Embed Size (px)
Citation preview
11
DBIR DE 2012: RESUMEN EJECUTIVOEl año 2011 pasará a la historia como un año de agitación civil y cultural. Los ciudadanos se rebelaron contra sus gobiernos, los retaron y llegaron incluso a derrocarlos en el efecto dominó que se conoce como la primavera árabe, aunque se prolongó más allá de esta estación. Muchos, indignados con la acumulación de riqueza del “1%”, ocuparon Wall Street y otras muchas ciudades del mundo. Existen multitud de ejemplos de este fenómeno.
Esta inestabilidad que ha caracterizado al año 2011 no se ha limitado al mundo físico. El mundo de Internet también reflejó un enfrentamiento de ideales en forma de activismo, protestas, represalias y ataques por pura diversión. Aunque estas actividades abarcan mucho más que brechas en los datos, por ejemplo, ataques DDoS, el robo de información corporativa y personal fue sin duda una de las tácticas más empleadas. El espectro del “hacktivismo” reimaginado y revigorizado supuso una amenaza para organizaciones de todo el mundo. Muchos, preocupados por el carácter clandestino de sus orígenes y su tendencia a avergonzar a sus víctimas, consideraban esta amenaza más temible que cualquier otra, tanto real como imaginaria. Más preocupante para muchas organizaciones y ejecutivos fue el hecho de que estos grupos no seguían un patrón lógico en sus ataques, atacando a quién tenía más dinero o información valiosa. Los enemigos son aún más peligrosos cuando no puede predecirse su comportamiento.
No obstante no todo fueron protestas y bromas. Los ciberdelincuentes habituales siguieron automatizando y simplificando su método favorito de emplear ataques de gran volumen y bajo riesgo contra objetivos débiles. Menos frecuentes, pero posiblemente más perjudiciales, fueron los ataques continuados contra secretos comerciales, información clasificada y otra propiedad intelectual. Durante el año pasado, hemos observado multitud de facetas, tácticas y motivos, y en muchos aspectos, el Informe sobre investigaciones de brechas en los datos, o DBIR, de 2012 recapitula las muchas caras del hurto de datos corporativos.
855 incidentes, 174 millones de registros comprometidos.
El DBIR de este año incluye más incidentes, derivados de más contribuidores, y abarca un espectro más amplio y diverso desde el punto de vista geográfico. El volumen de registros comprometidos volvió a subir hasta los 174 millones después de haber alcanzado su mejor nivel —o peor, según como se vea— con los cuatro millones del
INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012Un estudio llevado a cabo por el equipo RISK de Verizon con la cooperación de la Policía Federal Australiana, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, el Servicio de Seguridad de la Información e Informes de Irlanda, la Unidad Central de Delitos Informáticos de la Policía Metropolitana de Londres y el Servicio Secreto de Estados Unidos.
El espectro del "hacktivismo" reimaginado y revigorizado supuso
una amenaza para organizaciones de todo el mundo.
2
informe del año pasado. De hecho, en 2011 se registró la segunda pérdida más alta de datos desde que se empezó a recopilar información en el año 2004.
Un año más, es un placer anunciar que el Servicio Secreto de Estados Unidos (USSS) y la Unidad de Delitos de Alta Tecnología de los Países Bajos (NHTCU) han colaborado con nosotros en la elaboración del informe. Este año damos la bienvenida a la Policía Federal Australiana (AFP), el Servicio de Seguridad de la Información e Informes de Irlanda (IRISSCERT) y la Unidad Central de Delitos Informáticos (PCeU) de la Policía Metropolitana de Londres. Estas organizaciones han ampliado tremendamente el alcance del DBIR en lo que respecta a brechas ocurridas en todo el mundo. Queremos hacerles llegar a todos ellos nuestro agradecimiento por su cooperación y esperamos que este informe sirva para aumentar la concienciación sobre el cibercrimen y nuestra capacidad colectiva para combatirlo.
Gracias a la combinación de los casos de Verizon de 2011 y los datos que han aportado las organizaciones mencionadas anteriormente, la serie de informes DBIR abarca ahora ocho años, más de 2000 brechas y más de mil millones de registros comprometidos. Ha sido una experiencia fascinante e informativa y queremos darles las gracias a todos los que han decidido compartirla con nosotros. Como siempre, nuestra meta es que los datos y el análisis que ofrece el informe sean de utilidad en las labores de planificación y seguridad de nuestros lectores. Comencemos mencionando algunos de los datos más destacados.
