CIBERDELITO EN
AMÉRICA LATINA Y EL CARIBE UNA VISIÓN DESDE LA SOCIEDAD CIVIL Proyecto Amparo Sección estudios Año 2013
Autores:
Patricia Prandini - Consultora Marcia L. Maggiore - Consultora
Coordinador: Ing. Carlos Martínez - LACNIC
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Índice Resumen .............................................................................................................................. 6 Capítulo I – Presentación del Informe ................................................................................ 8 Introducción .................................................................................................................................8 Presentación del informe.............................................................................................................9 Porqué hablar de cibercrimen ...................................................................................................10 Objetivo del informe ..................................................................................................................12 Principales dificultades ..............................................................................................................12 Etapas del análisis ......................................................................................................................13 Estructura del informe ...............................................................................................................13
Capítulo II – Evolución y Marco Conceptual del Cibercrimen ........................................... 15 La prehistoria .............................................................................................................................15 Evolución de las herramientas y de la instrumentación de los ataques ...................................16 Actualidad de los ciberataques ..................................................................................................17 Quiénes son los cibercriminales ................................................................................................20 Objeto del cibercrimen ..............................................................................................................21
Capítulo III – Las Ciberamenazas en cifras ........................................................................ 23 Introducción ...............................................................................................................................23 Objetivo y alcance del capítulo ..................................................................................................24 Metodología ...............................................................................................................................25 Algunas consideraciones sobre la información analizada .........................................................25 Una aproximación sobre la actividad global en el ciberespacio................................................28 Actividades maliciosas en su conjunto ......................................................................................36 Situación global ...................................................................................................................................36 Situación en Latinoamérica y El Caribe ...............................................................................................43
Código malicioso (malicious code)/malware .............................................................................46 Situación global ...................................................................................................................................47 Situación en Latinoamérica y El Caribe ...............................................................................................53
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 2/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Código malicioso multiplataforma.............................................................................................54 Falsos antivirus (rogueware)......................................................................................................56 Ransomware ..............................................................................................................................57 Dispositivos móviles ...................................................................................................................58 SPAM ..........................................................................................................................................59 Situación global ...................................................................................................................................59 Situación en Latinoamérica y El Caribe ...............................................................................................63
Phishing ......................................................................................................................................65 Situación global ...................................................................................................................................66 Situación en Latinoamérica y El Caribe ...............................................................................................71
Botnet ........................................................................................................................................77 Situación global ...................................................................................................................................77 Situación en Latinoamérica y El Caribe ...............................................................................................80
Ataque distribuido de denegación de servicio (DdoS – DoS) ....................................................85 Vulnerabilidades ........................................................................................................................87 Ataques originados en la Web/Amenazas en la Web................................................................89 Situación global ...................................................................................................................................89 Situación en Latinoamérica y El Caribe ...............................................................................................92
Redes Sociales ............................................................................................................................94 Violación de datos (Fuga de Información) .................................................................................97
Capítulo IV – Misceláneo de las Ciberamenazas ............................................................. 105 Actividad Maliciosa en su Conjunto .........................................................................................105 Código malicioso (malicious code)/malware ...........................................................................106 Ransomware ............................................................................................................................108 Dispositivos móviles .................................................................................................................110 SPAM ........................................................................................................................................112 Phishing ....................................................................................................................................113 Botnet ......................................................................................................................................116 Ataques originados en la Web/Amenazas en la Web y Redes Sociales ..................................116 Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 3/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Ciber Espionaje ........................................................................................................................118 Ciberactivismo .........................................................................................................................123 Cyberskirmishes (Ciber-escaramuzas) .....................................................................................126 Ciberguerra – ciberataque .......................................................................................................127 Tendencias 2013 ......................................................................................................................130
Capítulo V - Impacto Económico ..................................................................................... 131 Introducción .............................................................................................................................131 Porqué medir el impacto económico ......................................................................................132 Dificultades para la estimación ................................................................................................133 Costos asociados a los incidentes informáticos.......................................................................135 Objetivo y alcance del capítulo ................................................................................................139 Informes internacionales .........................................................................................................140 Fuentes de datos y metodología .............................................................................................143 Costos para el sector bancario.................................................................................................143 Estimaciones......................................................................................................................................145 Otros valores de interés ....................................................................................................................146
Fraude en el comercio electrónico ..........................................................................................147 Estimaciones......................................................................................................................................149 Otros valores de interés ....................................................................................................................150
Fraudes vinculados al robo de identidad .................................................................................151 Estimaciones......................................................................................................................................152 Otros valores de interés ....................................................................................................................153
Otros tipos de incidentes .........................................................................................................154 Los valores de la ciberdelincuencia .........................................................................................157
Capítulo VI – Encuesta sobre Ciberseguridad ................................................................. 160 Introducción .............................................................................................................................160 Objetivo del capítulo ................................................................................................................160 Metodología .............................................................................................................................160 Análisis de las respuestas.........................................................................................................161
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 4/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Perfil de los encuestados...................................................................................................................161 Utilización de dispositivos para acceder a Internet y redes..............................................................163 Medidas de protección a la información ..........................................................................................164 Mecanismos de seguridad para el acceso a Internet ........................................................................167 Precauciones para el ingreso a las redes sociales .............................................................................168 Exposición a cibercrímenes ...............................................................................................................170
Capítulo VII – Conclusiones ............................................................................................. 173 Capítulo VIII – Recomendaciones .................................................................................... 175 Sector académico .....................................................................................................................175 Sector Privado ..........................................................................................................................175 Usuarios ...................................................................................................................................176
Fuentes Consultadas........................................................................................................ 178 Glosario Técnico .............................................................................................................. 181
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 5/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Resumen Las tecnologías de la información y las comunicaciones han sido incorporadas en el día a día de los países de Latinoamérica y El Caribe al ritmo de otras sociedades modernas del planeta. Como inevitable consecuencia, quienes habitan la región se ven obligados a enfrentar un importante desafío al momento de proteger la información de las personas y organizaciones, garantizar la disponibilidad de los servicios prestados a través de Internet y evitar accesos no autorizados a las infraestructuras y sistemas críticos. El presente informe es el segundo de su tipo elaborado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC). Su objetivo es analizar para el período 2011/2012 la situación de los países latinoamericanos y del Caribe desde la perspectiva del cibercrimen, considerando la región tanto origen como blanco de ataques. Para su formulación fueron consultadas fuentes de datos públicas producidas por entidades gubernamentales y académicas y empresas proveedores de servicios y productos de seguridad, localizadas en la región y en otros países del mundo. La investigación fue desarrollada con el fin de contribuir un mayor conocimiento de la incidencia de la actividad maliciosa en Latinoamérica y El Caribe y de generar un marco para futuras estimaciones y proyecciones del impacto del cibercrimen en la región, que pueda ser actualizado y mejorado cuando se disponga de información más precisa y de metodologías más certeras. Los informes y estudios consultados muestran que tanto globalmente como a partir de casos particulares de ataques, los países de Latinoamérica y El Caribe siempre se encuentran presentes, destacándose Brasil a nivel global y en los primeros puestos para la mayoría de las cibercrímenes. Dentro de la región, los principales actores, además de dicho país, son Argentina, Colombia, México y Chile. Cabe mencionar, dado su impacto económico, que los ataques de phishing han aumentado en la región un 20% más de lo que han crecido a nivel global, mientras que el crecimiento de los dominios usados para esta actividad duplicó el del orden mundial. Es de hacer notar también, que a partir de fines de 2009 se registra el desarrollo de herramientas para la comisión de cibercrímenes desde dentro de la región. Asimismo, se han detectado botnets desarrolladas en sus países, como son los casos de Volk, SAPZ, BoteAR y AlbaBotnet. En el mismo sentido se tomó conocimiento del primer caso reportado de ciberespionaje a través de códigos maliciosos orientado específicamente a Latinoamérica y El Caribe. Por otro lado, y en los primeros meses del año 2013, se registraron casos de hacktivismo a través de los ataques producidos por Anonymous en Argentina, Honduras y Perú. En materia de tendencias puede apreciarse que de acuerdo a las fuentes consultadas, crecerán las amenazas multiplataforma, aumentarán los ataques a dispositivos móviles, se incrementará la carrera “ciberarmamentística”, se mantendrán las amenazas provenientes del malware y las redes sociales seguirán siendo un campo atractivo para los ataques de ingeniería social, especialmente aquellos que involucran el robo de datos personales y la suplantación de identidad. En términos económicos, continúan las dificultades expuestas en el primer informe, para encontrar datos confiables y metodologías adecuadas para la determinación cierta de los costos del cibercrimen. En el año 2012 un grupo de investigadores de varias universidades europeas y estadounidenses realizaron lo que se considera como la primera revisión sistemática y completa sobre el tema. Sobre la base de
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 6/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
dicho estudio y de otras fuentes analizadas, se estimó que las pérdidas anuales por phishing bancario para los clientes de la región podrían rondar los 26 millones de dólares estadounidenses y el spear phishing, los 24 millones de la misma moneda. En cuanto a la inversión para evitar el fraude bancario en Internet en Latinoamérica y El Caribe, dicho valor sería del al menos 81 millones de dólares. Desde otro ángulo, el fraude en el comercio electrónico originado en reclamos de clientes podría estar alcanzando los 430 millones y el robo de identidad, los 1.100 millones. El trabajo también incluye otros datos desagregados por país y algunas estimaciones de los valores que se manejan en el mercado de la ciberdelincuencia. Como parte de la investigación, se realizó una encuesta con el objetivo de profundizar el conocimiento sobre el estado de la ciberseguridad, destinada a usuarios de Internet de la región. Si bien en esta oportunidad se registró un nivel de respuesta desigual en cuanto a la representatividad por país, lo cual condiciona fuertemente las conclusiones que puedan extraerse, pudo detectarse que un 35% de los encuestados manifestó haber sufrido una infección por códigos maliciosos en su computadora, un 12% indicó haber percibido algún tipo de actividad inesperada luego de acceder a un enlace desde un correo electrónico o a una página web y un 10% indicó que se enviaron mensajes desde su cuenta de correo electrónico sin su autorización. El trabajo concluye con una serie de recomendaciones para el sector privado, la academia y los usuarios y cierra destacando la necesidad de desarrollar estrategias organizacionales, nacionales y regionales para la implementación de instancias de reporte y el establecimiento de condiciones de franca colaboración entre el sector público y el privado y entre los países, favoreciendo de esta manera el desarrollo de una cultura de la ciberseguridad a nivel regional y global. Para cerrar, es dable recalcar que la cuantificación del cibercrimen no es una tarea sencilla. Si bien existe un número considerable de fuentes diversas, los datos disponibles son todavía insuficientes y fragmentados y muchos de los resultados publicados despiertan sospechas de sobre o sub-dimensionamiento, según quienes los formulan. Existen además muchas asimetrías en los mecanismos utilizados para contabilizar los casos y las pérdidas que el cibercrimen genera. Sin embargo, a la hora de dimensionar la magnitud del problema, un ejercicio ineludible es estimar el impacto de la actividad maliciosa que efectiva o potencialmente puede afectar tanto a las organizaciones como a las personas que habitan la región. Urge la necesidad de desarrollar mecanismos de recolección de datos y de métricas representativas que sirvan de base para fundamentar las decisiones que se adopten para combatir el cibercrimen en la región.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 7/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo I – Presentación del Informe Introducción Una amplia gama de tecnologías ha acompañado el desarrollo de las sociedades modernas en el último medio siglo. En este devenir, la aparición de Internet representó un hito fundamental, al transformarse en punto de generación y difusión del conocimiento y ámbito de conexión entre personas, organizaciones de todo tipo y gobiernos, herramienta de trabajo, de divertimento, aprendizaje, etc. En este marco, servicios esenciales para el bienestar de la población y el desarrollo económico también se sustentan hoy en un empleo creciente de tecnologías, mejorando la calidad de vida y facilitando las labores cotidianas de las personas y las organizaciones. Es indudable que el alto nivel de penetración de estas tecnologías de la información y las comunicaciones ha traído múltiples beneficios, extendiendo las posibilidades de incorporación de conocimiento, mejorando la gestión de los gobiernos, agilizando la realización de trámites, facilitando el acceso a servicios bancarios y de comunicaciones, favoreciendo contactos globales y hasta influyendo en las actividades de esparcimiento, sólo por nombrar algunas ventajas. Por otra parte, los menores costos transaccionales y las economías de escala que ha traído el desarrollo tecnológico y particularmente Internet, ha incrementado la productividad en forma indiscutible. Como fuera indicado en el informe anterior, Latinoamérica y El Caribe no han sido ajenos a este fenómeno y a fines de junio del año 2012, habitaba su territorio el 10,6% de los usuarios de Internet del mundo, con un incremento del 0,2% respecto a los valores mostrados en el 2011. En cuanto a la penetración respecto al total de la población, a mediados del año pasado era del 42,9%, frente a un 34,5% del año 2011 y nuevamente, muy por encima del promedio mundial (34,3%) y del de otras regiones del planeta. Estos valores provistos por “Internet World Stats” 1 siguen mostrando una tendencia positiva a partir del ingreso al nuevo milenio, con un crecimiento del 1310,8% entre los años 2001 y 2012, superando también a otras áreas geográficas, como Asia y África. En el mismo sentido, la cantidad de usuarios de telefonía móvil 3G se multiplicó por diez en el mismo período, convirtiéndose en una de las regiones con mayor crecimiento del mundo para la telefonía celular 2, delante de Europa y América del Norte. Un informe de VISA3 del año 2012 concluía que el comercio electrónico en Latinoamérica y el Caribe se había duplicado durante el 2010 y el 2011, alcanzando los 43 mil millones de dólares en dicho período. Sin embargo, estas mismas tecnologías que facilitan la vida cotidiana y potencian el desarrollo económico, continúan presentando importantes desafíos frente a la necesidad de proteger la información de las 1
Internet World Stats – World Internet Users and Population Stats - Consultado el 10/03/2013 http://www.internetworldstats.com/stats.htm - Valores al 30 de junio de 2012 2 Internet World Stats – World Internet Users and Population Stats - Consultado el 10/03/2013 http://www.internetworldstats.com/stats.htm - Valores al 30 de junio de 2012 3 Los años del boom – Artículo de mayo de 2012 – Estudio de comercio electrónico en América Latina – Consultado el 20 de marzo de 2013 - http://www.ecommerceday.co/2012/wp-content/uploads/2012/08/eCommerce-StudyPart-I-Visa-America-Economia-2012-ESP.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 8/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
personas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados a los datos y sistemas. La naturaleza global de Internet implica que los ataques o las fallas puedan impactar en cualquier punto de su estructura y complejiza la posibilidad de identificar a sus autores y determinar su verdadero alcance e impacto. Como agravante, la tecnología se desarrolla a un ritmo extremadamente rápido y el tiempo que media entre el descubrimiento de una nueva vulnerabilidad y la aparición de las técnicas que la explotan, es cada vez menor. En la mayoría de los casos, la tecnología empleada en los ataques es simple, barata y fácil de conseguir en uno o más sitios de la propia Internet, y los mecanismos utilizados pueden automatizarse por lo que aumentan las posibilidades de replicación del daño, a partir de una única acción. Nuevamente, los países de Latinoamérica y del Caribe no son ajenos a este fenómeno y como el resto del mundo, sus organizaciones, gobiernos y población en general, sufren las consecuencias de las actividades ilícitas y de las vulnerabilidades propias de las tecnologías y de Internet. Efectivamente, estos ataques se presentan bajo las mismas formas que en otros países, ya sean casos de robo de identidad, “PHISHING” 4, denegación de servicio, robo de información, violaciones a la propiedad intelectual, etc. Frente a este panorama, aparecen diversos interrogantes a la hora de determinar la verdadera dimensión del problema. Cabe preguntarse cuál es la magnitud real de la situación en Latinoamérica y El Caribe frente a este fenómeno, cuál es el impacto que tienen los ataques cibernéticos sobre sus países y las personas que los habitan, cuáles son las pérdidas estimadas a consecuencia de la ciberdelincuencia e inclusive, cómo participa la región en la realización de esos ataques.
Presentación del informe Durante el año 2011 el Registro de Direcciones de Internet de Latinoamérica y El Caribe, en adelante LACNIC, patrocinó y publicó una investigación5 buscando conocer y analizar la situación de los países de la Región desde la perspectiva de la actividad ilícita en Internet, considerando que dichos países podían ser tanto origen como blanco de incidentes. El informe mostró el comportamiento resultante de las conductas disvaliosas más comunes y realizó un intento de proyección de los valores económicos estimados para algunos de los cibercrímenes más frecuentes. Entre las conclusiones del trabajo realizado se destacó que la región mostraba un dinamismo superior al promedio mundial a la hora de incorporar tecnología en sus sociedades, pero también en su condición de campo de desarrollo de una activa ciberdelincuencia. En efecto, algunos de los países de la región aparecían, de acuerdo al informe, en los primeros puestos en las listas internacionales de cantidad de computadoras infectadas, casos de phishing o número de sitios web maliciosos. Esto lógicamente encontraba su correlato en la existencia de pérdidas económicas que afectaban a los ciudadanos, los negocios y los gobiernos de la región y en una creciente inversión en ciberseguridad para la defensa, frente a este panorama de riesgos. 4
El formato cursiva y versales identifica a las palabras cuyo significado se encuentra en el Glosario. Cabe señalar que se ha optado por mantener en el idioma de origen aquellas palabras que no tienen una adecuada traducción al Castellano. 5 LACNIC - “Panorama del ciberdelito en Latinoamérica” – 2011 – Consultado el 17/03/2013 http://www.proyectoamparo.net/files/LACNIC-PanoramCiberd-VsFinal-20110701.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 9/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Nuevamente este año, LACNIC se propuso llevar adelante una investigación de similares características, con el fin de conocer la situación a la fecha en materia de cibercrimen en Internet. Esta decisión se adoptó con la certeza de que un mayor conocimiento de las características y la magnitud del impacto que este tipo de actividad maliciosa tiene sobre las personas, las organizaciones y los países de la región, contribuirá no solo a dimensionar adecuadamente el problema, sino también a asignar prioridades y a determinar en forma justificada las acciones que se deben emprender. Este informe en particular agrega respecto al anterior, la presentación de los resultados de una encuesta destinada a usuarios de la tecnología y realizada con el fin de conocer algunos aspectos vinculados a la ciberseguridad y el cibercrimen en la región.
Porqué hablar de cibercrimen La presente investigación se despliega bajo la denominación “Cibercrimen en Latinoamérica y El Caribe: una visión desde la sociedad civil”. La selección de este título y en particular, el empleo del término “cibercrimen”, es el producto de una revisión exhaustiva, ya que son numerosos los vocablos y las frases que se barajan en la bibliografía especializada, cuando se hace referencia a los temas tratados en este informe. En efecto, ciberseguridad, ciberamenazas, ciberataques o ciberdelitos, son algunos de los términos que de una manera u otra, se encuentran reflejados en su texto. Finalmente, se optó por el uso de la palabra “cibercrimen” sobre la base de las consideraciones que se describen brevemente a continuación. Al recorrer el texto, los lectores deberán tener en cuenta la justificación que sigue, con el fin de evitar cualquier interpretación errónea respecto a la información en él contenida. El diccionario de la Real Academia Española 6 no ha definido la palabra cibercrimen. Para el término “crimen” presenta como una de las posibles acepciones la de “Acción indebida o reprensible”. La expresión “ciber”, si bien tampoco es un prefijo aceptado por la institución antes mencionada, es de uso habitual y nos lleva automáticamente a términos como cibernauta o ciberespacio, es decir, asociado o vinculado a Internet. En consiguiente, el término “cibercrimen” fue considerado abarcativo de toda acción indebida o reprensible que ocurre en el ámbito de Internet, con independencia de sus implicancias legales y de si se trató de un ataque potencial o exitoso. La realidad muestra que en la actualidad, el fenómeno del cibercrimen es abordado principalmente desde dos áreas, la que proviene del Derecho, campo en el cual se analizan distintas alternativas para su efectiva persecución y justa sanción, y la de la seguridad de la información, o para ser más precisos de la “inseguridad de la información”, para la cual se adopta un punto de vista tecnológico. Esta última perspectiva se focaliza en evitar o minimizar la utilización de la tecnología con fines ilícitos, es decir, de manera contraria a la moral o a las leyes, y en proteger de la información, los recursos que se emplean para administrarla y las personas y organizaciones que la utilizan, con independencia de si ya ha sido tipificado en la legislación del país.
6
Diccionario de la Real Academia Española – Consultado el 23 de abril de 2013 - http://www.rae.es
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 10/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Citada por Gustavo Saín, en su publicación “El fenómeno del cibercrimen en Internet y la World Wide Web: una mirada criminológica“ 7, la experta estadounidense Majid Yar, opina que la ausencia de una definición específica sobre el fenómeno del cibercrimen se debe fundamentalmente a que “la delincuencia informática se refiere no tanto a un único tipo distintivo de actividad delictiva, sino más bien a una amplia gama de actividades ilegales e ilícitas que comparten en común el único medio electrónico (ciberespacio) en el que tienen lugar”. Esta autora 8 señala también que el término debe interpretarse como un rango de actividades ilícitas, es decir contrarias a la ley o a la moral, cuyo denominador común es el rol central de las tecnologías de información y las comunicaciones y las redes para su comisión. El cibercrimen también puede ser definido como el conjunto de actividades en las que se emplean computadoras o redes como mecanismos, blancos o lugares para la comisión de fines criminales. En cuanto a otros términos analizados y luego descartados, el uso de la palabra “ciberseguridad” fue descartado por considerárselo demasiado amplio para describir el contenido específico del informe, más ligado a la ocurrencia de actividad maliciosa en Internet. Ciberamenaza no fue seleccionado por ser limitado en su alcance, ya que sólo considera aquellas situaciones potenciales que suponen un daño para la información, una persona, un activo o para una entidad, con cierta probabilidad de ocurrencia. En otras palabras, sólo conforman una parte del ataque y no generarán impacto si no logran explotar una vulnerabilidad. En el mismo sentido, “ciberataque” fue eliminada en razón de que el informe cubre aspectos que no necesariamente se vinculan con un ataque exitoso. Finalmente, y si bien era parte de la denominación del informe publicado en el año 2011, no se utilizó en esta oportunidad la palabra “ciberdelito” para eliminar cualquier alusión al quebrantamiento de una ley sancionada y vigente en un determinado territorio. Esta decisión se adoptó teniendo en cuenta que muchos países de la región todavía no cuentan con una norma específica en la materia y que aún cuando la tuvieran, existen asimetrías en las legislaciones ya existentes en cuanto a alcance y tipificación. En línea con el título elegido, podría afirmarse que el cibercrimen es similar al ciberdelito aunque este último se vincula más directamente con el quebrantamiento de las leyes, y con la consiguiente pena. El cibercrimen en cambio, puede ser considerado un término más amplio, que abarca toda acción indebida o reprensible que ocurre en el ámbito de Internet. Por consiguiente, a lo largo del presente informe, el término cibercrimen se utilizará para definir cualquier actividad maliciosa realizada con el fin de comprometer la confidencialidad, integridad y disponibilidad de la información, aprovechando las vulnerabilidades que presentan Internet y los dispositivos y sistemas involucrados.
7
Gustavo Saín - Gustavo Saín, en su publicación “El fenómeno del cibercrimen en Internet y la World Wide Web: una mirada criminológica” – Consultado el 24/03/2013 http://www.minseg.gob.ar/sites/default/files/cuadernos/12_sain.pdf 8 Yar, Majid – “The novelty of cybercrime – An Assessment in light of Routine Activity Theory” – Europena Journal of Criminology – 2005, 2;407 - Consultado el 24/03/2013 - http://euc.sagepub.com/cgi/content/abstract/2/4/407
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 11/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Objetivo del informe En este contexto, el objetivo general de este trabajo es la revisión de la situación actual de los países de la región latinoamericana y El Caribe en materia de cibercrimen, considerándolos tanto posibles origen como blanco de la actividad maliciosa. En consecuencia, el presente informe se propone: •
Revisar y exponer el panorama de los cibercrímenes que afectan en mayor medida a los países de la región
•
Proyectar una serie de indicadores valorizados para obtener una idea de la magnitud del impacto económico de los incidentes de seguridad, buscando generar un marco para estimaciones futuras, que pueda ser actualizado y mejorado cuando se disponga de información más precisa
•
Utilizar un enfoque múltiple que comprenda organizaciones, personas, países y en lo posible, datos globales para toda la región
•
Presentar los resultados de la encuesta realizada para conocer las características del uso de Internet en la región en el campo de la seguridad y el cibercrimen
•
Proponer una serie de recomendaciones para contrarrestar la ocurrencia de la actividad maliciosa
Cabe resaltar que los datos y valores fueron obtenidos de fuentes públicas provenientes de informes producidos tanto por organizaciones públicas como por entidades privadas de la región o de otros países del planeta. Se hace la salvedad que, debido a la escasez de datos concretos sobre casos de incidentes ocurridos, los valores indicados en este trabajo, ya sea en cuanto a volumen de incidentes como en las proyecciones económicas, no deben ser interpretados como estadísticas, sino como compilaciones o recopilaciones de información sobre casos acontecidos.
Principales dificultades Como ya fuera planteado en el informe anterior, resulta difícil en la actualidad formular conclusiones precisas respecto a las consecuencias de fallas, incidentes o vulnerabilidades reales o potenciales, que afectan a la información tanto de las personas y entidades como de las naciones. Esto se debe a diversos motivos, entre los que se encuentran: •
La reticencia a informar los incidentes ocurridos por parte de las organizaciones, los países y los individuos
•
La existencia de publicaciones con datos disímiles de entidades nacionales o internacionales y la escasez de cifras de organismos oficiales
•
Las dificultades, e inclusive la imposibilidad en ciertos casos, para determinar el impacto global de algunos tipos de ciberataques
•
El encadenamiento de las técnicas que resultan en un único ataque que dificulta la recolección de datos
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 12/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
•
La necesidad de utilizar supuestos y de efectuar proyecciones respecto al porcentaje de incidentes reportados que pueden tornar impreciso el cálculo
•
Las complejidades para cuantificar el efecto económico o financiero sobre personas y organizaciones, tanto en forma individual como agregada
•
La falta de homogeneidad en la metodología de conteo de los incidentes
•
Las dificultades para valorizar factores tales como pérdida de reputación, imagen, etc.
Por otra parte, es dable indicar que la presente revisión tuvo una duración acotada entre los meses de diciembre de 2012 y abril de 2013, por lo que se basó fundamentalmente en fuentes de datos públicas. Adicionalmente se publicó una encuesta dirigida a usuarios de tecnología en la región, cuyo análisis se muestra en el Capítulo 6.
Etapas del análisis El presente informe fue realizado sobre la base de las siguientes etapas: •
Revisión y actualización de las fuentes públicas con información respecto a la región y relevamiento de nuevas fuentes, ya sea por país o globales y por tipo de incidente
•
Evaluación de los datos para determinar factibilidad de cuantificación, tanto en cuanto a cantidad de casos como económica
•
Elaboración y publicación de la encuesta y posterior análisis de resultados
•
Desarrollo conceptual del tema
•
Análisis de datos
•
Formulación de conclusiones y recomendaciones
Estructura del informe A continuación de este capítulo que tiene como objetivo presentar las principales características del informe, el Capítulo II resume la evolución de los ataques informáticos en el tiempo y presenta los contenidos conceptuales más importantes vinculados al tema bajo análisis. El Capítulo III por su parte, expone y analiza el panorama general de las ciberamenazas, presentando asimismo valores regionales y por país, recopilados según el tipo de incidente, la cantidad de casos registrados y sus consecuencias. El Capítulo IV complementa al Capítulo III, presentando detalles técnicos y situaciones específicas sobre las ciberamenazas y su impacto, así como las tendencias en la actividad según estimación de las organizaciones consultadas. El Capítulo V es un intento de estimación del impacto económico del cibercrimen a nivel de los países, las organizaciones y de ser posible, la región. Modelar y realizar proyecciones sobre las implicancias económicas de los ciberataques es una tarea compleja, por lo cual esta sección despliega estimaciones basadas en supuestos justificados, siguiendo en la mayoría de los casos y ante la ausencia de datos locales, los esquemas de cálculo utilizados en otros países para este tipo de análisis. En los casos en que fue posible, se tuvieron en cuenta como base de cálculo, valores y estimaciones regionales.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 13/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
El Capítulo VI presenta los resultados de la encuesta realizada a usuarios de Internet de Latinoamérica y El Caribe. Finalmente los Capítulos VII y VIII incluyen respectivamente, las principales conclusiones del trabajo y una serie de recomendaciones respecto a las medidas que es necesario adoptar para proteger la información del cibercrimen, desde el punto de vista de las personas, las organizaciones y los países. Como anexos se agregan la bibliografía consultada y las fuentes de información a las que se tuvo acceso, así como un glosario con las principales definiciones de términos técnicos. El presente estudio es realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) y se enmarca en los esfuerzos que vienen realizando esta entidad para fortalecer la capacidad regional de atención y respuesta a incidentes de Seguridad en la Región de Latinoamérica y El Caribe, buscando incrementar las acciones de prevención y la resiliencia frente a los ciberataques que afectan la región. El desarrollo del trabajo fue coordinado por el Ing. Carlos Martínez, en representación de AMPARO, programa de LACNIC cuyo principal objetivo es fortalecer la difusión, el conocimiento y la atención de la problemática de Seguridad de la Información en los países de Latinoamérica y El Caribe, fundamentalmente en el ámbito privado de las empresas y organizaciones sociales.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 14/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo II – Evolución y Marco Conceptual del Cibercrimen La prehistoria En el informe anterior se aludía en este punto a la posibilidad de considerar las primeras experiencias de generación de código malicioso como el punto de inicio de la historia de los ciberataques, si bien el desarrollo de lo que hoy se conoce por tal fue en sus comienzos experimental y no tenía como objetivo realizar un daño sino desafiar a los sistemas operativos de la época. En 1982 se programó el primer virus informático para las computadoras Apple II, aunque aún no se lo denominaba de esa manera, que se propagaba infectando los disquetes del sistema operativo. Sin embargo, existen también antecedentes que dan cuenta de la existencia de casos registrados para el sistema IBM 360, allá por los comienzos de los ’70. En 1983 Fred Cohen, un estudiante de posgrado crea uno para UNIX. El primer virus para PC IBM fue creado por dos hermanos pakistaníes en 1986, con la intención de proteger de la piratería los programas de su autoría. Unos años después, en noviembre de 1988 el “Gusano de Morris” sacó de servicio al 10% de las computadoras VAX y SUN conectadas a INTERNET en los EEUU, afectando a unos 60.000 equipos en total. De hecho se le atribuye a Andy Sudduth, estudiante de la Universidad de Harvard, la frase “Hay un virus suelto en la Internet” 9, pronunciada unos minutos después de que se conociera el incidente. El origen de esta primera infección masiva fue un programa de 99 líneas, escrito por Robert Tappan Morris, estudiante de doctorado de la Universidad de Cornell, que llevó a que los equipos infectados se vieran inundados por miles de tareas, forzando a los administradores a desconectarlos directamente de la red. Años después en el 2001, el gusano “Código Rojo” causó una denegación de servicio de una gran cantidad de sitios web, afectando los servicios de Internet y dejando fuera de línea a las operaciones de varios gobiernos y empresas. Así comenzó esta historia que ha ido evolucionando a través de los años siguiendo el crecimiento y la orientación de lo que hoy denominamos las "tecnologías de información", las que seguramente tendrán que cambiar de denominación tomando en cuenta la aparición de las redes sociales y la tendencia a manejar mediante sistemas operativos la TV y los aparatos domésticos. Hace no muchos años a fines del siglo XX, el software malicioso era muy molesto y peligroso en tanto y en cuanto podía ser la causa de la pérdida de información valiosa como consecuencia de su accionar: destrucción de archivos o discos completos; o bien la imposibilidad de operar o verse obligado o tener que rearmar el sistema operativo y recuperar la información, siempre y cuando se hubiera hecho el correspondiente resguardo. Pero resultaba aún más aterradora su posibilidad de replicarse a través de varios canales como los diskettes o el uso de un aún incipiente sistema de correo electrónico. En las organizaciones, la situación empezaba a tornarse más grave ya que se inundaban las redes produciendo una reducción importante del tiempo de respuesta, más el daño ya mencionado en los equipos. Todo esto conllevaba y conlleva también hoy, sin lugar a dudas, a importantes pérdidas económicas, 9
Traducción de las autoras de la frase: “There may be a virus loose on the internet”
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 15/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
tanto por el valor de la información en sí, como por el tiempo que absorben las tareas de detección del problema y luego de recuperación y reconstrucción de los datos afectados, en los casos en que esto es factible. Esta situación creció en volumen con el masivo uso del correo electrónico que como ya fuera dicho, sirvió como medio de transporte de archivos infectados. Hasta aquí, el daño se circunscribía al hardware y software impactando sobre la operatoria tanto de las organizaciones como de usuarios individuales.
