6%

5%

4%<1%

1%

2% 93%

94%

94%

53%

51%

49%

5%

5%

5%

35%

38%

40%

35%

42%

43%

40%

44%

45%

36%

40%

41%

38%

41%

43%

N/D

N/D

43%1%

1%

2%

94%51%6%1%




%

Figura 92. Porcentajes de encuestados que están completamente de acuerdo con las a�rmaciones de los procesos de seguridad


Figura 92 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de procesos de seguridad

90


Apéndice

Contamos con procedimientos y procesos bien documentados para la respuesta ante los incidentes y el seguimiento de estos.

Disponemos de buenos sistemas de comprobación de ocurrencia real de incidentes de seguridad.

Realizamos un buen trabajo en la noti�cación a las partes interesadas y la colaboración con ellas respecto de los incidentes de seguridad.

2016

2015

2014

Disponemos de un buen sistema de categorización de información relacionada con incidentes.

Contamos con procesos e�caces para interpretar, priorizar y comprender los informes entrantes de incidentes.

Seguimos prácticas de respuesta a incidentes estandarizadas, como RFC2350, ISO/IEC 27035:2011 o certi�caciones de EE. UU.

2016

2015

2014

Disponemos de un buen protocolo de respuesta para la gestión de situaciones de crisis

2016

2015

2014

94%

96%

95%

56%

54%

53%

37%

42%

42%

40%

43%

44%

44%

5%

4%

4%<1%

1%

2% 93%

95%

95%

54%

54%

53%

6%

5%

4%<1%

1%

1% 94%

95%

95%

51%

53%

52%

5%

4%

5%1%

1%

2%

93%

96%

96%

54%

53%

51%

5%

4%

4%<1%

1%

2% 93%

95%

96%

51%

52%

50%

5%

5%

4%<1%

1%

2% 90%

93%

93%

49%

49%

50%

8%

6%

6%1%

1%

2%

95%51%5%<1%

38%

41%

42%

42%

43%

45%

43%

42%

43%

41%

44%

44%

94%51%

N/D

N/D




%2016 (n=2912)2015 (n=2432)2014 (n=1738)

Figura 93. Porcentajes de encuestados que están completamente de acuerdo con las a�rmaciones de los controles de seguridad


Figura 94. Administración y e�cacia de las tecnologías de seguridad¿Cuáles son las tecnologías de seguridad más e�caces utilizadas por la organización?2016 (n=2895)

¿Cuáles son las tecnologías de seguridad que consumen más tiempo y que son más difíciles de administrar para el personal?(Menciones superiores al 10%) 2016 (n=2895)

Firewall

Defensa de DDoS

Prevención de pérdida de datos

Cifrado/privacidad/protección de datos

Protección de terminales/antivirus, antimalware

Seguridad móvil

DNS seguro

Seguridad de mensajería/correo electrónico

Control de acceso/autorización

Prevención de intrusiones


28%

14%

14%

15%

10%

13%

17%

20%

16%

16%

12%

12%

12%

15%

12%

14%

10%

11%

11%

11%

Figura 93 Porcentaje de encuestados que están totalmente de acuerdo con las declaraciones de controles de seguridad

Figura 94 Administración y eficacia de tecnologías de seguridad

91


Apéndice

Firewall** Seguridad móvil


Seguridad de la red,�rewalls y prevención

de intrusiones**

de dos factores

Informática forense de terminales

Pruebas de penetración

Autenticación de varios factores

Revisión y con�guración

Análisis de vulnerabilidades

Administración de información y eventos de seguridad (SIEM)

Informática forense de red

VPN

Prevención de intrusiones**

Administración de identidad/

aprovisionamiento de usuarios

Tecnología inalámbrica protegida

Defensa de DDoS

Control de acceso/autorización

Protección terminal/anti-malware

Seguridad web

Seguridad de mensajería/correo electrónico

DNS seguro

Cifrado/privacidad/protección de datos

Prevención de pérdida de datos

Defensas a través de servicios basados en la nube*

Defensas contra amenazas de seguridad utilizadas por la organización

Defensas a través de servicios basados en la nube*

Defensas contra amenazas de seguridad utilizadas por la organización

* Encuestados sobre seguridad que utilizan defensas contra amenazas de seguridad

** El �rewall y la prevención de intrusiones constituían un código en 2014: “Seguridad de la red, �rewalls y prevención de intrusiones”.