RECOPILACIÓN DE DATOSEn gran medida, Verizon ha empleado la misma metodología que en años anteriores. Todos los resultados se basan en evidencia de primera mano recopilada durante investigaciones forenses externas que Verizon ha llevado a cabo entre 2004 y 2011. Aunque las organizaciones contribuyentes —USSS, NHTCU, AFP, IRISSCERT, y PCeU— emplean métodos diferentes para aportar datos al informe, comparten el mismo enfoque básico. Todas tienen VERIS como denominador común pero utilizan varios mecanismos para introducir los datos. De entre las numerosas investigaciones emprendidas por estas agencias en 2011, se eligieron solo aquellas que involucraron brechas confirmadas en los datos de organizaciones, en consonancia con el enfoque del DBIR.
INTRODUCCIÓN A VERISVERIS es un marco de trabajo diseñado para proporcionar un lenguaje común para describir incidentes de seguridad de forma estructurada y repetible. El sistema parte de la narrativa de “quién ha hecho qué a qué (o a quién) y cuál ha sido el resultado” para transformarla en el tipo de datos que aparecen en el informe. En respuesta a la solicitud por parte de muchos de nuestros lectores de información sobre la metodología del DBIR y para fomentar el intercambio de datos de incidentes de seguridad, a principios de este año pusimos VERIS a disposición del público general de forma gratuita. En nuestro sitio web1 se explica brevemente VERIS, mientras que en el wiki de la comunidad VERIS se encuentra todo el marco de trabajo.2 Ambos son excelentes referencias a la hora de leer este informe y entender la terminología y el contexto.
1 http://www.verizonbusiness.com/resources/whitepapers/wp_verizon-incident-sharing-metrics-framework_en_xg.pdf2 https://verisframework.wiki.zoho.com/
Estas organizaciones han ampliado tremendamente el alcance del DBIR en lo que respecta a brechas ocurridas en todo el mundo.
Queremos hacerles llegar a todos ellos nuestro agradecimiento por su cooperación y esperamos que este informe sirva para
aumentar la concienciación sobre el cibercrimen y nuestra capacidad colectiva para combatirlo.
3
RESUMEN ESTADÍSTICO¿QUIÉNES SON LOS RESPONSABLES DE LAS BRECHAS EN LOS DATOS?
98% agentes externos (+6%)Este dato era de esperar; los agentes externos siguen dominando la escena de los robos de datos corporativos. La delincuencia organizada siguió con sus fechorías típicas, siendo responsable de la mayoría de las brechas de 2011. Los grupos activistas también han sembrado el caos y la confusión, y robaron más datos que ningún otro grupo. Su irrupción en escena ha servido para transformar el abanico de motivaciones. Aunque la codicia y la avaricia siguen siendo los móviles principales, la disidencia ideológica y el deseo de perjudicar a otros han ido adquiriendo un papel más protagonista. Como se podría esperar de este ascenso en los atacantes externos, la proporción de incidentes internos ha vuelto a disminuir hasta un 4%.
4% empleados (-13%)
<1% partners del negocio(<>)
58% de todos los robos de datos vinculados a grupos activistas
¿CÓMO SE PRODUCEN LAS BRECHAS?Los incidentes de hacking y malware experimentaron un marcado ascenso, con el hacking como responsable de la mayoría de los recursos comprometidos. Esto tiene sentido, ya que estas herramientas siguen siendo las favoritas de los agentes externos que, como ya se mencionó, están detrás de la mayoría de las brechas. Muchos ataques combinan credenciales robadas o adivinadas (para obtener acceso) con puertas traseras (para retenerlo) con el fin de eludir la autenticación. Se produjeron menos casos de skimming en cajeros automáticos y gasolineras, lo que sirvió para reducir la proporción de ataques físicos. Dada la caída de los agentes internos, lo mismo ha ocurrido con la categoría de uso indebido. Las tácticas sociales disminuyeron ligeramente, pero fueron responsables de grandes pérdidas de datos.
81% utilizó alguna modalidad de hacking (+31%)
69% incorporó malware (+20%)
10% involucró ataques físicos (-19%)
7% empleó tácticas sociales (-4%)
5% resultó del uso indebido de privilegios (-12%)
¿CUÁLES SON LOS PUNTOS EN COMÚN?