Evolución de las herramientas y de la instrumentación de los ataques Como se dijo previamente, en los comienzos de esta actividad ilícita o delictiva, aunque no tuviera un claro objetivo en este sentido, se emplearon como herramientas pequeños programas conocidos como virus que eran introducidos en los equipos a partir de medios físicos externos ya que no existía la comunicación virtual. A medida que las tecnologías fueron avanzando, los individuos dedicados a dichas actividades fueron aprovechando las nuevas posibilidades ampliando así el alcance de sus objetivos y su efectividad. Es así como fueron surgiendo diferentes tipos de amenazas, sobre distintos vectores de ataque y con múltiples herramientas y mecanismo de aplicación. Aquellos pequeños y sencillos programas se transformaron en malware (virus, gusanos, troyanos, spyware, adware, etc.), más inteligentes y con objetivos bien definidos. También aparecieron códigos maliciosos multiplataforma siendo posible que un mismo código infecte, por ejemplo, a Windows y Mac. Posteriormente aparecieron los códigos maliciosos dinámicos. Es decir que no tenían un único objetivo, sino que eran comandados de manera remota por sus creadores o dueños, en caso de haber sido vendidos por sus creadores. Una actividad que también tiene frutos económicos relevantes. Estas piezas de software fueron creciendo en su inteligencia y entre 2011 y 2012 se ha estado viendo una manera de actuar mucho más sofisticada que consiste en siete pasos 10: 1. Reconocimiento de la víctima. Acceder a sus credenciales e investigar su perfil en las redes sociales para ganar conocimiento sobre ella. Su meta es construir "engaños" que sean atractivos para "esa" posible víctima de manera que tengan mayor probabilidad de llegada. 2. Engañarla por correo o la web. 3. Redireccionarla hacia un servidor "escondido", propiedad de o usado por el atacante. 4. Inspeccionar el sistema de la víctima para encontrar una vulnerabilidad (exploit kit). 5. Usar "dropper files" (archivos goteros) empaquetados dinámicamente (dynamic packers). Para evitar su detección, cuando ejecuta descomprime los componentes del malware escondidos en el gotero y los ejecuta, algunas veces sin guardarlos en disco. Ésta es la fase más importante ya que pocos antivirus pueden detectarlos. Este mecanismo impide el uso de FIRMAS, cuestión que ya fuera abor-
10
Websense, Inc – 2013 Threat Report, Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 16/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
dada por IDC y otros analistas quienes indicaron a principios de 2012 que las defensas basadas en firmas no podían tratar las amenazas emergentes. 6. Contactar a su dueño (call home) para descargar el malware y las herramientas y devolver información valiosa. El problema es que la mayoría de las defensas no analizan la comunicación saliente enviada desde un sistema infectado. Además, estas comunicaciones "call-home" usan generalmente DNS dinámicos para evitar la detección. 7. Robar la información. Esta instrumentación del ataque utiliza otros avances tecnológicos como son los medios de comunicación masiva, correo, la web, redes sociales, dispositivos móviles y el manejo del eslabón más débil de la cadena, el ser humano, a través de la ingeniería social. Es de destacar que esta metodología comienza con el conocimiento de la víctima que se intenta atacar en virtud de la cada vez más creciente aparición de los ataques dirigidos y la utilización de técnicas combinadas. Una herramienta cuyo uso se ha incrementado en este período es la "ADVANCED PERSISTENT THREAT" (APT) utilizada en el robo de información altamente sensitiva en las organizaciones. Más allá de las amenazas existentes lo que se perfila es que la Web es el centro de atención ya que, no sólo es un vector de ataque en sí misma, sino que da soporte a otros tales como las redes sociales, los dispositivos móviles o los correos electrónicos, los cuales usan la web para complejos escapes y funciones de ataque. Por último, cabe mencionar el alta capacidad de cualquier tipo de amenaza para adaptarse dinámicamente a los escenarios que se van presentando, siendo así mucho más difícil su detección.
Actualidad de los ciberataques A comienzos de este siglo la situación comenzó a cambiar. El auge de Internet, la innovación permanente que requiere la generación de software que probablemente no ha sido lo suficientemente probado en sus aspectos de seguridad, la necesidad de ganar mercados, la inundación de nuevos dispositivos, protocolos, lenguajes, paradigmas de desarrollo, herramientas de automatización, etc., han presentado una cantidad inusitada de oportunidades para quienes buscan algo más que desafiar a la tecnología. Más aún, la expansión del uso de las PC, la computación distribuida, la penetración de Internet con una banda ancha cada vez mayor, la creciente dependencia de las organizaciones respecto de las tecnologías de la información y las comunicaciones y el soporte que éstas brindan a las infraestructuras de servicios esenciales de los países, han creado un panorama complejo para la adopción de medidas adecuadas de protección de la información en formato digital. Una cuestión distintiva que ha aparecido y crecido con fuerza a partir de 2008 es el uso de las redes sociales y los dispositivos móviles. Estos presentan serias posibilidades de ataques contra las personas, pero han despertado también complicaciones en el ámbito corporativo. Por un lado, debido a la importancia que ha adquirido para las compañías estar presente en las redes sociales como un vehículo para hacer negocios. Pero, por el otro, debido al reclamo de sus empleados para utilizar dichas herramientas
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 17/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
en el lugar de trabajo. Son conocidos por ejemplo, los desafíos que ha planteado el BYOD (Bring Your Own Device) en las organizaciones. En este nuevo contexto, también aparecen personas y organizaciones que utilizan toda la tecnología disponible con propósitos delictivos o ilícitos de todo tipo, desde obtener ganancias a partir del fraude a producir múltiples daños a compañías específicas o a infraestructuras críticas nacionales. En este sentido, los ciberataques surgidos a lo largo de la última década y de la que acaba de comenzar, han evolucionado hacia la generación de amenazas vinculadas a la comisión de actos ilícitos con el objetivo, en principio, de obtener beneficios económicos. Esta posibilidad se ha incrementado sustancialmente con la aparición de las redes sociales y los dispositivos móviles, los cuales presentan un volumen tan extraordinario de usuarios que suponen ganancias para los cibercriminales inimaginables a comienzo del siglo. Es por ello que actualmente resulta habitual relacionar los ciberataques con el negocio del crimen organizado. En general, la situación se agrava muchísimo con los malos hábitos de los usuarios hacia la piratería, la pornografía y la falta de conciencia para instalar los parches o las actualizaciones tanto de los sistemas operativos como de los productos de seguridad. Un factor que debe tenerse en cuenta es la necesidad de investigar el negocio generado por estas amenazas, la dimensión de su verdadero impacto, las motivaciones que se esconden detrás de su desarrollo y la manera en la que operan los ciberdelincuentes, alimentando una economía clandestina que crece exponencialmente día a día. Un modelo de negocio delictivo que en la actualidad es ampliamente explotado a través de Internet y que hoy se conoce como cibercrimen, según fuera definido en el capítulo precedente. Otra característica que acompaña este escenario es el encadenamiento de ataques, de manera que combinando distintas herramientas tecnológicas y mecanismos de engaño, es posible alcanzar a un número cada vez mayor de equipos conectados, desmaterializando el concepto de fronteras organizacionales o nacionales. Asimismo, el fuerte desarrollo de la banda ancha ha permitido el rápido crecimiento de la cantidad de computadoras domésticas que navegan por Internet, lo cual representa un incremento importante de medios para cometer ataques sobre otros individuos o entidades, sin que la víctima siquiera lo perciba. El usuario común se transforma así en un partícipe involuntario de un ataque informático, pudiendo inclusive verse afectado por acciones legales. Por otra parte, el uso masivo de teléfonos celulares para navegar en Internet, conectarse a redes sociales, acceder al correo electrónico y otras actividades también representa un verdadero desafío en términos de seguridad. Un informe publicado 11 en junio de 2012 indicaba que según la firma ESET, la infección por códigos maliciosos en Latinoamérica y El Caribe, había alcanzado al 46,69% de las empresas y mostraba una tendencia incremental año tras año.
11
Ae Tecno - Cibercrimen ocasiona cada año pérdidas por US$100 millones en Latinoamérica – 13/08/2012 - Consultado el 02/03/2013 - http://tecno.americaeconomia.com/noticias/cibercrimen-ocasiona-cada-ano-perdidaspor-us100-millones-en-latinoamerica
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 18/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Como puede apreciarse, el panorama es completamente diferente al que se presentaba en los primeros tiempos, pudiendo observarse amenazas más complejas y sofisticadas, más agresivas, mejor dirigidas y con intenciones más claras y concretas. A manera de ejemplo, el malware sigue creciendo a decenas de miles de ejemplares por día, los sitios web maliciosos se han incrementado en un 600% en el año 2012 y aproximadamente el 85% de ellos corresponde a sitios legítimos que han sido comprometidos. La violación de datos (fuga de información) se ha incrementado de manera preocupante habiendo producido más de 200 millones de identidades expuestas en 2011, mientras que entre 2005 y 2010 este número había sido de aproximadamente 800 millones. Por otro lado, el origen de las mismas ha pasado del robo de latpos o notebooks al ataque externo. También han ido aumentando en gran medida los ataques dirigidos para llevar a cabo acciones de espionaje, sabotaje, protestas sociales y ciberguerra. Es por ello que países más avanzados y más expuestos a este tipo de eventos, como Estados Unidos, el Reino Unido o China, han comenzado a invertir en la formación de recursos humanos y la conformación de unidades organizativas para la prevención y detección del cibercrimen así como en los mecanismos de defensa a nivel nacional. Respecto de Latinoamérica y El Caribe, los especialistas opinan que el cibercrimen se está expandiendo, fundamentalmente por el alto crecimiento económico en muchos países y porque los negocios de estas organizaciones criminales dejan ganancias semejantes o inclusive superiores, a las de otros delitos de gran envergadura. 12 En particular, la región está experimentando desde finales de 2009 la aparición y crecimiento del crimen cibernético local. Es decir, criminales locales han comenzado a generar sus propios recursos delictivos inspirados en los negocios fraudulentos de Europa del Este. Países como Perú y México han sido los primeros en implementar recursos delictivos del tipo crimeware desarrollados para automatizar la tarea de recolección de información sensible de los usuarios bancarizados de toda América Latina y El Caribe. A ellos se suma Brasil, durante el 2011, con crimeware de similares características que no sólo son concebidos para controlar equipos infectados sino que también están pensadas para facilitar a los delincuentes digitales el “proceso de búsqueda y filtrado” de toda la información robada. 13 Una cuestión que se va perfilando día a día es la clara distinción entre los objetivos de los actos ilícitos o delictivos perpetrados por los cibercriminales. Por un lado se encuentran los grupos que dirigen sus ataques a las personas en particular, ya sea accediendo a sus equipos (de escritorio o móviles) persona12
iProfesional.com - El ciber crimen mueve tantos millones como el narcotráfico y se expande en toda la región – Fecha de consulta: mayo/11 - http://negocios.iprofesional.com/notas/106780-El-cibercrimen-mueve-tantosmillones-como-el-narcotrafico-y-se-expande-en-toda-la-region El país.com - Guillaume Lovet: "El cibercrimen es más rentable que el tráfico de heroína" – Fecha de consulta: mayo/11 http://www.elpais.com/articulo/portada/Guillaume/Lovet/cibercrimen/rentable/trafico/heroina/elpepisupcib/20 100422elpcibpor_4/Tes 13 b:secure - El despertar del crimeware en América Latina - Publicado el 10/09/2012 - Consultado el 11/04/2013 http://www.bsecure.com.mx/opinion/el-despertar-del-crimeware-en-america-latina/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 19/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
les o a sus credenciales en las redes sociales; los que los dirigen a las organizaciones con el objetivo de robar información de personas pero en forma masiva (fuga de información) y los que apuntan a robar información sensitiva como propiedad intelectual o secreta, o a producir daños en corporaciones, organismos nacionales o internacionales, gobiernos, así como en infraestructuras críticas (incluidos en el amplio espectro de ciberespionaje, ciberterrorismo, ciberactivismo, ciberguerra, etc.)
Quiénes son los cibercriminales Los actos ilícitos y los delitos han existido prácticamente desde el origen de la humanidad, y quienes los cometen manifiestan motivaciones que van desde la revancha a la curiosidad, la ambición excesiva, la necesidad, el beneficio económico o el placer de romper las reglas, entre otras. Sin embargo, las maneras en que se cometen han cambiado significativamente en el tiempo. Así, hoy nos enfrentamos a los cometidos usando las tecnologías o bien aquellos que las tienen como blanco. En este contexto, los delincuentes buscan explotar las debilidades de las tecnologías, los vacíos en la legislación y la falta de concientización de los usuarios, así como el alcance global de Internet y su rápida expansión, factores que facilitan la comisión de viejos delitos o actos ilícitos con nuevas herramientas. El siguiente cuadro es una adaptación del publicado por la Australian Crime Commission 14 y compara algunos delitos tradicionales con sus equivalentes en el mundo de las tecnologías. Delitos tradicionales Fraude
Ciberdelito equivalente Fraude en línea, subasta fraudulenta, estafa por solicitud de adelanto de fondos a través de Internet
Hurtos menores/daño ma- Hackeos, ataques de software malicioso, denegación de licioso servicios Ofensas contra menores
Sitios web pornográficos, creación de perfiles falsos con fines pedófilos
Lavado de dinero
Sistemas fraudulentos de pago en línea, mulas, engaño nigeriano (Nigerian SCAM)
Robo
Robo de identidad, phishing, piratería de software, películas y música, robo de Propiedad Intelectual en soporte electrónico, sustracción de equipos informáticos y celulares
Acoso
Ciberacoso a adultos y menores
Una característica del escenario actual del cibercrimen es que plantea una relación asimétrica, donde un número pequeño de personas podría causar un daño enorme en una o varias organizaciones públicas o privadas, con un alto impacto negativo sobre un número potencialmente alto de usuarios. 14
Australian Crime Commission – Crime Profile Series Cyber Crime – Consultado el 06/05/2011 http://www.crimecommission.gov.au/publications/crime-profile-series/cyber-crime.htm
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 20/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Como con otro tipo de actos de esta naturaleza, el perfil del atacante también ha ido cambiando con el tiempo. En el campo de la cibercriminalidad, puede afirmarse que no existe un único tipo de cibercriminal, sino varios en base a las motivaciones, la oportunidad y los recursos con los que cuentan. Si bien a la hora de clasificar a los ciberatacantes, existen diferentes criterios algunos de los cuales se irán presentando a lo largo de la presente investigación, un informe del Reino Unido 15 identifica 4 grandes categorías: • •
•
•
Los servicios extranjeros de inteligencia, que tienden a estar fuertemente organizados y a utilizar técnicas de ataque sofisticadas y amplios recursos. Las grandes redes del crimen organizado, que focalizan cada vez más su atención en la ciberdelincuencia porque ofrece una mayor rentabilidad frente a una inversión mínima y un riesgo relativamente bajo. Las redes más sofisticadas con contactos globales, se concentran en el espionaje industrial mientras que aquellas con menor nivel de organización se vuelcan al robo de datos y a los engaños en línea de gran escala. Las organizaciones legítimas pero de dudosa reputación, que buscan hacerse de datos de propiedad intelectual de otras organizaciones o del espionaje industrial para obtener datos sensibles de otras entidades. Estas actividades pueden ser efectuadas en forma directa o a través de otras organizaciones delictivas, a las que se contrata. Las personas que individualmente o en grupos pequeños tienen por objetivo las organizaciones vulnerables o los usuarios comunes y se focalizan en las ganancias que pueden obtenerse del robo de identidad, la sustracción de datos de clientes, los engaños en línea de menor escala, la extorsión o las infecciones por software malicioso.
El informe de Australia antes citado por su parte, distingue tres tipos de organizaciones en el campo del cibercrimen: • • •
Grupos organizados de delincuentes tradicionales que emplean las tecnologías de la información y las comunicaciones para potenciar sus actividades criminales Grupos organizados de cibercriminales que operan exclusivamente en línea Grupos organizados de personas motivados por ideologías o posturas políticas extremas
Objeto del cibercrimen A diferencia de los ilícitos o delitos convencionales, en los que el dueño o custodio del o los bienes sustraídos pierde la tenencia del bien, en el caso del robo de información, no suele haber pérdida física, por lo que los mecanismos de alerta y detección tienen características distintas. Otra de las particularidades de este tipo de actividades es la facilidad con que pueden borrarse las evidencias y las dificultades para identificarlas y preservarlas cuando no se es un especialista o no se cuentan con las herramientas adecuadas para su resguardo. Es también un atractivo para los cibercriminales, 15
Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 21/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
la desmaterialización de las fronteras nacionales u organizacionales, que habilita al delincuente a acceder a su blanco sin prácticamente moverse de su silla, a miles de kilómetros de sus eventuales víctimas. Adicionalmente, puede utilizar distintos caminos y recorridos en su afán de dificultar cualquier rastreo. Por otro lado, y dada las asimetrías en las legislaciones, no es clara la tipificación. Todas estas características lo diferencian de los delitos tradicionales y crean un escenario propicio para el desarrollo de las actividades delictivas en el mundo virtual. En el caso de información sustraída a organizaciones, el informe del Reino Unido referido establece que los cibercriminales tienen básicamente cuatro formas de robar la información: • • • •
Comprar el producto y someterlo a un proceso de ingeniería reversa para reproducirlo ilícitamente Realizar un ciberataque para obtener electrónicamente la información, desde fuera de la red de la organización Realizar un ataque interno, de manera que los datos son obtenidos por alguien que tiene algún nivel de autorización desde dentro de la propia organización Robar la información, mediante el acceso físico al equipamiento donde se encuentra instalado o hurtándola de alguno de los empleados.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 22/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo III – Las Ciberamenazas en cifras Introducción Con el objetivo de conocer la actividad desarrollada por el cibercrimen se accedió a la información que brindan los laboratorios de las empresas proveedoras de soluciones de seguridad, así como la que proveen agrupaciones de investigadores independientes y organizaciones gubernamentales y privadas que se dedican al análisis de estas actividades. En general, son las empresas proveedoras de soluciones de seguridad y los grupos de investigadores independientes las que han desarrollado productos y servicios que permiten la recolección, a través de equipamiento específico y del aporte de sus clientes, de valiosos datos sobre amenazas y los diversos vectores de ataque. Dichos datos son luego analizados por equipos de investigadores, generando reportes sobre la actividad maliciosa global, por región y/o país, enmarcados en diferentes períodos de tiempo. Dichas herramientas son distribuidas a través de todo el mundo utilizando hardware de gran capacidad para el procesamiento de miles de millones de piezas digitales por día. En general participan de esta recolección de datos la extensa comunidad de empresas antifraude, proveedores de seguridad y millones de consumidores. Asimismo, se recolecta MALICIOUS CODE INTELLIGENCE en millones de sistemas cliente, servidores y además de capturar amenazas y ataques, a través de redes de HONEYPOTS, lo cual permite comprender mejor los métodos utilizados por los atacantes.
GATEWAYS,
Otras tecnologías pasibles de ser usadas son los HONEYCLIENTES, REPUTATION SYSTEMS, MACHINE LEARNING y GRID COMPUTING.
Es importante destacar que las diferentes compañías cuentan con bases de datos generadas en algunos casos desde hace más de dos décadas. Por ejemplo, Symantec mantiene una base de datos sobre vulnerabilidades que contiene más de 50.000 vulnerabilidades registradas, que afectan a más de 43.000 productos provistos por más de 16.000 proveedores. Asimismo mantiene una red de 69 millones de sensores de ataques. Panda Security, posee una base de datos de aproximadamente 134 millones de piezas digitales, entre los cuales hay 60 millones de código malicioso. Websense Inc. basa su capacidad en una red internacional que le permite procesar varias decenas de millones de correos electrónicos y sitios webs por hora. A su vez, McAfee Inc. cuenta con una red de millones de sensores en Internet, alrededor del mundo. En general, los resultados de la investigación que las mencionadas organizaciones realizan son expresados en porcentajes y, si bien en algunos casos se aclara que se utiliza registros no duplicados, no se menciona la cantidad resultante de registros analizados. Cabe señalar que esta información que resulta sumamente valiosa, no puede ser considerada “estadística” ya que no es recolectada según la metodología del muestreo estadístico y tampoco constituye el cien por ciento de las piezas digitales que circulan por las redes extendidas por todo el mundo, ya que esto resulta hoy prácticamente imposible. Sin embargo, dada la magnitud de los volúmenes procesados, Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 23/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
sin duda alguna permite una buena aproximación, sobre todo cuando es posible demostrar que diferentes organizaciones llegan a la misma o muy semejante conclusión a pesar de los, algunas veces, diferentes enfoques y capacidades. La tarea de armado de cuadros comparativos y de relaciones entre compañías para el período en estudio ha resultado ardua, habiendo encontrado coincidencias interesantes pero también varias diferencias. La realidad es que se trata de una actividad tan cambiante y dinámica, producto en parte de la acción y reacción de atacantes y defensores, que es bastante difícil conseguir resultados semejantes; fotografías en momentos distintos pueden generar interpretaciones disímiles. Más adelante se ensaya una explicación de esta situación. Por otro lado, también influye en los resultados la distribución y capacidad de las redes de recolección de datos. Éstas van mutando a medida que cambian los escenarios. Si bien se entiende que las compañías u organizaciones independientes deben utilizar indicadores proporcionales, no todas lo explican claramente como para validar el criterio. De todos modos, los valores consignados en este informe surgen, en todos los casos posibles, de la obtención de resultados semejantes entre varios investigadores. Además de los métodos de recolección previamente explicados, otras organizaciones como los CERTs o aquéllas dedicadas al servicio de ayuda a las víctimas utilizan metodologías como el análisis de reportes de incidentes recepcionados, o como las consultoras, que realizan encuestas sobre la ocurrencia e impacto de ciertos eventos. Todas las fuentes hasta aquí mencionadas dan sustento al presente informe.
Objetivo y alcance del capítulo El objetivo de este capítulo es presentar las amenazas, entendidas como los mecanismos utilizados por los cibercriminales para atacar las tecnologías de información o bien utilizarlas como medio de ataque, con el objetivo de producir daño, generar ganancias o lograr objetivos estratégicos a través de los individuos u organizaciones impactadas por la materialización del riesgo asociado a dichas amenazas. Asimismo, se muestra las vulnerabilidades que presentan tanto los sistemas operativos como las diferentes aplicaciones y productos. En todos los casos se expone cifras representativas de la situación mundial, de la de los países latinoamericanos y del Caribe, respecto de aquélla y de la región en particular. En el informe anterior se presentó los resultados de una investigación realizada para los años 2009 y 2010, descartando años anteriores por considerar que ante un escenario tan cambiante y vertiginoso, presentarían un panorama que podría ser calificado como antiguo. En este informe se avanzó con el análisis de los años 2011 y 2012 con la perspectiva de mostrar la evolución del tema. En todos los casos en los que fue posible se presenta un gráfico evolutivo a partir del primer quinquenio de este siglo. En este nuevo informe, en virtud del volumen de información, se decidió armar un capítulo abocado exclusivamente a las cifras y otro dedicado a detalles técnicos que pueden servir tanto para el análisis como para el entendimiento de las diferentes amenazas y riesgos asociados.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 24/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Así como en el primer informe se incluyó una exposición de las tendencias que los expertos previeron para el año 2011, en éste se incluye las previstas para el 2013. Más allá del estudio de las cifras, un análisis muy interesante a realizar en investigaciones futuras es el de la evolución de las ciberamenazas, sus herramientas, el cibercrimen y otros fenómenos similares. Lamentablemente, no es posible incluirlo en este informe pues es de una envergadura superior a la que se ha planteado en el alcance. De todos modos, donde se hace posible o se cree de utilidad para el lector se agrega algunos detalles técnicos.
Metodología En primera instancia se relevó la información existente respecto del objeto de estudio y correspondiente a los años que componen el alcance del informe. Posteriormente fue necesario conciliar los datos entre las diferentes fuentes encontradas con el fin de verificar su consistencia, la coincidencia de las amenazas y vulnerabilidades tratadas, así como la presentación de las cifras de modo de confirmar que fueran comparables y, en algunos casos convertir o interpretar las diferentes unidades de medida utilizada por las fuentes consultadas. El modo de presentación de los resultados consiste en mostrar información obtenida de diferentes compañías y organizaciones por cada período, consolidándola en un resumen final por cada fenómeno en estudio. Se ha optado por presentarlos de esta manera en virtud de que las organizaciones proveedoras de datos no presentan reportes totalmente consistentes entre sí, respecto del tratamiento de dichos fenómenos. En todos los casos se incluye la definición de la amenaza y las cifras encontradas. En el capítulo IV se incluye detalles técnicos, así como comentarios respecto de los efectos, estados o bien situaciones más significativas. Dada la región sobre la que trata este informe sólo se muestra información, ya sea la posición en el ranking mundial o el detalle del ranking de la región, de aquellas compañías y organizaciones que brindan datos de Latinoamérica y El Caribe.
Algunas consideraciones sobre la información analizada Si bien puede parecer obvio, vale recordar que para realizar el análisis de una situación es necesario contar con abundantes datos y/o información sobre la misma. En el caso en tratamiento, los mayores proveedores de información son las empresas dedicadas a comercializar productos de seguridad, además de algunas pocas organizaciones sin fines de lucro. Alguien podría decir que dichas compañías pueden tener un enfoque sesgado, justamente porque defienden una postura. Cosa que podría ser cierta pero caben los siguientes interrogantes: ¿quiénes sino estas entidades disponen de los recursos y la logística para encarar tamaña tarea? ¿Es aquella sospecha un elemento válido para desechar el volumen de información que manejan? ¿No es más inteligente tomar esa información y desmenuzarla, entenderla, compararla, sacar conclusiones y hacer aportes que conduzcan a una mejora de sus resultados? Por otro lado, es necesario tener en cuenta que los productos que comercializan dichas compañías deben brindar efectivas soluciones pues, de lo contrario, nadie los usaría. Ésta es una razón más que sufi-
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 25/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
ciente para que sus investigaciones traten de lograr un exhaustivo conocimiento de las situaciones que ellas pretenden controlar con sus servicios. Ahora bien, a continuación se presenta algunas cuestiones que, si bien no son suficientes o no son mensurables o conocidas por nosotros como para cuestionar los resultados reflejados por las organizaciones proveedoras de datos, aportan algunas dudas sobre los mismos. •
• •
•
•
•
•
•
No es posible definir los estudios como estadísticos porque no se conoce si las muestras son aleatorias y representativas como las estadísticas requieren. De hecho no lo son pues para serlo debieran tomar datos de todos los países y posiblemente en cantidades relacionadas con la penetración de la tecnología en su población. No son estudios universales porque no toman el 100% de los casos. No existe una única tipificación de las amenazas ni de los vectores de ataque. Por ejemplo las zombies de SPAM de Symantec Corporation están incluidas dentro del conteo de bots para otras compañías. Los sitios que alojan phishing están incluidos en la medición de sitios web maliciosos para Mc Afee, pero no lo están para otros proveedores. Es decir, al medir distintos fenómenos, las cifras que producen son incomparables. Esta situación acarrea una dificultad, tal vez la más engorrosa/trabajosa, que es la definir correctamente todos los subconjuntos identificando sus componentes, de acuerdo a lo descrito por cada compañía, y verificar que no haya solapamientos. Un caso particular es el de los agrupamientos por ciberterrorismo, ciberespionaje, ciberguerra, etc. En su desarrollo, cada compañía hace su propia tipificación y, algunas veces, ellas colisionan entre sí. En este caso se ha optado por una solución de compromiso que se explica en el informe. El que algunos países/regiones no aparezcan en el ranking ¿quiere decir que efectivamente no son alcanzados por la amenaza que se está evaluando o que la compañía no tiene sensores o no son suficientes en ese país o región? Más adelante en este capítulo se muestra un claro ejemplo. Puede suponerse que las estrategias de defensa de los proveedores, a partir de la visión que han adquirido como resultado de sus investigaciones, generan un enfoque diferente de sus reportes y, por lo tanto, presentan resultados que son incomparables con el resto o no presentan datos sobre algún tema, con lo cual las comparaciones entre las compañías no son consistentes en todos los fenómenos. Por ejemplo, Panda Security no muestra resultados sobre el SPAM y Websense, Inc, no los muestra sobre las vulnerabilidades. Es cierto que algunas actividades maliciosas pueden verse desde varios ángulos. Por ejemplo el phishing se puede medir por la cantidad de correos que contienen enlaces de phishing y también por la cantidad de sitios web dedicados a su alojamiento. Las compañías van cambiando año a año los temas que van analizando, en parte porque siguen el comportamiento de la realidad, con lo cual se hace muy difícil realizar el seguimiento y establecer la representatividad de los resultados. Asimismo, algunas mediciones se realizan en valores absolutos y otras en porcentaje. Algunas muestran porcentaje por país en el mundo y otras muestran porcentajes o valores absolutos por algún tipo (de ataque, de vector, de host, etc.)
