Saltar al contenido principal

El panorama de malware en América Latina en el 2013: pronóstico para el 2014

7 de diciembre de 2013

El presente artículo se basa en las estadísticas obtenidas a través del sistema KSN (Kaspersky Security Network) que forma parte integral de las soluciones de Kaspersky Lab instaladas en las máquinas de los clientes de los siguientes países de la región: Argentina, Brasil, México, Guatemala, Costa Rica, Panamá, Honduras, Nicaragua, el Salvador, Colombia, Venezuela, Ecuador, Perú, Chile, Bolivia, Uruguay, Paraguay, República Dominicana y Cuba.

Introducción

El presente artículo se basa en las estadísticas obtenidas a través del sistema KSN (Kaspersky Security Network) que forma parte integral de las soluciones de Kaspersky Lab instaladas en las máquinas de los clientes de los siguientes países de la región: Argentina, Brasil, México, Guatemala, Costa Rica, Panamá, Honduras, Nicaragua, el Salvador, Colombia, Venezuela, Ecuador, Perú, Chile, Bolivia, Uruguay, Paraguay, República Dominicana y Cuba.

Las estadísticas abarcan el tiempo desde el 1ero de enero del 2013 hasta el 4 de diciembre del 2013. Se basan en los registros obtenidos a través de 4 principales motores de Kaspersky: OAS – on-access (protección en tiempo real), ODS – on-demand (protección de escáner bajo demanda), MAV – mail AV (anti-virus de correo electrónico) y WAV – web AV (anti-virus Web que protege durante la navegación en Internet). Las estadísticas se usan por aglomerado de motores, lo que permite saber qué vectores de ataques realmente prevalecen en la región.

Comparación relativa de los intentos de infección a los usuarios de Kaspersky

Al contabilizar la cantidad total de los clientes que tiene la compañía en el mundo y comparamos estos datos con los ataques registrados a través de KSN en los mismos, podemos obtener una idea de cuantos clientes han sido víctimas de intentos de infección de por lo menos un programa de código malicioso.

El siguiente gráfico muestra que a pesar de que nuestra región no es la más candente en términos de la cantidad de los ataques, tampoco es la más pacífica como es el caso, de los países escandinavos, por ejemplo:

 Infection_map

La mayoría de los clientes de Kaspersky Lab de la región caen en el 3-er grupo con un promedio del 44 al 52% de todos los usuarios atacados. Es decir, si Usted vive en México, por ejemplo, entonces la probabilidad de que se llegue a infectar si no cuenta con un buen anti-virus es del 50%.

Se puede ver que hay muchos países en el mundo, como por ejemplo Rusia, India y otros donde la probabilidad de infección del equipo es mucho mayor y alcanza hasta un 76% que de hecho corresponde a Vietnam – el país con la mayor tasa de proporción de ataques por cada usuario de Kaspersky Lab.

A continuación comparto una lista breve de tan solo algunos países con sus tasas respectivas de intentos de infección por el total de usuarios de Kaspersky Lab en América Latina:

País

% de los usuarios que sufrieron por lo menos un intento de infección

México

48,12

Brasil

49,04

Argentina

43,26

Perú

49,78

Chile

37,93

Colombia

43,4

Promedio mundial

56,39

 

El país con la menor tasa de proporción de ataques por usuarios de Kaspersky Lab es Cuba con 19,53%.

Top 20 malware en América Latina

Top 20 malware detectado en la Web

Top_20_malware_Web_preview 

Es impresionante ver que el troyano Trojan.JS.FBook.q ocupa el primer puesto. ¿Qué hace exactamente este? Bueno, es una extensión maliciosa para el navegador Google Chrome que una vez instalada en el sistema abusa del perfil de la víctima en  Facebook y da “Likes” a otros perfiles en la red. Esta técnica, a pesar de ser muy simple, les permite a los criminales cibernéticos  promocionar perfiles falsos en las redes sociales como si estos fueran legítimos. Así un perfil falso pero bien promocionado podría usarse para diferentes tipos de estafas en general.

El número 2 en la lista es el troyano Trojan-Spy.HTML.Fraud.iz que en realidad combina en sí un código html de Phishing y un iFrame malicioso que permite ejecutar otros scripts maliciosos a través del navegador. Este troyano está directamente relacionado con el robo de  finanzas de las víctimas. Su naturaleza es robar los credenciales de acceso a la banca en línea o las tarjetas de crédito de las víctimas. Es importante notar que en muchas ocasiones han sido utilizado sitios Web de gobierno de Brasil, sitios Web de las compañías privadas del mismo país y hasta el sitio Web de un pequeño anti-virus de Europa (gov.br _com_br[1].htm y .com.br ) como fuentes de propagación. Esto es posible cuando los criminales comprometen los sitios Web legítimos aprovechando las vulnerabilidades en los mismos.