79% de las víctimas resultaron ser blancos de oportunidad (-4%)
Los datos del año pasado confirman que la elección de objetivos se basa más en la oportunidad que en una decisión previa. La mayoría de las víctimas lo son porque se les descubrió un punto débil fácil de explotar, a menudo con facilidad, más que porque se les eligiera para el ataque.Ya se trate de ataques preconcebidos o no, la gran mayoría de las víctimas sucumben a ataques que no son complicados en absoluto. Los más sofisticados solo lo fueron en las etapas más avanzadas después de haber ganado acceso.Esto sugiere que la mayoría de las brechas podrían haberse evitado —por lo menos en retrospectiva— sin contramedidas complicadas ni costosas. Los bajos niveles de adherencia a la norma de seguridad de los datos del sector de las tarjetas de pago (PCI DSS) ponen de relieve problemas muy variados para las organizaciones afectadas.Aunque suelen existir indicios de las brechas, la mayoría de las víctimas no descubren sus propios incidentes. El descubridor suele ser un tercero y por desgracia esto suele ocurrir semanas o meses después del ataque.¿Se ha dado cuenta de que muchos de estos incidentes han empeorado en 2011?
96% de los ataques no eran complicados (+4%)
94% de todos los datos comprometidos estaban en servidores (+18%)
85% de las brechas se tardó semanas o meses en descubrir (+6%)
92% de los incidentes los descubrió un tercero (+6%)
97% de las brechas podrían haberse evitado con controles sencillos o intermedios (+1%)
96% de las víctimas sujetas a la norma PCI DSS no la cumplían (+7%)
4
¿DÓNDE DEBEN CONCENTRARSE LOS ESFUERZOS DE MITIGACIÓN?
De nuevo, este estudio nos recuerda que nuestra profesión ya cuenta con las herramientas que necesita para hacer su trabajo. Ahora, el desafío consiste en elegir las más apropiadas para cada tarea y no dejar que se queden anticuadas y se oxiden. La experiencia demuestra que cuando esto ocurre, nuestros adversarios están listos para aprovechar cualquier descuido.Como verá, a lo largo de este informe contrastamos los datos de organizaciones grandes y pequeñas. Es una forma de poner de manifiesto lo distintos, y a veces lo similares, que son sus problemas. Por eso es lógico que las soluciones a los problemas sean también diferentes. La mayoría de las recomendaciones que se ofrecen al final de este informe están relacionadas con las organizaciones de mayor tamaño. No es que queramos ignorar a las pequeñas, sino que aunque el cibercrimen moderno es una plaga para ambas, el antídoto es bastante sencillo y casi universal.Las organizaciones grandes exhiben problemas más diversos que deben abordarse mediante acciones correctoras igualmente diversas. Esperamos que los resultados de este informe ayuden a priorizar estos esfuerzos, pero crear una estrategia adaptada a las necesidades de cada organización exige una evaluación documentada e interna de su panorama de amenazas.
Las organizaciones más pequeñasImplementar un cortafuegos o una lista de control de acceso en servicios de acceso remotoCambiar las credenciales automáticas de los sistemas POS y otros sistemas de Internet
Si un proveedor se encarga de los dos puntos anteriores, comprobar que los haya implementado
Organizaciones de mayor tamañoEliminar datos innecesarios; vigilar los que quedan
Asegurar que se cumplan los controles esenciales; verificar periódicamente que siguen activos
Supervisar y extraer información de los registros de eventos
Evaluar el panorama de amenazas para priorizar la estrategia de tratamiento
Las conclusiones de este informe detallan los indicadores y mitigantes de las amenazas más frecuentes.
LOS EVENTOS DE AMENAZAEn el DBIR del año pasado, la matriz de eventos de amenaza de VERIS se presentó por primera vez con los recuentos de frecuencia. Junto con la incorporación de nuestros nuevos socios, esta fue una de las características mejor recibidas. Las estadísticas facilitan un análisis independiente de los agentes, las acciones, los activos y los atributos observados, mientras que la matriz los vincula para mostrar las intersecciones. Ofrece una visión unificada de los eventos de amenaza presentes en las brechas de 2011. La figura 1 (grupo general de datos) y la figura 2 (grandes empresas) utilizan la estructura de la figura 1 de la sección de metodología del informe completo, pero con el total de brechas en el que cada evento fue parte del incidente en lugar de los números EA.3 Esta es la perspectiva más consolidada de las 855 brechas analizadas este año y hay varios aspectos dignos de mención.
