Informe sobre las Amenazas a la Seguridad en Internet

Vol. XVI
Abril 2011 - Hallazgos América Latina

Introducción
Symantec cuenta con las fuentes de datos más completas a nivel mundial sobre amenazas en
Internet gracias a Symantec™ Global Intelligence Network. Esta red captura datos de inteligencia
de seguridad en todo el mundo y ofrece datos inigualables a los analistas de Symantec para que
los identifiquen y analicen, brinden protección y proporcionen una perspectiva y comentarios
objetivos e informados sobre las nuevas tendencias de los ataques, de la actividad de códigos
maliciosos, phishing y spam.

Más de 240,000 sensores ubicados en más de 200 países y territorios supervisan la actividad de
los ataques a través de una combinación de productos y servicios de Symantec como el Sistema
de Manejo de Amenazas DeepSight™ de Symantec, Servicios Administrados de Seguridad de
Symantec™ y productos Norton™ para consumidores finales, así como fuentes de datos
adicionales de terceros.

Symantec recopila datos de códigos maliciosos de más de 133 millones de equipos cliente,
servidores y sistemas gateway que han implementado sus soluciones de seguridad y antivirus.
Además, la red honeypot de Symantec recopila datos alrededor del mundo, después de capturar
ataques y amenazas inadvertidas y proporcionar información valiosa sobre los métodos de los
atacantes.

Además, Symantec mantiene una de las bases de vulnerabilidades más completas del mundo,
actualmente compuesta por más de 40,000 vulnerabilidades registradas (que abarca más de dos
décadas) y que afecta a más de 105,000 tecnologías de más de 14,000 proveedores. Symantec
facilita también la lista de correos BugTraq™, uno de los foros más populares de divulgación y
discusión sobre vulnerabilidades en Internet, que tiene aproximadamente 24,000 suscriptores que
contribuyen, reciben y examinan diariamente las investigaciones sobre las vulnerabilidades.

Los datos de spam y phishing son capturados a través de una variedad de fuentes como:
Symantec Probe Network, un sistema con más de 5 millones de cuentas señuelo; MessageLabs
intelligence, una respetada fuente de datos y análisis de problemas, tendencias y estadísticas de
seguridad de los mensajes; y otras tecnologías de Symantec.

Los datos son recopilados en más de 86 países de todo el mundo. Más de 8 millones de mensajes
de correo electrónico y más de 1,000 millones de solicitudes Web se procesan diariamente en 16
centros de datos y seguridad. Symantec también recopila información de phishing a través de una
extensa comunidad antifraude de empresas, proveedores de seguridad y más de 50 millones de
consumidores.

Estos recursos dan a los analistas de Symantec fuentes de datos sin precedentes, mismos que se
ven recopilados anualmente en el Informe de Symantec sobre las Amenazas a la Seguridad en
Internet, que da a las empresas y consumidores información esencial para proteger sus sistemas
efectivamente ahora y en el futuro.

Además de recopilar información de ataques globales en Internet, Symantec también analiza datos
de ataques detectados por sensores desplegados en regiones específicas. Este informe aborda
aspectos notables de actividades maliciosas en Internet, que Symantec observó en la región de
América Latina (LAM) en 2010.
Actividad Maliciosa por País en América Latina
Contexto
Esta métrica evalúa los países de la región de América Latina (LAM) en dónde ocurre o se origina
la mayor actividad maliciosa. La actividad maliciosa generalmente afecta los equipos conectados a
Internet a través de banda ancha de alta velocidad porque estas conexiones son blancos atractivos
para los atacantes ya que brindan mayor capacidad que otros tipos de conexión, mayor velocidad,
mayor cantidad de sistemas constantemente conectados y normalmente una conexión más
estable. Symantec clasifica las actividades maliciosas de la siguiente manera:

 Códigos Maliciosos. Éstos incluyen virus, gusanos y troyanos que se insertan

secretamente en los programas. Los propósitos de los códigos maliciosos son destruir los
datos, ejecutar programas destructivos o intrusos, robar información confidencial o
comprometer la seguridad o la integridad de los datos de la computadora de la víctima.

 Zombis de Spam. Se trata de sistemas comprometidos que se controlan y utilizan de

forma remota para enviar grandes volúmenes de mensajes de correo electrónico basura o
no solicitado. Estos mensajes pueden utilizarse para proporcionar códigos maliciosos e
intentos de phishing.