También se puede ver la presencia en el Top 5 de 2 exploits para Java. Estos aunque remontan al año 2012 de su primera aparición, siguen siendo usados muy activamente en la región y esto es posible únicamente dado a que los usuarios no acostumbran a instalar los parches de las aplicaciones en su sistema operativo. Por esto aún los exploits antiguos les funcionan muy bien a los criminales cibernéticos que atacan la región.

Top sitios Web de los que los usuarios se infectan al navegar en Internet

El sitio #1 del que más personas se infectan está e Portugués y al parecer fue montado por los criminales cibernéticos de Brasil únicamente para infectar a la gente. En este momento está dado de baja pero es probable que pueda ser reciclado por los mismos criminales. El mismo estaba disfrazado de un blog:

Blogger 

El sitio #2 más usado para infectar a la gente es igualmente creado por los criminales de Brasil donde el modelo de lucrar no es instalando los troyanos bancarios sino diferentes programas potencialmente peligrosos, es decir programas Adware. El lucro en este caso viene a través de la publicidad que se le muestra a las víctimas, a través del tráfico que se genera de las máquinas de las víctimas al visitar los sitios Web de los afiliados al programa de Adware y así por el estilo. Este tipo de lucro muchas veces no se considera “negro” en su totalidad pero pertenece a una zona gris. En el pasado ha habido situaciones cuando las compañías de Anti-virus detectaban dichos programas como maliciosos y enseguida recibían una demanda  proveniente de los criminales cibernéticos. La demanda se sustentaba en supuestamente dañar la reputación de la “compañía” y haber causado daños y perjuicios.

Muchas veces este adware ha venido disfrazado de supuestas películas interesantes, cursos de hacking, música y otro material que con facilidad despierta el interés de la gente. Este es tan solo un ejemplo de lo que ofrecía el segundo dominio más peligroso en América Latina:

Segundo_sitio_mas_peligroso_preview 

El sitio #3 más peligroso en América Latina esta vez proviene de Europa. Los propietarios del mismo hablan de trabajar con la región especialmente con México y Brasil y lo ilustran gráficamente con esta imagen:

Tercer_sitio_Web_mas_peligroso_preview 

El peligro que está detrás de este sitio es el mismo descrito anteriormente y son los programas del tipo Adware.

Hosting malicioso en América Latina

Algunas veces el malware que se descarga a las máquinas de las víctimas proviene de los servidores alojados en otras partes del mundo pero en otras estas descargas son locales. Es decir, provienen de los servidores regionales o hasta del propio país de la víctima.

En general, EE.UU. y  Rusia son los países que almacenaron la mayor cantidad de código malicioso en el 2013. Estos dos países se colocan en la posición número 1 y 2, respectivamente, a nivel mundial. Por la cantidad de malware que se hospeda en los servidores Web de la región, estos se clasifican dela siguiente manera a nivel mundial:

Posición a nivel mundial

Nombre del país

24

Brasil

25

Panamá

51

Costa Rica

58

Argentina

60

México

71

Colombia

75

Chile

93

Perú

95

Ecuador

117

República Dominicana

136

Nicaragua

144

Cuba

145

Honduras

147

Uruguay

151

Paraguay

 

Top 20 malware detectado por el motor de protección en tiempo real en Latinoamérica

Top_20_malware_offline_preview 

Lo que enseguida resalta a la vista es que las primeras 4 amenazas del Top 20: dos gusanos y dos troyanos se propagan por medio de los dispositivos USB! En otras palabras, en nuestra región las infecciones vía USB son cosa de cada día. Los criminales cibernéticos de varios países y especialmente de Perú utilizan este medio para infectar las máquinas de las víctimas.

El troyano Trojan.Win32.Buzus.dzwk que se encuentra en el 5 lugar del Top 20, de igual manera tiene la capacidad de propagarse a través de los discos extraíbles USB y los recursos compartidos en la red local. Cuando infecta el sistema se integra profundamente utilizando las técnicas de Rootkit y luego descarga al sistema infectado otros programas de código malicioso que atacan las finanzas de la víctima. Este troyano incluye algunas técnicas de lucha activa contra los programas anti-virus y diferentes herramientas de análisis del sistema. Por ejemplo, en el registro de Windows instala un debugger que impide la ejecución de los principales Anti-virus por su nombre de archivo. Como ya se ha mencionado, lo que busca este troyano es robar los datos financieros de las víctimas.

Conclusiones

América Latina sigue siendo una región de mucho interés para América Latina. Los criminales de Brasil y Perú son los más organizados y los más peligrosos que generan la mayor cantidad de  programas de código malicioso. Han dividido el continente donde cada uno ataca a las víctimas de su idioma natal. Tanto los criminales cibernéticos de Brasil como los de Perú han entrado en contacto con los criminales de Rusia y otros países de la ex Unión Soviética. Ahora están adquiriendo conocimiento y tecnologías de  Europa Oriental y lo están implementando en la región. Como  resultado, los ataques en algunos casos llegan a ser más complejos y más exitosos a la vez. La situación verdaderamente se agrava cuando estos mismos criminales combinan la tecnología cibercriminal de  Europa del Este con su propia astucia basada en la ingeniería social y el conocimiento local de las debilidades de las personas y su mentalidad.