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 26/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
•
•
También hay diferencias pues algunos analizan los países atacantes y otros los que son víctima e inclusive, se plantea el problema de que el país donde se encuentra el equipo atacante no necesariamente es el país de origen del actor. Cuando se compara distintas versiones de un sistema operativo o producto, no se tiene en cuenta el tiempo que el mismo tiene en el mercado y por ende, su distribución. Por consiguiente, no se conoce la distribución del universo, dato importantísimo para considerar el tamaño y calidad de la muestra. A manera de ejemplo, si actualmente, mediados de 2013, comparamos Windows XP con Windows 7 respecto de cualquier amenaza, salvo que se refiera puntualmente a una vulnerabilidad de alguno de ellos, siempre vamos a encontrar un mayor porcentaje de afectados en Windows XP porque hay mayor cantidad de usuarios de esa plataforma y, además, tiene la mayor penetración.
Un tema muy importante es que no todas las compañías ofrecen cifras para Latinoamérica y El Caribe, por lo tanto en algunos casos sólo es posible tomar los valores entregados por una única compañía, lo cual no debe interpretarse como que se la está privilegiando en la selección, sino que no hay otro dato con el cual comparar. La realidad es que no se conoce la distribución de los equipos sensores, ya sea servidores o de los clientes, como para tener una clara idea de su proporción respecto de la cantidad de usuarios y/o de la penetración de la tecnología en cada país/región. En este sentido podemos decir que otro tema de estudio muy interesante es dimensionar la red inteligente de cada compañía, sus herramientas, metodología, etc. Lamentablemente este objetivo no está incluido en el alcanza de este informe. Asumiendo que no es posible diferenciar los servidores de las compañías ya que el tráfico podría pasar por varias compañías simultáneamente, tema que habría que investigar, algo que sería necesario conocer es la cantidad y distribución de los productos cliente, ya que éstos sí son únicos. Es decir un cliente no puede ejecutar la misma funcionalidad de software de varias compañías simultáneamente. En otras palabras si utiliza un producto de Panda no puede utilizar el de Symantec. Tomemos el siguiente ejemplo: Cía A
Cía B
Totales
Total de clientes en un país
1250
1135
2385
Clientes con malware
478
634
1112
Porcentaje de malware
38,24%
55,85%
46,62%
Es decir, ninguna de las compañías nos da un valor que pueda ser asumido como el real. Tendríamos que tomar la suma de los valores absolutos de todas las compañías. Esta afirmación podría ser considerada una perogrullada, pero no es tan simple. La conclusión es que para hacer un verdadero análisis del posible impacto de cualquier índole, es necesario tomar los valores de todas las organizaciones que aportan datos en la materia. Ahora bien, para ello debería ser posible discriminar los valores según los recursos empleados para obtenerlos. Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 27/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
El panorama actual respecto de los valores aportados por las compañías podría ser representado de manera simplificada por el siguiente modelo, si fuera posible contar con los valores absolutos:
Org. B
Cía. A
Cía. C
Universo
Como es posible observar, sólo la coordinación entre todas daría valores exactos de los cibercrímenes ocurridos, con casi la certeza de no poder ejercer un análisis de campo previo, sino únicamente instalar defensas que a priori no pueden ser consideradas efectivas debido al cambiante mundo de los ciberataques. Pero lo que es peor, es que aun teniendo todo este conocimiento no es posible conocer el impacto en cantidad de víctimas ni el tipo de daño preciso que éstas han sufrido.
Una aproximación sobre la actividad global en el ciberespacio Como se ha mencionado en la introducción, las cifras resultantes de las investigaciones realizadas por los expertos, en general son expresadas en porcentajes. Con el objeto de que el lector pueda establecer alguna relación respecto de la magnitud del fenómeno, a continuación se incluye valores sobre la actividad cibernética en el período 2009 a 2012. Es importante visualizar la variación de los valores.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 28/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
DATOS 2010
16
(Cuando el valor no corresponde al final de 2010 se indica)
Aclaraciones
DATOS 2012
17
(Cuando el valor no corresponde al final de 2012 se indica)
Aclaraciones
Correo Electrónico Número de correos electrónicos enviados en Internet
107 billones
Promedio de número de correos electrónico por día
294 mil millones
52,5 billones
Según Radicati Group, los corporativos son 319.000 por día y considera que son sólo el 25% de todos http://www.radicati.com/wp/wpcontent/uploads/2010/04/Email-StatisticsReport-2010-2014-Executive-Summary2.pdf (Una vez conocida la fuente de datos del 2012, se la consultó para 2010)
144 mil millones
Cálculo a partir de la cantidad diaria informada por el Radicati Group. Según Symantec (2011) 20,44 billones de correos electrónicos anuales. Se obtiene de 42 mil millones por día de SPAM, por 365 dividido el 75%. Ya que el SPAM total es el 75% del total de correos. Según Radicati Group aquí son los corporativos más los consumidores - http://www.radicati.com/wp/wpcontent/uploads/2012/10/Email-Market-2012-2016Executive-Summary.pdf
16
Pingdom – Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que la contratan con el fin de detectar cualquier posible caída del mismo – Consultado el 28/05/2011 - http://royal.pingdom.com/2011/01/12/internet-2010-in-numbers/ 17 Pingdom – Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que la contratan con el fin de detectar cualquier posible caída del mismo – Consultado el 06/02/2013 - http://royal.pingdom.com/2013/01/16/internet-2012-in-numbers/. En el año 2012, Pingdom mostró la fuente del dato y es por ello posible hacer las aclaraciones que figuran en cada caso.
Patricia Prandini – Marcia L. Maggiore
Mayo 2013 – Pág. Nº 29/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Número de usuarios de correos electrónicos en el mundo
1,88 mil millones
Nuevos usuarios de correo electrónico desde el año anterior
480 millones
Número de cuentas de correo electrónico en el mundo
2,9 mil millones
Según Radicati Group, a un promedio de 1,6 cuentas por usuario. Pingdom lo calculó aproximadamente. (Idem anterior)
2,1 mil millones
Según Radicati Group, el mercado del correo electrónico continúa mostrando un fuerte crecimiento en términos tanto de usuarios como ganancias. En 2012, estiman que existen aproximadamente 2,1 mil millones de usuarios en todo el mundo, incluyendo ambos tipos, corporativos y consumidores.
Según Radicati Group, se proyecta un crecimiento del número de cuentas de correo electrónico de todo el mundo desde alrededor de 2,9 mil millones a aproximadamente 3,8 mil millones para 2014. (Idem anterior)
Sitios web Número de sitios web
255 millones
634 millones
Netcraft - Número de sitios web - (Diciembre 2012) - Las URL son muchas más (aprox. 15 mil millones) (http://news.netcraft.com/archives/2012/12/04/december2012-web-server-survey.html).
Creados durante el año
21.4 millones
51 millones
Netcraft (http://news.netcraft.com/archives/2012/12/04/december2012-web-server-survey.html)
329
www.iana.org
246 millones
http://www.verisigninc.com/assets/domain-name-briefdec2012.pdf
Nombres de dominio Número de dominios de alto nivel (TLD - top level domains) Número total de nombres de dominio registrados a través de todos los TLD
202 millones a Octubre
Patricia Prandini – Marcia L. Maggiore
Mayo 2013 – Pág. Nº 30/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Número de dominios de nivel superior por código de país (ej. .CN, .UK, .DE, etc.) Número de .COM
79,2 millones
104,9 millones
Idem anterior
88,8 millones
100 millones
Idem anterior
Número de .NET Número de .ORG Número de .info
13,2 millones 8,6 millones
14,1 million 9,7 million 6,7 million
Idem anterior Idem anterior Idem anterior
2,2 million
Idem anterior
7% – sobre el año anterior
13,18 % sobre 2010
Se tomó datos de Verisign calculando 9.8% de crecimiento en 2011 sobre 2010 y 12% de 2012 sobre 2011= 13,176%
Número de usuarios de Internet en el mundo
1,97 mil millones - a junio
2,4 mil millones – a junio
http://www.internetworldstats.com/
Incremento de usuarios de Internet
14% – desde el año anterior
21,82% - desde 2010
Calculado a partir del dato anterior
Número de usuarios de Internet en Asia Número de usuarios de Internet en Europa – Número de usuarios de Internet en América del Norte Número de usuarios de Internet en América Latina y el Caribe
825,1 millones
http://www.internetworldstats.com/
475,1 millones
1,1 mil millones 519 millones
266,2 millones
274 millones
http://www.internetworldstats.com/
204,7 millones
255 million
http://www.internetworldstats.com/
Número de usuarios de Internet en África Número de usuarios de Internet en el Oriente Medio
110,9 millones
167 million
http://www.internetworldstats.com/
63,2 millones
90 million
http://www.internetworldstats.com/
Número de .biz Incremento de nombres de dominio Usuarios de Internet
Patricia Prandini – Marcia L. Maggiore
http://www.internetworldstats.com/
Mayo 2013 – Pág. Nº 31/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Número de usuarios de Internet en Oceanía / Australia
21,3 millones
24,3 million
http://www.internetworldstats.com/
Número de personas en Facebook
600 millones
1000 millones - a Octubre
Facebook - En realidad el número corresponde a los usuarios mensualmente activos, lo cual supone al menos 1000 activos totales.
Número de nuevos usuarios de Facebook
250 millones
Porcentaje de usuarios de Facebook localizados fuera de los Estados Unidos Número de aplicaciones de Facebook instaladas por días
70%
Número de trozos de contenidos (links, notas, fotos, etc.) compartidos en Facebook por mes Número de personas en Twitter
30 mil millones
200 millones
Twitter - En realidad el número corresponde a los usuarios mensualmente activos, lo cual supone al menos 200 activos totales.
Número de nuevas cuentas creadas en Twitter Número de mensajes por Twitter
100 millones 63,875 mil millones
Calculado a partir del número promedio de tweets enviado por día (dato de Sirona Consulting - Especialistas en contratación de personal) http://www.slideshare.net/linkedin/earnings-deck-2012-q3final
Redes sociales
20 millones
175 millones a Setiembre
25 mil millones
Número de miembros en LinkedIn
Patricia Prandini – Marcia L. Maggiore
187 millones a Setiembre
Mayo 2013 – Pág. Nº 32/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Número de usuarios en Google+
135 millones
En realidad el número corresponde a los usuarios mensualmente activos, lo cual supone al menos 135 millones activos totales. http://googleblog.blogspot.se/2012/12/googlecommunities-and-photos.html (Blog oficial de Google)
Número de suscripcionescuentas-SIM_prepagas móviles
6,7 mil millones
Número de usuarios de teléfonos móviles
4,3 mil millones
http://communitiesdominate.blogs.com/brands/2012/12/latest-mobilenumbers-for-end-of-year-2012-this-is-gettinghumongous.html Idem anterior
Número de teléfonos móviles (dispositivos físicos)
5,3 mil millones
Idem anterior
Número de smartphones en uso en todo el mundo Videos
1,3 mil millones
Idem anterior
4 mil millones
http://youtube-global.blogspot.se/2012/12/youtube-inrewind-what-you-were.html
Número de blogs en Internet
152 millones –
Según BlogPulse (www.blogpulse.com)
Móviles
Número de videos mirados por día en YouTube
2 mil millones
Número de horas de video mirados en YouTub por mes Horas de video cargadas en YouTube cada minuto
35
Número de videos mirados en Facebook por mes
2+ mil millones
Número de videos cargados en Facebook por mes
20 millones
Patricia Prandini – Marcia L. Maggiore
Mayo 2013 – Pág. Nº 33/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Número de visitantes únicos para video en Google Sites
150.648.303 a Setiembre
http://www.comscore.com/Insights/Presentations_and_Whi tepapers/2012/State_of_the_Internet_in_Q3_2012
Número de fotos cargadas en Facebook por día
300 millones
http://gigaom.com/cloud/facebook-has-220-billion-of-yourphotos-to-put-on-ice/
Número de fotos cargadas cada segundo en Instagram
58
http://www.digitalbuzzblog.com/infographic-instagramstats/
Imágenes Número de fotos cargadas en Flickr
5 mil millones – a Setiembre
Número de fotos cargadas por mes en Flickr
130 millones
Número de fotos cargadas en Facebook por mes
3+ mil millones
Patricia Prandini – Marcia L. Maggiore
Mayo 2013 – Pág. Nº 34/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
A continuación se realiza el análisis de cada uno de los fenómenos en estudio.
Fuente: Pingdom
Patricia Prandini – Marcia L. Maggiore
Mayo 2013 – Pág. Nº 35/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Actividades maliciosas en su conjunto Situación global En este punto se muestra la situación respecto de algunas actividades maliciosas 18 analizadas de manera agregada y a nivel global por país. Se ha seleccionado información de aquellas compañías que hacen un análisis agregado de varias amenazas o alguna que es el objeto de estudio más importante para la compañía, y que es presentada en términos comparativos respecto de países y/o regiones. En cada caso se menciona la fuente de la información.
SYMANTEC CORPORATION 2012 - 2011 La actividad maliciosa generalmente afecta a las computadoras que están conectadas a Internet por banda ancha, dado que estas conexiones son objetivos atractivos para los atacantes. Las conexiones de banda ancha proveen mayor capacidad que otro tipo de conexiones, así como mayor velocidad, el potencial de sistemas conectados permanentemente y generalmente, conexiones más estables. A continuación se presenta las diferentes categoría de actividades maliciosas. •
•
•
•
•
18
Código malicioso: Incluye programas como virus, gusanos y troyanos que son insertados de manera encubierta en otros programas. Su propósito incluye destruir datos, ejecutar programas intrusivos o destructivos, robar información sensible o compromete la seguridad o integridad de los datos de las víctimas. SPAM zombies: Éstos son sistemas comprometidos, que se controlan de manera remota, utilizados específicamente para enviar grandes volúmenes de mensajes de correo electrónico basura (junk) o no solicitados. Éstos pueden ser usados para distribuir código malicioso o como intentos de phishing. Anfitriones de Phishing (Phishing hosts): Éstas son computadoras que proveen servicios web (website services) para recolectar información del usuario de manera ilegal simulando que los intentos provienen de una organización conocida y confiable presentando un sitio web diseñado de manera semejante, casi igual, al sitio del negocio legítimo. Equipos infectados con Bot (usualmente denominados BOT): Se trata de equipos comprometidos, a través del uso de programas maliciosos, para permitir a los atacantes controlarlos remotamente. Generalmente, un atacante remoto controla un gran número de computadoras comprometidas, a través de un simple y confiable canal en una botnet, el cual puede ser usado para lanzar ataques coordinados. En la mayoría de los casos los usuarios desconocen que su equipo está siendo utilizado para lanzar ataques. Ataques originados en la red: Este indicador mide las fuentes originarias de ataques desde Internet. Por ejemplo, los ataques pueden dirigirse a protocolos SQL o vulnerabilidades de desbordamiento de búfer.
Malicious Activity - Terminología usada por Symantec Corporation
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 36/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
•
Ataques originados en la web: Este indicador mide las fuentes originarias de ataques que son distribuidos vía la Web o a través de HTTP. Generalmente se compromete sitios web legítimos y se los usa para atacar a los visitantes desprevenidos.
Cabe señalar que en su reporte correspondiente al año 2012, Symantec Corporation no ha presentado su acostumbrada separata por región, razón por la cual en todos los casos, la situación para Latinoamérica y El Caribe se utilizó el reporte correspondiente a 2011.
Symantec Corporation - Actividad maliciosa global por país – 2012-2011
19
SYMANTEC CORPORATION 2010 - 2009
19
Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 – Consultado el 05/05/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_appendices_v18_2012_221284438.en-us.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 37/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Actividad maliciosa global por país – 2010
20
Symantec Corporation - Actividad maliciosa global por país – 2009
21
WEBSENSE, INC 2012 - 2011 Para referirse a las actividades maliciosas en su conjunto, Websense, Inc. utiliza términos como espectro global de posibles amenazas 22, en el que incluye las amenazas de la web, de las redes sociales, de los dispositivos móviles, del correo electrónico, del malware y la pérdida de información. Un primer indicador de la actividad cibercriminal es el crecimiento de los Web links maliciosos, el cual fue de un 600% durante 2012, mientras que en el 2011 alcanzó el 100%. Nótese que Websense direcciona todas sus estadísticas hacia la web. Por ejemplo en 2009 y 2010 muestra el hosting del malware. En el Capítulo IV, bajo el subtítulo Actividad Maliciosa en su Conjunto - Websense se desarrolla la justificación de esta postura. A continuación se muestra un panorama del crecimiento de los Web links maliciosos por región.
20
Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf 21 Symantec Corporation - Global Internet Security Threat Report Trends for 2009 – Consultado el 20/04/2011 http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP T_ISTR15_Global_0410.pdf 22 Global Threatscape - Terminología usada por Websense, Inc. threatscape. (n.d.). Definitions.net. Retrieved March 15, 2013, de http://www.definitions.net/definition/threatscape. También utiliza los términos "Actividad Cibercriminal" y "Ciberamenaza".
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 38/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Websense Inc - Crecimiento de web links maliciosos durante 2011 y 2012
23
23
Websense, Inc – 2013 Threat Report, Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 39/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
WEBSENSE, INC 2010 - 2009
Websense Inc. - Actividad maliciosa en el mundo, 2010
24
24
Websense Inc – 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 – https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 40/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Websense Inc. - Actividad maliciosa en el mundo, 2009
25
PANDA SECURITY 2012 - 2011 Por su parte, Panda Security mide el índice de infección considerando el malware conformado por troyanos, virus, gusanos, adware y spyware e incluye una categoría "otros" sobre el que no especifica su composición.
25
Websense Inc - A Websense® White Paper Websense Security Labs State of Internet Security, Q3 – Q4, 2009 – Consultado el 20/04/2011 – https://www.websense.com/assets/reports/WSL_H2_2009.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 41/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Panda Security - Países con mayor índice de infección, 2012
26
Países con mayor índice de infección, 2011
27
PANDA SECURITY 2010 - 2009
Panda Security - Top de países con mayores 28 infecciones, 2010
26
Panda Security – Informe anual Pandalabs Resumen 2012, Consultado el 09/03/2013 - http://prensa.pandasecurity.com/wpcontent/uploads/2013/02/Informe-Anual-PandaLabs-2012.pdf 27 Panda Security – Informe anual Pandalabs Resumen 2011, Consultado el 05/03/2013 - http://prensa.pandasecurity.com/wpcontent/uploads/2012/01/Informe-Anual-PandaLabs-2011.pdf 28 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 – http://prensa.pandasecurity.com/wpcontent/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 42/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Panda Security - Países con mayor porcentaje de infecciones (enero - noviembre), 2009
29
Situación en Latinoamérica y El Caribe A continuación se presenta el resultado de las diez (10) primeras posiciones obtenidas del análisis realizado por Symantec Corporation, única compañía encontrada que provee esta información sobre países latinoamericanos y del Caribe.
SYMANTEC CORPORATION 2012 - 2011 •
•
La actividad maliciosa originada en computadoras infectadas en Brasil ha empujado al país al tope de la tabla como fuente de actividad maliciosa en Latinoamérica y El Caribe (en adelante, LAM) en 2011, mientras que lo coloca en el cuarto puesto a nivel global. Argentina alcanzó el segundo puesto en el ranking total de LAM, y obtuvo el segundo puesto para los SPAM zombies, bots y ataques originados en la red en LAM. 30
29
Panda Security – Informe Anual Pandalabs 2009 – Consultado el 27/04/2011 – http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf 30 Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 43/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Actividad maliciosa por país, las Américas, 2011
SYMANTEC CORPORATION 2010 - 2009
Symantec Corporation - Actividad maliciosa por país, Latinoamérica y El Caribe, 2010
31
Symantec Corporation - Actividad maliciosa por país, Latinoamérica y El Caribe, 2009
32
31
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 44/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Actividades maliciosas en su conjunto - Resumen Dado que en el tema de las actividades maliciosas tomadas en conjunto influye marcadamente la orientación del análisis de cada compañía, no destaca claramente un país en particular como el mayor exponente, sino que van ocupando diferentes posiciones dependiendo de la compañía que realiza el análisis. Es por ello que se expresa el resultado de una manera más abarcativa. Informe sobre 2012-2011 De los datos seleccionados para estos años es posible concluir que entre los 10 primeros exponentes de las actividades maliciosas en el mundo siempre se encuentra algún país de Latinoamérica (Brasil, Honduras, Bolivia, Costa Rica y Argentina) y que, según Websense, Inc, la región de Latinoamérica y El Caribe tuvo un crecimiento superior a la región asiática, quedando posicionada en el tercer lugar, respecto del indicador de crecimiento de los Web links maliciosos. Es de destacar que comparado con los dos años anteriores, países que se encontraban en el rango 11-20, ahora están en el rango 110. En Latinoamérica y El Caribe, los países que están entre los cinco primeros puestos son: Brasil, Argentina, Colombia, México y Chile. Informe sobre 2010-2009 De los datos seleccionados para estos años es posible concluir que Latinoamérica y El Caribe se encuentra entre los cinco (5) o diez (10) primeros puestos en el mundo, representada por Brasil. En el caso de Panda Software que toma los primeros veinte (20) puestos, incluye también Argentina, Bolivia, Ecuador, Chile, Perú y México. En Latinoamérica y El Caribe, los cinco primeros países, con alguna variación en el orden son: Brasil, Argentina, Colombia, México y Chile.
KASPERSKY LAB 2012 Para dar una idea de la diferencia que existe entre las cifras de las distintas compañías, se muestra a continuación algunos de los resultados de Kaspersky 33. •
Entre los primeros 20 países que sufren de amenazas de la web (riesgos de infección en línea), no figura ningún país latinoamericano o del Caribe. En otra clasificación que realiza utilizando niveles de riesgo, sólo incluye a Ecuador con riesgo medio.
32
Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf 33 Kaspersky Lab Security Bulletin 2012 Consultado el 19/02/2013 http://www.securelist.com/en/analysis/204792255/Kaspersky_Security_Bulletin_2012_The_overall_statistics_for _2012
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 45/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
•
Tampoco existe ningún país de la región entre los primeros 20 países cuyos usuarios registran malware en sus equipos y/o dispositivos removibles conectados a la computadora (pendrive, cámaras, discos externos, etc.). Incluye a Brasil como país con riesgo medio.
Cabe señalar que estas estadísticas están basadas en la detección realizada por el módulo antivirus y enviada a Kaspersky Lab por los usuarios de sus productos que han consentido en proveer este dato estadístico. Kaspersky excluyó los países en los cuales el número de usuarios es relativamente pequeño (menor a 10.000). Evidentemente, los países de Latinoamérica y El Caribe se encuentran dentro de este grupo.
A
CONTINUACIÓN SE EXPONDRÁ ALGUNAS CIFRAS SOBRE DIFERENTES ACTIVIDADES MALICIOSAS, QUE SURGEN
PARA LATINOAMÉRICA EN SU RELACIÓN CON EL RESTO DEL MUNDO Y ENTRE SUS PAÍSES, ANALIZADAS POR VARIAS COMPAÑÍAS DE SEGURIDAD Y GRUPOS INDEPENDIENTES.
Código malicioso (malicious code)/malware Éste es uno de los casos donde existe diferente abordaje por parte de las compañías y al mismo tiempo distintos tipos de mediciones. Los códigos maliciosos adquieren infinitas formas, atacan diferentes plataformas, cada vez son más sofisticados y aumentan y varían su funcionalidad, desde infectar los equipos para que puedan ser controlados remotamente hasta robar información. Las compañías investigadoras determinan las familias de códigos maliciosos más relevantes, recolectando datos obtenidos para cada período en estudio y analizando muestras de códigos malintencionados nuevas y pre-existentes para determinar qué tipos de amenazas y vectores de ataque se emplean con mayor frecuencia. El código malicioso es clasificado en familias basándose en variantes de FIRMAS cuando el código es identificado. Las variantes aparecen cuando los atacantes modifican o mejoran los códigos maliciosos para agregar o cambiar funcionalidades. Estas alteraciones modifican los códigos maliciosos existentes de manera suficiente para que los sensores de los antivirus no puedan detectar la amenaza a partir de una FIRMA preexistente. Panda Security y Mc Afee reportan sobre malware que incluye los típicos códigos maliciosos más SPYWARE, ADWARE, ROOTKIT, KOUTODOOR, entre otros. Sólo Panda Security efectúa la distribución por país. Por su lado, Symantec Corporation reporta sobre códigos maliciosos propiamente dichos, definidos en el párrafo siguiente, y también efectúa una distribución por país. Esta distribución no coincide con la de Panda Security porque se realiza sobre variables distintas, si se tiene en cuenta que cada una toma un conjunto diferente de piezas (samples).
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 46/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
El mercado en general clasifica los códigos maliciosos por el tipo de acción que realizan. Symantec propone cuatro categorías básicas 34: PUERTAS TRASERAS (BACKDOORS), TROYANOS, VIRUS y GUSANOS. • •
• •
Las puertas traseras permiten al atacante acceder de manera remota a las computadoras comprometidas. Los troyanos son códigos maliciosos que los usuarios instalan inadvertidamente en sus computadoras, ya sea abriendo archivos adjuntos a sus correos electrónicos o bajándolos de Internet. También pueden ser instalados por otros códigos maliciosos. Difieren de los virus y gusanos en que no se autopropagan. Los virus se propagan infectando archivos existentes en las computadoras afectadas por código malicioso. Los gusanos son código malicioso que se puede replicar en computadoras infectadas o de una manera que facilita su copia a otras computadoras, tal como a través de dispositivos de almacenamiento para USB.
Varias amenazas de código malicioso están conformadas por múltiples características. Por ejemplo, las puertas traseras siempre se categorizan en conjunto con otro código malicioso, típicamente son también troyanos. Sin embargo, muchos gusanos y virus también incorporan funcionalidades de puertas traseras. Adicionalmente, muchas muestras de código malicioso pueden ser catalogadas como virus o gusanos debido a la manera en que se propagan. Una razón para esta funcionalidad múltiple es que los desarrolladores de amenazas tratan de permitir que los códigos maliciosos combinen múltiples vectores de propagación para incrementar sus posibilidades de éxito en comprometer la computadora bajo ataque.
Situación global En este tema de estudio, se muestra dos tipos de cifras, a saber: • •
Las correspondientes a la representación en porcentaje de los diferentes tipos de código malicioso/malware en el universo de estas amenazas. La distribución global por país.
Respecto de la representación PANDA SECURITY 2012 - 2011 Bajo el subtítulo VARIOS 2010-2009, mostramos dos gráficos publicados oportunamente por Symantec Corporation y Panda Security, que muestran resultados bastante aproximados entre sí, respecto de la representación del código malicioso según su tipo. En virtud de ello y dado que en su informe actual Symantec Corporation (2011) no provee esa misma información tomaremos la publicada por Panda Security.
34
Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 47/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Panda Security - Tipo de malware - 2012
35
Panda Security - Tipo de malware - 2011
36
Un dato importante para quienes creen que los equipos MAC son inmunes es el que presenta Panda Security en su informe 2012. Da cuenta de un troyano, conocido como Flashback, que ha protagonizado la mayor infección conocida hasta ese año de ordenadores Mac. Más de 600.000 Mac estaban a las órdenes de este troyano, formando una botnet nunca antes vista en esta plataforma. Una de las características más curiosas de este troyano es que antes de infectar el ordenador comprobaba si tenía instalado alguna protección antivirus. En caso afirmativo el ordenador no se infectaba, en caso negativo infectaba el Mac y comenzaba a funcionar.
VARIOS 2010 - 2009 McAfee Inc. informa que durante el 2010 identificó más de 20 millones de piezas nuevas de código malicioso y a lo largo del tiempo ha identificado 55 millones de piezas, de las cuales el 36% fueron creadas en el 2010. Esto demuestra el crecimiento de este rubro en ese año. 37 Panda Security coincide con los valores de McAfee Inc. en cuanto a la cantidad de piezas nuevas y las identificadas a lo largo del tiempo; e informa que procesó 134 millones de piezas. 38. A continuación se presenta un gráfico de la evolución del software malicioso (malware) durante la primera década del siglo, siendo los códigos maliciosos una de sus formas más habituales. En el año 2003 nacieron los troyanos bancarios y el POLIMORFISMO.
35
Panda Security – Informe anual Pandalabs Resumen 2012, Consultado el 09/03/2013 http://prensa.pandasecurity.com/wp-content/uploads/2013/02/Informe-Anual-PandaLabs-2012.pdf 36 Panda Security – Informe anual Pandalabs Resumen 2011, Consultado el 05/03/2013 http://prensa.pandasecurity.com/wp-content/uploads/2012/01/Informe-Anual-PandaLabs-2011.pdf 37 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 05/04/2011 – https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf 38 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 – http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 48/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Panda Security - Evolución del software malicioso
39
A continuación se incluye un par de gráficos que muestran la representación de los diferentes tipos de software malicioso. Se hace notar que en el caso de Symantec Corporation, ésta utiliza códigos maliciosos mientras que Panda Security extiende su análisis a otro tipo de especies. Si comparamos ambos gráficos, el porcentaje correspondiente a los troyanos, el más importante, es casi el mismo para ambas compañías y el de virus se aproxima bastante.
Symantec Corporation - Proporción de potenciales infecciones por código malicioso
40
39
Panda Security – El Mercado negro del cibercrimen al descubierto – Consultado el 05/05/2011 http://prensa.pandasecurity.com/wp-content/uploads/2011/01/Mercado-Negro-del-Cybercrimen.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 49/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Panda Security - Tipo de malware - 2010
41
Cabe notar que Panda Security no mide los backdoor. Se debe recordar que éstos son generalmente troyanos. Para obtener el gráfico que se muestra a continuación, Symantec Corporation analiza muestras de los 50 códigos maliciosos más importantes (ordenados por el volumen de infecciones potenciales reportadas durante el año). Cada muestra es analizada según su habilidad para extraer y exportar información confidencial, y estos resultados son luego medidos como porcentaje de amenazas a la información confidencial.
40
Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf 41 Panda Security – El Mercado negro del cibercrimen al descubierto – Consultado el 05/05/2011 http://prensa.pandasecurity.com/wp-content/uploads/2011/01/Mercado-Negro-del-Cybercrimen.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 50/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Amenazas a la confidencialidad de la información, por tipo
42
Éste es un análisis muy interesante porque apunta al uso que le da el cibercrimen pero no es fácil encontrarlo. De hecho, puede ser considerado es el único de su tipo del que pudimos disponer hasta ahora.
Respecto de la distribución SYMANTEC CORPORATION 2012 - 2009 A continuación, mostramos la distribución de códigos maliciosos por país en el mundo.
42
Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 51/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Distribución de los códigos maliciosos en el mundo 2012-2011
43
Symantec Corporation - Distribución de los códigos maliciosos en el mundo 2010 - 2009
44
Las cifras obtenidas de Symantec Corporation pueden ser comparadas con las de Panda Security que figuran en el punto "Acciones maliciosas en su conjunto". Los valores que surgen en 2010 del informe Symantec Government Internet Security Threat Report, corresponden a gobierno e infraestructura, pero no ha sido posible encontrar otras.