2016 (n=2912)2015 (n=2432)2014 (n=1738)

2016 (n=2725)2015 (n=2268)2014 (n=1646)

58%65%

34%31%

N/D N/D

N/D N/DN/D N/D

N/D N/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/D

N/DN/D

N/D

N/DN/D

N/DN/DN/D

N/DN/DN/D

N/DN/DN/D

45%56%55%

35%44%

51%

32%40%

48%

32%41%

48%

32%38%

43%

30%

29%

32%39%

12%17%20%

8%1%1%1%

11%13%

27%34%

38%

26%26%

53%52%

60% 35%

31%

15%21%

25%

32%31%

42%

20%24%

28%

18%21%

26%

44%

42% 22%

53%53%

42%52%

56%

27%34%37%

41%51%

59%

40%48%

53%

37%41%

50%

38%37%36%

41%49%49%

35%45%

35%44%

45%

24%25%25%

19%19%

26%

17%20%

25%31%

37%

2016 2015 2014

Figura 95. Uso interanual de la defensa ante amenazas de seguridad


Figura 95 Uso interanual de defensa ante amenazas de seguridad

92


Apéndice

¿Hasta qué punto in�uye el factor de protección del cliente en la toma de decisiones de seguridad?

2016 (n=2878)Grá�co redondeado al número entero más cercano

1% 10% 45% 44%0% 89%

MuchoDe alguna maneraPocoPara nada Extremadamente e�caces Mucho + extremadamente

%


Figura 96. Alcance que tienen los factores de protección del cliente en la toma de decisiones de seguridad

Riesgos y vulnerabilidades


4%

4%

6%

6%

5%

6%

6%

6%

7%

18%

<1%

20%

22%

23%

23%

23%

25%

24%

36%

33%

28%

30%

26%

26%

25%

25%

26%

42%

43%

45%

42%

47%

46%

46%

44%

43%

78%

76%

74%

72%

72%

72%

71%

69%

69%

Riesgo moderadoRiesgo leveSin riesgo Alto riesgo Moderado + alto riesgo%


Figura 97. Mayores fuentes de preocupación del personal de seguridad de TI relacionadas con los ataques cibernéticos

Ataques especí�cos

Amenazas persistentes avanzadas

Proliferación de BYOD y dispositivos inteligentes

Viabilidad de recuperación tras un desastre y continuidad de los negocios

Ex�ltración interna

Tercerización de los procesos empresariales importantes (y falta de control sobre los servicios de terceros)

Ransomware

Computación en la nube

Restricciones del cumplimiento reglamentario

Figura 96 Medida en la que los factores de protección de clientes influyen en la toma de decisiones de seguridad

Figura 97 Los principales motivos de preocupación del personal de seguridad de TI en relación a los ataques informáticos

93


Apéndice


10%

10%

11%

10%

11%

11%

12%

11%

11%

14%

30%

30%

30%

31%

32%

32%

32%

33%

34%

32%

38%

36%

38%

37%

37%

37%

37%

37%

36%

36%

20%

21%

19%

20%

18%

18%

17%

17%

16%

16%

3%

2%

2%

2%

2%

3%

2%

2%

2%

3%

58%

57%

57%

57%

54%

54%

54%

54%

52%

52%

Muy desa�anteAlgo desa�antePoco desa�anteNo desa�ante Extremadamente desa�ante

Muy + extremadamente desa�ante

%


Figura 98. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos

Dispositivos móviles

Datos en la nube pública

Infraestructura de la nube

Comportamiento del usuario (por ejemplo, hacer clic en enlaces maliciosos en el correo electrónico o los sitios web)

Datos del cliente

Centros de datos/Servidores

Datos de la organización

Infraestructura de red

Aplicaciones

Sistemas operativos del cliente (p. ej., Windows 7, Windows 10, MacOS, etc.)

Figura 98 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los ataques informáticos

Figura 99 Distribución de esfuerzos de los equipos de seguridad

¿Dónde se esfuerza más el equipo de seguridad? 47%29%23%

ServidoresDatos del clienteTerminalesPersonal de seguridad de TI (n=2854)


Figura 99. Distribución de los esfuerzos de los equipos de seguridad

94


Apéndice


El 28% de las alertas investigadas son legítimas

El 56% de las alertas vistas se investigan

ha experimentado una alerta de seguridadEl 93%

El 7% no ha experimentado una alerta de seguridad

50%

15%

11%

8%

6%

4%

Menos que 5000

Alertas promedio vistas por la organización a diario

Entre 5000 y 10 000

Entre 10 000 y 50 000

Entre 50 000 y 100 000

Entre 100 000 y 150 000

Más de 150 000

2016 (n=2796)