Al observar el grupo de datos desde el punto de vista de la gestión de amenazas, solo 40 de los 315 eventos posibles tienen valores superiores a cero (13%). Antes de continuar, tenemos que reiterar que no todas las intersecciones son posibles. El lector debe también recordar que el informe solo se concentra en las brechas en los datos. En los proyectos en los que hemos trabajado con organizaciones para “VERISar” todos sus incidentes de seguridad del año, es interesante señalar lo distintas que son estas matrices en comparación con los grupos de datos del DBIR. Como era de esperar, son mucho más frecuentes los errores y usos indebidos, junto con las pérdidas de disponibilidad.
3 En otras palabras, en 381 de las 855 brechas de 2011 estaba involucrado malware externo que afectaba la confidencialidad de un servidor (el evento de arriba a la izquierda).
Los resultados del conjunto global de datos son muy similares a los del año anterior. Los mayores cambios son que los puntos álgidos de uso indebido
y físico han bajado un poco, mientras que malware y hacking contra servidores y dispositivos de usuarios siguen teniendo protagonismo.
5
Volvamos a las matrices, en las que los resultados del conjunto global de datos son muy similares a los del año anterior. Los mayores cambios son que los puntos álgidos de uso indebido y físico han bajado un poco, mientras que malware y hacking contra servidores y dispositivos de usuarios siguen teniendo protagonismo. De igual manera, la lista de los principales eventos de amenaza de la tabla 3 del informe completo es muy familiar.
Al separar los eventos para organizaciones grandes en la figura 2 se observan algunos datos más. A algunos les sorprenderá que esta versión de la matriz esté menos dispersa que la figura 1 (22 de los 315 eventos, el 7%, se observaron una vez como mínimo). Podría esperarse que la mayor superficie de ataque y los controles más estrictos de las organizaciones grandes dispersaran los ataques por una superficie más amplia de la matriz. Este podría en realidad ser el caso y nuestros resultados no necesariamente contradicen este supuesto. Pensamos que la densidad de la figura 2 en comparación con la de la figura 1 se debe principalmente a las diferencias en tamaño de los grupos de datos (855 brechas frente a 60). Con respecto a la diversidad de las amenazas, resulta interesante que las organizaciones más grandes muestran una distribución más uniforme en todos los eventos (menor acumulación alrededor de malware y hacking). Esto no es ninguna sorpresa a la luz de las descripciones de la prensa sobre ataques que implementan técnicas de ingeniería social.
Malware Hacking Social Uso indebido Física Error MedioambientalExt Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc
Serv
idor
es
Confidencialidad y posesión 381 518 1 9 8 1 2 1
Integridad y autenticidad 397 422 1 6 1 1
Disponibilidad y utilidad 2 6 5
Rede
s
Confidencialidad y posesión 1
Integridad y autenticidad 1 1
Disponibilidad y utilidad 1 1 1
Disp
ositi
vos d
e usu
ario
s
Confidencialidad y posesión 356 419 1 86
Integridad y autenticidad 355 355 1 1 86
Disponibilidad y utilidad 1 3
Dato
s offl
ine Confidencialidad
y posesión 23 1
Integridad y autenticidad
Disponibilidad y utilidad
Pers
onas
Confidencialidad y posesión 30 1
Integridad y autenticidad 59 2
Disponibilidad y utilidad
Figura 1. Matriz A4 de VERIS con la frecuencia de los eventos de amenaza de alto nivel
6
Naturalmente, el informe completo analiza en mucho más detalle los agentes de amenaza, las acciones y los activos involucrados en las brechas de 2011. También ofrece más información sobre los métodos de recopilación de datos de Verizon y otros contribuidores.
DBIR DE 2012: CONCLUSIONES Y RECOMENDACIONES:Este año hemos incluido algo nuevo en esta sección. Pero, siendo fieles a nuestro espíritu ecológico, vamos a reciclar algo que ya dijimos antes:
«Con cada año que pasa, se hace cada vez más difícil redactar una lista de recomendaciones útiles al mismo tiempo que el informe. No es difícil entender por qué: los resultados varían con el tiempo, pero raramente son totalmente nuevos o inesperados. Lo mismo ocurre con las recomendaciones basadas en dichos resultados. Por supuesto que podríamos improvisar y sacar una lista llena de consejos solo para cumplir, pero sabemos muy bien que eso lo puede encontrar en cualquier otra parte. Estamos más interesados en ofrecerle información productiva que en generar una montaña de datos».