43
Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 – Consultado el 05/05/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_appendices_v18_2012_221284438.en-us.pdf 44 Symantec Corporation – Symantec Government Internet Security Threat Report - Publicado en abril 2010 - Consultado en 2011 - http://www.symantec.com/en/uk/theme.jsp?themeid=threatreport
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 52/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Situación en Latinoamérica y El Caribe SYMANTEC CORPORATION 2012 - 2011
Symantec Corporation - Distribución de los códigos maliciosos en las Américas 2011
45
ESET 2011 Una muestra analizada por ESET durante abril de 2011 dio la siguiente distribución de troyanos bancarios en Latinoamérica y El Caribe.
País Brasil Colombia México Ecuador Guatemala Chile Argentina Perú
Porcentaje 5,99 2,30 1,73 1,72 1,50 1,35 1,13 0,62
45
Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 53/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Según Symantec Corporation, en 2009 Brasil ha tenido un aumento significativo en su clasificación de códigos maliciosos, ocupando el quinto lugar a nivel mundial. Esto probablemente se debe a la propagación de las infecciones del gusano Downadup (también conocido como Conficker) ocurridas en 2009 y en las que Brasil ocupó el cuarto lugar a nivel mundial. También ocupó el tercer puesto a nivel mundial en posibles infecciones por virus y cuarto por posibles infecciones por gusanos.
Códigos maliciosos (malicious code) / malware - Resumen Respecto de la representación Claramente son los troyanos los que dominan el escenario y van en aumento.
Respecto de la distribución (Es necesario recordar que se deben tomar en cuenta los gráficos de Panda Security que se muestran en el tópico Actividades Maliciosas en su Conjunto)
Informe sobre 2012-2011 Brasil, Honduras, Bolivia, Costa Rica y Argentina están representados a nivel mundial. En la región aparecen Brasil, México, Colombia, Chile y Argentina en los primeros puestos. Informe sobre 2010-2009 Si bien las compañías evaluadas no exponen los mismos resultados, es posible afirmar que Brasil, Bolivia, Ecuador, Colombia, Argentina, Chile, Perú y México figuran entre los 10 o 20 primeros puestos del mundo. En la región, los primeros cinco puestos corresponden a Brasil, México, Colombia, Chile y Argentina. En el Capítulo IV bajo el subtítulo Códigos maliciosos (malicious code)/malware, es posible encontrar los ejemplares más activos en Latinoamérica y El Caribe.
Código malicioso multiplataforma F-SECURE 46 La percepción de que Mac es inviolable y que Windows es proclive a ser infectado es anticuada. A medida que Mac crece en popularidad se transforma en un objetivo apetecible para los atacantes. Lo mismo sucede con los sistemas operativos de los dispositivos móviles. Con la diversidad de plataformas existentes, es poco práctico desarrollar ataques que funcionan sólo en un sistema específico. Los ataques de código malicioso multiplataforma no son un fenómeno nuevo. Comenzaron hace varios años. Por ejemplo, en noviembre de 2011 el FBI reveló que más de 4 millones de usuarios habían sido infectados con el troyano DNSChanger. Este troyano que estaba circulando desde 2007 violaba equipos Mac y Windows pretendiendo ser un instalador necesario para ejecutar videos pornográficos. Cuando era descargado, el sitio web anfitrión del troyano chequeaba el navegador del usuario y bajaba el insta46
F-Secure Threat_Report_H2_2012 Consultado el secure.com/static/doc/labs_global/Research/Threat_Report_H2_2012.pdf
Patricia Prandini – Marcia L. Maggiore
09/04/2013
-
http://www.f-
Julio 2013 – Pág. Nº 54/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
lador correspondiente. Éste luego cambiaba la configuración del DNS del usuario para dirigir el tráfico a sitios no solicitados. Algunas variantes de este troyano afectaban también a los ruteadores. De manera similar los Rogue AV pueden bajar versiones Mac o Windows. Pero no solamente los ataques se dirigen a las PC de escritorio. En julio de 2012, fue descubierto un sitio web de Rogue AV que distribuía un instalador de Skype falso. Dependiendo del sistema operativo del dispositivo móvil, el malware actuaba de distinta manera. En ataques más avanzados se encuentra malware, como el troyano FinSpy, que incluye versiones para Windows, Android, iOS, BlackBerry, Windows Mobile y Symbian.
MC AFEE 2012 – 2011 Un investigador de la firma de seguridad McAffe descubrió una botnet multiplataforma basada en Java que puede infectar máquinas Mac y Windows. Según Carlos Castillo, de McAfee, el malware, al que han llamado IncognitoRAT, es un ejemplo de troyano basado en Java descubierto en la Red que está siendo descargado e instalado por otro componente. Este malware se comporta como otras redes robot en Windows, pero utiliza código fuente y librerías que pueden operar en otras plataformas. El código malicioso está disponible para Windows, Mac OS X e iPhone/iPad. Castillo dijo que el vector de propagación original de IncognitoRAT es un ejecutable de Windows, pero que fue creado utilizando la herramienta JarToExe, que incluye, entre otras cosas, la capacidad de convertir archivos .jar en archivos .exe, para añadir iconos de programa e información de versiones, así como para proteger y encriptar programas Java. Para poder atacar, la máquina de la víctima tiene que tener instalado Java Runtime Environment y debe estar en línea. Esta desagradable pieza de malware, tan pronto como se ejecuta el bot multiplataforma, empieza a descargar el archivo ZIP con un paquete de librerías basadas en Java para desempeñar múltiples actividades remotas 47.
ESET 2010 – 2009 48 A lo largo de 2010 diversas plataformas se vieron afectadas por variantes de código malicioso. A pesar de que Windows sigue siendo la plataforma más explotada por éstos (se estima que un 84,3% de los usuarios se infectó durante el año), hubo otras que también sufrieron algunos incidentes, tales como Linux, los dispositivos móviles y sistemas operativos en crecimiento como fue el caso de Android, para el cual fue reportado su primer troyano SMS en agosto de 2010. Como alternativa más rentable para los desarrolladores de código malicioso aparece la creación de códigos maliciosos multi-plataforma, archivos que pueden afectar a diversas plataformas con un mismo fin, o bajo un mismo modelo de infección. Un ejemplo de esta tendencia se observó a principio de año 47
PCWorld - Una red robot multiplataforma ataca a usuarios Windows y Mac - Publicado el 10/05/2011 - Consultado el 30/03/2013 - http://www.pcworld.com.mx/Articulos/12850.htm 48 ESET Latinoamérica – Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 55/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
con un experimento realizado para crear botnet en plataformas móviles con iPhone y Android, obteniendo más de 8 mil dispositivos afectados. Esta tendencia fue ratificada a finales del año, con la aparición de una nueva variante del troyano Koobface, conocida como Boonana e identificada por ESET con la firma Java/Boonana.A. La misma implicó la primer versión multi-plataforma de este troyano que está en actividad desde finales de 2008, y que dos años después de su creación ha comenzado su propagación más allá de sistemas Windows, infectando también sistemas Linux y Mac OS.
Falsos antivirus (rogueware) WEBSENSE, INC 2012 - 2011 Una importante lección sobre el malware es que puede ser persistente. Muchas piezas que produjeron infecciones durante 2012 fueron creadas en 2011 o antes. El Rogue AV (o Fake AV) es un buen ejemplo de la longevidad del malware. Más de 200.000 enlaces relacionados a Rogue AV permanecían activos a fines de 2012, aunque eran conocidos como respaldo de ataques de Rogue AV. La primera razón por la que continúan existiendo en los ambientes corporativos es porque varios servicios de bajo costo de alojamiento de sitios web (hosting) no ofrecen servicios de monitoreo. Mientras que los sitios que alojan malware son generalmente limpiados en pocas horas, tal como vimos previamente, el Rogue AV está activo durante varios años.
PANDA SECURITY 2012 - 2011 En su informe de 2011, reporta que han visto por primera vez un ataque a gran escala en plataformas MAC, protagonizado por falsos antivirus. A pesar de que la instalación del falso antivirus (llamado MacDefender) afectó a miles de usuarios de todo el mundo, Apple trató de negar la evidencia. Días después cambió de opinión, y publicó una “actualización de seguridad” (sic) que protegía contra este malware. En cuestión de minutos comenzaron a aparecer nuevas variantes, como MacShield, que se saltaban esta actualización de Apple, algo lógico si vemos que se basa en tecnología que tiene más de 20 años y que hoy en día está claramente superada, siendo inservible a no ser que se combine con técnicas modernas, como el análisis por comportamiento.
PANDA SECURITY 2010 - 2009 Se trata de aplicaciones que se hacen pasar por soluciones antivirus que ofrecen explorar gratuitamente las computadoras de los desprevenidos internautas y que al hacerlo, detectan numerosas amenazas inexistentes. Sin embargo, cuando los usuarios tratan de eliminar dichas amenazas a través de la aplicación, se les pide que compren la correspondiente licencia. Estos productos no sólo no son antivirus, sino que además infectan las máquinas. También se venden productos como utilitarios de sistema y discos. Conseguir una víctima más de un falso antivirus significa para el delincuente varias ventajas: no sólo le permite embolsarse el importe de la compra de la supuesta licencia del programa de seguridad, que nunca envía, sino que se queda con los datos de la tarjeta de crédito del incauto, que posteriormente puede vender en el mercado negro o utilizar para extraer dinero, hacer compras online, etc. Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 56/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
En 2010 ha aparecido el 40% del total de ejemplares de falsos antivirus. O lo que es lo mismo, desde que apareció este nuevo tipo de amenazas, hace cuatro años, Panda Security ha clasificado 5.651.786 ejemplares únicos y diferentes de falsos antivirus: de este total, 2.285.629 han aparecido desde enero a noviembre de 2010. 49
Ransomware MC AFEE 2012 - 2011 Ransomware ha crecido de manera importante en el último semestre de 2012 y la situación sigue empeorando. La cantidad de ejemplares únicos medidos por Mc Afee llega a ser mayor a 200,000, aunque el aspecto más importante es la cantidad de infecciones reportadas, sobre las que la compañía no tiene mucha visibilidad ya que sólo obtiene datos a partir de los usuarios de sus productos. La tendencia es reflejada también por las advertencias de las fuerzas de aplicación de la ley y las agencias gubernamentales del mundo.
Mc Afee - Nuevos ejemplares de Ransomware - 2012
50
Ransomware - Resumen Según Panda Security ha sido uno de los principales protagonistas de 2012 provocando una “epidemia” de malware que ha infectado cientos de miles de equipos en todo el mundo. En uno de los pocos artículos encontrados que hacen referencia a estadísticas sobre esta amenaza, se puede ver gráficamente que Latinoamérica y El Caribe tiene menos del 2% de infección de algunas de sus variantes. 51 En el Capítulo IV bajo el subtítulo Ransomware es posible consultar algunas particularidades de esta amenaza. 49
Panda Security – Informe Anual PandaLabs 2010 – Consultad0 27/04/2011 – http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf 50 Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado el 10/02/2013 http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf 51 Symantec Corporation - Ransomware: The Couch-Potato Vs The Backpacker - Publicado el 30/11/2012 - Consultado el 08/04/2013 - http://www.symantec.com/connect/blogs/ransomware-couch-potato-vs-backpacker
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 57/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Dispositivos móviles Si bien a continuación se muestran datos de Mc Afee, todas las compañías revelan un aumento importante del malware en dispositivos móviles entre 2011 y 2012, así como reconocen que Android es el sistema operativo más atacado. Según investigaciones de ESET, el código malicioso para móviles había aumentado un 95% entre 2009 y 2010, situación que se ve también en el gráfico a continuación. Sin embargo en el 2012 el total de malware fue aproximadamente 18 veces mayor al del 2011. En otro orden de cosas, Websense, Inc. en su informe de 2011 expone que el 51% de los usuarios de dispositivos móviles no utilizan contraseñas. En su informe 2012 indica que los dispositivos móviles ya son una parte integral de nuestra vida profesional y personal y que un estudio (FactsMark Authority) ha encontrado que los usuarios de dispositivos móviles pasan más del 50% del tiempo en que los usan accediendo a redes sociales. Las aplicaciones de comunicaciones sociales han crecido en popularidad reflejando la preferencia de los usuarios en acceder a la web a través de estos dispositivos. Los datos muestran que el 73,6% de los usuarios de iPhone y el 30% de los de Android, activamente conectados a Facebook, usan las aplicaciones móviles. El número total de usuarios móviles de Facebook ascendió en 2012 a 680 millones. Por lo tanto a estos usuarios les aplica también todas las amenazas de las redes sociales.
Mc Afee - Cantidad total de ejemplares de malware en dispositivos móviles - 2012
52
52
Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado el 10/02/2013 http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 58/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Mc Afee - Cantidad total de de malware en dispositivos móviles por plataforma - Nuevos ejemplares de malware en Android - 2012
53
Algo novedoso es que ha aparecido una botnet en dispositivos Android. Estos dispositivos acceden a la cuenta de mail de Yahoo y envían SPAM. Las IP de conexión de estos dispositivos corresponden a Chile, Indonesia, Líbano, Omán, Filipinas, Rusia, Arabia Saudita, Tailandia, Ucrania y Venezuela. 54 Según el autor del artículo, la botnet ataca a estos países porque son zonas tecnológicamente emergentes, en las que se está popularizando rápidamente el uso de sistemas móviles con conexión a Internet, en concreto con Android. Pero además, el gran problema es que en dichos países los usuarios utilizan aplicaciones ilegítimas por cuestiones de costos. Es posible también que adquieran "rogue applications" de Yahoo Mail.
SPAM Situación global SYMANTEC CORPORATION 2012 - 2011
53
Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado el 10/02/2013 http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf 54 MSDN Blog - Spam from an Android botnet - Publicado el 03/07/2012 - Consultado el 11/04/2013 http://blogs.msdn.com/b/tzink/archive/2012/07/03/spam-from-an-android-botnet.aspx
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 59/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
A continuación se muestra un gráfico que refleja la evolución del SPAM en el mundo.
Symantec Corporation - Actividad global del SPAM, 2006-2012
55
Según Symantec, la tasa (rate) de SPAM se redujo del 89,1% en 2010 a 70,6% en 2011. Websense, Inc informa que en 2012 el volumen total de SPAM sobre el total de e-mail mundial es el 76,4% 56 mostrando también una reducción. La siguiente tabla muestra la distribución de los SPAM zombies por país en el mundo. Cabe mencionar que en el año 2011 las botnets produjeron el 81,2% del SPAM contra el 88,2% del 2010.
Symantec Corporation - Los 10 países que originan la mayor actividad de SPAM Zombies 2012-2011
57
55
Symantec Corporation – Symantec Intelligence Report: Dicember 2012 – Consultado el 16/02/2013 http://www.symanteccloud.com/en/gb/mlireport/SYMCINT_2012_12_December.pdf 56 Websense, Inc – 2013 Threat Report, Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 60/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
MC AFEE 2012 - 2011 Mc Afee también muestra un descenso en el volumen de SPAM mundial y haciendo un cálculo aproximado tomando como base el gráfico, estaría en alrededor del 70% de todo el tráfico de correo electrónico. Mc Afee no muestra la distribución de SPAM por país, sino que muestra el volumen de cada uno y gráficamente, con lo cual es muy difícil incluir este dato en el informe. En ellos se puede ver que tanto en Argentina como en Brasil y Colombia, el SPAM se redujo considerablemente (aproximadamente un 50%).
Mc Afee - SPAM 2012
58
SYMANTEC CORPORATION 2010 - 2009 A continuación se muestra un gráfico que refleja la evolución del SPAM en el mundo.
Symantec Corporation - Actividad global del SPAM, 2005-2010
59
57
Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 – Consultado el 05/05/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_appendices_v18_2012_221284438.en-us.pdf 58 Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado el 10/02/2013 http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 61/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Más del 95% de los correos es “no deseado (unwanted)”; conjunto conformado por SPAM y malicioso. La proporción de SPAM enviado desde las botnets se mantuvo al 88,2% para la mayor parte del año 2010, cayendo el último trimestre al 77%. Esto se debió a la desaparición de varias botnets: en diciembre 2009 ya había cerrado Mariposa, una de las mayores redes de bot de la historia con casi 13 millones de ordenadores comprometidos; Spamit, una notoria red responsable de enviar grandes volúmenes de correos sobre temas farmacéuticos cerró sus puertas en setiembre, mientras que en octubre cerró Bredolab con parte de ZEUS. La fuerte caída del SPAM a fines de 2008 fue resultado de la desaparición del ISP con sede en California Mc Colo, después de que fuera reportada la actividad de una botnet criminal sobre su red. Como consecuencia del cierre de McColo, también desaparece Srizbi que fuera responsable por mucho tiempo de casi el 50% de todo el SPAM originado en botnets. Su lugar fue rápidamente ocupado por otras botnets rivales como Mega-D (aka Ozdok), Cutwail (aka Pandex) y Rustock. Hacia el final del 2009, el 83,4% del SPAM era originado por la botnets o “redes robot”, en oposición al aproximadamente 90% de SPAM que fuera enviado por botnets (Ver Botnet – Pág. 77) en el 2008. Las compañías coinciden en que el SPAM se mantuvo en 2009 y 2010 en un porcentaje de alrededor del 85%. La siguiente tabla muestra la participación de Latinoamérica en el SPAM mundial en el año 2010.
Symantec Corporation - Origen del SPAM por continente - 2010
60
Mientras que en el 2009 reconoce aproximadamente un 20% de la actividad por parte de dicha región 61. A continuación se incluye información sobre la distribución global del SPAM durante el año 2009 según los países de origen.
59
Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf 60 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report –Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf 61 Symantec Corporation – Message Labs Intelligence 2009 Annual Security Report – Consultado el 02/05/2011 – http://www.messagelabs.com/mlireport/2009MLIAnnualReport_Final_PrintResolution.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 62/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Los 10 países que originan la mayor actividad de SPAM 2009
62
MC AFEE 2009
Mc Afee - Los 10 países que originan la mayor actividad de SPAM 2009
63
Situación en Latinoamérica y El Caribe SYMANTEC CORPORATION 2012 - 2011 62
Symantec Corporation – Global Internet Security Threat Report Trends 2009 – Consultado el 20/04/2011 – http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP T_ISTR15_Global_0410.pdf 63 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2009 – Consultado el 05/04/2011 – https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2009.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 63/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Países que generan SPAM en Latinoamérica - 2011
64
SYMANTEC CORPORATION 2010 - 2009 A continuación se incluye los cuadros que publica Symantec respecto de la actividad de SPAM en Latinoamérica y El Caribe, por país.
Symantec Corporation - Países que generan SPAM en Latinoamérica y El Caribe - 2010
65
64
Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – http://www.symantec.com/content/en/us/enterprise/other_resources/bConsultado el 08/02/2013 istr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17 65 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 64/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Países que generan SPAM en Latinoamérica y El Caribe - 2009
66
SPAM - Resumen Informe 2012-2011 La actividad de SPAM se redujo en el mundo y Latinoamérica y El Caribe está representada por Brasil en el 4to. lugar del ranking de países origen de botnets emisoras de spam (zombies). En la región, los primeros cinco países son Brasil, Argentina, Perú, Chile y Colombia. Informe 2010-2009 En 2010 Latinoamérica y El Caribe ocupó el tercer lugar como región emisora de spam, mientras que en 2009 ocupó el segundo lugar representada por Brasil. Aunque con mucha menos participación, también estuvieron presentes Colombia, Argentina y Venezuela. Sin embargo, cabe señalar que Brasil ocupó el primer lugar en el mundo, como país origen de botnets emisoras de spam en el 2009, con el 13% del total. Mientras que en 2010 estuvo entre los 12 primeros. En la región, los primeros países son Brasil, Colombia, Argentina, Chile y México.
Phishing Con el fin de entender un poco mejor esta amenaza y de aquilatar su alcance, a continuación se expone algunas consideraciones realizadas por las distintas organizaciones.
66
Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 65/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
•
•
•
•
Mc Afee incluye el phishing entre las amenazas web, en contrario a Websense y Symantec que lo manejan por separado. Por lo tanto lo equipara al alojamiento de malware o de programas potencialmente no deseados, aunque también puede haber combinaciones. De este proveedor sólo ha sido posible tomar el ranking de países víctima de phishing. Websense, Inc. analiza el fenómsno desde dos perspectivas. Hace una medición respecto de los países que alojan (host) phishing y, por otro lado, identifica el porcentaje del tráfico de correo total que los cibercriminales utilizan como señuelo de phishing. Symantec Corporation también hace un doble análisis. Por un lado lo considera desde la óptica del correo electrónico identificando el porcentaje del tráfico de correo total que los cibercriminales utilizan como señuelo de phishing. Por otro, lo toma desde el punto de vista de los anfitriones de phishing (phishing hosts), aunque no lo denomina amenaza web ya que para esta compañía esta identificación significa otra cosa (Ver "Ataques originados en la web"). Un anfitrión de phishing (phishing host) es una computadora que provee servicios web (website services) para recolectar información del usuario de manera ilegal, simulando que los intentos provienen de una organización conocida y confiable presentando un sitio web diseñado de manera semejante, casi igual, al sitio del negocio legítimo. El AntiPhishing Working Group (APWG) hace su análisis exclusivamente desde la perspectiva de los dominios, ya sea gTLD o ccTLD, y sitios utilizados, o sea, como una amenaza web.
Cabe señalar que el APWG 67 es una asociación global, ampliamente reconocida y respetada, que contempla todas las industrias y fuerzas de la ley, focalizada en eliminar el fraude y el robo de identidad que resulta del phishing, PHARMING and MAIL SPOOFING de todo tipo y tiene como socios investigadores a los CERT de Brasil, Estados Unidos (incluyendo al prestigioso CERT SEI Canergie Mellon), Australia, Corea, entre otros, así como organizaciones y empresas como Websense Inc., National Cyber Security Alliance, SRI Internacional, ESET, etc.
Situación global Análisis por tráfico de correo SYMANTEC CORPORATION 2012 - 2011 En este gráfico es posible ver que el ratio de phishing en e-mail es el 0,27% mientras que Websense da el 1.6%. (Fuentes de phishing en email). Como se puede observar, también en este caso existen diferencias.
67
Antiphishing Working Group (APWG) – Global phishing Survey: Domain Name use and Trend 2H2010 – Consultado 10/05/2011 – http://anti-phishing.org/reports/APWG_GlobalPhishingSurvey_2H2010.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 66/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Evolución de phishing en el correo electrónico - 2012
68
Si miramos la evolución en la imagen anterior, podemos observar que el phishing en e-mail tiene altibajos pero sigue existiendo, si bien en volúmenes menores que en 2007 y 2008.
MC AFEE 2012 - 2011 Tener en cuenta que esta compañía mide el RECEPTOR. En la situación global, Mc Afee coloca a Brasil como el 4to. receptor de phishing del mundo.
Mc Afee - Países receptores de phishing - 2012
69
Análisis por alojamiento de phishing WEBSENSE INC 2012 - 2011 68
Symantec Corporation – Symantec Intelligence Report: December 2012 - Consultado el 20/02/2013 http://www.symanteccloud.com/en/gb/mlireport/SYMCINT_2012_12_December.pdf 69 Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado el 10/02/2013 http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 67/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Websense, Inc - Ranking de países que alojan phishing - 2012 Ranking de países que alojan phishing - 2011
SYMANTEC CORPORATION 2012 - 2011 A continuación mostramos la distribución en el mundo por país del alojamiento de phishing.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 68/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Países donde residen sitios web que hospedan phishing - 2012-2011
70
APWG 2012 - 2011 A continuación se puede ver una tabla que resume los valores para los años 2012 y 2011 de los indicadores que utiliza el APWG para mostrar la evolución del phishing a nivel global. Para interpretar los conceptos utilizados por APWG, ver el Capítulo IV, bajo el subtítulo Phishing.
APWG - Estadísticas generales de phishing - (2H) 2012
71
Es muy interesante ver la relación entre la cantidad de ataques, de dominios únicos comprometidos y de dominios maliciosos de phishing, así como su evolución.
70
Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 – http://www.symantec.com/content/en/us/enterprise/other_resources/bConsultado el 05/05/2013 istr_appendices_v18_2012_221284438.en-us.pdf 71 Antiphishing Working Group (APWG) - Global Phishing Survey: Trends and Domain Name Use in 1H2012 – Consultado el 15/03/2013 – http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_2H2012.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 69/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
APWG - Estadísticas generales de phishing - (2H) 2012 - (Referencia 71)
APWG 2010 - 2009 A continuación se puede ver una tabla que resume los valores para los años 2010 y 2009 de los indicadores que utiliza el APWG para mostrar la evolución del phishing a nivel global.
APWG - Estadísticas generales de phishing - (2H) 2010
72
Cabe señalar que en los reportes de Message Lab Intelligence de Symantec es posible encontrar cifras muy semejantes a las del APWG. Como se dijo previamente, la cantidad de víctimas de fraude informático es muy superior a la cantidad de sitios. Pueden ser millones. El IC3 73 ha recibido entre 2009 y 2010 más de 600.000 quejas, que por otra parte se han incrementado un 33% en 2008, el 22% en 2009 y en 2010 bajó casi un 10%. Este descenso, si bien es un hecho positivo, 72
Antiphishing Working Group (APWG) – Global phishing Survey: Domain Name use and Trend 2H2010 – Consultado 10/05/2011 – http://anti-phishing.org/reports/APWG_GlobalPhishingSurvey_2H2010.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 70/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
no indica necesariamente una tendencia ya que ha sucedido en años anteriores y luego ha vuelto a crecer. En el mapa global de individuos que presentan quejas, se encuentra México en el octavo lugar con el 0,2%. Latinoamérica y El Caribe no se encuentran en el mapa global de individuos perpetradores.
Situación en Latinoamérica y El Caribe SYMANTEC CORPORATION 2012 - 2011
Symantec Corporation - Países donde residen sitios web que hospedan phishing - 2011
74
73
Internet Crime Complaint Center (IC3 – USA) – 2010 Internet Crime Report – Consultado el 15/04/2011 http://www.ic3.gov/media/annualreport/2010_IC3Report.pdf 74 Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – http://www.symantec.com/content/en/us/enterprise/other_resources/bConsultado el 08/02/2013 istr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 71/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
APWG 2012 - 2009 En las páginas 73 a 75 se presenta la variación del phishing, desde la perspectiva de los sitios que lo alojan, en los países de Latinoamérica y El Caribe, entre los últimos semestres de 2012 y 2010. A continuación de esta tabla, se presenta la misma variación pero esta vez entre el último semestre de 2010 y el primero de 2009. Ambas tablas han sido confeccionadas tomando los datos publicados por el APWG.
Resumen respecto de las tablas En las columnas correspondientes al crecimiento en porcentaje es posible observar que la mayoría de los países han crecido en cantidad de ataques de phishing, algunos en porcentajes muy importantes como por ejemplo Panamá (700%). Otra lectura que es posible realizar es que, mientras el crecimiento del phishing en el mundo ha sido de aproximadamente el 83%, en Latinoamérica fue del 108%; que la cantidad de dominios usados para phishing creció el 110% y el 203% respectivamente y que mientras que la cantidad de dominios maliciosos registrados descendieron a nivel global, en Latinoamérica y El Caribe aumentaron. También es posible observar que la representatividad de Latinoamérica respecto de ataques de phishing, dominios usados para phishing y dominios registrados, ha crecido.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 72/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
SEGUNDO SEMESTRE 2010 TL D
TLD Ubicación
ar
Argentina
aw
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
SEGUNDO SEMESTRE 2012
Dominios registrados al # Total de dominios final de Octubre de maliciosos regis2010 trados
CRECIMIENTO EN PORCENTAJE
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
Dominios registrados, Noviembre 2012
# Total de dominios maliciosos registrados
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
Dominios registrados
# Total de dominios maliciosos registrados
199
148
2.199.507
3
913
824
2.500.007
5
358,79
456,76
13,66
66,67
ARUBA
1
1
1
1
2
1
625
0
100,00
0,00
62400,00
-100,00
bz
BELICE
18
7
47.639
1
17
15
46.836
1
-5,56
114,29
-1,69
0,00
bo
Bolivia
5
4
5.950
1
32
25
8.350
0
540,00
525,00
40,34
-100,00
SIN DATOS
BONAIRE br
Brasil
2.011
1.030
2.275.031
21
3.129
2.435
3.058.648
25
55,59
136,41
34,44
19,05
cl
Chile
171
128
299.463
1
902
731
399.073
2
427,49
471,09
33,26
100,00
co
Colombia
86
43
527.428
4
288
234
1.325.000
12
234,88
444,19
151,22
200,00
cr
Costa Rica
15
8
12.300
1
14
12
14.600
0
-6,67
50,00
18,70
-100,00
cu
Cuba
1
1
2.175
1
1
1
2.340
0
0,00
0,00
7,59
-100,00
SIN DATOS
CURAZAO dm
DOMINICA
1
1
1
1
1
1
14.500
0
0,00
0,00
1449900,00
-100,00
do
Republica cana
15
5
15.200
1
14
13
0
0
-6,67
160,00
-100,00
-100,00
ec
Ecuador
31
26
22.729
1
41
38
30.500
0
32,26
46,15
34,19
-100,00
gt
Guatemala
10
9
8.630
1
18
13
11.600
0
80,00
44,44
34,41
-100,00
3
2.150
0
200,00
200,00
72,00
-100,00
Domini-
SIN DATOS
GUYANA FRANCESA gy
GUYANA
1
Patricia Prandini – Marcia L. Maggiore
1
1.250
1
3
Julio 2013 – Pág. Nº 73/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
SEGUNDO SEMESTRE 2010 TL D
TLD Ubicación
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
SEGUNDO SEMESTRE 2012
Dominios registrados al # Total de dominios final de Octubre de maliciosos regis2010 trados
CRECIMIENTO EN PORCENTAJE
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
Dominios registrados, Noviembre 2012
# Total de dominios maliciosos registrados
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
Dominios registrados
# Total de dominios maliciosos registrados
hn
Honduras
3
4
4.992
1
2
2
6.275
0
-33,33
-50,00
25,70
-100,00
ht
Haití
7
1
1
1
8
3
0
0
14,29
200,00
-100,00
-100,00
gs
ISLAS GEORGIAS DEL SUR Y SANDWICH DEL SUR
4
2
1
1
10
5
8.160
0
150,00
150,00
815900,00
-100,00
fk
ISLAS MALVINAS
1
1
1
1
2
1
100
0
100,00
0,00
9900,00
-100,00
jm
Jamaica
5
5
5.064
1
0
0
6.400
0
-100,00
-100,00
26,38
-100,00
mq
MARTINICA
mx
México
ni
SIN DATOS 253
114
450.453
1
398
306
616.458
25
57,31
168,42
36,85
2400,00
Nicaragua
5
3
5.905
1
4
3
6.600
0
-20,00
0,00
11,77
-100,00
pa
Panamá
1
1
6.250
1
8
8
7.125
0
700,00
700,00
14,00
-100,00
pe
Perú
27
19
45.180
1
130
93
64.100
0
381,48
389,47
41,88
-100,00
py
Paraguay
6
6
11.200
1
14
10
13.900
0
133,33
66,67
24,11
-100,00
pr
Puerto Rico
sv
El Salvador
8
5.550
0
300,00
300,00
17,46
-100,00
SIN DATOS 2
2
4.725
1
8
SABA SAN EUSTAQUIO sx
SIN DATOS
SAINT MAARTEN
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 74/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
SEGUNDO SEMESTRE 2010 TL D
TLD Ubicación
sr
SURINAME
tt
TRINIDAD TOBAGO
uy ve
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
SEGUNDO SEMESTRE 2012
Dominios registrados al # Total de dominios final de Octubre de maliciosos regis2010 trados
SIN DATOS
CRECIMIENTO EN PORCENTAJE
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
Dominios registrados, Noviembre 2012
# Total de dominios maliciosos registrados
4
4
0
0
# único de ataques de Phishing
Nombres de Dominio únicos usados para phishing
Dominios registrados
# Total de dominios maliciosos registrados
NO ES POSIBLE REALIZAR EL CÁLCULO
Y 13
6
2.200
1
1
1
2.525
0
-92,31
-83,33
14,77
-100,00
Uruguay
13
9
27.925
1
81
39
74.446
0
523,08
333,33
166,59
-100,00
Venezuela
32
26
150.000
1
75
57
215.000
0
134,38
119,23
43,33
-100,00
Total LATAM
2.937
1.611
6.131.201
53
6.120
4.886
8.440.868
70
108,38
203,29
37,67
32,08
TOTAL GLOBAL
67.677
42.624
205.615.855
11.769
123.476
89.748
257.704.826
5.833
82,45
110,56
25,33
-50,44
4,34
3,78
2,98
0,45
4,96
5,44
3,28
1,20
Representación LATAM
Importante: Las celdas que tienen el siguiente formato y contenido efectos de poder realizar los cálculos de crecimiento.
