El presente artículo se basa en las estadísticas obtenidas a través del sistema KSN (Kaspersky Security Network) que forma parte integral de las soluciones de Kaspersky Lab instaladas en las máquinas de los clientes de los siguientes países de la región: Argentina, Brasil, México, Guatemala, Costa Rica, Panamá, Honduras, Nicaragua, el Salvador, Colombia, Venezuela, Ecuador, Perú, Chile, Bolivia, Uruguay, Paraguay, República Dominicana y Cuba.
Introducción
El presente artículo se basa en las estadísticas obtenidas a través del sistema KSN (Kaspersky Security Network) que forma parte integral de las soluciones de Kaspersky Lab instaladas en las máquinas de los clientes de los siguientes países de la región: Argentina, Brasil, México, Guatemala, Costa Rica, Panamá, Honduras, Nicaragua, el Salvador, Colombia, Venezuela, Ecuador, Perú, Chile, Bolivia, Uruguay, Paraguay, República Dominicana y Cuba.
Las estadísticas abarcan el tiempo desde el 1ero de enero del 2013 hasta el 4 de diciembre del 2013. Se basan en los registros obtenidos a través de 4 principales motores de Kaspersky: OAS – on-access (protección en tiempo real), ODS – on-demand (protección de escáner bajo demanda), MAV – mail AV (anti-virus de correo electrónico) y WAV – web AV (anti-virus Web que protege durante la navegación en Internet). Las estadísticas se usan por aglomerado de motores, lo que permite saber qué vectores de ataques realmente prevalecen en la región.
Comparación relativa de los intentos de infección a los usuarios de Kaspersky
Al contabilizar la cantidad total de los clientes que tiene la compañía en el mundo y comparamos estos datos con los ataques registrados a través de KSN en los mismos, podemos obtener una idea de cuantos clientes han sido víctimas de intentos de infección de por lo menos un programa de código malicioso.
El siguiente gráfico muestra que a pesar de que nuestra región no es la más candente en términos de la cantidad de los ataques, tampoco es la más pacífica como es el caso, de los países escandinavos, por ejemplo:
La mayoría de los clientes de Kaspersky Lab de la región caen en el 3-er grupo con un promedio del 44 al 52% de todos los usuarios atacados. Es decir, si Usted vive en México, por ejemplo, entonces la probabilidad de que se llegue a infectar si no cuenta con un buen anti-virus es del 50%.
Se puede ver que hay muchos países en el mundo, como por ejemplo Rusia, India y otros donde la probabilidad de infección del equipo es mucho mayor y alcanza hasta un 76% que de hecho corresponde a Vietnam – el país con la mayor tasa de proporción de ataques por cada usuario de Kaspersky Lab.
A continuación comparto una lista breve de tan solo algunos países con sus tasas respectivas de intentos de infección por el total de usuarios de Kaspersky Lab en América Latina:
País | % de los usuarios que sufrieron por lo menos un intento de infección |
México | 48,12 |
Brasil | 49,04 |
Argentina | 43,26 |
Perú | 49,78 |
Chile | 37,93 |
Colombia | 43,4 |
Promedio mundial | 56,39 |
El país con la menor tasa de proporción de ataques por usuarios de Kaspersky Lab es Cuba con 19,53%.
Top 20 malware en América Latina
Top 20 malware detectado en la Web
Es impresionante ver que el troyano Trojan.JS.FBook.q ocupa el primer puesto. ¿Qué hace exactamente este? Bueno, es una extensión maliciosa para el navegador Google Chrome que una vez instalada en el sistema abusa del perfil de la víctima en Facebook y da “Likes” a otros perfiles en la red. Esta técnica, a pesar de ser muy simple, les permite a los criminales cibernéticos promocionar perfiles falsos en las redes sociales como si estos fueran legítimos. Así un perfil falso pero bien promocionado podría usarse para diferentes tipos de estafas en general.
El número 2 en la lista es el troyano Trojan-Spy.HTML.Fraud.iz que en realidad combina en sí un código html de Phishing y un iFrame malicioso que permite ejecutar otros scripts maliciosos a través del navegador. Este troyano está directamente relacionado con el robo de finanzas de las víctimas. Su naturaleza es robar los credenciales de acceso a la banca en línea o las tarjetas de crédito de las víctimas. Es importante notar que en muchas ocasiones han sido utilizado sitios Web de gobierno de Brasil, sitios Web de las compañías privadas del mismo país y hasta el sitio Web de un pequeño anti-virus de Europa (gov.br _com_br[1].htm y .com.br ) como fuentes de propagación. Esto es posible cuando los criminales comprometen los sitios Web legítimos aprovechando las vulnerabilidades en los mismos.