Vamos a resumir y reusar parte del material que incluimos en el DBIR suplementario de 2009 y enfocarlo de una manera un poco distinta que pensamos le será útil. Como ya hemos dicho antes, también queríamos producir algo nuevo que dejara poca huella en el planeta y en el papel. Si esto se combina con la energía ahorrada al evitar desplazamientos de los investigadores, transporte de la evidencia e innumerables ciclos informáticos, estas recomendaciones se ganan con creces el título de ecológicas.
Malware Hacking Social Uso indebido Física Error MedioambientalExt Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc Ext Int Soc
Serv
idor
es
Confidencialidad y posesión 7 33 3 2 1
Integridad y autenticidad 10 18 1
Disponibilidad y utilidad 1
Rede
s
Confidencialidad y posesión
Integridad y autenticidad
Disponibilidad y utilidad 1 1
Disp
ositi
vos d
e usu
ario
s
Confidencialidad y posesión 3 6 10
Integridad y autenticidad 4 2 10
Disponibilidad y utilidad 1
Dato
s offl
ine Confidencialidad
y posesión 1 1
Integridad y autenticidad
Disponibilidad y utilidad
Pers
onas
Confidencialidad y posesión 7
Integridad y autenticidad 11
Disponibilidad y utilidad
Figura 2. Matriz A4 de VERIS con la frecuencia de los eventos de amenaza de alto nivel (grandes empresas)
7
Comencemos con algo nuevo. Nos hemos dado cuenta de que muchas de las organizaciones de las que trata este informe todavía no entienden lo importante que es la seguridad. Hablamos de las organizaciones que solo tienen uno o unos pocos puntos de venta. El tarjetón recortable que aparece a continuación está pensado para ellas y necesitamos su ayuda. Queremos invitarle a recortarlo y entregarlo en restaurantes, comercios, hoteles y otros establecimientos que frecuente. Al hacerlo, nos ayudará a difundir nuestro mensaje de seguridad a los que necesitan oírlo. Esto es además una lección que todos necesitamos aprender. Estas sugerencias pueden parecer simples, pero nuestra experiencia nos ha enseñado que una gran parte de los problemas de las empresas pequeñas desaparecerían si su adopción fuera más generalizada.
SUGERENCIAS DE SEGURIDAD PARA PUNTOS DE VENTASaludos. Alguien le ha entregado este tarjetón porque le gusta su establecimiento. Esta persona quiere proteger su negocio, además de su propia información de pago y personal.Es fácil pensar que las actividades de los hackers nunca van a afectarle a uno personalmente. Pero le sorprenderá saber que la mayoría de los ataques informáticos se dirigen contra empresas pequeñas y que la mayoría podrían evitarse con unos pasos relativamente sencillos. A continuación encontrará algunas sugerencias basadas en investigaciones realizadas por Verizon sobre miles de brechas de seguridad que afectan a empresas como la suya con sistemas de punto de venta para tramitar los pagos de sus clientes. Si no está claro lo que todo esto significa, le rogamos que le pase esta información a la gerencia.
9Cambiar las contraseñas administrativas de todos los sistemas de punto de venta – Los hackers recorren Internet en busca de contraseñas fáciles de adivinar.
9 Implementar un cortafuegos o una lista de control de acceso en servicios de acceso y administración remotos – Si los hackers no pueden llegar al sistema, les será mucho más complicado robar nada.
Después de esto, piense también en lo siguiente:• No utilice el sistema de punto de venta para hacer búsquedas en la web (ni cualquier otra cosa en
Internet).• Compruebe que su sistema de punto de venta cumple con la norma PCI DSS (pregunte al proveedor).
Si un tercero gestiona los sistemas de ventas, le recomendamos que le pregunte si ha tomado las medidas anteriores. Siempre que sea posible, obtenga documentación. Estas simples medidas le ahorrarán dinero, tiempo y otros problemas con su negocio y sus clientes.Para más información, visite www.verizonbusiness.com/es/Products/security/dbir.
Figura 3. Coste de las medidas preventivas recomendadas por porcentaje de brechas*
* Solo casos de Verizon
TODAS GRANDES EMPRESAS
3% difíciles y costosas
3% se desconoce
63%sencillas y
económicas
31%intermedias
40%sencillas y
económicas55%
intermedias
5% difíciles y costosas
El tarjetón recortable que aparece a continuación está pensado para ellas y necesitamos su ayuda. Queremos invitarle a recortarlo y entregarlo en restaurantes, comercios, hoteles y otros establecimientos que frecuente.