 Hosts de Phishing. Un host de phishing es un equipo que hospeda sitios Web que
intentan reunir ilegalmente información confidencial, personal y financiera al mismo tiempo
que aparenta que la solicitud de estos datos se está realizando desde una organización de
confianza y conocida. Estos sitios Web están diseñados para imitar los sitios de empresas
legítimas.

 Equipos Infectados con Bots. Se trata de equipos afectados que están siendo
controlados remotamente por los atacantes. Normalmente, el atacante remoto controla una
gran cantidad de equipos afectados por un canal único y confiable en una red de bots
(botnet) que se utiliza para lanzar ataques coordinados. En la mayoría de las ocasiones los
usuarios desconocen que su equipo está siendo utilizado para lanzar ataques.

 Orígenes de Ataques de Red. Se refiere a las fuentes de ataques que se originan desde
Internet. Por ejemplo, los ataques pueden centrarse en protocolos SQL o vulnerabilidades
de desbordamiento de búfer.

Metodología
Para determinar la actividad maliciosa por país, Symantec ha recopilado datos geográficos sobre
numerosas actividades maliciosas, como informes de códigos maliciosos, zombis de spam, hosts
de phishing, equipos infectados por bots y el origen de los ataques a la red. Luego se determina la
proporción de cada actividad que se origina en cada país dentro de la región. Se calcula la media
de los porcentajes de cada actividad maliciosa que se origina en cada país y este promedio
determina la proporción de toda la actividad originada en el país en cuestión. Luego, la clasificación
se determina calculando el promedio de la proporción de las actividades maliciosas que se
originaron en cada país.
América Latina - Actividad Maliciosa por País
Fuente: Symantec Corporation

Comentario
Brasil sigue teniendo el mayor porcentaje de actividad maliciosa en América Latina. En 2010,
Brasil ocupó el primer lugar en actividad general maliciosa en la región LAM. A nivel mundial, Brasil
ocupó el cuarto lugar con 5 por ciento del total mundial. La alta clasificación de Brasil se debe a
que obtuvo el primer lugar de la clasificación por un amplio margen en todas las actividades
maliciosas. Además de ser el país con la mayor cantidad de conexiones de banda ancha en la
región LAM, el protagonismo de botnets grandes y dominantes en Brasil contribuye a su alta
clasificación en equipos infectados con bots, zombis de spam y hosts de phishing. Brasil es una
fuente importante de equipos infectados por bots de botnets principales que envían mensajes de
spam, como Rustock, aazben y Ozdok (Mega-D).

Origen de los Ataques en LAM por Fuente

Contexto
Esta métrica evalúa las principales fuentes globales desde dónde se originaron los ataques
dirigidos a la región LAM en 2010. Se debe tener en cuenta que, debido a que el equipo atacante
podría ser controlado de forma remota, el atacante puede estar en una ubicación diferente que el
equipo utilizado para lanzar el ataque. Por ejemplo, un atacante ubicado físicamente en los
Estados Unidos podría lanzar un ataque desde un sistema afectado en México contra una red en
otro país como por ejemplo, Venezuela.

Metodología
En esta sección se miden las principales fuentes de ataques que afectaron los equipos de LAM en
2010. Generalmente, un ataque de red es considerado como cualquier actividad maliciosa, que se
lleva a cabo en una red que ha sido detectada por un sistema de detección de intrusiones (IDS),
sistema de prevención de intrusos (IPS) o firewall.
Origen de los Ataques en América Latina por Fuente
Fuente: Symantec Corporation

Comentario
Los Estados Unidos Dominan el Origen de los ataques en LAM. En 2010, los Estados Unidos fue la
principal fuente de ataques contra objetivos LAM, con un 50 por ciento de todos los ataques
detectados por los sensores de Symantec en la región. Este resultado probablemente se explica
por el alto nivel de actividad de los ataques que se originan generalmente en los Estados Unidos,
como lo fue también la fuente principal de origen de los ataques a las redes a nivel mundial, con 22
por ciento de ese total. También ocupó el primer lugar en actividad malintencionada global, con 19
por ciento. Estados Unidos también ocupó el primer lugar a nivel mundial de equipos infectados por
bots y gran parte de la actividad de ataques dirigida a la región LAM habría sido llevado a cabo a
través de estas redes bot.