También se puede ver la presencia en el Top 5 de 2 exploits para Java. Estos aunque remontan al año 2012 de su primera aparición, siguen siendo usados muy activamente en la región y esto es posible únicamente dado a que los usuarios no acostumbran a instalar los parches de las aplicaciones en su sistema operativo. Por esto aún los exploits antiguos les funcionan muy bien a los criminales cibernéticos que atacan la región.
Top sitios Web de los que los usuarios se infectan al navegar en Internet
El sitio #1 del que más personas se infectan está e Portugués y al parecer fue montado por los criminales cibernéticos de Brasil únicamente para infectar a la gente. En este momento está dado de baja pero es probable que pueda ser reciclado por los mismos criminales. El mismo estaba disfrazado de un blog:
El sitio #2 más usado para infectar a la gente es igualmente creado por los criminales de Brasil donde el modelo de lucrar no es instalando los troyanos bancarios sino diferentes programas potencialmente peligrosos, es decir programas Adware. El lucro en este caso viene a través de la publicidad que se le muestra a las víctimas, a través del tráfico que se genera de las máquinas de las víctimas al visitar los sitios Web de los afiliados al programa de Adware y así por el estilo. Este tipo de lucro muchas veces no se considera “negro” en su totalidad pero pertenece a una zona gris. En el pasado ha habido situaciones cuando las compañías de Anti-virus detectaban dichos programas como maliciosos y enseguida recibían una demanda proveniente de los criminales cibernéticos. La demanda se sustentaba en supuestamente dañar la reputación de la “compañía” y haber causado daños y perjuicios.
Muchas veces este adware ha venido disfrazado de supuestas películas interesantes, cursos de hacking, música y otro material que con facilidad despierta el interés de la gente. Este es tan solo un ejemplo de lo que ofrecía el segundo dominio más peligroso en América Latina:
El sitio #3 más peligroso en América Latina esta vez proviene de Europa. Los propietarios del mismo hablan de trabajar con la región especialmente con México y Brasil y lo ilustran gráficamente con esta imagen:
El peligro que está detrás de este sitio es el mismo descrito anteriormente y son los programas del tipo Adware.
Hosting malicioso en América Latina
Algunas veces el malware que se descarga a las máquinas de las víctimas proviene de los servidores alojados en otras partes del mundo pero en otras estas descargas son locales. Es decir, provienen de los servidores regionales o hasta del propio país de la víctima.
En general, EE.UU. y Rusia son los países que almacenaron la mayor cantidad de código malicioso en el 2013. Estos dos países se colocan en la posición número 1 y 2, respectivamente, a nivel mundial. Por la cantidad de malware que se hospeda en los servidores Web de la región, estos se clasifican dela siguiente manera a nivel mundial:
Posición a nivel mundial | Nombre del país |
24 | Brasil |
25 | Panamá |
51 | Costa Rica |
58 | Argentina |
60 | México |
71 | Colombia |
75 | Chile |
93 | Perú |
95 | Ecuador |
117 | República Dominicana |
136 | Nicaragua |
144 | Cuba |
145 | Honduras |
147 | Uruguay |
151 | Paraguay |
Top 20 malware detectado por el motor de protección en tiempo real en Latinoamérica
Lo que enseguida resalta a la vista es que las primeras 4 amenazas del Top 20: dos gusanos y dos troyanos se propagan por medio de los dispositivos USB! En otras palabras, en nuestra región las infecciones vía USB son cosa de cada día. Los criminales cibernéticos de varios países y especialmente de Perú utilizan este medio para infectar las máquinas de las víctimas.
El troyano Trojan.Win32.Buzus.dzwk que se encuentra en el 5 lugar del Top 20, de igual manera tiene la capacidad de propagarse a través de los discos extraíbles USB y los recursos compartidos en la red local. Cuando infecta el sistema se integra profundamente utilizando las técnicas de Rootkit y luego descarga al sistema infectado otros programas de código malicioso que atacan las finanzas de la víctima. Este troyano incluye algunas técnicas de lucha activa contra los programas anti-virus y diferentes herramientas de análisis del sistema. Por ejemplo, en el registro de Windows instala un debugger que impide la ejecución de los principales Anti-virus por su nombre de archivo. Como ya se ha mencionado, lo que busca este troyano es robar los datos financieros de las víctimas.