8
Para los que no lo recuerden, el DBIR suplementario de 2009 era como una enciclopedia de las principales acciones de amenaza observadas. Cada entrada incluía una descripción, los agentes de amenaza correspondientes, los activos afectados, los puntos en común, los mitigantes y un caso de éxito. Este año, con el fin de facilitar recomendaciones prácticas y relevantes para grandes empresas, hemos redefinido los “indicadores” y los “mitigantes”.
• Indicadores: los signos de alarma y los controles que pueden indicar o detectar que está en marcha o ya se ha producido una acción de amenaza.
• Mitigantes: los controles que pueden detener o prevenir acciones de amenaza o ayudar en la recuperación y descubrimiento (contener los daños) después de una brecha.
Nuestra recomendación se extrae de la tabla 7 del informe completo, en la sección Los eventos de amenaza, que muestra las diez acciones principales contra organizaciones grandes. En vez de repetir de nuevo toda la lista, resumiremos brevemente los puntos que representan las mayores oportunidades para reducir la exposición colectiva:
• Keyloggers y empleo de credenciales robadas• Puertas traseras y control de comandos• Manipulación indebida• Pretextos• Phishing• Fuerza bruta• Inyección SQL
Hacking: empleo de credenciales robadasDescripción Se refiere a los casos en los que el atacante accede a un sistema o dispositivo protegido con
credenciales válidas pero robadas.Indicadores Presencia de malware en el sistema; análisis de comportamiento de usuarios que indica
anomalías (por ejemplo, hora de entrada al sistema o ubicación de fuente anormal); uso de un banner de última entrada (puede indicar acceso sin autorización); supervisar todas las actividades administrativas o con privilegios.
Mitigantes Autenticación de dos factores, cambio de contraseñas cuando se sospeche un robo, reglas de horarios de uso, listas negras de direcciones de IP —se pueden bloquear grandes regiones o bloques de direcciones que no tengan ningún fin empresarial legítimo—; conexiones administrativas restringidas, por ejemplo permitir conexiones solo desde fuentes internas. Para evitar el robo de credenciales, consulte las secciones dedicadas a keyloggers y spyware, pretexto, y phishing.
Malware: puertas traseras, comando y controlHacking: explotar puerta trasera o canal de comando y controlDescripción Herramientas que proporcionan acceso remoto y control de los sistemas infectados. Las
puertas traseras y los programas de comando y control son capaces de superar los mecanismos de autenticación y otros controles de seguridad normales y funcionan de manera encubierta.
Indicadores Comportamiento o rendimiento inusual del sistema (varios de los afectados dicen que han visto el cursor navegar por los archivos sin que nadie tocara el ratón); actividad de red anómala; IDS/IPS (para versiones no personalizadas); supervisión de registros; supervisión de procesos del sistema; supervisión rutinaria de ficheros cronológicos; presencia de otro malware en el sistema; antivirus desactivado.
9
Malware: puertas traseras, comando y controlHacking: explotar puerta trasera o canal de comando y control
Durante las investigaciones en las que se sospecha la presencia de malware solemos examinar los procesos de los sistemas activos y creamos una lista de todo el contenido organizado por fecha de creación y modificación. Esto suele revelar archivos maliciosos en los directorios temporales Windows\system32 y del usuario.
Mitigantes Filtros de salida (estas herramientas operan mediante puertos, protocolos y servicios no habituales); empleo de servidores intermedios para tráfico saliente; listas negras de direcciones de IP —se pueden bloquear grandes regiones o bloques de direcciones que no tengan ningún fin empresarial legítimo—; servicios de detección y protección de host (HIDS) o supervisión de integridad; restricción de los derechos administrativos de los usuarios; cortafuegos personales; herramientas de prevención de pérdida de datos (DLP); antivirus y antispyware (aunque una mayor personalización afectaría la eficacia del antivirus; descubrimos una puerta trasera que solo uno de los cuarenta programas antivirus que probamos fue capaz de reconocer); directrices de navegación web.
Física: manipulación indebidaDescripción La alteración o interferencia con el estado o el funcionamiento normal de un activo. Se
refiere a métodos físicos más que a alteraciones de la configuración del software o del sistema.
Indicadores Mantenimiento del dispositivo no previsto ni programado. Arañazos, restos de adhesivo, perforaciones para cámaras o plantillas sobre el teclado. La manipulación no suele ser obvia; las plantillas de skimmers pueden estar hechas a medida de forma que pasen desapercibidas en el dispositivo, mientras que las manipulaciones internas pueden no ser visibles desde fuera. El sello antimanipulación puede estar roto. En algunos casos puede detectarse y persistir una señal Bluetooth. También hay que tener en cuenta que en muchas ocasiones los skimmers de cajeros automáticos y gasolineras solo permanecen instalados unas horas, no días ni semanas.