El dinero ha sido el principal blanco de los bienes digitales de las víctimas en este año. Esto es lógico ya que es la principal motivación de todo cibercriminal. El uso de exploits, especialmente los que aprovechan las vulnerabilidades en Java, ya son parte del arsenal diario de los atacantes. Si los usuarios de la región no cambian sus hábitos de parchado de software, esto agravará la situación y le permitirá a los atacantes  automatizar muchos de sus ataques llegando al mayor número  de víctimas en el menor tiempo posible.

Como vimos en el reporte, existen otros jugadores que están interesados en atacar a las víctimas de América Latina y son de otros continentes. Están expandiendo sus actividades y esto hace que la navegación en Internet llegue a ser menos segura y más peligrosa.

Este año ha sido interesante para la región. Han aparecido nuevos tipos de ataques que buscan el mismo fin- el dinero. Algunos ejemplos son: el robo de dinero de los ATMs pero no a los usuarios de los mismos, sino robándole el dinero al Banco directamente, y el robo de las monedas de Bitcoin a través de Skype o por medio de las técnicas de los archivos .PAC en Brasil. También hemos visto ataques a los Routers con la suplantación de los DNS y las aplicaciones maliciosas en el mercado Google Play que se hacen pasar por las aplicaciones de seguridad que supuestamente mejoran la experiencia del usuario y lo protegen. La creatividad de los criminales cibernéticos no se ha detenido, ellos siguen buscando las nuevas maneras de llegar hasta las computadoras de las víctimas y robar su dinero.

Aunque el presente informe no menciona ningún dato sobre los ataques de APT en la región, estos sí han tenido lugar y siguen operando en diferentes países. Los que están detrás de esos ataques a veces provienen del exterior pero en otros casos son países vecinos o fuerzas que los representan. es decir, son ataques regionales hechos para existir dentro de América Latina y atacar a blancos muy específicos.

Pronóstico para el 2014

El pronóstico general se basa en el principal interés de los atacantes – el dinero. Los criminales locales seguirán buscando nuevas formas de llegar a robarlo. Si la cripto divisa Bitcoin no pierde drásticamente su valor o no recibe represalias mundiales significativas que la dejen destruida o desprestigiada, podemos estar seguros de que ese será uno de los principales blancos de los criminales, no solo en otros países del mundo, pero en América Latina también.

Los dispositivos Android de seguro serán uno de los blancos preferidos de los cibercriminales locales: son muy populares, son fáciles de atacar, son relativamente inseguros y hay muchos usuarios que no tienen un anti-virus instalado. A medida que dichos dispositivos sean más y más utilizados para los pagos en línea, especialmente que tengan aplicaciones nativas de los bancos y muchos clientes los usen, los criminales comenzarán a desarrollar nuevas técnicas de robo de datos financieros por medio de malware móvil instalado en los equipos de las víctimas. Los criminales ya tienen suficiente conocimiento técnico para desarrollar malware para Android, solamente están esperando que más gente los use para sus operaciones financieras esenciales. El día que esto suceda, entonces la región presenciará un tsunami de  troyanos bancarios para esta plataforma móvil.

No olvidemos que se avecina La Copa Mundial de la FIFA que se celebrará en Brasil. Con esto, habrá muchos tipos de ataques comenzando por los triviales como Phishing, seguidos por malware, ataques de DDoS y otros ataques como el robo a través de los ATMs. Este acontecimiento mundial inyectará energía a los criminales cibernéticos de la región, lo que lamentablemente resultará en muchas víctimas.

Finalmente, se puede decir que los cibercriminales de América Latina seguirán explotando el TOR para adoptar su infraestructura en sus ataques y para almacenar la información robada y sus operaciones en general.

Sígueme en twitter: @dimitribest

El panorama de malware en América Latina en el 2013: pronóstico para el 2014

El presente artículo se basa en las estadísticas obtenidas a través del sistema KSN (Kaspersky Security Network) que forma parte integral de las soluciones de Kaspersky Lab instaladas en las máquinas de los clientes de los siguientes países de la región: Argentina, Brasil, México, Guatemala, Costa Rica, Panamá, Honduras, Nicaragua, el Salvador, Colombia, Venezuela, Ecuador, Perú, Chile, Bolivia, Uruguay, Paraguay, República Dominicana y Cuba.
Kaspersky logo

Acerca de Kaspersky

Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados, así como soluciones de ciber inmunidad para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 200,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en latam.kaspersky.com.

Artículo relacionado Comunicados de prensa