Patricia Prandini – Marcia L. Maggiore
1
deberían contener el valor cero (0). Se ha reemplazado por el valor uno (1) a los
Julio 2013 – Pág. Nº 75/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
PRIMER SEMESTRE 2009 TLD
TLD Ubicación
# único Nombres de sitios de de Dominio Phishing únicos usados para phishing
ar
Argentina
bo
Bolivia
7
br
Brasil
654
cl
Chile
144
97
co
Colombia
31
22
cr
Costa Rica
1
cu
Cuba
2
do
Republica Dominicana
ec
Ecuador
gt
Guatemala
hn ht
207
SEGUNDO SEMESTRE 2010
Puntuación: Puntuación: # Total de # único Nombres Phish por attacks por dominios de sitios de 10000 10000 maliciosos de Dominio dominios dominios registrados Phishing únicos usados para phishing
1.837.779
0,9
1,1
1
5
4.700
10,6
14,9
0
5
381
1.675.918
2,3
3,9
1
2011
243.701
4
5,9
1
171
25.750
8,5
12
0
86
1
11.739
0,9
0,9
0
1
1.500
6,7
13,3
0
14
7
10.100
6,9
13,9
12
10
17.900
5,6
8
3
6.809
4,4
Honduras
0
0
3.972
Haiti
0
0
1.110
jm
Jamaica
1
1
4.600
2,2
mx
México
213
93
290.101
3,2
ni
Nicaragua
0
0
23.000
0
pa
Panama
5
3
4.800
6,3
10,4
pe
Peru
86
64
32.000
20
py
Paraguay
3
2
8.834
sv
El Salvador
2
2
uy
Uruguay
15
13
ve
Venezuela
24
Total LATAM
1.429
TOTAL GLOBAL Representación LATAM
55.698 2,57
159
Dominios registrados al final de Marzo de 2009
# Total de dominios maliciosos registrados
Dominios registrados
# Total de dominios maliciosos registrados
4
5.950
6,7
8,4
0
1030
2.275.031
4,5
8,8
21
128
299.463
4,3
5,7
0
18,75
43
527.428
0,8
1,6
4
177,42
15
8
12.300
6,5
12,2
0
1400,00
1
1
2.175
4,6
4,6
0
-50,00
0
15
5
15.200
3,3
9,9
0
6,7
0
31
26
22.729
11,4
13,4
11,7
0
10
9
8.630
10,4
11,6
0
0
3
4
4.992
4
6
0
0
0
7
1
2,2
0
5
5
5.064
9,9
9,9
0
400,00
400,00
10,09
0,00
7,3
30
253
114
450.453
2,5
5,6
0
18,78
22,58
55,27
-100,00
0
5
3
5.905
5,1
8,5
0
0
0
0
6.250
0
-100,00
-100,00
30,21
0,00
26,9
24
27
19
45.180
4,2
6
0
-68,60
-70,31
41,19
-100,00
2,3
3,4
0
6
6
11.200
5,4
5,4
0
100,00
200,00
26,78
0,00
0
2
2
4.725
4,2
4,2
0
18.622
7
8,1
0
13
9
27.925
3,2
4,7
0
-13,33
-30,77
49,96
0,00
15
130.000
1,2
1,8
1
32
26
150.000
1,7
2,1
1
33,33
73,33
15,38
0,00
879
4.352.935
58
2.897
1.591
6.080.107
30
102,73
81,00
39,68
-48,28
30.131 184.583.376
4.382
67.677
42.624 205.615.855
11.769
21,51
41,46
11,39
168,58
1,32
4,28
Patricia Prandini – Marcia L. Maggiore
-3,86
Nombres de Dominio únicos usados para phishing
0,9
3,73
3
# único de sitios de Phishing
0,7
2,36
148
CRECIMIENTO EN PORCENTAJE
Puntuación: Puntuación: Phish por attacks por 10000 10000 dominios dominios
2.199.507
2,92
199
Dominios registrados al final de Octubre de 2010
-6,92
19,68
-28,57
-20,00
26,60
0,00
207,49
170,34
35,75
2000,00
31,96
22,88
-100,00
95,45
1948,26
400,00
700,00
4,78
0,00
0,00
45,00
0,00
7,14
-28,57
50,50
0,00
1
158,33
160,00
26,98
100,00
0
25,00
200,00
26,74
0,00
25,68
0,00
0
2,96
Comentarios
200,00
0,00
0,00
No existe información sobre Puerto Rico. La puntuación, tanto de dominios como de sitios de phishing tiene el mismo sentido que el crecimiento del resto de las variables.
0,00
0,25
Julio 2011 – Pág. Nº 76/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Phishing - Resumen Informe 2012-2011 Según Symantec, Latinoamérica y El Caribe se encuentra representados por Brasil en el 4to. puesto en el ranking de anfitriones de phishing, mientras que los primeros cinco países de la región en esta misma categoría son Brasil, Colombia, Argentina, Chile y México. En el caso del phishing medido a través del porcentaje de tráfico de correo electrónico total, vemos que tiene altibajos pero se sigue manteniendo aunque en volúmenes menores a los existentes en 2007 y 2008. Mc Afee ubica a Brasil en el 4to. puesto entre los países receptores de phishing por e-mail. Informe 2010-2009 Según APWG, en el orden mundial Latinoamérica y El Caribecse encuentra representados en el ránking de los 10 primero puestos de anfitriones de phishing por Brasil, Honduras y México. Mientras que los países de la región que más crecieron en el mismo indicador fueron Costa Rica, Jamaica, Brasil, Colombia y Ecuador.
Botnet Situación global La Fundación Shadowserver está conformada por un grupo de investigadores que trabajan sobre las botnets. Es una asociación sin fines de lucro formada por profesionales de seguridad que voluntariamente recolectan, analizan y producen reportes sobre software malicioso, la actividad de las botnets y el fraude electrónico. Es su misión mejorar la seguridad sobre Internet concientizando sobre la presencia de servidores comprometidos, atacantes maliciosos y la distribución del mencionado software. También trabaja con otras agencias de seguridad para desarrollar estrategias contra las amenazas y planes de acción para ayudar a mitigar estas amenazas a medida que van apareciendo. 75
SHADOWSERVER 2012 - 2011 Como se puede observar en el gráfico siguiente, las botnets han reducido drásticamente su volumen. De haber llegado a cerca de 6.000 en marzo de 2012, a diciembre del mismo año sólo se encontraban activas aproximadamente 2000. Esto representa una reducción de aproximadamente 70%.
75
The Shadowserver Foundation – Consultado el 25/04/2011 - http://www.shadowserver.org
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 77/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Shadowserver Foundation - Estado de las botnets - abril de 2011 a marzo 2013
76
La botnet Rustock fue oficialmente desactivada el 16/03/2011 por Microsoft y por fuerzas de seguridad, después de una investigación de meses. Se estima que esta botnet tenía casi un millón de computadoras infectadas trabajando bajo su control y era conocida por su capacidad de enviar miles de millones de correos basura al día, tales como el correo falso sobre la lotería de Microsoft y otras ofertas de medicamentos falsificados y, por lo tanto, potencialmente peligrosos.
SHADOWSERVER 2010 - 2009 Shadowserver informa que a noviembre de 2010 se habían detectado unas cinco mil quinientos botnets (habiendo llegado durante el año a seis mil en meses como mayo o julio), contra los poco más de cuatro mil a finales del año anterior. El crecimiento de las redes botnet activas detectadas por Shadowserver en los últimos dos años puede observarse en el siguiente gráfico:
76
Shadowserver Foundation – Gráfico en línea de la situación de las botnets - Consultado el 23/03/2013 http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 78/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Shadowserver Foundation - Estado de las botnets - junio de 2009 a mayo 2011. Actualmente no es posible consultarlo pues es un gráfico en línea.
Tomando estos 24 meses, se estima un crecimiento de aproximadamente un 85% en la cantidad de botnet activas. Esto representa millones de usuarios afectados por esta amenaza. Este valor se sustenta tan solo si se toman simplemente tres de las botnets que han sido dadas de baja durante 2010: Waledac (80 mil usuarios afectados), Mariposa (13 millones) y Bredolab (30 millones). 77
SYMANTEC CORPORATION 2012 - 2011
Symantec Corporation - Países donde se ubican las bot - 2012-2011
78
77
Se destaca esta frase en negrita para que el lector perciba la magnitud del ataque ya que, en el orden mundial, la cantidad de botnets (aproximadamente 6000) no aparece como un valor muy significativo. 78 Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 – http://www.symantec.com/content/en/us/enterprise/other_resources/bConsultado el 05/05/2013 istr_appendices_v18_2012_221284438.en-us.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 79/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
SHADOWSERVER 2012 - 2011
Shadowserver Foundation - Cantidad de bots - abril de 2011 a marzo 2013
79
Después de la última gran botnet desbaratada (Rustock, con más de un millón de equipos, marzo/2011), el conteo de bots ha disminuido. Además continuó la disminución durante todo 2012.
Situación en Latinoamérica y El Caribe
79
Shadowserver Foundation – Gráfico en línea de la cantidad de bot - Consultado el 23/03/2013 http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotCount24-Months
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 80/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
SYMANTEC CORPORATION 2012 - 2011
Symantec Corporation - Computadoras infectadas por bots en el mundo - 2011
80
ESET 2012 - 2011 ESET analizó una red de mayor impacto en Latinoamérica y El Caribe 81. Se trata de la Dorkbot que viene operando desde finales de 2011. Un análisis minucioso de las estadísticas muestra que el 54% de las detecciones de Dorkbot fueron en Latinoamérica y El Caribe, 25% en Asia mientras que el tercer lugar lo ocupa Europa con el 18%. De esta manera se puede resaltar cómo en América Latina se ha detectado más apariciones de Dorkbot que en todo el resto del mundo, incluyendo las variantes de este gusano que son capaces de propagarse a través de Skype. Otras regiones como África, Norteamérica y Oceanía tienen menos del 2% de las detecciones. Las técnicas de propagación utilizadas por este código malicioso varían según la región. Sin embargo, las campañas más comunes de propagación incluyen correos falsos, mensajes a través de las redes sociales, páginas web cuya seguridad ha sido vulnerada y diversas técnicas de Ingeniería Social. A fines de 2012 Dorkbot todavía se encontraba muy activo en América Latina y El Caribe, en países como México, Perú, Chile, Guatemala y Ecuador.
80
Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17 81 ESET - Dorkbot sigue afectando a Latinoamérica más que al resto del mundo - Publicado el 05/12/2012 - Consultado el 23/03/2013 - http://blogs.eset-la.com/laboratorio/2012/12/05/dorkbot-latinoamerica-mundo/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 81/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Otro informe de la misma compañía, emitido en julio de 2012, daba cuenta de 81.564 equipos infectados, correspondiendo el 44% a Chile, en donde además se realizó un ataque de phishing contra distintos bancos intentando obtener por parte del atacante la información de la banca electrónica de los usuarios afectados; el 15% a Perú y a Argentina el 11% 82.
A continuación, se incluye otros ejemplos de botnets originarias y/o atacantes de Latinoamérica y El Caribe: •
•
•
VoIk, un crimeware originario de México que nació en 2010, atacó principalmente a usuarios de la banca en línea del Perú. La distribución según ESET fue la siguiente: Perú 63,2%, Estados Unidos 11,2%, México 10,4%, Argentina 3,4%, República Dominicana 2,4%, Venezuela 2,4%, Bolivia 1,6%, Chile 0,8%, Ecuador 0,8%, Colombia 0,8%, Panamá 0,8%, Bielorrusia 0,8%, India 0,8% y Noruega 0,8%. 83 SAPZ (Sistema de Administración de PCs Zombis), crimeware de origen peruano liberada durante 2009, sigue activa con una fuerte demanda por parte de los delincuentes informáticos de la región, particularmente en su país de origen, donde ha iniciado una nueva campaña de infección dirigida a usuarios bancarios. En varios artículos Kaspersky menciona que Perú se ha transformado en uno de los países más importantes en materia de delitos informáticos relacionados con fraudes bancarios, y no sólo a través de crimeware desarrollado localmente, sino también como blanco de ataque. 84 BoteAR, de origen argentino asume un concepto de “social”. Intenta ofrecer una botnet convencional pero a modo de “servicio” (crimeware-as-a-service) y administrable vía web. Además, su autor parece adoptar el modelo de negocio de los sistemas de afiliados de Europa del Este que propagan
82
ESET - Infografía dorkbot: más de 80.000 bots en Latinoamérica - Publicado el 26/07/2012 - Consultado el http://blogs.eset-la.com/laboratorio/2012/07/26/infografia-dorkbot-mas-de-80-000-bots-en23/03/2013 latinoamerica/ 83 ESET - Analizando la Botnet Volk: Perú el más afectado - Publicado el 27/01/2013 - Consultado el 11/04/2013 http://blogs.eset-la.com/laboratorio/2012/01/27/analizando-botnet-volk-peru-mas-afectado/ 84 Kaspersky - Nueva campaña de SAPZ contra usuarios de Perú - Publicado el 28/08/2012 - Consultado el 11/04/2013 - http://latam.kaspersky.com/nueva-campa%C3%B1a-SAPZ-usuarios-peru
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 82/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
•
•
malware (infecta y recibe rédito por ello). Lo llamativo, es que se escuda bajo el manto de la seguridad en un intento de “fraternizar” con la comunidad. 85 AlbaBotnet se suma al crimeware regional, en este caso con el objetivo puntual de robar información de usuarios chilenos de dos importantes entidades bancarias de ese mismo país. Esta campaña forma parte de una etapa de prueba de la botnet, razón por la cual su monetización es nula por el momento, si bien su prueba ha comenzado a principios de 2012. Según Kaspersky, se encuentra en plena evolución el incremento de amenazas informáticas en la región. 86 A mediados de 2011, Kaspersky Lab a través de su Equipo Global de Análisis e Investigación (GReAT), descubrió una variante de SpyEye (de origen ruso) con foco en América Latina. El país más afectado fue Argentina con más de 12,600 equipos infectados, seguidos por Chile y Perú con más de 4,300 y 1,300 respectivamente. 87
Ratificando lo expuesto en el informe publicado por LACNIC en 2011, un prolífero autor de artículos sobre crimeware, indica que Latinoamérica y El Caribe ha dejado de ser una región limitada a recibir ataques generados desde el otro lado del mundo y, desde finales de 2009, comenzó a copiar los modelos de negocio fraudulentos de los cibercriminales europeos produciendo sus propios recursos delictivos. 88
SYMANTEC CORPORATION 2010 - 2009 A continuación se ofrece un panorama para los años 2010 y 2009 en Latinoamérica.
89
Symantec Corporation - Computadoras infectadas por bots en Latinamérica y El Caribe - 2010 .
85
Kaspersky - BoteAR: una… ¿bonet social? ¿De qué estamos hablando? - Publicado el 12/10/2012 - Consultado el 11/04/2013 - http://latam.kaspersky.com/botear-botnet-social-de-que-estamos-hablando 86 Kaspersky - AlbaBotnet, nuevo crimeware que ataca el ciberespacio latinoamericano - Publicado el 04/03/2013 Consultado el 11/04/2013 - http://latam.kaspersky.com/albabotnet-nuevo-crimeware-ataca-ciberespaciolatinoamericano 87 b:secure - El despertar del crimeware en América Latina - Publicado el 10/09/2012 - Consultado el 11/04/2013 http://www.bsecure.com.mx/opinion/el-despertar-del-crimeware-en-america-latina/ 88 b:secure - Crimeware mexicano al ataque de entidades bancarias - Publicado el 03/11/2011 - Consultado el 11/04/2013 - http://www.bsecure.com.mx/featured/crimeware-mexicano-al-ataque-de-entidades-bancarias/ 89 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 83/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
90
Symantec Corporation - Computadoras infectadas por bots en Latinoamérica y El Caribe - 2009 .
En este período es posible ver en Latinoamérica y El Caribe ha comenzado la creación de botnets. En el año 2009, ESET detecta el sistema SAPZ (Sistema de Administración de PCs Zombi) desarrollado por delincuentes latinos y que permite el control de una gran cantidad de usuarios infectados a través de troyanos como el que ESET NOD32 denomina Win32/Qhost.NMX. 91 A la fecha del artículo, 17 de setiembre de 2009, la red contaba con más de 12.000 zombis. Otra prueba concreta es una nueva botnet cuyo origen y desarrollo se encuentra en México, destinada a cometer delitos dirigidos al público latino, y que fue descubierta por el equipo de ESET. Esta noticia se publicó el 4 de junio de 2010 y se refiere a la Mariachi Botnet. 92 Cifras de Kaspersky Lab indican que Kido (también llamada Conficker o Downup Devian por otras empresas de antivirus) es la principal botnet de Latinoamérica y El Caribe. Todos los países de la región, incluyendo Chile, la tienen en el TOP 10 de las amenazas. 93
90
Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf 91 ESET Latinoamérica – Artículo del 17/09/2009 por Cristian Borghello “Rateros: botnets latinoamericanas” – Consultado el 14/05/2011 - http://blogs.eset-la.com/laboratorio/2009/09/17/rateros-botnets-latinoamericanas/ 92 ESET Latinoamérica – Artículo del 04/06/2010 por Juan Sacco “Mariachi Botnet: Latinoamérica es atacada por ciberdelincuentes mejicanos” – Consultado el 30/04/2011 - http://blogs.esetla.com/laboratorio/2010/06/04/mariachi-botnet-latinoamerica-atacada-ciberdelincuentes-mexicanos/ 93 Open Networks – Artículo del 10/05/2011 “Coreflood -que robó mas de U$100 millones- podría estar en su computador” – Consultado el 15/05/2011 - http://www.opennetla.com/portal/index.php/noticias-/210-corefloodque-robo-mas-de-u100-millones-podria-estar-en-su-computador
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 84/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Botnet - Resumen Informe 2012-2011 En el ranking mundial, Latinoamérica y El Caribe alcanzaron el tercer puesto representada por Brasil y en la región los primeros cinco puestos corresponden a Brasil, Argentina, Perú, Chile y República Dominicana. En marzo de 2012 hubo una drástica disminución de botnets activas (de casi 6000 a aproximadamente 2000). La cuenta de bots ha tenido dos picos de aproximadamente 300 y 220 mil, pero en general se ha mantenido debajo de los 150 mil. En marzo/2011 se desbarató Rustock de aproximadamente un millón de bots. Cabe señalar que Latinoamérica y El Caribe fue la región más afectada por la botnet Dorkbot con más de 80 mil bots (44% en Chile, 15% en Perú y 11% en Argentina). Informe 2010-2009 No se ha encontrado información sobre el ranking mundial de botnets en este período. Sin embargo, en la región los países que se encuentran en las primeras cinco posiciones son Brasil, Argentina, Chile, Perú, México y la República Dominicana, considerando ambos años. En febrero de 2010 hubo un importante aumento de botnets activas (de poco más de 4000 a casi 6000). Esto significa millones de usuarios afectados, considerando que una sola de ellas, la denominada Mariposa llegó a tener 13 millones de bots. Cabe señalar que varios países de Latinoamérica y El Caribe se encontraron entre los TOP 20 de máquinas infectadas por la red Mariposa, compuesta por más de 13 millones de direcciones IP infectadas distribuidas en 190 países alrededor del mundo. Ellos son: México, con el 12,85% (2do. Puesto), Brasil, con el 7,74% (3er. Puesto), Colombia, con el 4,94% (5to. Puesto), Perú, con el 2,42% (11mo. Puesto), Chile, con el 1,74% (décimo 4to puesto) y Argentina, con el 1,10% (décimo 8vo puesto) del total. 94
Ataque distribuido de denegación de servicio (DdoS – DoS) HACKMAGEDDON.COM 2012 - 2011 95 En principio se justifica la obtención de información de este blog en virtud del acabado detalle con el que están descritos los ataques producidos entre 2011 y 2013 y la extensa lista de los mismos. Como dice su autor, sólo es posible mostrar los ataques que han sido descubiertos y como consecuencia, también las estadísticas son relativas a ellos. De manera que es la información de mínima.
94
Info Spyware – Artículo del 23/03/2010 por Marcelo Rivero “Latinoamérica dentro de los más afectados por la red Mariposa” – Consultado el 15/05/2011 - http://www.infospyware.com/blog/latinoamerica-dentro-de-los-masafectados-por-la-botnet-mariposa/ 95 Hackmageddon.com - Blog perteneciente a Paolo Passeri (Senior System Engineer de Lastline, Inc) - Consultado el 11/04/2013 - http://hackmageddon.com/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 85/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En segundo lugar lo ubicamos en este tópico de denegación de servicio en virtud de que la lista mencionada contiene la identificación de muchos de éstos, situación que no es fácil encontrar en páginas pertenecientes a otras organizaciones. Por último, debemos decir que la apertura por tema se va haciendo infinita y en muchos puntos existen solapamientos. De modo que no queda más remedio que buscar alguna distribución de compromiso. Un tema interesante de este blog es la clara distinción entre las motivaciones que tienen los ataques, como se ve en el gráfico siguiente, y las definiciones de algunas de ellas que, aunque son totalmente discutibles, también son atendibles. Sobre todo teniendo en cuenta que los reportes de las compañías de seguridad suelen ubicar diferentes tipos de motivaciones bajo un mismo rótulo.
Hackmageddon.com - Distribución de ataques por motivación - 2012
A continuación se listan las mencionadas definiciones: • •
Hacktivismo: Incluye los ciberataques ejecutados para promover (o motivados por) alcances políticos o sociales. Ciberguerra y ciberespionaje: Es más difícil hacer una discriminación entre estos dos términos, dado que algunas veces son dos caras de la misma moneda y podría existir un solapamiento entre ellos. Por ejemplo, si un Estado infiltra una nación para dañar los sistemas o la información, se entiende que ejecuta una acción de ciberguerra. Si en cambio roba información o planes de proyectos, la acción es de ciberespionaje. En algunos casos pueden hacer ambas cosas. En opinión del autor, el ciberespionaje se define como el ataque dirigido exclusivamente a robar información, sin daños aparentes.
En el Capítulo IV, se expone varios eventos con estas motivaciones, publicadas por varias compañías de seguridad. Dada la magnitud de ataques que muestra el autor no fue posible analizar si existen para Latinoamérica y El Caribe.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 86/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Sin embargo, se ha encontrado que el 17/01/2013, Anonymous Argentina ejecutó un DDoS sobre el sitio web del INDEC (Instituto Nacional de Estadísticas y Censo - indec.gov.ar) en protesta por la publicación de valores considerados como irrisorios de la canasta básica familiar. En la siguiente página es posible encontrar información sobre hacktivismo en Latinoamérica y El Caribe: http://anonymousnews.blogs.ru/2013/02/05/%E2%80%9Chacktivistas%E2%80%9D-comenzaron-el2013-%E2%80%9Ctomando-de-punto%E2%80%9D-a-varios-sitios-web-del-gobierno-argentino/
SYMANTEC CORPORATION 2010 - 2009 Los ataques de denegación de servicio tienen como objetivo interrumpir la prestación del servicio web de las organizaciones atacadas. Dado que estos ataques siempre resultan en una gran exposición de las organizaciones víctima suelen producir un gran daño a su reputación y acrecientan el grado de desconfianza por parte de sus usuarios. Si bien este tipo de ataque puede ser dirigido a cualquier tipo de organización, el DoS ha sido durante el año 2010, la mayor amenaza de las infraestructuras gubernamentales y de servicios críticos como el biofarmaceútico, financiero y transporte, alcanzando el 52% del total de ataques. 96
Vulnerabilidades SYMANTEC CORPORATION 2012 - 2011 El número total de vulnerabilidades se basa en investigaciones de expertos de seguridad independientes y vendedores de productos afectados. El total anual también incluye las de día-cero que los atacantes descubrieron y que fueron identificadas después de la explotación. Otras motivaciones para llevar a cabo la investigación de vulnerabilidades además de la seguridad, son las académicas o aquéllas originadas en temas vinculados a la calidad del software entre otras. Cabe recordar también, que la presencia de vulnerabilidades es uno de los factores necesarios para que la amenaza concrete su ataque. A continuación se muestra la evolución de las vulnerabilidades en los últimos años.
Symantec Corporation - Evolución de las vulnerabilidades - 2011
97
Vulnerabilidades 2012
98
96
Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf 97 Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 87/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil La cantidad de vulnerabilidades ha decrecido aproximadamente un 20% desde el 2010, pero si bien ello es positivo no refleja la tendencia. De hecho, en 2012 ha vuelto a aumentar. Un tema importante es el relacionado con la vulnerabilidades de SCADA (Supervisory Control and Data Acquisition). SCADA representa un conjunto de protocolos y tecnologías para monitorizar y gestionar equipamiento y maquinaria en varios sectores de infraestructuras críticas y de la industria. Esto incluye la generación de energía, manufactura, nafta y gas y tratamiento del agua entre otros. De manera que, la seguridad de las tecnologías y protocoles de SCADA es de interés para la seguridad nacional dado que la interrupción de los servicios relacionados pueden resultar en la falla de la infraestructura y la potencial pérdida de vidas, entre otras consecuencias adversas. El número de vulnerabilidades de SCADA aumentó dramáticamente en 2011, llegando a 129 publicadas en comparación con las 15 de 2010, aunque en 2012 se redujo a 85. La seguridad de los sistemas SCADA fue siempre un área de interés, pero previamente al 2010 se encontraba en un estado más bien teórico. A partir de la aparición del Stuxnet en 2010, se incrementó la preocupación por SCADA. El 18/11/2011, un atacante conocido como Pr0f publicó capturas de pantalla que muestran una interfaz de usuario que se utiliza para supervisar y controlar el equipo en el Departamento de Agua y Alcantarillado para la ciudad de South Houston, Texas.
MC AFEE 2012 - 2011 Respecto de vulnerabilidades en base de datos, MySQL ha tenido un lugar preponderante con el mayor número de vulnerabilidades descubiertas o corregidas entre los productos líderes. Durante 2012, han sido descubiertas o corregidas 62 vulnerabilidades de MySQL, lejos del segundo puesto alcanzado por Oracle con 25 nuevas vulnerabilidades. MySQL es también un producto Oracle.
PANDA SECURITY 2010 - 2009 La mención más destacada del año 2009 en cuanto a vulnerabilidades se trata es para Adobe, por ser la empresa que durante más tiempo ha dejado expuestos a sus clientes, así como por ser el fabricante de los productos más explotados del año. En total fueron reportadas 45 vulnerabilidades en software de dicha empresa. Comparando con otros paquetes de software, como por ejemplo Microsoft Windows (todo el sistema operativo y aplicaciones base), han sido corregidas 41 vulnerabilidades. Así pues, este año se han encontrado más vulnerabilidades en el software Adobe (Acrobat Reader y Flash Player), que en un único sistema operativo a lo largo del tiempo. Por si esto fuera poco, lo más preocupante de este triste récord es que la ventana de tiempo en la que los usuarios de sus productos han sido vulnerables ha superado los 30 días en la mayoría de los casos. 99 También Apple ha crecido en cantidad de vulnerabilidades a medida que crece su presencia en el mercado.
98
Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 – Consultado el 29/04/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_v18_2012_21291018.en-us.pdf 99 Panda Security – Informe Anual PandaLabs 2009 – Consultado el 27/04/2011 – http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 88/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Ataques originados en la Web/Amenazas en la Web Situación global WEBSENSE, INC 2012 - 2011 Como se explica en el Capítulo IV, Websense presenta a la web como el centro (origen) de todo el cibercrimen no sólo porque es una amenaza en si misma, sino porque da soporte a otros vectores de ataque a través de los links utilizados por los medios de comunicación social, los dispositivos móviles y los correos electrónicos entre otros. Un indicador importante, expuesto previamente en este informe, es el aumento de los web link maliciosos, el cual creció 100% durante 2011 y el 600% durante 2012. Otro indicador muestra que durante el 2011 se encontró que el 82% de los sitios maliciosos de la web era alojado sobre hosts comprometidos, mientras que en el 2012 este porcentaje creció al 85% a nivel global. Los cibercriminales ahora se enfocan en sitios legítimos dentro de categorías cuyo acceso puede ser restringido por pocas organizaciones sin afectar la productividad.
Websense, Inc - Principales temáticas utilizadas por las amenazas web - 2012
100
Otra tendencia que se va acrecentando es la ocurrencia de actividades maliciosas en "lugares confiables" como EE.UU. o Canadá. Casi ninguna organización bloquearía dominios de EE.UU. (se impactaría demasiado negativamente la experiencia de los usuarios en la web). De manera que tiene sentido para los cibercriminales hacer uso de estos sitios web confiables.
100
Websense, Inc – 2013 Threat Report, Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 89/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil A continuación se muestra el alojamiento de malware (no incluye phishing) en el mundo y el ranking de países víctima de las amenazas Web.
Websense, Inc - Los 10 primeros países del ranking mundial que alojan malware (no incluye phishing) - 2012 a la izquierda y 2011 a la derecha
101
Países víctima en el mundo (2012) 1. EE.UU.