El 46% de alertas legítimas se solucionan

Figura 100. Porcentajes de alertas de seguridad que se investigan o solucionan


Figura 100 Porcentaje de alertas de seguridad investigadas o corregidas

Figura 101 Tiempo promedio de detección de infracciones a la seguridad

8 horas o menos

Entre 9 y 24 horas

Entre 25 y 48 horas

Más de 2 días pero menos de 1 semana

Entre 1 y 2 semanas

Entre 3 semanas y un mes

De 1 a 3 meses

Más de 3 meses, pero menos de 1 año

1 año o más

2016 (n=2860)

43%

25%

15%

7%

3%

5%

1%

0%

1%

Figura 101. Tiempo promedio para detectar infracciones a la seguridad


95


Apéndice

46%45%

N/D

N/D N/D

40%40%

46%

36%34%

45%

31%33%

36%

30%32%

36%

22%26%

31%

21%21%

15%15%

32%

15%18%

22%

29%33%

38%

25%27%

35%

25%28%

33%

23%24%

28%

37%40%

O�cina del CEO o presidente

Todos los empleados

Autoridades externas



Marketing

Relaciones públicas

Fabricación

Ingeniería

Legales

Recursos humanos

Partners tecnológicos

Departamento de �nanzas

Operaciones

2016 (n=2912) 2015 (n=2432) 2014 (n=1738)

Figura 102. Grupos noti�cados en caso de un incidente


Figura 102 Grupos notificados en caso de un incidente

Figura 103 KPI utilizados por las organizaciones para evaluar el rendimiento de la seguridad

59%

52%

44%

3%

30%

2016 (n=2912)

Figura 103. KPI utilizados por las organizaciones para evaluar el rendimiento de la seguridad

Tiempo de detección (por ejemplo, tiempo desde que la amenaza ingresó al entorno hasta que se detectó)

Tiempo para implementar parches (por ejemplo, tiempo desde el lanzamiento del parche hasta la implementación)

Tiempo para contener (por ejemplo, tiempo desde la detección hasta la contención/cuarentena)

Tiempo de corrección (por ejemplo, tiempo desde la cuarentena hasta estar operativo)



96


Apéndice

Figura 104 Uso interanual del proceso de análisis de los sistemas en riesgo

Figura 105 Uso interanual del proceso para eliminar las causas de incidentes de seguridad

Procesos de análisis de los sistemas en riesgo 2015 (n=2432)2014 (n=1738) 2016 (n=2912)

Registros de �rewall

Análisis de registros de sistemas

Análisis del �ujo de red

Análisis de regresión de archivos o malware

Análisis de registros

Análisis de captura de paquete completo

Detección de indicadores de riesgo

Análisis forense del disco

Análisis de registros/eventos correlacionados

Análisis forense de la memoria

Equipos externos de análisis/respuesta ante los incidentes


57%

53%

49%

48%

47%

38%

35%

36%

37%

34%

33%

1%

61%

59%

53%

55%

50%

47%

38%

40%

42%

41%

37%

2%

56%

50%

49%

47%

43%

40%

38%

36%

35%

34%

34%

1%


Figura 104. Uso interanual del proceso para analizar los sistemas afectados

Procesos para eliminar las causas de incidentes de seguridad 2015 (n=2432)2014 (n=1738) 2016 (n=2912)

Cuarentena o eliminación de las aplicaciones maliciosas

Análisis de causa raíz

Detención de la comunicación del software malicioso

Supervisión adicional

Actualización de las políticas

Detención de la comunicación de las aplicaciones comprometidas

Desarrollo de correcciones a largo plazo

Replicación de la imagen del sistema al estado anterior


55%

55%

53%

48%

47%

47%

40%

41%

1%

58%

55%

53%

52%

51%

48%

47%

45%

2%

52%

51%

48%

48%

45%

43%

41%

39%

1%


Figura 105. Uso interanual del proceso para eliminar la causa de los incidentes de seguridad

97


Apéndice

Semanal

¿Con qué frecuencia su organización ejecuta simulaciones de un ataque?

2016 (n=2868)

¿En qué medida los resultados de las simulaciones del ataque impulsan mejoras en sus políticas y procedimientos de defensa de seguridad, o en sus tecnologías de seguridad?

2016 (n=2736)

Nunca

1 2 3 4 5

Para nada En gran medida

Regularmente, pero menos de una vez al año

Anual

Semestral

Trimestral

Mensual

�28%

3% 0%

4%

4%

8%

21%

33%

47%44%

8%1%

Figura 107. Simulaciones del ataque: Frecuencia y maneras de impulsar mejoras de defensa de la seguridad


¿Cuán importante es la asignación de su empresa al momento de responder a una infracción a la seguridad?