Mitigantes Enseñar a los empleados a detectar indicios de manipulación indebida. Las organizaciones que operan los dispositivos deben inspeccionarlos a lo largo del día, por ejemplo, como parte del cambio de turno. Es importante inspeccionar tanto la parte que acepta la tarjeta como el teclado para la clave (ver indicadores).
Establezca un procedimiento para los técnicos de servicio e informe a todo el personal; deberá incluir un método para programar las visitas técnicas y autenticar al técnico o a los proveedores de mantenimiento.
Pida al proveedor prestaciones y tecnología antimanipulación o solo compre puntos de venta y dispositivos de ingreso de clave que ya tengan este tipo de tecnología (por ejemplo, interruptores que pongan la memoria a cero, componentes electrónicos recubiertos de resina de epóxido, etc.).
Keylogger/Form-grabber/SpywareDescripción Malware diseñado específicamente para recopilar, vigilar y registrar las acciones de los
usuarios. Suele servir para reunir nombres de usuario y contraseñas como parte de un ataque más amplio. También se utiliza para capturar información de tarjetas de pago en dispositivos de punto de venta comprometidos. La mayoría funciona de forma encubierta para que el usuario no sepa que le vigilan.
10
Keylogger/Form-grabber/SpywareIndicadores Comportamiento o rendimiento inusual del sistema; actividad de red anómala; IDS/IPS (para
versiones no personalizadas); supervisión de registros; supervisión de procesos del sistema; supervisión rutinaria de ficheros cronológicos; presencia de otro malware en el sistema; indicios de manipulación física (por ejemplo, un dispositivo ajeno). Para informarse sobre los indicadores de utilización de credenciales robadas, consulte Hacking: empleo de credenciales robadas.
Durante las investigaciones en las que se sospecha la presencia de malware, examinamos los procesos de los sistemas activos y creamos una lista de todo el contenido organizado por fecha de creación y modificación. Esto suele revelar archivos maliciosos en los directorios temporales Windows\system32 y del usuario.
Mitigantes Limitar los derechos administrativos de los usuarios; uso de CD autónomos de inicio, contraseñas de un solo uso; antivirus y antispyware; cortafuegos personales, filtros de contenido web y listas de direcciones vetadas; filtros de salida (estas herramientas operan mediante puertos, protocolos y servicios no habituales); servicios de detección y protección de host (HIDS) o supervisión de integridad; directrices de navegación web; concienciación sobre la seguridad; segmentación de la red.
Pretexto (ingeniería social)Descripción Una técnica de ingeniería social por la que el atacante inventa una situación para persuadir,
manipular o engañar a una persona para que haga algo o divulgue información. Como estos ataques se aprovechan de las debilidades humanas, no existe ningún parche capaz de cerrarles el paso.
Indicadores Muy difícil de detectar ya que se aprovecha de los puntos débiles de las personas y no dispara los mecanismos de alarma. Se debe sospechar de comunicaciones poco usuales, solicitudes fuera de lo normal en el trabajo e instrucciones para proporcionar información o hacer algo contrario a las directrices corporativas. Ficheros cronológicos de llamadas; ficheros cronológicos de visitantes; ficheros cronológicos de correo electrónico.
Mitigantes Concienciar al personal sobre la seguridad en general; definir claramente directrices y procedimientos; no acostumbrar a los empleados a ignorar las directrices por ignorarlas a nivel oficial; enseñar al personal a reconocer y comunicar intentos de pretexto; verificar solicitudes sospechosas mediante métodos y canales de confianza; impedir el acceso público a los directorios corporativos y fuentes similares de información.
Ataques de fuerza brutaDescripción Un proceso automatizado que consiste en probar todas las combinaciones posibles de
nombre de usuario y contraseña hasta encontrar la que funciona.Indicadores Supervisión periódica de los ficheros cronológicos; varios intentos fallidos de entrar al
sistema (especialmente los que indican intentos generalizados con varias combinaciones); llamadas al teléfono de asistencia para solicitar el desbloqueo de cuentas.