Países víctima en Latinoamérica y el Caribe (2012) 1. México
2. Francia
2. Brasil
3. UK
3. Argentina
4. Italia
4. Chile
5. Turquía
5. Colombia
6. China
6. Perú
7. India
7. Costa Rica
8. Canadá
8. Ecuador
9. México
9. Guatemala
10. Taiwan
10. Panamá
101
Websense, Inc – 2013 Threat Report - Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx - Websense, Inc – Threat Report 2012 Consultado el 12/02/2013 - http://www.websense.com/content/websense-2012-threat-report-download.aspx
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 90/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Siendo una técnica muy expandida en 2010, año tras año se produjo un descenso significativo del denominado envenenamiento Blackhat SEO lo cual lleva a resultados de búsqueda más seguras. Esta reducción se produce a expensas de un fuerte crecimiento de las actividades de los cibercriminales dentro de las redes sociales, Twitter y blogs. Ahora las amenazas web se focalizan más en las vulnerabilidades de las aplicaciones que las de los sistemas operativos. Una aplicación en múltiples plataformas puede abrir una puerta de explotación para el cibercrimen, aunque el sistema operativo sobre el que descansa tenga un buen ratio de seguridad.
MC AFEE 2012 - 2011 Mc Afee establece que los sitios web pueden ganar pobre reputación por una variedad de razones. Está influenciada por el hospedaje de malware, programas potencialmente no deseados o sitios de phishing (esto implica que Mc Afee incluye el phishing entre las amenazas web, cosa que Websense y Symantec no hacen), aunque también se observan combinaciones de código y funcionalidad. Asimismo aclara que éstos son sólo algunos de los factores que contribuyen al rating que realizan sobre la reputación de los sitios. La reputación se puede basar en dominios completos y en cualquier número de subdominios, así como en una simple IP o hasta en una URL específica.
Mc Afee - Sitios sospechosos (incluye phishing) - 2012
102
SYMANTEC CORPORATION 2012 - 2011 El indicador denominado "ataques originados en la web" mide las fuentes originarias de ataques que son distribuidos vía la Web o a través de HTTP. Generalmente se compromete sitios web legítimos y se los usa para atacar a los visitantes desprevenidos. No incluye phishing.
102
Mc Afee - McAfee Threats Report:Fourth Quarter 2012– Consultado http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
Patricia Prandini – Marcia L. Maggiore
el
10/02/2013
Julio 2013 – Pág. Nº 91/185
-
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Symantec Corporation - Países donde se ubican los ataques originados en la web - 2012-2011
103
Situación en Latinoamérica y El Caribe Por una cuestión de facilidad en la presentación, se ha incluido datos de Latinoamérica y El Caribe en el apartado "Situación global" para las empresas Websense y Mc Afee.
SYMANTEC CORPORATION 2012 - 2011
Symantec Corporation - Países donde se ubican los ataques originados en la web - 2011
104
103
Symantec Corporation – Internet Security Threat Report (ISTR), 2012 Trends, Volume 18, Published April 2013 – http://www.symantec.com/content/en/us/enterprise/other_resources/bConsultado el 05/05/2013 istr_appendices_v18_2012_221284438.en-us.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 92/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
KASPERSKY 2012 - 2011 En la siguiente tabla, Kaspersky Latinoamérica muestra el porcentaje de usuarios atacados a través de la Web 105. País Chile Colombia Panamá Brasil Honduras Paraguay Perú Guatemala México Argentina Uruguay Costa Rica Bolivia Ecuador Nicaragua El Salvador Venezuela República Dominicana
Cantidad de usuarios atacados vía Web 39% 39% 38% 37% 37% 37% 37% 36% 35% 35% 35% 34% 34% 34% 34% 33% 32% 30%
VARIOS 2010 - 2009 Actualmente los delincuentes dirigen sus ataques en tiempo real, por ejemplo utilizando las búsquedas en líneas. Los delincuentes utilizan técnicas de Blackhat SEO y suelen subir scripts PHP a las páginas atacadas. Estos scripts lanzan consultas al servicio de temas más populares de Google y a continuación generan archivos HTML correspondientes a los términos de búsqueda más utilizados. “El motor de búsqueda es engañado para que ‘vea’ el material correspondiente, mientras que el usuario es redireccionado a un sitio de distribución de malware en cuanto hace clic sobre el enlace del resultado que aparece en primer lugar. Los delincuentes que se aprovechan de las técnicas de Blackhat SEO para distribuir malware han explotado tanto los motores de búsqueda que los usuarios ya no saben si confiar o no en los resultados de sus búsquedas – Lo que no son buenas noticias ni para los usuarios ni para las 104
Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17 105 Kaspersky - La geografía del ciberdelito: América Latina - Publicado el 11/09/2012 - Consultado el 11/04/2013 http://latam.kaspersky.com/geografiaciberdelitolatam
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 93/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil empresas de los motores de búsqueda. Este año hemos sido testigos de múltiples campañas de Blackhat SEO que explotaban los temas más populares del día, viendo como muchas de ellas conseguían colar páginas maliciosas entre los primeros lugares de los resultados de las búsquedas.” 106 Websense Inc. informa que en el año 2010 el 22,4 % de de las búsquedas en tiempo real sobre entretenimientos dirige a un link malicioso, ya que los autores de software malicioso se focalizan en los rumores de la farándula y las noticias de último momento. Otras compañías dan porcentajes más altos, probablemente usando métodos de conteo diferentes. Pero lo cierto es que esta actividad maliciosa existe. Muchos de los ataques SEO en el 2010 son combinados con un segundo componente que consiste en un ROGUE ANTIVIRUS (ROGUEWARE). (Ver Falsos antivirus (rogueware)).
Ataques originados en la Web/Amenazas en la Web Informe 2012 - 2011 Latinoamérica y El Caribe aparece representada por Brasil en el ranking global y tomando la región como el universo, vemos que en general Brasil, México, Chile, Argentina y Colombia son los principales actores. Si observamos los países víctima, encontramos que Websense señala a México como una de las 10 primeras y en la región, las cinco primeras son México, Brasil, Argentina, Chile y Colombia. Las compañías no midieron esta actividad maliciosa en años anteriores o para ser más precisos, no fue considerada de manera separada. Informe 2010-2009 Se destacó el uso de las técnicas de Blackhat SEO para atacar a los usuarios en línea.
Redes Sociales WEBSENSE, INC 2012 - 2011 Los riesgos de las comunicaciones sociales en la web se expanden en función del estilo de vida "siempre conectado" que apareció a partir de esta posibilidad desde los dispositivos móviles. Como se expuso previamente, un estudio (FactsMark Authority) ha encontrado que los usuarios de dispositivos móviles acceden a redes sociales durante más del 50% del tiempo de uso. De todos los tweets que contienen web links, maliciosos y de los otros, el 18% contiene "web links cortos". Este uso es relativamente pequeño en Facebook, alcanzando sólo el 1,5% de todos los publicados. Sin embargo, cuando se examina las piezas de colaboración (posting), las compartidas y los tweets de 106
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 94/185
–
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil web links maliciosos a través de todas las redes sociales, los "web links cortos" ocultan una página maliciosa el 32% de las veces. A continuación se presenta una tabla que muestra el ranking de uso de Twitter y Facebook en el mundo. En el 2012, Twitter alcanzó más de 500 millones de usuarios y Facebook, 1000 millones, lo cual los transforma como vectores de ataque muy interesantes
1 2 3 4 5 6 7 8 9 10
Uso de Twitter 107 Estados Unidos Brasil Japón Reino Unido Indonesia India México Canadá España Filipinas
Uso de Facebook 108 Estados Unidos Brasil India Indonesia México Reino Unido Turquía Filipinas Francia Alemania
En su informe de 2011, Websense informa que en octubre de ese año inició una alianza con Facebook para proveer inteligencia de seguridad en los sitios maliciosos para proteger a los usuarios. Después de varios años de trabajar en conjunto con los grupos de seguridad de Facebook, lograron integrarse en la plataforma. Websense Security Labs recibe URLs para analizar y categorizar, tareas mediante las cuales ha logrado identificar que el 42,8% de todas las actualizaciones corresponden a videos. Más de 5 veces la segunda categoría, que corresponde a noticias y comunicaciones (8%). Por supuesto, el cibercrimen respondió con un aumento de los señuelos por video (sobre ex novias o novios, noticias de último momento, actrices hot, etc.) en Facebook. Y más allá de malware, el intercambio legítimo de videos entre amigos y compañeros de trabajo puede ser viral y por lo tanto, cargar la banda ancha sin previo aviso.
PANDA SECURITY 2012 - 2011 Facebook sigue siendo la red social por excelencia, y por lo tanto también la preferida por los ciberdelincuentes. Apenas comenzado el año 2012 se descubrió un gusano que tenía almacenadas un total de 45.000 cuentas de Facebook robadas a usuarios. Se sospecha que las usaba para publicar en el muro de sus víctimas y que así sus contactos se infectaran con el gusano.
107
Websense, Inc – 2013 Threat Report - En referencia a Techcrunch - July 30, 2012, "Analyst: Twitter Passed 500M Users in June 2012, 140M Of Them in US. Jakarta 'Biggest Tweeting' City" - Consultado el 20/02/2013 http://www.websense.com/content/websense-2013-threat-report.aspx 108 Websense, Inc – Threat Report 2012 - En referencia a CheckFacebook.com - Jan. 10, 2013 - Consultado el 12/02/2013 - http://www.websense.com/content/websense-2012-threat-report-download.aspx
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 95/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil LinkedIn, la conocida red social profesional, ha sufrido una intrusión en la que le han sustraído al menos 6 millones y medio de contraseñas, que fueron hechas públicas. La buena noticia es que estaban cifradas. Por supuesto, las técnicas que se utilizaban en otros ámbitos, como el uso de noticias recientes para engañar a los usuarios también tienen su lugar en las redes sociales. Por ejemplo durante 2011, en cuanto se supo que Steve Jobs había fallecido, fue creada una página de Facebook llamada “R.I.P. Steve Jobs”, y miles de usuarios inocentes se unieron a la misma. En pocas horas llegaron hasta los 90.000 seguidores. Los cibercriminales publicaron un link usando el popular acortador de URLs bit.ly, diciendo que Apple regalaría 50 iPads. Como es de imaginar, esto no era más que una estafa, y una vez que el usuario hacía click en la url (la cual terminaba en “restinpeace-steve-jobs”) se le redirigía a un sitio web en el que se ofrecían diferentes regalos, como iPads o televisores Sony Bravia. Para acceder a ellos se les pedía información como el nombre, número de teléfono móvil, dirección de e-mail, etc.
PANDA SECURITY 2010 - 2009 Las redes sociales presentan grandes oportunidades para los negocios, pero también para los delincuentes ya que muchos de estos sitios no fueron diseñados con seguridad. Los atacantes usan técnicas de phishing para luego solicitar acceso, a través de la aplicación maliciosa, a toda su información personal, con lo cual puede dirigirse a todos los contactos de la víctima. Panda Security informa en su reporte de 2010 que descubrió una página de venta de bots para redes sociales. Según informa dicha página “el bot recoge información de las identidades y nombres de los amigos y envía, de forma automática, solicitudes de amistad, mensajes con el contenido que se quiera o comentarios”. 109 “Se ha visto en los últimos años que los atacantes combinan una gran variedad de tácticas para maximizar el potencial de éxito. Esta situación se conoce como una “convergencia de amenazas”. Esta convergencia a través de múltiples protocolos hace mucho más difícil la securización de aplicaciones en línea. Los atacantes se están dirigiendo hacia los medios sociales, teniendo en cuenta el uso de las redes de esta naturaleza y el acceso a datos del negocio por parte de los empleados mientras están en tránsito, en la casa o realmente en cualquier lugar fuera de los confines de la red corporativa.” 110 Ya en un artículo de abril de 2008, informa Internacional Data Corporation (IDC) que de acuerdo con un estudio reciente, “hoy día dos tercios de las empresas usan mínimo una aplicación Web 2.0; sin embargo, utilizar estas tecnologías emergentes sin una seguridad efectiva puede ser desastroso. El Vicepresidente de programa, Chris Christiansen, escribió en el reporte de IDC de enero de 2008 que las comunidades y aplicaciones Web 2.0 y Business 2.0 se convertirán en una fuente principal de fraude de identidad, violaciones a la privacidad y pérdida de información de las organizaciones.” 111 109
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 – http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf 110 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf 111 CDS Comunicaciones – Artículo del 11/04/2008 “Websense revela la primera red de seguridad HoneyGrid” Consultado el 25/04/2011 http://www.cds11.com/magazine/index.php?option=com_content&task=view&id=467&Itemid=92
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 96/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Redes Sociales - Resumen Tal como adelantó IDC en enero de 2008, y fuera recogido por el informe publicado por LACNIC en 2011, la actividad cibercriminal ha ido creciendo raudamente en el período 2012-2009 focalizándose fuertemente en blogs, Tweets y las comunicaciones sociales a través de la web.
Violación de datos (Fuga de Información) La violación de datos es en realidad uno de los objetivos buscado por los cibercriminales al realizar sus ataques utilizando las amenazas que analizamos en el informe.
WEBSENSE, INC 2012 - 2011 El informe "The Leaking Vault – Six Years of Data Breaches" resume su análisis de los años 2005 a 2010 indicando que la violación de sistemas (hacking) es el vector que ha expuesto la mayor cantidad de registros, que el robo de laptops es el vector más común y que el mayor daño fue producido por los ataques externos. Este informe presenta los datos recogidos en 3.765 incidentes de violación de datos difundidos públicamente, comprendidos en los años 2005 a 2010. La información fue obtenida de las organizaciones que hacen un seguimiento a estos eventos, como así como de fuentes gubernamentales. Incluye datos de infracciones de 33 países así como los de los Estados Unidos y más de 806,2 millones registros. Indica que el líder de los incidentes sigue siendo el robo de laptops, pero el vector "material impreso" está en rápido crecimiento y demuestra la necesidad de gestionar tanto datos electrónicos como documentos impresos. Este vector ha sido tendencia al alza durante varios años. El vector de piratería sigue siendo el líder de la pérdida de registros, responsable del 48% de los registros analizados en el informe. El vector unidades/medios removibles está en segundo lugar dejando a la Web en tercer lugar. Los externos siguen representando el mayor riesgo en términos de incidentes y registros revelados. Cuando la amenaza es un actor interno, es mucho más probable que sea accidental en la naturaleza. Aunque los incidentes accidentales son más frecuentes, también causan el mayor daño en términos de registros revelados. 112 Websense, Inc hace referencia al informe expuesto previamente, y luego expresa que el robo por malware a través de la web se incrementó en 2011 al 55%, desde el 52% del año anterior. El restante 45% que no pertenece a ese grupo usa canales que nos son web, tales como los puertos 8000 y 1034 por troyanos o el puerto 25 para las comunicaciones de correo (SMTP). A través de los años han disminuido los ataques por tráfico SQL y NetBios, mientras que el malware de robo de datos por comunicaciones de correo se ha mantenido consistente. En su informe de 2012 dice que los ciberataques intencionales y bien planificados por externos han crecido mientras que disminuyó la pérdida de datos a través de robos o pérdida accidental de laptops, cin112
Digital Forensics Association - "The Leaking Vault – Six Years of Data Breaches" - Publicado en agosto de 2011Consultado el 04/03/2013- http://www.digitalforensicsassociation.org/storage/The_Leaking_Vault_2011Six_Years_of_Data_Breaches.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 97/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil tas de backup y otros repositorios de datos. También creció la amenaza de internos a medida que el personal y los contratados tomaron ventaja de las comunicaciones cifradas (SSL, TSL), que es un nicho ciego en crecimiento para las soluciones de seguridad a medida que el correo electrónico, las comunicaciones sociales y otros sitios populares y servicios comenzaron a usar este protocolo de cifrado. El mercado de Información personal identificable (PII por sus siglas en inglés: personal identifiable information) está bien establecido haciendo que los ataques sean lucrativos y fáciles de convertir en dinero. También ha crecido el robo de propiedad intelectual (IP por sus siglas en inglés: intelectual property). Mientras mayor cantidad de medidas de seguridad para proteger PII existan, ello puede ayudar a securizar las IP. Pero las organizaciones aún necesitan reevaluar sus procesos internos, procedimientos y controles a la luz de esta tendencia. Ellas deben abordar las amenazas internas para asegurar que los empleados son confiables a la hora de acceder a la información requerida para ejecutar sus funciones.
MC AFEE 2012 - 2011 En su informe respecto de 2011 Mc Afee informa que el total de violaciones de datos reportadas ha aumentado considerablemente a partir de 2010 y los vectores han sido la piratería (hacking), el malware y el fraude entre otros.
Mc Afee - Fuga de datos publicadas - 2011
113
En el informe correspondiente a 2012 da cuenta de más de 300 violaciones en ese año, significativamente más altas que las de años anteriores. Una de las violaciones más importante afectó al South Carolina Department of Revenue. Su sitio web fue atacado, lo cual afectó a más de 6,4 millones de ciudadanos. También se descubrieron violaciones en más de 100 universidades del mundo incluyendo Princeton, Harvard, Cambridge, Moscú y Tokio. En este caso el equipo de GhostShell (hackers), asociados con Anonymous, robó registros de más de 120.000 cuentas de usuarios.
113
Mc Afee - McAfee Threats Report:Fourth Quarter 2011 – Consultado http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2011.pdf
Patricia Prandini – Marcia L. Maggiore
el
10/02/2013
Julio 2013 – Pág. Nº 98/185
-
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Mc Afee - Fuga de datos publicadas - 2012
114
114
Mc Afee - McAfee Threats Report: Fourth Quarter 2012 – Consultado http://www.mcafee.com/mx/resources/reports/rp-quarterly-threat-q4-2012.pdf
Patricia Prandini – Marcia L. Maggiore
el
10/02/2013
Julio 2013 – Pág. Nº 99/185
-
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
SYMANTEC 2012 - 2011 La violación de sistemas o computadoras (hacking - piratería) fue un tema importante en 2011 y aunque no es la causa más frecuente de la violación de datos tiene potencialmente el mayor impacto y expuso más de 187,2 millones de identidades, el mayor número para cualquier tipo de violación en 2011. En el mundo se pierde por cada violación, alrededor de 1,1 millones de identidades, principalmente a través de la violación de sistemas (hacking). A pesar del interés de los medios sobre este tipo de violación, el robo a la vieja usanza o la pérdida de dispositivos fue la causa más frecuente de violación de datos en 2011, a través de todos los sectores, alcanzando un 34,3%, o aproximadamente 18,5 millones de identidades expuestas. Si bien no aclara otras causas expone que más de 232,4 millones de identidades fueron expuestas en el año. Las violaciones deliberadas fueron dirigidas a información relativa a consumidores, principalmente porque esta información puede ser usada para cometer fraude. Un estudio del Ponemon Institute, encargado por Symantec Corporation, reveló que más organizaciones usaron tecnologías de "data loss prevention" (DLP) en 2011 y que se había perdido menos registros, con menos niveles de rotación de clientes que en años anteriores.
Symantec Corporation - Primeros diez sectores por números de violaciones y por número de identidades ex115 puestas - 2011 115
Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/b-
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 100/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Un tema puntual que Symantec analiza en este informe es que las autoridades certificantes (quienes proporcionan certificados SSL que ayudan a cifrar y autenticar sitios web y otros servicios on line) mostraron un número sin precedentes de ataque en 2011. A continuación algunos ejemplos: Marzo - Un ataque comprometió las credenciales de acceso a los socios de Comodo y usó sus privilegios para generar certificados SSL fraudulentos. Julio - Un auditor interno descubrió una intrusión en la infraestructura de DigiNotar indicando el compromiso de sus claves criptográficas. Como consecuencia de este hecho tanto Google como Mozilla addons, Microsoft Update y otros usaron certificados fraudulentos. Agosto - Un hacker (apodado ComodoHacker) reclamó el crédito por los ataques a Comodo, DigiNotar y otras autoridades certificantes. Dijo ser de Irán. Setiembre - Investigadores de seguridad demostraron que “Browser Exploit Against SSL/TLS” (BEAST) es una técnica para tomar ventaja de una vulnerabilidad en la tecnología de encripción de TLS 1.0, un estándar usado por navegadores, servidores y Autoridades Certificantes.
PANDA 2012 - 2011 En su reporte 2012 la compañía informa que un ciudadano iraní, Khosrow Zarefarid, encontró una vulnerabilidad en el sistema bancario de su país y mandó una carta a los responsables de todos los bancos de su país afectados. Al no recibir respuesta, violó 3 millones de cuentas bancarias pertenecientes a al menos 22 entidades financieras distintas y creó un blog donde publicó toda la información, que incluía el nº de tarjeta de crédito junto a su correspondiente PIN. Google cerró el blog de Zarefarid (alojado en la plataforma Blogger) y todos los bancos afectados urgieron a sus clientes a que cambiaran el código PIN de sus tarjetas. El Departamento de Salud de UTAH sufrió una intrusión desde un país de Europa del Este, donde le robaron información de al menos 900.000 ciudadanos, incluyendo entre la información su número de la Seguridad Social. La compañía de seguros norteamericana Nationwide sufrió un ataque en su red que tuvo como resultado el robo de datos de más de 1 millón de clientes y empleados. La información incluía el nombre completo, dirección, número de la seguridad social y múltiples datos personales. Mientras que en el 2011, el sitio web de la Agencia Espacial Europea fue hackeada y todos los datos robados fueron hechos públicos. Entre los datos se encontraban nombres de usuario, cuentas ftp, e incluso las contraseñas de las cuentas ftp que se encontraban en texto claro. Citigroup ha protagonizado otro incidente vergonzoso, donde información de 360.000 cuentas ha sido comprometida. Lo peor de este ataque, es que ni siquiera existió la necesidad de atacar un servidor, simplemente “jugando” con la URL era posible acceder a la información de otra cuenta. Sega, la popular compañía japonesa de videojuegos, ha sido otra de las víctimas: los datos de 1,3 millones de usuarios de su red Sega Pass fueron robados el pasado mes de junio, incluyendo nombres de usuario, fechas de nacimiento, direcciones de correo y contraseñas, aunque éstas estaban cifradas, por istr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 101/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil lo que se minimiza algo el riesgo si el cifrado utilizado es fuerte, algo que vistas experiencias pasadas no está suficientemente extendido.
VARIOS 2012 - 2011 El 2011 sorprendió con un ataque a la compañía Sony, la cual lo explicó de la siguiente manera: “El ataque a la base de datos de clientes se realizó desde un servidor de aplicaciones conectado con ella, y que estaba tras un servidor web y dos cortafuegos o firewalls. Según los responsables de la compañía, el modo en que se realizó el hackeo “es un técnica muy sofisticada”. Los autores del ataque lo encubrieron como una compra en la plataforma online de Sony, por lo que los sistemas de seguridad no detectaron nada raro, y tras pasar del servidor web, lograron explotar una vulnerabilidad del servidor de aplicaciones para instalar software que más tarde fue usado para acceder al servidor de la base de datos, protegido por un tercer firewall. La vulnerabilidad del servidor de aplicaciones donde se instaló el software para acceder a la base de datos era desconocida por Sony, que ya se había apresurado a crear un puesto de jefe de seguridad de la información para supervisar la seguridad de los datos de ahora en adelante, además de haber rehecho la seguridad de la plataforma PlayStation Network para evitar que esto vuelva a pasar.” 116 En el link al pie de la página puede verse un gráfico representativo. En otro artículo publicado por ESET Latinoamérica en su blog de laboratorio se puede leer: El presidente de la compañía, Kaz Hirai, confirmó que 10 millones de tarjetas de crédito de los 77 millones de usuarios han sido obtenidas por los atacantes, y la empresa ya informó a estos usuarios de los hechos. De la misma rueda de prensa, fue posible obtener los datos de los usuarios afectados en Latinoamérica, y se trata nada más y nada menos que de más de un millón setecientos mil usuarios.
Un periodista que asistió a la conferencia, Mark MacDonald, publicó desde su cuenta de Twitter (@markmacd) una foto del documento presentado el día de ayer, con el número de cuentas afectadas por país, y de allí se derivan que los usuarios afectados en Latinoamérica, sólo tomando los países que se indican en las planillas (los más grandes en usuarios afectados), son los siguientes (de mayor a menor): • • • • •
México: 957,543 cuentas. Brasil: 448,839 cuentas. Argentina: 101,269 cuentas. Colombia: 93,246 cuentas. Chile: 80,357 cuentas.
116
1080b bloggresivo – Artículo del 04/05/2011 “Sony explica como fue hackeada Playstation Network” – Consultado el 20/05/2011 - http://www.1080b.com/tecnologia/sony-explica-como-fue-hackeada-playstationnetwork/13526/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 102/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil •
Perú: 35,517
Si se tienen en cuenta otros países en números menores, el número asciende por encima de los 1.716.771 afectados. 117
En el link al pie de la página puede verse la foto enviada por el periodista.
VERIZON 2012 - 2011 Verizon, con la cooperación de Australian Federal Police, Dutch National High Tech Crime Unit, Irish Reporting and Information Security Service, Police Central e-Crime Unit, and United States Secret Service produjo el 2012 el informe Data Breach Investigations Report (DBIR), reporte que analizó la violación de datos durante 2011. Dicho estudio concluye que se registraron 855 incidentes y 174 millones de registros perdidos en 36 países. Verizon analiza esta información desde el punto de vista de organizaciones que son víctimas en el compromiso de datos y entre los países donde se asientan dichas organizaciones se encuentran Brasil y México. Desde que comenzaron su investigación en el 2004, el año 2011 representa el segundo mayor total de pérdida de datos. Coincidiendo o bien en cercanía con otros reportes ya mencionados, informa que el 98% de los casos fue producto de acciones externas y que la piratería (hacking) fue el origen o tuvo participación en el 81% de los casos, con un incremento del 31%. También aumentó el malware en un 20% llegando al 69% de total, mientras que los ataques que involucran dispositivos físicos disminuyeron el 19% para llegar al 10% del total. No hay coincidencia respecto de los sectores del mercado alcanzados. 118
VARIOS 2010 - 2009 El robo de identidad continúa siendo un problema de seguridad de alto perfil particularmente para organizaciones que almacenan grandes cantidades de información personal. No sólo pueden terminar en la pérdida de datos personales dañando la confidencialidad de clientes e instituciones, sino que pueden dañar la reputación de la organización y puede ser costoso para los individuos recuperarse del resultado del robo de identidad. Un gran número de violaciones de datos no necesariamente iguala la cantidad de identidades expuestas. Por ejemplo, los tres sectores que mayor cantidad de violaciones de datos sufrieron en el 2010 sólo contabilizaron un cuarto de las identidades expuestas en el período en estudio. El promedio de identidades expuestas por violación de datos para cada uno de estos sectores fue menor a 38.000, mientras que para el sector financiero fue de 236.000. 119
117
ESET Latinoamérica - Artículo del 05/05/2011 “SonyPlayStation: más de un millón de afectados en Latinoamérica” – Consultado el 20/05/2011 - http://blogs.eset-la.com/laboratorio/2011/05/05/sonyplaystation-mas-de-unmillon-de-afectados-en-latinoamerica/ 118 Verizon - 2012 Data Breach Investigations Report – consultado el 15/03/2013 http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-ebk_en_xg.pdf 119 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 103/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En muchos casos uno de los aliados técnicos de la fuga de información es el software malicioso, que en sus distintas formas y tipos permite acceder a equipos, explotar vulnerabilidades y afectar la privacidad de forma directa. De hecho, como caso particular, el SPYWARE está diseñado para espiar los sistemas en los cuales se logra alojar, haciendo que, por ejemplo, las contraseñas de un usuario sean capturadas, o su información estadística de navegación sea tomada sin su consentimiento para fines económicos. En el mismo sentido, dentro del software malicioso que produce este tipo de resultados, existen los denominados KEYLOGGERS, que son dispositivos de software o hardware que capturan silenciosamente lo tecleado por el usuario. Si bien este aspecto técnico debe resolverse principalmente con un software antivirus adecuado, también es indispensable que el usuario conozca los peligros a los que se expone, dado que en muchos casos la falta de concientización es la que promueve la exposición directa a las amenazas. 120 Un artículo de elmundo.es publicado el 19/08/2009, da cuenta de lo que constituye el mayor caso de robo informático de datos llevado a juicio en Estados Unidos, según las autoridades de ese país. Más de 130 millones de números de tarjetas de crédito y débito fueron robados por un 'cracker' de Miami y dos compinches rusos, mediante un sofisticado ataque de 'SQL INJECTION' para penetrar en sus redes. 121
Violación de datos - Resumen Informe 2012 -2011 Varios reportes indican que 2011 presentó un crecimiento inusitado en la violación de datos con una distribución más amplia, respecto de países afectados, que años anteriores. Latinoamérica y El Caribe se encuentran representados por México, Brasil, Argentina, Colombia, Chile y Perú. Informe 2010 -2009 McAfee informa que Brasil ocupa el noveno lugar como fuente de ataque de SQL Injection 122, siendo éste un ataque utilizado para acceder a diferentes tipos de bases de datos.
120
ESET – Fuga de información. Una amenaza pasajera? – Consultado el 24/04/2011 - http://www.esetla.com/pdf/prensa/informe/fuga_de_informacion.pdf 121 elmundo.es – Artículo del 17/08/2009 “Un 'cracker' de 28 años, acusado de robar datos de 130 millones de tarjetas de crédito” – Consultado el 27/04/2011 http://www.elmundo.es/elmundo/2009/08/17/navegante/1250535175.html 122 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 5/04/2011 – https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 104/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo IV – Misceláneo de las Ciberamenazas En el capítulo anterior observamos el cibercrimen desde el punto de vista de las cifras tratando de utilizar reportes de la mayor cantidad de compañías y organizaciones dedicadas al tema, con el objetivo de proveer una visión de amplio espectro y a pesar de las dificultades, oportunamente explicadas, que presenta este análisis. En este capítulo presentaremos toda información que resulte de interés y complementaria, tal como antecedentes, detalles, historia, desarrollo, hechos significativos y técnicas empleadas, entre otros. Es decir, todo aquello que permita entender, apreciar el alcance, adquirir una visión global tanto del cibercrimen como del enfoque de las compañías y organizaciones independientes de seguridad. La presentación de los temas sigue el mismo orden que el utilizado en el capítulo anterior, aunque como explicamos en él, la distribución resulte caprichosa. Lamentablemente, no es posible encarar el estudio profundo del comportamiento y de las técnicas de cada ciberamenaza, pues excede el objetivo del informe. Cabe señalar que la mayoría de los casos presentados a lo largo del capítulo, incluyen transcripciones de los reportes de las organizaciones y/o compañías que se indican a través de notas al pie además de los correspondientes a las referenciadas en las notas al pie del capítulo anterior. Asimismo, estos casos han sido incorporados bajo un título que indica la compañía u organización proveedora de la información.