Personal de seguridad de TI (n=2901), grá�co redondeado al número entero más cercano

1% 7% 41% 52%0% 92%

Muy importante

Medianamente importante

No muy importante

No es importante en absoluto

Extremadamente importante

Muy + extremadamente importante

%


Figura 108. Importancia de asignar el origen de una infracción a la seguridad

Figura 106 Uso interanual del proceso de restauración de los sistemas afectados

Figura 107 Simulación de ataques: frecuencia y alcance de implementar mejoras en la defensa de la seguridad

Figura 108 Importancia de atribuir el origen de una infracción a la seguridad

Procesos de restauración de sistemas afectados 2015 (n=2432)2014 (n=1738) 2016 (n=2912)

Implementación de detecciones y controles nuevos o adicionales en función de las debilidades identi�cadas posteriores a los incidentes

Restauración a partir de una copia de respaldo previa al incidente

Revisión y actualización de aplicaciones consideradas vulnerables

Restauración diferencial (eliminación de cambios producidos por un incidente)

Restauración mediante imagen de implementación virtual


56%

59%

55%

51%

35%

1%

60%

57%

60%

56%

35%

2%

56%

55%

53%

50%

34%

1%


Figure 106 Year-over-Year Use of Process to Restore A�ected Systems

98


Apéndice

Infracciones y sus efectos

2014(n=1701)

2015(n=2347)

2016(n=2824)

53% 48% 49%

Figura 109. Porcentaje de organizaciones que experimenta una infracción pública


0 Horas, ninguna interrupción 0%

Más de 24 horas

Entre 17 y 24 horas

Entre 9 y 16 horas

Entre 5 y 8 horas

Entre 1 y 4 horas

Menos de 1 hora

61% o más

51‒60%

41‒50%

31‒40%

21‒30%

11‒20%

1‒10%

Duración de las interrupciones en el sistema debido a una infracción

2016 (n=2665)

Porcentaje de sistemas afectados por la infracción

2016 (n=2463)

7% 1%

9%

11%

15%

20%

25%

13%

9%

6%

10%

15%

20%

22%

19%

Figura 111. Alcance de las interrupciones ocasionadas por infracciones a la seguridad


Figura 110. Qué generó la amenaza ¿Mejoras en sus políticas, procedimientos o tecnologías de defensa contra amenazas de seguridad?


1 2 3

Encuestados afectados por una infracción a la seguridad (n=1388)

4 5Para nada En gran medida

0%

38%52%

9%1%

Figura 109 Porcentaje de organizaciones que sufren una infracción pública

Figura 111 Longitud y alcance de las interrupciones causadas por infracciones a la seguridad

Figura 110 ¿En qué medida la infracción motivó mejoras en materia de políticas, procedimientos o tecnologías para la defensa ante amenazas a la seguridad?

99


Apéndice

Separación del equipo de seguridad del

departamento de TI

Aumento de las capacitaciones para la concientización sobre

la seguridad entre los empleados

Profundización del enfoque sobre el análisis

de riesgos y la mitigación de riesgos

Aumento de las inversiones en tecnologías o soluciones

para la defensa ante amenazas de seguridad

Aumento de las inversiones en

capacitación del personal de seguridad

38%37% 37% 42% 37%38%43%

38% 37% 40%

2015 (n=1109) 2016 (n=1375)

Figura 112. Mejoras realizadas para proteger a la empresa contra las infracciones a la seguridad


Figura 112 Mejoras hechas para proteger a su compañía de infracciones a la seguridad

100


Apéndice

¿Qué procesos y políticas de protección de datos y de privacidad son más importantes para un proveedor?

2016 (n=2912)

¿Qué protección de datos, normas de privacidad y certi�caciones necesita un proveedor para trabajar con su organización?

2016 (n=2870)

Políticas para toda la organización sobre los

controles de acceso de datos

Programa de respuesta ante los incidentes de datos

Políticas para toda la organización sobre las

noti�caciones de la infracción

Políticas para toda la organización sobre el acceso

a los datos del proveedor

Capacitación de los empleados obligatoria y continua

Privacidad de diseño a nivel de la organización

Evaluación del riesgo de datos y de la madurez de la

organización

Políticas sobre la distribución de la residencia y soberanía

de datos

Diálogo activo con la junta directiva con respecto a los

riesgos de datos

Políticas de conservación de datos

Medición y supervisión/cumplimiento de

auditoría proactivos

ISO 27001

ISO 27018

Marco/estándares de ciberseguridad de NIST

Escudo de la privacidad

Cumplimiento de los controles organizacionales

de servicio (SOC)