Equipos Infectados con Bots en LAM por País

Contexto
Esta métrica mide los países de origen que infectan equipos con bots en América Latina (LAM) en
2010. Los equipos infectados con bots o bots son programas que se instalan secretamente en el
equipo de un usuario con el fin de permitir a un atacante controlar el sistema atacado de manera
remota a través de un canal de comunicación, como Internet Relay Chat (IRC), P2P o HTTP. Estos
canales permiten al atacante remoto controlar un gran número de equipos atacados o
comprometidos mediante un canal único y confiable en un botnet, que luego puede utilizarse para
lanzar ataques coordinados.

Los bots permiten una amplia gama de funcionalidades y la mayoría puede actualizarse para
asumir nuevas funciones mediante la descarga de funciones y códigos. Los atacantes pueden usar
bots para realizar diversas tareas, como la configuración de ataques de negación de servicio (DoS)
contra el sitio Web de una organización, la distribución de ataques de spam y phishing, la
distribución de spyware y adware, la propagación de códigos maliciosos y la recolección de
información confidencial desde computadoras afectadas, lo cual puede conducir a graves
consecuencias económicas y legales.

En los equipos infectados con bots los atacantes usan un modelo descentralizado de comando y
control (C&C) porque son difíciles de desactivar y permiten a los atacantes ocultarse en pleno sitio
en medio de grandes cantidades de tráfico no relacionado que se produce en los mismos canales
de comunicación. Lo más importante es que las operaciones de los botnets pueden ser lucrativas
para sus controladores porque los bots son baratos y relativamente fáciles de propagar. Por
ejemplo, Symantec observó un anuncio en un foro clandestino en 2010 que promovía una botnet
(red de bots) de 10,000 bots por US$15 dólares. (El anuncio no estipulaba si el costo era por
compra o alquiler).

Metodología
Un equipo infectado con bots es considerado activo un día determinado si realiza por lo menos un
ataque ese día. Su actividad no tiene que ser continua; por el contrario, un solo equipo puede estar
activo días diferentes. Otro equipo infectado por bots es un equipo distinto que estuvo activo por lo
menos una vez durante el período.

Las actividades del equipo infectado por bots que Symantec rastrea, se pueden clasificar como
ataques activos a bots o bots que envían spam (es decir, zombis de spam) o bots que se utilizan
para campañas DoS.

Computadoras Infectadas por Bots en América Latina 2009-2010

Fuente: Symantec Corporation

Comentario
Brasil sigue teniendo más de la mitad de equipos infectados con bots en la región LAM con 56 por
ciento del total regional. Se trata de un aumento con respecto al 2009, cuando Brasil también
ocupó el primer lugar en esta categoría con 54 por ciento del total regional. A nivel mundial en
2010, Brasil ocupó el quinto lugar con 8 por ciento del total mundial. Una de las razones para este
porcentaje de computadoras infectadas por bots en Brasil es que es una gran fuente de infección
de botnets.

LAM es fuente de un porcentaje relativamente alto de bots a nivel mundial ya que la región
representó el 15 por ciento de todos los equipos infectados por bots detectados a nivel mundial, lo
cual se debe probablemente al alto porcentaje de bots en Brasil, lo que contrasta con el hecho de
que la región LAM tiene menos del 10 por ciento de la población mundial y más del 10 por ciento
de la proporción global de usuarios de Internet.

Principales Muestras de Códigos Maliciosos Detectados en

América Latina

Contexto
Esta métrica evalúa las principales muestras de códigos maliciosos en la región de América Latina
(LAM) en 2010. Symantec analiza muestras de códigos malintencionados nuevas y existentes para
determinar qué tipos de amenazas y vectores de ataque se emplean con mayor frecuencia. Esta
información también permite a los administradores y usuarios familiarizarse con las amenazas que
los atacantes utilizan para sus ataques. Información sobre las nuevas tendencias de desarrollo de
las amenazas puede ayudar a reforzar las medidas de seguridad y mitigar futuros ataques.

Metodología
Para determinar las principales muestras de códigos maliciosos, Symantec clasifica cada muestra
con base en el volumen de fuentes únicas de infecciones potenciales observadas durante el
período reportado.

Principales Muestras de Códigos Maliciosos en América Latina

Fuente: Symantec Corporation

Comentario
La principal muestra de códigos maliciosos por volumen de posibles infecciones en LAM en 2010
fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para que la
familia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010.
Descubierto en 2008, Sality.AE ha sido una parte importante del panorama de amenazas desde
entonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en
2009. La simplicidad de propagarse a través de dispositivos USB y otros medios de comunicación
hace que códigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalar
códigos maliciosos adicionales en los equipos.