Actividad Maliciosa en su Conjunto WEBSENSE, INC. 2012 – 2011 En su informe correspondiente a 2012, esta compañía expresa que la web provee los cimientos para la mayoría de las amenazas incluyendo los ataques a través de dispositivos móviles, correo, medios de comunicación social u otros vectores. Ello es porque la web: 1. Es un vector de ataque en sí misma. Gracias a typosquatting y otras técnicas, los usuarios pueden encontrar primero un ataque mientras navegan la web. 2. Da soporte a otros vectores de ataque. Los enlaces enviados a través de vectores tales como las redes sociales, los dispositivos móviles o los correos electrónicos usan la web para complejos escapes y funciones de ataque.
SYMANTEC CORPORATION 2010 – 2009 La posición de Brasil en la región fue consecuencia del aumento de su participación en todas las mediciones de categorías específicas, en virtud del rápido y continuo crecimiento de su infraestructura de Internet y del uso de banda ancha. En el 2010, Brasil fue el país con la mayor cantidad de conexiones de banda ancha en la región, su participación en las grandes BOTNETS tales como Rustock, Maazben, y Ozdok (Mega-D), contribuye en su alto rango de computadoras infectadas (BOTS), emisoras de SPAM y repositorios de PHISHING.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 105/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Código malicioso (malicious code)/malware ¿Para qué se usan los códigos maliciosos? La mayoría de los ataques comienzan con una infección a través de un código malicioso. El atacante lo introduce por técnicas de ingeniería social, utilizando archivos adjuntos en los correos electrónicos, creando sitios maliciosos, infectando los confiables o simplemente a través de algunos dispositivos. Como vimos en el capítulo anterior existen diferentes tipos de código malicioso y cada uno tiene particularidades y objetivos propios. Continúan siendo una amenaza importante debido a que la mayoría de la actividad maliciosa está motivada por la obtención de ganancias. Los troyanos alcanzan el mayor porcentaje tanto en el período 2011-2012 como en años anteriores. Muchos troyanos son diseñados para robar información y esta funcionalidad es de particular interés de los criminales en virtud de su potencial uso en actividades fraudulentas. Los operadores de la economía clandestina usan estas amenazas para ganar acceso a información bancaria y de tarjetas de crédito y para dirigir los ataques a empresas específicas, muchas veces con la intención de robar propiedad intelectual, datos corporativos sensibles como los de carácter financiero, planes de negocio o tecnología propietaria. Siendo tan extendido el uso de las compras y operaciones bancarias en línea, los compromisos de este tipo pueden resultar en pérdidas financieras significativas. Ataques de este tipo a las organizaciones puede llevar a importantes pérdidas de datos, con sus consiguientes costos, la pérdida de su reputación y de la confianza por parte de los clientes, así como el incumplimiento de reglamentaciones gubernamentales o de la industria.
SYMANTEC CORPORATION 2012 – 2011
Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica y El Caribe - 2011
123
Es de destacar que los códigos maliciosos preponderantes en la región siguen siendo los mismos que en el período 2010-2009. Una somera descripción de los mismos se encuentra al final de este tema. 123
Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – http://www.symantec.com/content/en/us/enterprise/other_resources/bConsultado el 08/02/2013 istr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 106/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
SYMANTEC CORPORATION 2010 – 2009
Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica y El Caribe - 2010
124
Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica y El Caribe - 2009
125
124
Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 107/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Sality.AE La principal muestra de códigos maliciosos por volumen de posibles infecciones en Latinoamérica y El Caribe en 2010 fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para que la familia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010. Descubierto en 2008, este virus ha sido una parte importante del panorama de amenazas desde entonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en 2009. La simplicidad de propagación a través de dispositivos USB y otros medios de comunicación hace que códigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalar códigos maliciosos adicionales en los equipos.
Conficker El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvo significativa atención en 2009 debido a sus sofisticados atributos y eficacia. A pesar de que el 23 de octubre de 2008 (es decir, antes de que Downadup estuviera incluso activo) se liberó un parche para la vulnerabilidad, a fines de 2009 se estimó que el gusano todavía se encontraba en más de 6 millones de computadoras en todo el mundo. Aunque este número disminuyó durante 2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs a finales de ese año. Este gusano fue la muestra de códigos malintencionados que ocupó el primer puesto en la región en 2009, mientras que ocupó el tercero en el 2010. También en 2009 hubo una fuerte expansión de Downadup en Brasil. Una explicación de este hecho es que, como parte de su funcionalidad, el gusano puede centrarse específicamente en regiones con base en su capacidad para identificar la configuración del idioma de una computadora atacada, de los cuales uno es el “portugués (brasileño)”.
Ransomware Dice Mc Afee en su informe correspondiente a 2012 que una de las razones del crecimiento del ransomware es que representa un medio muy eficiente para que los criminales ganen dinero. Este método de recolección de efectivo es superior al usado por los productos AV falsos, por ejemplo, ya que éstos deben procesar órdenes de tarjetas de crédito. Otra razón es que el ecosistema del submundo está preparado para ayudar con servicios tales como pago por instalación (pay-per-install o PPI) y también con la venta de exploit kits (son un tipo de herramientas maliciosas usadas para explotar las fallas de seguridad o vulnerabilidades del software - aplicaciones/sistemas operativos - con el propósito de distribuir malware). Según Panda Security, el ransomware ha provocado una “epidemia” utilizando el miedo y el chantaje como una forma de extorsión, para que los usuarios paguen de su bolsillo directamente a los ciberdelincuentes. Normalmente estamos acostumbrados a ver la mayoría de estos ataques utilizando como idioma el inglés, pero en este caso los ataques están localizados, habiendo encontrado el uso del ale-
125
Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 108/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil mán, español, holandés o italiano (entre otros) en función del país de la víctima. Todos los ataques tienen como objetivo algún país europeo, por lo que parece que todos ellos están relacionados y podría ser
la misma banda de ciberdelincuentes la que está detrás de los mismos. Analizando uno de estos ataques se puede ver que el archivo utiliza como icono el siguiente Internet meme, popular ya que el grupo LulzSec lo utiliza en sus comunicaciones. Se lo llama el "virus de la policía" porque muestra un mensaje de esta fuerza de seguridad diciendo que ha sido detectado acceso a contenido ilegal desde ese ordenador (desde pornografía infantil a envío de SPAM con temática terrorista), y que el equipo será bloqueado para evitarlo hasta que el usuario pague una multa. ¿Cuánto más lejos pueden llegar? Al final, lo que estos ciberdelincuentes pretenden es asustar a los usuarios lo máximo posible, de tal forma que éstos paguen el rescate (la “multa”). Otra nueva evolución activaba la cámara web del equipo infectado. ¿Para qué? Han modificado la típica página de advertencia que venían utilizando hasta ahora para agregar un marco donde se muestran las imágenes que está capturando en tiempo real, la webcam del equipo comprometido, y una leyenda que dice “Grabación de video”.
En realidad no está grabando las imágenes ni enviándolas a ningún sitio, simplemente muestra la imagen tomada por la cámara web. Por supuesto, el usuario no sabe esto y la mayoría de ellos entrarán en fase de pánico y pagarán lo antes posible para evitar seguir “siendo espiado por los cuerpos de seguridad”, como se les hace creer. La nueva variante no tiene función de cifrado de archivos, lo que hace suponer que los cibercriminales deben haber pensado que incluir las imágenes de la webcam era suficientemente aterrador.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 109/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Dispositivos móviles No es casual que Android sea el más atacado. Panda Security informa en el 2011 que a diferencia de iOS en el iPhone, en Android es posible instalar cualquier aplicación desde cualquier lugar y no se exige que sean firmadas. Además de esto, las aplicaciones que se suben a la tienda oficial de Android (Android Market) no son examinadas con la misma minuciosidad que las de Apple. A principios de marzo del año en cuestión tuvo lugar el mayor ataque de malware en Android conocido hasta ese año, esta vez las aplicaciones maliciosas se encontraban en el Android Market, la tienda oficial para comprar aplicaciones. En sólo 4 días las aplicaciones que instalaban el troyano habían tenido más de 50.000 descargas. El troyano en esta ocasión era mucho más avanzado, ya que no sólo robaba información personal del dispositivo, sino que podía descargar e instalar otras aplicaciones sin el conocimiento del usuario. Google solucionó el problema, pero además ha eliminado más de 100 aplicaciones maliciosas a lo largo de 2011. Por otro lado, continúa diciendo Panda Security, se ha conocido que Android tiene algunos fallos de seguridad muy básicos, como demuestra el hecho de que almacena las contraseñas de correo electrónico en el dispositivo sin ningún tipo de encriptación, en texto plano. Esto facilita la vida a los ciberdelincuentes, ya que de una forma sencilla podrían robar todas las credenciales una vez han conseguido acceso al dispositivo. Pero los ciberdelincuentes no se fijarían en esta plataforma si no tuviera un amplio número de usuarios. Google anunció en Junio de 2012 que se había llegado a la cifra de 400 millones de dispositivos Android activados, y a principios de septiembre ya había alcanzado los 500 millones, con un ritmo de activaciones de 1,3 millones al día. Desde el punto de vista del mundo corporativo, dice Websense, Inc. en su informe 2011 respecto de BYOD (Bring your own device: Traiga su propio dispositivo) que los dispositivos móviles están sujetos a las amenazas de la web y del correo electrónico y que el ser humano sigue siendo el eslabón más débil de la cadena de seguridad. Los señuelos también aplican más el redireccionamiento a regalos gratis, encuestas, páginas de aplicaciones engañosas y SCAM para recolectar datos de las credenciales. El panorama de seguridad se expande con las aplicaciones móviles que explotan permisos, más una alta probabilidad de dispositivos que se pierden o son robados. Así, los dispositivos móviles, las redes y Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 110/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil las aplicaciones están fuera de control de la mayoría de las organizaciones. En su informe 2012 expone un estudio sobre las aplicaciones maliciosas, donde muestra el uso de permisos que las aplicaciones legítimas no utilizan (imagen adjunta). De allí que sugiere la verificación de los mismos por parte de los usuarios. A continuación se muestra el análisis realizado por Symantec Corporation en su informe de 2011, sobre el código malicioso en dispositivos móviles.
Symantec Corporation – Distribución del malware en dispositivos móviles – 2011
126
El color de las subcategorías se corresponde con el de la distribución primaria. A continuación, la definición de las subcategorías: • • •
Recolección de datos del dispositivo - recolecta información específica sobre la funcionalidad del dispositivo tal como IMEI, IMSI, sistema operativo y datos de configuración. Espía del usuario - Intencionalmente recolecta información del dispositivo para mantener monitorizado al usuario. Por ejemplo logs del teléfono y los SMS y los envía a fuentes remotas. Envío de SMS Premium - Envía mensajes SMS a números premium, que luego son cargados a la cuenta del usuario.
126
Symantec Corporation – Internet Security Threat Report (ISTR), 2011 Trends, Volume 17, Published April 2012 – Consultado el 08/02/2013 - http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_2011_21239364.enus.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Apr_worldwide_ISTR17
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 111/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil • • • • • • • • •
Downloader (descarga) - Pueden descargar otros riesgos en el dispositivo comprometido. Puerta trasera - Abre puertas traseras en el dispositivo comprometido, permitiendo a los atacantes ejecutar acciones arbitrarias. Seguimiento de ubicaciones - Recolecta información del GPS del dispositivo para realizar el seguimiento del usuario. Modificación de la configuración - Cambia la configuración del dispositivo comprometido. SPAM - Envía mensajes de SPAM desde el dispositivo comprometido. Robo de material - Envía material, por ejemplo fotos, a una fuente remota. Elevación de privilegios - Trata de ganar privilegios más allá de los establecidos en la instalación de la aplicación. Troyanos bancarios - Monitoriza el dispositivo en búsqueda de transacciones bancarias, recogiendo detalles sensitivos para acciones maliciosas posteriores. Envenenamiento SEO - Periódicamente dirige al browser del teléfono a URLs predeterminadas para elevar el ranking de búsquedas.
SPAM SYMANTEC CORPORATION 2010 – 2009 Puede observarse a través de los años que un alto porcentaje del SPAM se envía a través de botnets. En el 2011 fue del 81,2%. La mayoría del resto del SPAM no enviado por botnets se origina en servidores de correo comprometidos y cuentas de webmails creadas usando herramientas que quiebran la rutina CAPTCHA (Completely Automated Public Turing test to tell Computer and Humans Apart). Lo cual indica que el correo es una de las principales causas del ingreso a sitios web maliciosos que pueden infectar los equipos. Otros de los objetivos de este tipo de correos son la venta ilegal de productos y la distribución directa de software malicioso. Se ha detectado también que los distribuidores de SPAM realizan campañas utilizando noticias actuales e impactantes sean ciertas o no, como por ejemplo la crisis económica global, la elección de Barack Obama, la pandemia H1N1, la muerte de Michel Jackson, el accidente del vuelo 447 de Air France, entre otros. En Latinoamérica y El Caribe, por ejemplo, el Mundial de Fútbol del año 2010 en Sudáfrica fue un pretexto perfecto para su explotación con fines delictivos. El SPAM puede ser combinado con el SCAM (estafa). Éste es un tipo mensaje en el que se ofrece la posibilidad de ganar grandes sumas de dinero de forma sencilla. Uno de los más conocidos es el “419 scam”, que lleva su nombre por la sección del Código Criminal Nigeriano que trata el fraude. En general avisa al usuario que va a recibir una suma de dinero a través de la lotería, un nuevo trabajo o porque han sido nominados como beneficiarios de una persona que posee una fortuna. Si bien el SPAM no es considerado un delito en sí mismo, su efecto sobre el desempeño de las organizaciones y el avance sobre la voluntad de cada usuario de recibir sólo aquellos mensajes de correo electrónico que desea, lo transforman en un fenómeno de alto impacto negativo, por lo que su análisis se incluye en este informe. En esta línea cabe destacar asimismo que su encadenamiento con otros tipos de ataques, contribuye sustancialmente a la comisión de actos ilícitos o contrarios a la Ley. Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 112/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Phishing APWG 2012 – 2011 Es importante aclarar algunos conceptos para entender la información presentada. APWG utiliza unidades de medida que le permitan representar los hechos consistentemente a través del tiempo para lo cual obtienen números “únicos”, es decir sin duplicados, cuya consecuencia es la significativa reducción de las cifras resultantes. Sin embargo, se debe tener en cuenta que se reportan millones de URLs de phishing, las cuales pueden captar millones de incautos cibernautas. 127 Phishing domain names: Cantidad de nombres de dominios “únicos” utilizados para phishing. Un dominio puede contener varios sitios de phishing que lanzan sus ataques sobre entidades, por ejemplo bancos, o marcas determinadas. Los “nombres de dominio” están definidos como de segundo nivel más los de tercer nivel, si las autoridades de registración lo ofrecen. Attacks (sitios de phishing): Cantidad de sitios de phishing “únicos”. Éstos se alojan en los “PHISHING HOSTS”. TLDs (Top level domain) used: Dominios de alto nivel usados. Por ej. Org, com. IP-based Ips (unique Ips): En vez de utilizar nombres de dominio utilizan números de IP. Maliciously registered domains: Dominios registrados por los phishers para cometer los ataques. El resto son dominios legítimos que fueron comprometidos. IDN Domains: Nombres de dominio que incluyen uno o más caracteres no-ASCII, tales como los arábigos, chinos, etc. Hasta ahora estos dominios no presentan una tendencia creciente en su uso por parte de los phishers. Cabe señalar que en el segundo semestre de 2009 se ve incrementado el número de sitios de phishing como resultado de la actividad de Avalancha, una de las más dañinas entidades criminales que sobre el final del 2009 produjo los dos tercios del total de phishing. Esta red reduce su actividad en el primer semestre de 2010, y su infraestructura es utilizada por los criminales para originar los ataques del notorio troyano Zeus. Avalancha usa todo tipo de trucos de ingeniería social para dirigir a sus víctimas hacia la recepción del software malicioso Zeus. Envía falsos alertas y mensajes de actualización pretendiendo que llegan de sitios de redes sociales y atrae a la gente ofreciendo la actualización de populares software o engañándola para descarga formularios de las autoridades gubernamentales, con lo cual los criminales infectan las máquinas. Una vez que son infectadas el criminal puede acceder remotamente, robar la información personal e interceptar contraseñas y transacciones en línea. Otra de las herramientas de las que los phishers están haciendo significativo uso son los servicios de registración de subdominios para crear sitios de phishing. Ésta es una tendencia inquietante, porque el phish en subdominios sólo puede ser efectivamente mitigado por el proveedor del subdominio (los registradores u operadores de registro no pueden mitigar este phishing suspendiendo el dominio principal 127
Se destaca esta frase en negrita a los efectos de que el lector perciba la magnitud de este ataque ya que, por las razones explicadas en el texto, las cifras expuestas no permiten avizorar el verdadero alcance.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 113/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil – dado que si así lo hicieran, neutralizarían todos los subdominios dependientes – lo cual afectaría a usuarios inocentes) y algunos de esos proveedores son indiferentes a las quejas. Definimos “servicio de registración de subdominios” como proveedores que entregan a sus clientes “subdomain hosting accounts”, debajo de un dominio del cual el proveedor es dueño. Estos servicios ofrecen al usuario la habilidad de definir un nombre en su propio espacio de DNS para una variedad de propósitos. Así un cliente obtendrá un HOSTNAME para usar para su propio sitio Web o correo electrónico de la forma: ..TLD Se ha visto un rápido crecimiento de la tendencia de usar la funcionalidad de “shortening” URL (URL cortas) para esconder las URL de phishing. La popularidad del servicio en línea de Twitter y otras redes de sitios sociales han conducido una gran parte de esta demanda. Los usuarios de esos servicios pueden obtener una muy corta URL para usar en su limitado espacio que redireccionará automáticamente al visitante a una URL escondida mucho más larga. Éste es un espacio tan rico como el espacio de dominio regulado, con tanto dinero, más modelos de negocio y sin reglas verdaderas. En consecuencia, no es sorprendente ver a los criminales trabajando en este espacio a medida que en el gTLD (TLD genéricos) y ccTLD (TLD por código de país) se implementa mejores políticas y procedimientos anti-abuso. Una medida importante a tener en cuenta es el período de tiempo en el que los sitios de phishing permanecen “vivos” (up-time). Cuanto más tiempo un sitio permanece activo, mayor cantidad de dinero pierden las víctimas y las instituciones a las que toman como centro de su ataque. Se cree que los días más lucrativos para el atacante son los dos primeros. Es por ello que es tan importante bajarlos cuanto antes. Los programas anti-phishing implementados por los registros de nombre de dominio pueden reducir los up-times y las registraciones maliciosas que se realizan en esos sitios.
SYMANTEC CORPORATION 2012 – 2011 Cabe señalar que Symantec Corporation establece que en los sitios de phishing se crean y producen ataques utilizando alguna de las siguientes técnicas: • • •
• •
Other unique domains – Cantidad de nombres de dominios “únicos” utilizados para phishing. Un dominio puede contener varios sitios de phishing. Herramientas automatizadas – Facilitan la creación de sitios web de phishing. Permiten a los individuos crear y llevar adelante ataques de phishing aún sin que posean conocimientos técnicos. Free Web Hosting Sites – El Web-Hosting es un tipo de servicio de alojamiento que permite a individuos y organizaciones incluir sus propios sitios web. Existen diferentes tipos tales como el libre (free), compartido (shared), dedicado (dedicated), gestionado (managed), etc. El libre es habitualmente usado para crear sitios web de phishing. IP Adress domain – Utilización de números de IP como nombres de dominio Typosquatting – Es una técnica basada en los eventuales errores tipográficos en que puede incurrir un internauta a la hora de introducir en su navegador la URL de una página web. De este modo, a
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 114/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil todo aquel usuario que accidentalmente introduzca una dirección web incorrecta, se le mostrará una información alternativa en una página web distinta, gestionada por un cybersquatter, y que no se corresponde con la página realmente buscada. 128 A continuación se presenta la composición provista por Symantec Corporation. 129
A priori no podemos establecer si el alojamiento (hosting) de Websense es igual al conjunto de categorías utilizadas por Symantec. También APWG hace una distinción semejante a la de Symantec Corporation.
WEBSENSE, INC 2012 – 2011 Los datos obtenidos durante 2012 indican que los cibercriminales están usando lenguajes y eventos locales para alcanzar los negocios y usuarios de regiones o áreas específicas. A comienzo de 2012, IDC y otros analistas reportaron que las defensas basadas en firmas no podrían atender las amenazas emergentes. Estos datos, así como otros que figuran en este informe dan cuenta de que a medida que transcurrió el año la situación empeoró, que la defensa tradicional ya no alcanza y que es necesario cambiar las estrategias. El SPEAR-PHISHING ha aumentado y muchos de los notables ataques del 2012 mostraron el valor que los cibercriminales dan a esta técnica. Un ataque de spear-phishing comienza con un cibercriminal realizando un "reconocimiento" en línea para recopilar información sobre el trabajo, educación, pasatiempos u otros intereses de la víctima que será el sujeto de ataque. Esto permite que el delincuente crea un mensaje personalizado que va a atraer a la víctima a actuar, sin levantar sospechas. Ataques como Flame14, Zeus15, Stuxnet16 y October17 Roja fueron entregados a menudo como resultado de mensajes spear-phishing altamente orientados, enviados individuos o grupos seleccionados. Muchos de estos ataques tienen una vida útil larga. Mediante la construcción de nuevos correos elec128
#TCBlog El Marketing en español - El typosquatting en los nombres de dominio - Consultado el 27/03/2013 http://www.territoriocreativo.es/etc/2012/03/el-typosquatting-en-los-nombres-de-dominio.html 129 Symantec Corporation – Symantec Intelligence Report: December 2012 - Consultado el 20/02/2013 http://www.symanteccloud.com/en/gb/mlireport/SYMCINT_2012_12_December.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 115/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil trónicos, los cibercriminales puede utilizar el mismo malware repetidamente durante varios años con sólo cambios menores.
Botnet SYMANTEC CORPORATION 2012 – 2011 En los siguientes enlaces: http://www.symantec.com/threatreport/topic.jsp?id=spam_fraud_activity_trends&aid=spam_botnets_ analysis, y http://www.symantec.com/threatreport/topic.jsp?id=threat_activity_trends&aid=bot_infected_comput ers es posible encontrar un análisis realizado por Symantec Corporation en su informe anual 2011, donde se puede ver el comportamiento y la estrategia utilizada por varias botnets importantes.
ESET 2010 – 2009 El laboratorio de ESET Latinoamérica en su informe “Tendencias 2011: las botnet y el software malicioso dinámico” 130 plantea una idea novedosa respecto de la evolución del software malicioso. Expresa que años atrás, un desarrollador de este tipo de software decidía al momento de crear un código malicioso cuáles serían las tareas que realizaría el mismo luego de infectar un sistema. Por ejemplo, qué archivos serían modificados, qué información sería capturada o a qué dirección del atacante sería enviada la misma, entre otros. Al aparecer los troyanos del tipo puerta trasera (Ver pág 47) aparecen los primeros indicios de código malicioso dinámico. Se entiende por código malicioso dinámico aquél que primero infecta el sistema y luego, a través de algún acceso remoto al equipo afectado, permite al atacante realizar diversas tareas mientras el equipo no sea desinfectado. Los troyanos del tipo puerta trasera han dejado el lugar en los últimos años a aquellos del tipo bot, diseñados para armar redes de computadoras infectadas: botnets. Una colección de computadoras es inútil sin algún mecanismo de control. El Comando de Control, o C&C, constituye la interface entre la botnet y su dueño. El dueño dirige el C&C y así comanda los bots.
Ataques originados en la Web/Amenazas en la Web y Redes Sociales WEBSENSE, INC 2012 – 2011 En su informe 2012, la compañía expone que la capacidad de utilizar nombres acortados para enlaces web en la mensajería, que es especialmente útil en formatos comprimidos como los de Twitter, ha existido durante varios años. Los cibercriminales a menudo usan esta táctica para confundir a las soluciones de filtros web de gama más baja. Este acortamiento de los nombres de los link también permite a los ciberdelincuentes superar un "efecto secundario" de usar anfitriones (host) comprometidos para sus ataques cibernéticos. Por ejemplo, para evitar la detección los cibercriminales tratan de minimizar cualquier actividad maliciosa en las páginas populares del host. Por lo tanto, una vez que obtienen el acceso a un host, suelen ocultar sus propias páginas maliciosas en la profundidad del árbol de directorios. Este 130
ESET Latinoamérica - Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 116/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil proceso genera enlaces muy largos y complejos que pueden alertar a un usuario precavido. El acortamiento del nombre del enlace resuelve ese problema. Las regulaciones gubernamentales, los controles de los ISP, la conectividad y otros factores influyen sobre la manera en que los cibercriminales usan ciertos países en diferentes aspectos de sus planes de ataque. Por ejemplo, para alcanzar víctimas en Brasil un cibercriminal puede elegir armar un sitio web para phishing en EE.UU., enviar SPAM desde Alemania, alojar malware en Rusia y establecer un “Comando y Control” (C&C) en China. Los protocolos encriptados comenzaron a ser usados por varios sitios lo cual transforma a las comunicaciones inaccesibles para los cibercriminales, pero también para los mecanismos de defensa. Si bien la explosión de las redes sociales, los dispositivos móviles y el crecimiento de internautas alrededor del mundo habían sido previstos, la actividad criminal excedió cualquier cálculo previo. Desde hace unos pocos años atrás, los proveedores de productos de seguridad, los analistas de la industria y otros han avisado que los cibercriminales estaban efectuando ataques dirigidos de manera creciente. Los datos que se obtienen actualmente (2012) indican que los cibercriminales están usando lenguajes y eventos locales para alcanzar los negocios y usuarios de regiones o áreas específicas. En el informe de 2011, dice que la Web se ha transformado en la mayor plataforma de entretenimiento y justamente por ello, es un lugar apropiado para los señuelos que naturalmente atraen la curiosidad humana. Los videos engañosos han sobresalido en 2011, a menudo con expresiones sobre temas impactantes o exhibicionistas. Los engaños y las redirecciones se han movido hacia los blogs, las redes sociales y los tweets. Por la costumbre que tienen las personas de usar las mismas contraseñas en todos los ámbitos, acceder a las contraseñas de redes sociales puede ayudar a acceder información financiera o confidencial en línea. Los Las redes sociales siguen siendo la base de las comunicaciones privadas entre los socios, amigos y familiares. Cosechar credenciales de dichas redes sociales abre la puerta a la ciberdelincuencia para aprovechar una relación de confianza para introducir señuelos. El consumismo es alimentado por las ofertas de regalos gratis o recompensas por muy poco esfuerzo. El aumento de las comunicaciones en línea desarrollan patrones de comportamiento de anonimato, extroversión, multi-tarea que lleva a una mayor desviación, la gratificación instantánea, y la impaciencia. La creación de un ambiente óptimo para la ciberdelincuencia para aprovechar las debilidades de la humanidad. La mayoría de las amenazas de hoy en día tienen un componente web para señuelos, redirecciones, encontrar vulnerabilidades, entrega de malware o robo de datos. Un entorno web inseguro socava la confianza, la confidencialidad, la reputación e impide la realización de negocios. La seguridad en la Web hoy en día es sobre el contexto y la contención en un entorno de análisis predictivo en tiempo real es necesaria para reducir el riesgo. En resumen, las redes sociales continúa dominando las comunicaciones, así como la movilidad y la computación en la nube extienden los perímetros de seguridad a los dispositivos, redes y aplicaciones cuyo control es sumamente dificultoso. Lo que debe quedar bajo nuestro control son nuestros datos. Y
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 117/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil el cambio hacia la gestión de riesgos y las defensas para proteger los datos confidenciales es urgente e imperativo.
SYMANTEC CORPORATION 2010 – 2009 Cabe señalar que en estos años no existía esta categoría entre las actividades maliciosas. Fue incorporada a partir de 2011. Esto muestra cómo fue cambiando de estrategia la actividad maliciosa.