Cumplimiento de TRUSTe

GAPP (principios de privacidad generalmente aceptados)

Cumplimiento de las normas HIPAA

Cláusulas del modelo de la UE

Cumplimiento de las normas PCI-DSS

Reglas corporativas obligatorias

Reglas fronterizas de privacidad de APEC

FedRAMP

FISMA

35%

33%

31%

27%

27%

26%

25%

24%

22%

13%

9%

39%

34%

28%

28%

28%

26%

26%

25%

25%

23%

23%

18%

18%

17%

Figura 113. Importancia de la protección de datos y la privacidad para los proveedores


Opción de proveedores y expectativas

Figura 113 Importancia de la protección de datos y la privacidad para los proveedores

101


Apéndice

Modelo de madurez de funcionalidades de seguridad

Medio-alto

Alto

Medio

Bajo

Medio-bajo

OptimizadoSe enfoca en la mejora del proceso

5 segmentos según la serie Q9

InicialLos procesos son Ad Hoc; impredecibles

RepetibleProcesos caracterizados por proyectos; a menudo son reactivos

De�nidoProcesos caracterizado por la organización; a menudo son proactivos

Administrado cuantitativamenteProcesos controlados y medidos cuantitativamente

Nivel 5

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Figura 115. El modelo de madurez clasi�ca a las organizaciones según los procesos de seguridad


Medio-alto

Alto

Medio

Bajo

Medio-bajo

36%36%

39%

6%9%

8%

4%2%

1%

28%25%

23%

30%28%

26%

2016 (n=2852) 2015 (n=2401) 2014 (n=1637)

Figura 116. Estimación de tamaño del segmento para el modelo de madurez


5%

4%

10%

6%

13%

3%

5%

5%

16%

5%

7%

23%

7%

12%

4%

4%

9%

5%

4%

4%

10%

14%

5%

16%

22% N/D N/D N/D

16%

7%

7%

14%

4%

14%

4%

15%

6%

17% 31% 47%

21% 40%34%

16% 54%20%

35% 21% 31%

37% 32%25%

29% 36%32%

29%

31% 34% 31%

35% 30%19%

36% 31% 28%

36% 34%23%

25% 38%13%

31% 28% 34%

24% 39%24%

43%25% 27%

25% 30% 41%

24% 40%26%

35% 34%24%

22% 45%27%

25% 29% 41%

16% 44%27%

32% 32%22%

38% 29% 28%

18% 41%25%

40% 24%14%

34% 32%16%

32% 26% 35%

36% 23% 33%

20% 50%16%

21% 26% 47%

27% 32%26%

30% 27% 39%

35% 29%20%

35% 26% 32%

36%29%

2014

2015

2016

2014

2015

2016

2014

2015

2016

2016

IndiaChinaAustralia

ItaliaAlemaniaBrasilEE. UU.

Reino Unido

Japón

Canadá

México Rusia Francia

Medio-bajoBajo Medio-Alto Alto


Figura 114. Madurez de la seguridad por paísFigura 114 Madurez de la seguridad por país

Figura 115 El modelo de madurez clasifica a las organizaciones según el proceso de seguridad

Figura 116 Estimación de tamaño del segmento para el modelo de madurez

102


Apéndice

Exclusivo del sector

Figura 119. Medidas de seguridad más comunes entre los negocios de servicios de salud con redes de dispositivos médicos


SíNo, las redes de dispositivos médicos son independientes y las administra un proveedor

No, las redes de dispositivos médicos se aíslan y administran internamente

No, no hay una red de dispositivos médicos en nuestra organización

63%

15%

6%

16%

¿Cuál de estas medidas de seguridad, si existen, ha implementado su empresa para proteger y asegurar su red de dispositivos médicos?Empresas con una red de dispositivos médicos en su organización (n=207)

Negocios de servicios de

salud (n=219)

¿Su organización tiene una red de dispositivos médicos incluida en la red de un hospital principal?

Control de acceso a la red

Protección/Detección avanzadas de malwareAutenticación del dispositivo de varios factoresIPS/IDS, Inspección profunda de paquetesDefensa/Respuesta automatizada ante amenazasAnálisis de trá�co/Detección de anomalíasEvaluación del estado o per�les de dispositivosSegmentación/Microsegmentación

Ninguna de las opciones anteriores 1%

59%

56%

49%

48%

45%

40%

48%

32%

Figura 118. Recursos que las empresas de servicios de salud usan para medirse en comparación con las reglas de privacidad HIPAA

Orientación de seguridad HIT

¿Qué recursos se utilizan para medir las empresas en comparación con las reglas y la seguridad de la privacidad HIPAA?