Aprenda más sobre Sality.AE

El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvo
significativa atención en 2009 debido a sus sofisticados atributos y eficacia.

A pesar de la versión de un parche para la vulnerabilidad el 23 de octubre de 2008 (es decir, antes
de que Downadup estuviera incluso activo), se estimó que el gusano todavía se encontraba en
más de 6 millones de computadoras en todo el mundo a finales de 2009. Aunque este número
disminuyó durante 2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs a
finales de ese año. Este gusano fue la muestra de códigos malintencionados que ocupó el primer
puesto en la región en 2009.

Aprenda sobre Downadup (alias, Conficker)

Tipos de Muestras de Códigos Maliciosos en México y América Latina

Fuente: Symantec Corporation

Países de Origen del Spam Generado por Botnets en América

Latina

Contexto
En esta sección se describen los principales países que originaron spam mediante botnets en
América Latina (LAM) en 2010. Los botnets pueden identificarse por patrones SMTP y en la
estructura de encabezados de correo electrónico. En el análisis, los mensajes de spam se
clasifican análisis según el botnet que lo origina durante la fase de la transacción SMTP. Este
análisis sólo revisa los botnets involucrados en el envío de spam y no considera botnets utilizados
para otros fines, como fraude financiero o ataques DoS.
Metodología
Los honeypots de spam de Symantec recolectaron entre 30 y 50 millones mensajes de spam
diariamente en 2010. Estos se clasifican de acuerdo a una serie de reglas heurísticas aplicadas a
la conversación SMTP y a la información del encabezado de los correos electrónicos. Una variedad
de listas de reputación de IP interna y externa también se utiliza para clasificar el tráfico de botnets
conocidos con base en la dirección fuente IP del remitente. La información es compartida con otros
líderes del sector para garantizar que los datos estén actualizados y sean precisos.

Principales Fuentes de Spam Generado por Botnets en América Latina

Fuente: Symantec Corporation

Comentario
En 2010, el 17 por ciento de todo el spam de botnets detectado a nivel mundial por Symantec se
originó en la región América Latina. Dentro de la región, Brasil ocupó el primer lugar con 41 por
ciento del spam originado. La alta tasa de spam de los botnets originado en Brasil probablemente
obedece al alto porcentaje de zombis de spam ubicados allí, puesto que Brasil ocupó el primer
lugar en zombis de spam en la región LAM y, más significativamente, a nivel mundial en 2010. La
prominencia de botnets grandes y dominantes en Brasil contribuye al alto ranking en spam de
botnets. Brasil es una poderosa fuente de equipos infectados por bots comparado con importantes
botnets que envían mensajes de spam, como Rustock, Maazben y Ozdok (Mega-D). Rustock fue
responsable de casi la mitad del spam mundial de botnets enviado a finales de 2010.

###

Acerca del Informe sobre las Amenazas a la Seguridad en Internet de Symantec

El Informe sobre las Amenazas de Seguridad en Internet (ISTR por sus siglas en inglés) se deriva
de datos recopilados por decenas de millones de sensores de Internet, investigación de primera
mano y monitoreo activo de comunicaciones de hackers, y proporciona una visión global del estado
de seguridad en Internet. El período del estudio del Volumen XVI del Informe abarca de enero de
2010 a diciembre de 2010. Más detalles sobre el ISTR XVI están disponibles en:
www.symantec.com/la/gin
Acerca de Security Technology and Response
La organización de Security Technology and Response (STAR), que incluye Symantec Security
Response, es un equipo mundial de ingenieros de seguridad, analistas de amenaza e
investigadores que ofrecer el soporte, contenido y funcionalidad subyacente para todos los
productos de seguridad de consumo y corporativos de Symantec. Con centros de respuesta
ubicados en todo el mundo, STAR monitorea informes de códigos malintencionados de más de 130
millones de sistemas en Internet, recibe datos de 40,000 sensores de red en más de 200 países y
rastrea más de 25,000 vulnerabilidades que afectan más de 55,000 tecnologías de más de 8,000
proveedores. El equipo utiliza esta gran inteligencia para desarrollar y ofrecer la protección de
seguridad más completa del mundo.

Acerca de Symantec
Symantec es líder mundial en soluciones de seguridad, almacenamiento y administración de
sistemas que ayudan a las empresas y consumidores a proteger y administrar su información.
Nuestro software y servicios protegen contra más riesgos, en más puntos y de manera más
completa y eficiente, generando confianza en donde quiera que la información se utilice o guarde.

Más información está disponible en www.symantec.com/la