Mitigantes Medios técnicos para hacer cumplir las directrices sobre contraseñas (longitud, complejidad, niveles de inicio de informes (clipping)); bloqueos de cuentas (después de x intentos); intervalos de ingreso de contraseña (throttling) (más tiempo entre intentos fallidos); pruebas de resistencia de las contraseñas; listas de control de acceso; restricciones en las conexiones administrativas (por ejemplo, solo desde fuentes internas específicas); autenticación de dos factores; CAPTCHA.
11
Inyección de SQLDescripción Una inyección de SQL es una técnica que explota la forma en que las páginas web se
comunican con las bases de datos administrativas. El atacante puede inyectar en una base de datos comandos (en forma de declaraciones de SQL construidas especialmente) mediante los campos de entrada de un sitio web.
Indicadores Supervisión periódica de los ficheros cronológicos (especialmente del servidor web y las bases de datos); IDS/IPS.
Mitigantes Prácticas de desarrollo seguras; validación de entradas (codificación de salidas (escaping) y listas blancas); uso de procedimientos parametrizados o almacenados; menos privilegios para las cuentas de datos; suspensión de servicios innecesarios; refuerzo del sistema; desactivar los mensajes de error de la base de datos para el cliente; exploración de vulnerabilidades de las aplicaciones; pruebas de penetración; cortafuegos de aplicaciones web.
Acceso no autorizado mediante credenciales por omisiónDescripción Se refiere a los casos en los que un atacante consigue acceder a un sistema o dispositivo
protegido con un nombre de usuario y contraseña preestablecidos, que por consiguiente son conocidos.
Indicadores Análisis de comportamiento de los usuarios (por ejemplo, hora de entrada al sistema o ubicación de origen inusual; supervisión de todas las actividades administrativas/con privilegios (incluidos terceros); banners de última entrada al sistema (puede indicar acceso no autorizado).
Mitigantes Cambiar las credenciales por omisión (antes del lanzamiento); borrar o desactivar la cuenta por omisión; buscar contraseñas por omisión conocidas (después del lanzamiento); rotación de contraseña (porque fomenta el cambio de la contraseña por omisión); inventario de servicios administrativos remotos (especialmente de terceros). Para terceros: contratos (estipular requisitos para las contraseñas); cambiar las responsabilidades administrativas; buscar contraseñas por omisión conocidas (para activos con asistencia de terceros).
Phishing (y sus variantes)Descripción Una técnica de ingeniería social en la que el atacante emplea una comunicación electrónica
fraudulenta (generalmente correo electrónico) para convencer al destinatario de que divulgue información. La mayoría parece provenir de una entidad legítima y lleva contenido que parece auténtico. El ataque suele incorporar una página web fraudulenta junto con el mensaje anzuelo.
Indicadores Difícil de detectar debido a su carácter semitécnico y a su habilidad para explotar las debilidades humanas. Comunicaciones no solicitadas o inusuales; instrucciones para facilitar información o hacer algo contrario a las directrices corporativas; solicitudes fuera de lo normal en el trabajo; gramática incorrecta; solicitud de respuesta urgente; ficheros cronológicos de correo electrónico.
Mitigantes Concienciar al personal sobre la seguridad en general; definir claramente directrices y procedimientos; no acostumbrar a los empleados a ignorar las directrices por ignorarlas a nivel oficial; directrices sobre el uso del correo electrónico para funciones administrativas (solicitudes de cambio de contraseña, etc.); enseñar al personal a reconocer y comunicar mensajes de phishing; verificar solicitudes sospechosas mediante métodos y canales de confianza; configurar los clientes de correo electrónico para convertir HTML en texto; antispam; verificación y filtro de virus de archivos adjuntos.
INFORME SOBRE INVESTIGACIONES DE BRECHASEN LOS DATOS DE 2012
Un estudio llevado a cabo por el equipo RISK de Verizon con la cooperación de la Policía Federal Australiana, la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, el Servicio de
Seguridad de la Información e Informes de Irlanda, la Unidad Central de Delitos Informáticos de la Policía Metropolitana de Londres y el Servicio Secreto de Estados Unidos.
verizon.com/enterprise/es© 2012 Verizon. Todos los derechos reservados. MC15244 ES 05/12. Los nombres y logotipos de Verizon y Verizon Business, además de todos los demás nombres, logotipos y lemas que identifican los productos y servicios de Verizon, son marcas comerciales o registradas de Verizon Trademark Services LLC o sus filiales en Estados Unidos y otros países. Todas las demás marcas comerciales o de servicio son propiedad de sus dueños respectivos.