Documento actual HIPAA (actualmente Omnibus)

Marcos de auditoría HHS.OCR

HITRUST u otro marco privado

Evaluaciones de terceros

Empresas de servicios de salud 2016 (n=219)

52%

52%

40%

37%

Ninguna de las opciones anteriores 6%

24%


Figura 117 Porcentaje de empresas de servicios de salud que han implementado políticas de seguridad estandarizadas

Figura 119 Las medidas de seguridad más implementadas entre las empresas de servicios de salud con redes de dispositivos médicos

Figura 118 Recursos que utilizan las empresas de servicios de salud para evaluarse en relación a las Reglas de Privacidad HIPAA

SO80001 (dispositivo médico)

ISO27799

NIST 800-66

74%

60%

45%

Políticas de seguridad estandarizadas implementadas Los negocios de servicios de salud respetan la práctica de la política de seguridad informática especí�ca de los servicios de salud 2016 (n=65)

Figura 117. Porcentaje de negocios de servicios de salud que han implementado políticas de seguridad estandarizadas


103


Apéndice

Figura 120. Per�l de muestra para telecomunicaciones

¿De qué subsector de telecomunicaciones participa su organización?Empresas de telecomunicaciones (n=307)

¿Cuál de estos servicios ofrece su empresa a sus clientes? Empresas de telecomunicaciones (n=308)

Equipo de comunicaciones

Proveedor de servicios (tradicional)

Operador de cable/satelital

Medios/Transmisión

Proveedor de contenidos en línea (Net�ix, Hulu, etc.)

Centros de datos

Entorno empresarial

Principales redes de producción, como IP (televisión incluida), móvil, etc.

Servicios de seguridad administrados proporcionados a los clientes �nales47%

33%

11%

2%

7%

71%

60%

59%

57%



Prioridad relativa a las estrategias y los protocolos de seguridadEmpresas de telecomunicaciones (n=308)

Figura 121. Factores de las estrategias de seguridad para telecomunicaciones

34% 31%36%

Porcentaje promedio de disponibilidad

Porcentaje promedio de con�dencialidad

Porcentaje promedio de integridad

Disponibilidad: Asegurar el acceso con�able a los datos

Condencialidad: Garantizar que solo las partes apropiadas puedan acceder a los datos

Integridad: Garantizar que los datos sean precisos y exactos

Figura 120 Perfil de muestra para telecomunicaciones

Figura 121 Factores de estrategias de seguridad para telecomunicaciones

Asegurar los centros de datos

En la red de producción principal que ofrece servicios IP o móviles altamente disponibles

Brindar servicios de seguridad administrados

La red empresarial y los datos internos


Clasi�car en términos de prioridad de la seguridad en la organización Empresas de telecomunicaciones (n=308)

34% 24%21% 22%

26% 29%21% 24%

21% 19%30% 30%

20% 29%28% 24%

Figura 122. Prioridades de seguridad para telecomunicaciones

Clasi�cada 4ªClasi�cada 3ªClasi�cada 2ªClasi�cada 1ª

Figura 122 Prioridades de seguridad para telecomunicaciones

104


Apéndice

Figura 123. Per�l de muestra para transporte


Sí

No, y no hay planes inmediatos para implementar un centro de operaciones de seguridad.

No, pero hay planes para implementar un centro de operaciones de seguridad el próximo año.

Empresas de transporte

(n=179)75%

11%

14%

Sí

No

88%

12%

Empresas de transporte

(n=179)

¿De qué subsector de transporte participa su organización?Empresas de transporte (n=180)

¿De cuál de las siguientes áreas de seguridad es responsable?Empresas de transporte (n=180)

¿Su empresa participa en Organismos de estándares de seguridad o en Organizaciones industriales?

¿Su empresa utiliza un Centro de Operaciones de seguridad (SOC)?

Vehículos

Marítima

Aeronáutica

Vial

Ferroviaria

Transporte masivo

Fletes y logística

Seguridad del vehículo

Seguridad de infraestructura crítica

Seguridad de tecnología operativa54%

11%

9%

7%

5%

9%

5%

84%

71%

43%

Figura 123 Perfil de muestra para transporte

105


Apéndice

Figura 124. Per�l de muestra para servicios públicos/energía


58%

42%Empresas de

servicios públicos/energía (n=116)

Petróleo y gas

Empresas de electricidad

Empresas de servicios públicos/energía (n=116)

Empresas de servicios públicos/energía (n=116)

¿De qué subsector de servicios públicos/energía participa principalmente su organización?