Conclusiones
América Latina sigue siendo una región de mucho interés para América Latina. Los criminales de Brasil y Perú son los más organizados y los más peligrosos que generan la mayor cantidad de programas de código malicioso. Han dividido el continente donde cada uno ataca a las víctimas de su idioma natal. Tanto los criminales cibernéticos de Brasil como los de Perú han entrado en contacto con los criminales de Rusia y otros países de la ex Unión Soviética. Ahora están adquiriendo conocimiento y tecnologías de Europa Oriental y lo están implementando en la región. Como resultado, los ataques en algunos casos llegan a ser más complejos y más exitosos a la vez. La situación verdaderamente se agrava cuando estos mismos criminales combinan la tecnología cibercriminal de Europa del Este con su propia astucia basada en la ingeniería social y el conocimiento local de las debilidades de las personas y su mentalidad.
El dinero ha sido el principal blanco de los bienes digitales de las víctimas en este año. Esto es lógico ya que es la principal motivación de todo cibercriminal. El uso de exploits, especialmente los que aprovechan las vulnerabilidades en Java, ya son parte del arsenal diario de los atacantes. Si los usuarios de la región no cambian sus hábitos de parchado de software, esto agravará la situación y le permitirá a los atacantes automatizar muchos de sus ataques llegando al mayor número de víctimas en el menor tiempo posible.
Como vimos en el reporte, existen otros jugadores que están interesados en atacar a las víctimas de América Latina y son de otros continentes. Están expandiendo sus actividades y esto hace que la navegación en Internet llegue a ser menos segura y más peligrosa.
Este año ha sido interesante para la región. Han aparecido nuevos tipos de ataques que buscan el mismo fin- el dinero. Algunos ejemplos son: el robo de dinero de los ATMs pero no a los usuarios de los mismos, sino robándole el dinero al Banco directamente, y el robo de las monedas de Bitcoin a través de Skype o por medio de las técnicas de los archivos .PAC en Brasil. También hemos visto ataques a los Routers con la suplantación de los DNS y las aplicaciones maliciosas en el mercado Google Play que se hacen pasar por las aplicaciones de seguridad que supuestamente mejoran la experiencia del usuario y lo protegen. La creatividad de los criminales cibernéticos no se ha detenido, ellos siguen buscando las nuevas maneras de llegar hasta las computadoras de las víctimas y robar su dinero.
Aunque el presente informe no menciona ningún dato sobre los ataques de APT en la región, estos sí han tenido lugar y siguen operando en diferentes países. Los que están detrás de esos ataques a veces provienen del exterior pero en otros casos son países vecinos o fuerzas que los representan. es decir, son ataques regionales hechos para existir dentro de América Latina y atacar a blancos muy específicos.
Pronóstico para el 2014
El pronóstico general se basa en el principal interés de los atacantes – el dinero. Los criminales locales seguirán buscando nuevas formas de llegar a robarlo. Si la cripto divisa Bitcoin no pierde drásticamente su valor o no recibe represalias mundiales significativas que la dejen destruida o desprestigiada, podemos estar seguros de que ese será uno de los principales blancos de los criminales, no solo en otros países del mundo, pero en América Latina también.
Los dispositivos Android de seguro serán uno de los blancos preferidos de los cibercriminales locales: son muy populares, son fáciles de atacar, son relativamente inseguros y hay muchos usuarios que no tienen un anti-virus instalado. A medida que dichos dispositivos sean más y más utilizados para los pagos en línea, especialmente que tengan aplicaciones nativas de los bancos y muchos clientes los usen, los criminales comenzarán a desarrollar nuevas técnicas de robo de datos financieros por medio de malware móvil instalado en los equipos de las víctimas. Los criminales ya tienen suficiente conocimiento técnico para desarrollar malware para Android, solamente están esperando que más gente los use para sus operaciones financieras esenciales. El día que esto suceda, entonces la región presenciará un tsunami de troyanos bancarios para esta plataforma móvil.
No olvidemos que se avecina La Copa Mundial de la FIFA que se celebrará en Brasil. Con esto, habrá muchos tipos de ataques comenzando por los triviales como Phishing, seguidos por malware, ataques de DDoS y otros ataques como el robo a través de los ATMs. Este acontecimiento mundial inyectará energía a los criminales cibernéticos de la región, lo que lamentablemente resultará en muchas víctimas.
Finalmente, se puede decir que los cibercriminales de América Latina seguirán explotando el TOR para adoptar su infraestructura en sus ataques y para almacenar la información robada y sus operaciones en general.
Sígueme en twitter: @dimitribest