¿Con qué frecuencia su organización realiza un simulacro o ejercicio para probar el plan de respuesta de su empresa frente a un incidente de ciberseguridad?

Cuándo se realizan estos simulacros o ejercicios, ¿qué partes participan?

Una vez cada 6 meses

Una vez al año

Una vez cada 2 años

Muy pocas veces

Nunca

Partners de seguridad

Personal interno que no pertenece a seguridad


Miembros que responden en primera instancia

Organismos locales o estatales

Organismos federales

Otros proveedores de servicios públicos


55%

37%

2%

0%

6%

84%

69%

33%

31%

26%

64%

20%

1%

Empresas de servicios �nancieros (n=509)Grá�co redondeado al número entero más cercano

¿En qué medida piensa que la seguridad se ve in uenciada por las siguientes tendencias?

¿De qué subsector de servicios �nancieros participa principalmente su organización?

Mercados �nancieros

Sistema bancario minorista

Seguros

Negocios digitales

FinTech

Operaciones de desarrollo (DevOps)

TI bimodal

0%

88%42%

88%47%

85%39%

82%15%

13%

35%

46%

41%10%

10%

47%

48%

1% 1%

0%

0%

0%

1%

2%

2%

Para nada En gran medida Principales 2 opciones

%


Figura 125. Per�l de muestra para servicios �nancieros

52%

25%

23%

Figura 124 Perfil de muestra para servicios públicos/energía

Figura 125 Perfil de muestra para servicios financieros

106


Apéndice

2%

3%

3%

66%

61%

63%

1%

<1%

1%

32%

36%

33%

98%

97%

96%

¿Hasta qué punto concuerda usted o no con estas declaraciones?

Garantizar la seguridad de los datos de nuestros clientes minoristas es de extrema importancia para el liderazgo ejecutivo de mi organización.Mi empresa puede cumplir por completo con la PCI (industria de tarjetas de pago).Los datos con�denciales de la tarjeta de crédito del cliente se conservan seguros durante su ciclo de vida en mi empresa.

Negocios minoristas (n=290), grá�co redondeado al número entero más cercano

Relativamente de acuerdo

Relativamente en desacuerdo

Totalmente en desacuerdo

Totalmente de acuerdo

Un poco + completamente de acuerdo

%


Figura 126. Seguridad de los datos para comercios minoristasFigura 126 Seguridad de los datos para el comercio minorista

107


Apéndice

0%

20%

40%

60%

80%

100%

Por

cent

aje

de lo

s ha

shes

Dri

dex

0%

0.5%

1%

Por

cent

aje

de v

olum

en

tota

l de

hash



< 24 horas Entre 1 y 2 días Entre 3 y 4 días

Entre 11 y 30 días Entre 31 y 90 días Más de 90 días


Figura 128. Años de hash para la familia de malware de Dridex y porcentaje de volumen total de hash observado por mes

Figura 127 Extensión del archivo y combinaciones MIME para Dridex (vectores web y de correo electrónico)

Ene

Feb

Mar

Abr

May

Jun

Jul

Ago

Sep

Oct

Nov

Vectores exclusivosexe y aplicación/msdos-program

docm y aplicación/vnd.ms-word…docm y aplicación/vnd.openxml…

xls y aplicación/vnd.ms-exceldoc y aplicación/msword

exe y aplicación/msdownloaddoc y texto/sin formato

pxls y aplicación/vnd.ms-excelpdf y aplicación/msword

zip y aplicación/zipzip y aplicación/zip

doc y aplicación/textodoc y aplicación/vnd.msword

doc y aplicación/winworddoc y aplicación/word

doc y aplicación/x-msw6doc y aplicación/documento

doc y aplicación/vnd.ms-worddoc y aplicación/x-msword

sin extensión y aplicación/mswordsin extensión y texto/sin formato

js y texto/sin formatortf y aplicación/vnd.openxml…

sin extensión y aplicación/rtfsin extensión y aplicación/vnd…

exe y aplicación/ejecutabledoc y aplicación/vnd.openxml…

doc y aplicación/xmlrtf y aplicación/xml

rtf y texto/sin formatortf y aplicación/msword

pdf y aplicación/vnd.openxml…dot y aplicación/vnd.openxml…



Figura 127. Extensión de archivo y combinaciones MIME para Dridex (vectores de correo electrónico y web)

Figura 128 Antigüedades de hash para la familia del malware Dridex y porcentaje de volumen total de hash observado por mes

0

5

10

15

20


Hor

as m

edia

nas


20,416,9

10,27,2 5,5

Figura 129. TTD de la familia de malware de DridexFigura 129 TTD de la familia del malware Dridex

Familias de malware

108


Apéndice

Ene

Feb

Mar

Abr

May

Jun

Jul

Ago

Sep

Oct

Nov

Vectores exclusivos


doc y aplicación/mswordvbs y texto/sin formato

rtf y aplicación/vnd.openxml…dotm y aplicación/vnd.open…exe y aplicación/msdownload

js y texto/sin formatosin extensión y aplicación/zip

html y aplicación/zipjpg e imagen/jpeg

rtf y aplicación/msword



Figura 130. Extensión de archivo y combinaciones MIME para la familia de amenazas e indicadores que generan e incluyen la carga de Cerber (vectores de correo electrónico y web)

Figura 130 La extensión del archivo y las combinaciones de MIME para la familia de amenazas e indicadores que condujeron a, e incluyen, la carga útil de Cerber (vectores web y de correo electrónico)

0%

20%

40%

60%

80%

100%

Por

cent

aje

de lo

s ha

shes

Cer

ber

0%

0.1%

0.2%

Por

cent

aje

de v

olum

en to

tal d

e ha

sh






Figura 132. Años de hash para la familia de malware de Cerber y porcentaje de volumen total de hash observado por mes

Figura 131 TTD de la familia del malware Cerber

Figura 132 Antigüedades de hash para la familia del malware Cerber y porcentaje de volumen total de hash observado por mes

Figura 133 Antigüedades de hash para la familia del malware Locky por mes

Figura 134 Antigüedades de hash para la familia del malware Nemucod por mes

120

160

0

40

80

Ene Feb Mar Abr May Jul Ago SepJun Oct2016

Hor

as m

edia

nas


116,126,2

5,1 5,9

Figura 131. TTD de la familia de malware de Cerber

0%

20%

40%

60%

80%

100%

Por

cent

aje

de lo

s ha

shes

Nem

ucod





Figura 134. Años de hash para la familia de malware de Nemucod por mes

0%

20%

40%

60%

80%

100%

Por

cent

aje

de lo

s ha

shes

Loc

ky





Figura 133. Años de hash para la familia de malware de Locky por mes

109


Apéndice

0%

20%

40%

60%

80%

100%

Por

cent

aje

de lo

s ha

shes

Adw

ind

RAT





Figura 135. Años de hash para la familia de malware de Adwind RAT por mes

0%

20%

40%

60%

80%

100%

Por

cent

aje

de lo

s ha

shes

Kry

ptik

Nov Dec Jan Feb Mar Apr May Jul Aug SepJun Oct2015 2016




Figura 136. Años de hash de malware de Kryptik Familia por mesFigura 136 Antigüedades de hash para la familia del malware Kryptik por mes

Figura 135 Antigüedades de hash para la familia del malware Adwind RAT por mes

Descargue los gráficos

Todos los gráficos incluidos en este informe pueden descargarse en: www.cisco.com/go/acr2017graphics

Actualizaciones y correcciones

Para ver actualizaciones y correcciones de la información de este informe, visite: www.cisco.com/go/acr2017errata

Sede central en AméricaCisco Systems, Inc.San Jose, CA

Sede central en Asia PacíficoCisco Systems (EE. UU.) Pte. Ltd.Singapur

Sede central en EuropaCisco Systems International BV Ámsterdam,Países Bajos

Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax se pueden consultar en el sitio web de Cisco www.cisco.com/go/offices.

Publicado en enero de 2017

© 2017 Cisco y/o sus filiales. Todos los derechos reservados.

Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o de sus filiales en EE. UU. y en otros países. Para ver una lista de las marcas comerciales de Cisco, visite: www.cisco.com/go/trademarks. Todas las marcas comerciales registradas de terceros mencionadas en este documento pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica una relación de asociación entre Cisco y cualquier otra compañía. (1110R)

Adobe, Acrobat y Flash son marcas comerciales registradas o marcas comerciales de Adobe Systems Incorporated en los Estados Unidos y/o en otros países.

http://www.cisco.com/cisco/web/siteassets/contacts/index.html

http://www.cisco.com/go/trademarks

Informe anual sobre ciberseguridad de 2017 de Cisco · De acuerdo con nuestra investigación, el...

Documents

Transcript of Informe anual sobre ciberseguridad de 2017 de Cisco · De acuerdo con nuestra investigación, el...