Ciber Espionaje Resulta complicado hacer una catalogación de los diferentes tipos de cibercrimen a partir de los informes de los distintos analistas ya que cada uno utiliza su propia tipificación. Por ejemplo, la violación de datos podría alcanzar, además de datos personales, la propiedad intelectual o la información altamente sensitiva de algunos sectores de la producción y del gobierno. Las compañías no tienen el mismo nombre para los hechos resultantes del impacto de las ciberamenazas. Por ej. PANDA identifica como CIBERDELINCUENCIA al robo de información para convertir en dinero, pero también a ataques contra empresas, periodistas, modelos y artistas, etc. Todas son violaciones de datos pero el efecto es distinto y difícil de clasificar. De acuerdo con lo que pudimos analizar en los reportes utilizados, vamos a incluir en este punto aquellos ataques que han sido dirigidos específicamente para obtener información de alto valor del gobierno o el sector privado, o bien para causarles daño. Es importante señalar que se ha avanzado mucho y exitosamente en la lucha contra el cibercrimen, incluso produciendo arrestos y condenas, si bien es cierto que estos avances no logran detener el evolución constante de los grupos de cibercriminales. Websense, Inc en su informe respecto de 2012 nos dice que la IP (propiedad intelectual) no sólo involucra secretos militares o avances médicos por ser considerados muy valioso por los cibercriminales. En la industria del juguete por ejemplo, un blogger fue demandado el año pasado por filtración de información sobre productos Nerf (armas de juguete) que aún no habían sido puestos a la venta. Ni siquiera se salvan las agencias de seguridad. Los secretos compartidos por varios gobiernos sobre la lucha contra el terrorismo pudieron haber sido comprometidos por un robo masivo de datos perpetrado por un técnico de TI que trabajaba en el Switzerland’s intelligence service (NDB ). En cualquier lado, siempre la IP es valiosa para alguien. En su informe 2011, Symantec Corporation dice que los ataques dirigidos aumentaron dramáticamente durante 2011 de un promedio de 77 por día en 2010 a 82 en 2011. Symantec asocia estos ataques a las ATP (siglas del inglés, Advanced Persistent Threat o Amenaza Avanzada Persistente, en idioma castellano), las cuales atrajeron más atención pública como resultados de algunos bien publicitados incidentes. Los ataques dirigidos usan malware personalizado y refinada ingeniería social con el objetivo de ganar acceso a información sensitiva. Ésta es la siguiente evolución de la ingeniería social, donde las víctimas son investigadas profundamente y específicamente direccionadas. Típicamente, los criminales usan los ataques dirigidos para robar información valiosa tal como datos financieros de clientes para obtener Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 118/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil ganancias financieras. Las APT usan ataques dirigidos como parte de una campaña de larga duración de espionaje, típicamente alcanzando información o sistemas de alto valor en el gobierno o la industria. En el 2010 sobresalió Stuxnet: un gusano que se distribuyó ampliamente que lleva un PAYLOAD especializado diseñado para alcanzar sistemas que controlan y monitorean procesos industriales. Su creación despertó la sospecha de que había sido usado para alcanzar las instalaciones nucleares en Irán y mostró que los ataques dirigidos podían ser usados para causar daño físico en el mundo concreto, haciendo real el espectro del ciber-sabotaje. (Ver pág. 123). En octubre 2011, apareció Duqu que es descendiente de Stuxnet, el cual si bien presagiaba otro sabotaje, a la fecha del presente informe no se encontró evidencia de ninguno. Varios ataques de larga duración se produjeron contra la industria del petróleo, la química y algunas organizaciones no gubernamentales en 2011. Los ataques dirigidos afectan a todos los sectores de la economía. Sin embargo, dos tercios de las campañas de ataque se centran en un número muy limitado de organizaciones en un determinado sector y más de la mitad se focalizan en la defensa y en el sector aeroespacial, a veces atacando la misma compañía en diferentes países al mismo tiempo, utilizando en ocasiones ZERODAY exploits que las hacen especialmente potentes. Sin embargo, es un error suponer que sólo las grandes empresas sufren de ataques dirigidos. De hecho, mientras que muchos propietarios de negocios pequeños creen que nunca serán víctima de un ataque dirigido, más de la mitad buscaban alcanzar a las organizaciones con menos de 2.500 empleados y, además, el 17,8% fueron dirigidas en las empresas con menos de 250 empleados. Es posible que las pequeñas empresas sean utilizadas como un trampolín para llegar a una organización más grande, ya que pueden estar en su cadena de suministro o ecosistema de socios. Advanced Persistent Threats (APT) - Esta expresión está en boga en los medios y sus consecuencias pueden ser realmente peligrosas. Por ejemplo, utilizando este tipo de mecanismos se han robado en marzo de 2011, 24.000 archivos de un proveedor del Departamento de Defensa de los Estados Unidos, relacionados con un sistema de armamento en desarrollo. Los gobiernos están tomando este tipo de amenazas muy seriamente y han comenzado a invertir en programas para enfrentarlas. Todas las APT conforman ataques dirigidos específicos, usando diferentes tipos de vectores de ataque que involucran phishing y SPAM entre otros. Difieren de los ataques dirigidos convencionales en varias cuestiones significativas, entre las que se pueden mencionar: 1. Usan herramientas y técnicas de intrusión personalizadas. 2. Usan sigilosos, pacientes y persistentes métodos para reducir el riesgo de detección. 3. Su objetivo es recolectar objetivos nacionales de alto valor tales como militares, políticos o económicos. 4. Tienen suficientes fondos y recursos, quizás operando con el soporte de organizaciones de inteligencia militar o estatal. 5. Prefieren las organizaciones de importancia estratégica tales como agencias gubernamentales, proveedores para la defensa, industriales de alto perfil, operadores de infraestructura crítica y sus ecosistemas.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 119/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil El Instituto Nacional de Estándares y Tecnología del Gobierno Federal de los Estados Unidos (NIST), establece la siguiente definición de APT: Un adversario que posee niveles sofisticados de experiencia e importantes recursos que permiten crear oportunidades para lograr sus objetivos mediante el uso de ataques de múltiples vectores (por ejemplo, cibernética, física y engaño). Estos objetivos típicamente incluyen el establecimiento y extensión de puntos de apoyo dentro de la infraestructura de tecnología de información de las organizaciones a alcanzar con el propósito de filtrar información, menoscabar o impedir los aspectos críticos de la misión, programa u organización, o posicionarse a sí mismo para llevar a cabo estos objetivos en el futuro. La APT: (i) persigue sus objetivos repetidamente durante un período prolongado de tiempo, (ii) se adapta a los esfuerzos de los defensores para resistir, y (iii) se propone firmemente mantener el nivel de interacción necesario para ejecutar sus objetivos. 131
MC AFEE 2012 - 2011 En su in informe de 2012, Mc Afee expone que en los meses recientes apareció un malware que se dirige a bases de datos comerciales. Su nombre es "Narilam" y es un mecanismo de primera clase para sabotear bases de datos. Este gusano se instala en las máquinas de una manera típica para el malware. Sin embargo, su función es inusual. El gusano trata de acceder a las bases de datos de Microsoft SQL Server. Narilam fue diseñado para dañar las bases de datos de tres aplicaciones financieras denominadas Maliran, Shahd y Amin desarrolladas por TarrahSystem Azarbyjan, Inc. También en 2011 existieron varios ataques dirigidos a sistemas industriales e infraestructuras críticas. Por ejemplo, el 18 de noviembre, un atacante conocido como Pr0f publicó capturas de pantalla que muestran una interfaz de usuario que se utilizaba para supervisar y controlar el equipo en el Departamento de Agua y Alcantarillado de la ciudad de South Houston, Texas. Desde el 7 al 10 de diciembre un malware detectado en algunas redes de Georgia, forzaron al cierre de un hospital ubicado en dicha área.
PANDA 2012 - 2011 En su reporte de 2012, la compañía informa que en el caso de fraudes relacionados con entidades financieras, es habitual ver avanzados ataques cuyo objetivo es robar la identidad de los usuarios para así hacerse pasar por ellos y vaciar sus cuentas. Sin embargo, según indica la empresa, ese año comenzó con un caso bastante atípico. En Sudáfrica, el South African Postbank sufrió pérdidas de 6,7 millones de dólares en un ataque sucedido durante los 3 primeros días del año. El grupo de ciberdelincuentes detrás del ataque lo estaba planeando desde hacía meses, y además había conseguido el control del ordenador de un empleado de la entidad. En el mes de mayo de 2011 todo el catálogo de Michael Jackson de Sony Music fue robado, incluyendo material inédito. Esto sucedió después de que Sony fuera atacada en ese mismo año, cuando la información personal de varios millones de clientes fue sustraída en 2 incidentes diferentes que afectaron a la PlayStation Network y a Sony Online Entertainment. Los responsables fueron arrestados y serán juzgados en algún momento del año 2013.
131
National Institute of Standards and Technology (NIST) - Special Publication 800-39, Managing Information Security Risk, Organization, Mission, and Information System View - USA - 2011 - Consultado el 27/03/2013 http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 120/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En noviembre, la Agencia Internacional de Energía Atómica dependiente de la ONU fue atacada por un grupo denominado “Parastoo”, que publicó parte de la información robada en Pastebin 132. Este mismo mes, la Agencia de Exploración Aeroespacial de Japón descubrió que el ordenador donde almacenaban información de su programa de investigación de combustible sólido para cohetes estaba infectado con un troyano diseñado para sustraer información. Sin embargo, el protagonista del año fue el gusano Flame, cuyo objetivo es el robo de información y que ha infectado computadoras en países de Oriente Medio. Este lugar de destino ha posibilitado que pudiera estar trabajando durante años hasta que las compañías de seguridad consiguieran detectarlo. Se trata claramente de un caso de ciberespionaje, y además está relacionado con el famoso Stuxnet mencionado previamente. Normalmente los ataques dirigidos se llevan a cabo con troyanos, sin embargo en esta ocasión se utilizó un gusano. Una de las características más llamativas de Flame es que puede robar información de múltiples formas al mismo tiempo, y tiene una serie de módulos que le dan la capacidad de robar todo tipo de información de su objetivo, incluso puede llegar a encender el micrófono para grabar cualquier conversación que esté manteniéndose cerca del ordenador. También fue posible observar varios casos de ciberespionaje dirigido a periodistas. Por ejemplo, en Marruecos una serie de periodistas locales premiados por Google por su trabajo durante la “Primavera Árabe” fueron infectados con un troyano para Mac. En China, corresponsales extranjeros en Pekín fueron víctimas mediante dos oleadas de ataque de malware a través de mensajes de correo semanas antes del congreso del Partido Comunista Chino. Asimismo, en el último trimestre han aparecido un par de casos de infecciones en empresas energéticas de Oriente Medio, sobre los cuales no es posible saber si están relacionados entre sí y si se trata de algún tipo de ciberataque. Saudi Aramco (Saudi Arabian Oil Co) fue víctima de una infección que llevó a la empresa a cortar completamente la conexión al exterior de todos sus sistemas informáticos de forma preventiva. Por otro lado RasGas, compañía qatarí de energía dedicada al gas natural licuado sufrió una infección. Ni en este caso ni en el de Saudi Aramco, la producción de ambas compañías fue afectada. El reporte de 2011 informa que en marzo, RSA hizo público que habían detectado una intrusión que había conllevado el robo de información sobre el diseño de su conocido sistema de doble factor de autenticación “SecureID”. En mayo Lockheed Martin, el primer contratista del Departamento de Defensa de Estados Unidos sufrió una intrusión gracias al uso de la información robada meses atrás a RSA. Se supone que los que robaron la información han conseguido comprometer el algoritmo utilizado para generar las claves, lo que obligó a RSA a cambiar los más de 40 millones de SecurID que habían distribuido entre sus clientes, algunos de los cuales son las más importantes empresas del mundo. Meses más tarde RSA dijo que estaba convencida que había algún gobierno detrás del ataque que sufrieron, y el popular blogger de seguridad Brian Krebs reveló en octubre un listado de 760 empresas que podrían haber sido afectadas en dicho ataque.
132
Pastebin.com - Es un sitio web donde se puede almacenar un texto durante un determinado período de tiempo. Es utilizado principalmente por los programadores para almacenar piezas de código fuente o información de configuración, pero cualquiera es más que bienvenido a pegar cualquier tipo de texto. La idea detrás del sitio es hacer que sea más conveniente para la gente compartir grandes cantidades de texto en línea.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 121/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En junio se descubrió que el Fondo Monetario Internacional había estado comprometido durante meses, aunque debido a la escasa información que se ha hecho pública se desconoce la motivación del ataque. Es bastante probable, debido al tipo de información delicada que maneja la institución, que se trate de un ataque dirigido. Sin embargo tampoco es posible descartar que se trate de un caso de cibercrimen común. También hizo aparición Duqu, conocido como “Stuxnet 2.0” o “el hijo de Stuxnet”, del que se pensó podría ser un nuevo mecanismo de ciberespionaje, pero resultó ser un troyano que reutiliza varias partes de Stuxnet para el robo de información. Se distribuyó a través de mensajes de correo dirigidos a víctimas específicas con documentos de Word adjuntos que tenían una vulnerabilidad zero-day.
ESET 2012 - 2011 El Laboratorio de análisis e investigación de ESET Latinoamérica anunció el descubrimiento de un ataque dirigido con la intención de robar información sensible a instituciones y empresas de Perú. Se trataría del primer caso reportado de ciberespionaje a través de códigos maliciosos exclusivamente orientado en América Latina y El Caribe. La Operación Medre, denominada del mismo modo que el malware que ejecuta el ataque, se encontró activa desde el 2009 y desde entonces, logró recolectar más de 10.000 archivos de planos y proyectos realizados con el programa Autodesk AutoCAD. Las detecciones se reportaron en un 95% en Perú, de modo que los especialistas infieren que se trata de un ataque con un objetivo claramente definido, tal como ha sucedido anteriormente con los casos de Stuxnet, Duqu y Flamer. De acuerdo a la investigación de ESET Latinoamérica, el código malicioso fue identificado, entre otros, en dos dominios pertenecientes al gobierno peruano, uno de ellos relativo al sistema por medio del cual las empresas pueden participar de los procesos de selección convocados por entidades gubernamentales para contrataciones públicas. Aparentemente, la Operación Medre ha sido diseñada por los cibercriminales con el claro objetivo de robar proyectos de índole industrial, probablemente con el foco en aquellos presentados por empresas al Estado peruano, tal como evidencian los índices de propagación de la amenaza, sus funciones y los dominios afectados. Se trataría de un caso de ciberespionaje industrial de gran escala y el primero de esta clase en valerse de códigos maliciosos como herramienta en la región 133.
SYMANTEC CORPORATION Y PANDA SECURITY 2010 - 2009 •
A comienzos del año 2010 sorprendió la noticia de que un sofisticado y coordinado ataque bautizado “Operación Aurora” había afectado a más de 30 grandes compañías multinacionales. Los atacantes aprovechaban una vulnerabilidad de Internet Explorer para instalar un troyano de manera silenciosa en los ordenadores de los usuarios y conseguir, de esta manera, tener acceso remoto a toda su información personal. Dicha vulnerabilidad ZERO DAY afectaba a las tres versiones del navegador Internet Explorer (6, 7 y 8) en sistemas operativos Windows 2000 SP4, WXP, 2003, Vista y Windows 7. Existen dos hipótesis sobre el objetivo final que querían lograr los cibercriminales: una versa sobre la
133
ESET - Operación Medre: más de 10 mil proyectos robados en supuesto caso de ciberespionaje - Publicado el 21/06/2012 - Consultado el 23/03/2013 - http://www.eset-la.com/centro-prensa/articulo/2012/operación-medremás-mil-proyectos-robados-supuesto-caso-ciberespionaje%20%20/2779
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 122/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil intencionalidad de robar información de propiedad intelectual a grandes compañías y la otra apunta al robo de información de cuentas de Gmail de supuestos y conocidos activistas de derechos humanos en China. Algunas fuentes de información indican que las personas que recibieron el e-mail, o sea las “víctimas” no eran aleatorias, sino que se trataba de directivos y empleados de altos cargos que supuestamente tenían permisos de acceso a diferentes aplicaciones con privilegios. Este tipo de ataque es conocido como “dirigido”, en contraposición a los ataques masivos o indiscriminados, donde no se selecciona el potencial receptor. 134 •
Stuxnet fue la estrella del año 2010. Aprovechando varias vulnerabilidades Zero Day de Windows tuvo la habilidad de tomar como blanco a infraestructuras industriales específicas y dañar sistemas físicos. Una de las vulnerabilidades que pudo explotar le permitió infectar “SIMATIC”, sistema tipo Supervisory Control and Data Acquisition (SCADA) de Siemens, el cual es usado para monitorear y controlar sistemas industriales. El sistema infectado podría alterar por ejemplo, la frecuencia de motores, y potencialmente dañarlos o interferir con su operación. La mayoría de las infecciones de Stuxnet afectó sistemas ubicados en Irán. En el mes de noviembre el gobierno iraní reveló que algunas de esas infecciones habían dañado los centrifugadores usados en el programa de enriquecimiento de uranio de ese país, lo cual llevó a los investigadores a especular sobre la posibilidad de que el software malicioso fuera diseñado y distribuido específicamente para interrumpir el programa. 135
Ciberactivismo PANDA SECURITY 2012 - 2011 En su reporte de 2012 informa que en enero, la conocida página Megaupload fue cerrada por el FBI, acusada de “copyright infringement” (violación de copyright). El FBI informó los detalles del caso mediante una nota de prensa, donde se podía leer que los acusados podrían enfrentar hasta a 50 años de cárcel. La reacción de Anonymous no se hizo esperar, comenzando un ataque DDoS contra varias páginas web, entre las que se encontraban la del Department of Justice (Ministerio de Justicia estadounidense), la de la RIAA (Recording Industry Association of America) y la de Universal Music. Tanto el grupo Anonymous como LulzSec han estado presentes a lo largo de 2012. En enero, con la polémica de la ley SOPA norteamericana y el ACTA 136, desde una de sus cuentas de Twitter el grupo dejó claras sus intenciones y luego comenzaron ataques contra webs oficiales de diferentes países del mundo. En Febrero hicieron pública la grabación de una conferencia entre el FBI y Scotland Yard. Surgieron muchas especulaciones sobre cómo habrían podido conseguir la grabación, hasta que Anonymous filtró un email, enviado por un agente del FBI con el número de teléfono y los códigos de acceso de la confe134
Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 – http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf 135 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf 136 "Ley SOPA" (Stop Online Piracy Act): Proyecto de ley de Estados Unidos que tiene como finalidad expandir las capacidades de la ley estadounidense para combatir el tráfico de contenidos con derechos de autor y bienes falsificados a través de Internet. “ACTA” (Anti- Counterfeiting Trade Agreement): tratado global que permitiría a gobiernos y corporaciones crear un organismo anti-falsificación que autorizaría la vigilancia de todo lo que se hace en Internet.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 123/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil rencia, por lo que parecen haber conseguido acceso a la cuenta de correo de alguno de los destinatarios, todos ellos miembros de las fuerzas de seguridad en diferentes países. A principio de marzo, en una operación policial que llevaba en marcha desde el año anterior, varios miembros de LulzSec fueron arrestados. Inmediatamente se supo que Sabu, su líder, llevaba desde agosto de 2011 trabajando con el FBI para conseguir datos del resto de miembros del grupo para poder identificarlos y arrestarlos. Poco más tarde decidieron ir a por El Vaticano, cuya página web quedó inaccesible. Cinco días más tarde volvieron a la carga, accediendo además a una base de datos de Radio Vaticana, emisora oficial de la Santa Sede, y publicando diferentes nombres de usuario y contraseñas. Pero Anonymous y Lulzsec no son los únicos que realizan este tipo de ataques. En febrero, la tienda de Microsoft en India fue atacada por un grupo de ciberdelincuentes chinos. Además de realizar un defacement (sustitución de la página principal de la tienda), se robaron datos personales de sus clientes. En su informe de 2011 la compañía informa que en Egipto, Internet se convirtió en una especie de campo de batalla entre el gobierno egipcio y los protestantes, principalmente en lugares como Facebook o en páginas de grupos como Anonymous. El gobierno egipcio llegó a sentirse tan acorralado, que en una acción sin precedentes cortó completamente el acceso a Internet y las redes de telefonía móvil de todo el país. Otra “batalla” digna de mención ha sido la protagonizada por la firma de seguridad norteamericana HBGary Federal y el grupo Anonymous. Todo comenzó cuando el CEO de la compañía americana, Aaron Barr, dijo tener datos de los cabecillas de Anonymous y que pensaba hacerlos públicos. Simpatizantes de Anonymous se sintieron aludidos, por lo que ni cortos ni perezosos trataron de colarse en la compañía y lo consiguieron en apenas unas horas. No sólo atacaron su página web y su cuenta de Twitter, sino que consiguieron robar decenas de miles de correos electrónicos que acto seguido, fueron distribuidos desde The Pirate Bay. Por si esto no fuera suficiente, el contenido de algunos de estos correos ha resultado ser realmente comprometedor para la compañía norteamericana, ya que han sacado a la luz prácticas claramente inmorales (como la propuesta de desarrollo de un rootkit), que han colocado a la empresa en una situación tan delicada que su CEO, Aaron Barr, no ha tenido más remedio que dimitir. Asimismo, durante los últimos meses de 2011 han perpetrado ataques contra la web de la Cámara de Comercio de Estados Unidos, Sony, la Policía Nacional española y webs de diferentes gobiernos, entre otros. Otro grupo autodenominado LulzSec, opina que el vandalismo y la delincuencia es algo divertido (sic). Su principal método de “trabajo” ha sido robar bases de datos de diferentes empresas (PBS, Fox, etc.) además de alguna denegación de servicio (como el llevado a cabo a la página web de la CIA). Por si esto no fuera suficiente, han publicado los datos personales de usuarios que previamente habían robado, incluyendo direcciones de correo, contraseñas, etc. lo que ha facilitado que se realicen todo tipo de secuestros de cuentas y robos. A finales de junio, LulzSec y Anonymous lanzaron una operación conjunta llamada “Operation: AntiSecurity” con el objetivo de atacar a páginas de cualquier gobierno o entidad gubernamental que se cruce en su camino.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 124/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En Estados Unidos Anonymous fue un paso más allá entrando en la empresa Booz Allen Hamilton (contratista del Departamento de Defensa –DoD) y robando 90,000 direcciones de correo militares y sus respectivas contraseñas. Consiguieron entrar a través de un servidor que se encontraba completamente desactualizado y desprotegido, ni siquiera contaba con protección antivirus. Todos estos ataques no quedaron sin respuesta, ya que el FBI detuvo en Estados Unidos a 16 personas relacionadas con Anonymous, quienes deberán enfrentarse a penas de entre 5 y 10 años de cárcel si son declarados culpables. Sin embargo, días después de estos arrestos Anonymous publicó un documento confidencial de la OTAN. Confirmó que tenía 1 Gb de datos más que no iba a publicar porque sería “irresponsable”. Mientras, en Italia Anonymous robó más de 8 Gb de datos del CNAIPIC (centro nacional contra el crimen informático para la protección de infraestructuras críticas). Además, robaron y publicaron miles de datos de policías norteamericanos, incluyendo sus direcciones de correo, nombres de usuario, contraseñas y en algunos casos hasta su número de la seguridad social. Semanas más tarde repitieron la operación, en este caso dirigida a policías de la ciudad de San Francisco. Por si no fuera suficiente, volvieron a atacar a una empresa contratista del DoD (Vanguard Defense Industries) robando 1 Gb de datos con correos electrónicos y documentos privados pertenecientes a uno de los ejecutivos de la compañía. Para despedir el año, un grupo que se autoproclamaba perteneciente a Anonymous, robó miles de números de tarjetas de crédito de clientes del think tank Stratfor, y las utilizó para realizar donativos a diferentes organizaciones. Asimismo publicó parte de la información robada, que en total ocupa 200 Gb. Cabe resaltar que, dentro de esta lista de clientes fue posible encontrar a empresas como Apple o la mismísima Fuerza Aérea norteamericana. Sin embargo, a posteriori, Anonymous se desvinculó del hecho y acusó a LulzSec.
MC AFEE 2012 - 2011 En su informe 2012, Mc enuncia varias acciones de Anonymous, entre las cuales figura que durante los meses de octubre y noviembre se ocuparon de la crisis palestina-israelí en Gaza y del cierre de Internet en Siria. Por algunos días dejaron no operativos a cientos de sitios web tales como el Jerusalem Bank, el Israeli Ministry of Foreign Affairs, el Home Front Command y la oficina del Prime Minister, todos sitios vinculados al Estado de Israel. También violaron otros sitios pobremente asegurados y expusieron información privada de decenas de miles de ciudadanos israelíes y los datos personales de 5.000 oficiales gubernamentales. En su informe de 2011, la compañía anuncia que algunos disensos internos en el grupo Anonymus podrían haber detenido o minimizado ataques anunciados sobre la New York Stock Exchange y la Toronto Stock Exchange. DOXING es una técnica que no sólo ha alcanzado a la policía sino también a figuras públicas tales como políticos, a medida que los activistas percibieron que éstos tomaban posiciones desfavorables respecto de sus ideales. En diciembre Anonymus liberó información sobre senadores estadounidenses que habían aprobado la National Defense Authorization Act (NDAA). En Francia, luego de que varios políticos del ala
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 125/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil derecha emitieran varias controvertidas opiniones, se pudo encontrar su información personal diseminada en la web.
Cyberskirmishes (Ciber-escaramuzas) MC AFEE 2012 - 2011 En su informe de 2011, comenta que el activismo comenzó a ser popular en el 2010 más allá de las acciones ocurridas en Estonia (2007) y Georgia (2008). Sin embargo, han aparecido durante este año de 2011 varios eventos que aparentan estar más allá del activismo siendo posiblemente patrocinados por el gobierno o la política. En noviembre, varios comunicados del Ministro palestino Mashur Abu Daqqa culparon a los hackers de atacar los servidores de Palestina y de discontinuar los servicios telefónicos y de Internet en el West Bank y Gaza, así como los del propio ministerio. El incidente ocurrió luego de que los palestinos ganaron la membresía en UNESCO, a pesar de las objeciones formuladas por Estados Unidos e Israel. El ministro sugirió que Israel estaría detrás de los ataques. En Corea del Sur, en el mes de diciembre la National Police Agency’s Cyber Terror Response Center anunció que habían sido aprehendidos cuatro individuos acusados de ordenar un ataque de denegación de servicio contra el sitio web de la National Election Commission, en la mañana de la fecha electoral del 26 de octubre. Este ataque dejó inaccesible la información en las ubicaciones destinadas para la votación. Uno de los sospechosos es un ex asesor de un legislador del gobernante Gran Partido Nacional. Se rumoreaba que se habría transferido una suma de ₩ 10 millones (8619 dólares estadounidenses) seis días antes de elecciones, desde la cuenta bancaria de un secretario del ex presidente de la Asamblea Nacional hacia la del sospechoso. Cinco días más tarde, también se detectaron varias transferencias de dinero a otro individuo, quien presuntamente llevó a cabo el ataque. Estando Rusia a punto de celebrar elecciones a principios de diciembre, la salida de los medios de comunicación rusos populares liberales y de los organismos de control electoral, fue obstaculizada por ataques de denegación de servicio coordinado. También se vieron afectados por ataques otros sitios de medios independientes que habían cubierto posibles fraudes durante la votación. Los atacantes autodenominados Fuerzas Marroquíes de Disuasión llevaron a cabo lo que ellos llaman "la venganza marroquí" atacando varios sitios web oficiales del canal de Qatar después de que presentara fotos de la delegación marroquí en los Juegos Pan Árabes (9 diciembre hasta 23 diciembre) junto a un mapa marroquí que excluía el Sahara marroquí. Los eventos patrocinados por los gobiernos son difíciles de precisar.
Cyberextremism (Terrorismo en Internet) MC AFEE 2012 - 2011
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 126/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En su reporte de 2012, la compañía informó que el grupo al-Qassam Cyber Fighters publicó en Pastebin las demandas realizadas y las amenazas utilizadas en los ciberataques lanzados en setiembre sobre compañías bancarias y financieras de Estados Unidos. El sitio web de la Wells Fargo fue atacado con gran volumen de tráfico el 18 y 19 de diciembre, lo cual impidió o limitó el acceso por parte de los clientes. Este evento podría ser responsabilidad de al-Qassam Cyber Fighters. En octubre, la United Nations Office on Drugs and Crime publicó un artículo denominado “The Use of the Internet for Terrorist Purposes” en el que explica la manera en que los grupos terroristas y partidarios usan Internet para distribuir propaganda y reclutar, financiar, entrenar e incitar a sus seguidores para cometer actos de terrorismo. En diciembre, los medios iraníes anunciaron que el país había usado técnicas de ciberdefensa en sus ejercicios militares y navales Velayat. Dijeron que los ejercicios cubrieron una vasta área incluyendo el Estrecho Hormuz, el Mar de Oman, la zona norte del Océano Índico, el Golfo de Aden, y el Estrecho de Bab-el-Mandeb. Un comandante iraní agregó que durante una de las prácticas fuerzas agresivas lanzaron un ciberataque contra la red de computadoras de las fuerzas defensivas con el objetivo de infiltrar la red, robar información o distribuir virus.
Ciberguerra – ciberataque VARIOS 2013 •
•
•
Expertos británicos en ciber seguridad de los servicios de inteligencia tales como MI5 unirán fuerzas con 160 de las más importantes firmas británicas para defender al país de los ciberataques, a través de una unidad denominada "fusion cell". Los analistas trabajarán desde una ubicación no revelada en Londres para construir una descripción de la inteligencia de las amenazas al reino unido, la cual será compartida con las compañías. Estas últimas corresponden en principio al ámbito financiero, energía, defensa, telecomunicaciones y farmaceútico, pero se espera expandir el espectro. La edición internacional semanal The New York Times, en colaboración con el periódico argentino Clarín, de fecha 30/03/2013 publica un artículo donde se informa que la responsable del Departamento de Seguridad Interior de los Estados Unidos ha dado cuenta de que hackers extranjeros han estado atacando los sistemas informáticos de su organismo, también tratando de robar secretos comerciales valiosos y han empezado a poner a prueba la infraestructura estadounidense que comprende la red eléctrica y los sistemas de agua y transporte. Por lo tanto, estiman que necesitan tener sus propios hackers, en número de alrededor de 600; quienes actuarán por ahora en actitud defensiva. También informa que en China, el Ejército de Liberación del Pueblo cada primavera lleva a cabo concursos para identificar a la próxima generación de guerreros digitales.
PANDA SECURITY 2012 - 2011 En el informe correspondiente a 2012, la compañía informa que el 2 de enero tuvo lugar el robo de datos de miles de tarjetas de crédito de ciudadanos israelíes. Este robo fue reivindicado por un tal
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 127/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil 0x0mar, identificándose a sí mismo como saudí. Investigaciones posteriores revelaron la verdadera identidad de esta persona: Omar Habib, joven de 19 años de los Emiratos Árabes Unidos que vive en México. Posteriormente 0x0mar desmintió esta información. Esta fue la primera acción que trajo tras de sí una serie de ataques y contraataques de todo tipo: robos de información de atacantes israelíes a ciudadanos saudís y viceversa, así como bloqueo de los sitios web de la Bolsa de Tel Aviv y la aerolínea israelí El Al, entre otros. Un grupo israelí afirmó haber intervenido páginas web en Arabia Saudí (Tadawul) y los Emiratos Árabes Unidos (ADX), incluyendo las de las Bolsas de Arabia Saudí y Abu Dhabi, en venganza por ataques previos de sitios web israelíes, donde habrían dejado un mensaje en la web diciendo: “Operamos en el nombre de las Fuerzas de Defensa de Israel. Si no dejáis de atacarnos, paralizaremos vuestra economía”. Por si los ánimos no estaban suficientemente crispados, Tariq al-Suwaidan, influyente predicador televisivo kuwaití, llamó a unir fuerzas en una "cyberyihad" (guerra santa cibernética) contra Israel. Sin alejarnos de Oriente Medio, en Siria tuvo lugar otro incidente, donde un atacante saudí consiguió hacerse de correos electrónicos del mismísimo presidente del país, Bashar Asad. Por su lado en Japón el ministerio de Defensa encargó a Fujitsu el desarrollo de una “ciberarma”, un virus que supuestamente sería capaz de identificar, localizar y desactivar ciberataques. La información al respecto de este tema es confusa. Respecto a los protagonistas de siempre, China y Estados Unidos, en enero se publicó que atacantes chinos habían utilizado un troyano para romper el código de las tarjetas inteligentes utilizadas por el Departamento de Defensa estadounidense, dispositivos necesarios para acceder tanto a lugares físicos como a la propia red, que requieren un acceso restringido. Si realmente consiguieran romper la seguridad de las tarjetas podrían acceder de forma relativamente sencilla a información confidencial. Desde China se ha estado espiando a la empresa Nortel, tras comprometer las credenciales de 7 ejecutivos de la compañía, incluido su CEO. Al menos desde el año 2000 habrían estado accediendo a información interna de la empresa. En la mayoría de casos de ciberguerra o ciberespionaje sólo podemos deducir / especular con que hay un país detrás de un determinado ataque. No es usual que un país diga abiertamente que ellos han sido los atacantes. Sin embargo, las cosas están cambiando y cada vez se habla más abiertamente de estos temas. Sin ir más lejos, Hillary Clinton, en su rol de Secretaria de Estado estadounidense en mayo de 2012, hizo declaraciones donde reconoció que EE.UU. había violado páginas web pertenecientes a un grupo de Al Qaeda que operaba en Yemen. En Corea del Sur, un alto oficial denunció que Corea del Norte está tratando de robar secretos militares y sabotear sus sistemas de defensa de la información utilizando expertos entrenados específicamente para penetrar en su red de información militar. En su reporte de 2011, Panda Security informa que en enero se supo que un ataque dirigido había alcanzado de lleno al Ministerio de Economía canadiense. Las primeras investigaciones apuntaban a China, si bien es cierto que es muy difícil demostrar quién estaba realmente detrás del ataque. No se ha hecho pública qué información ha sido robada. En febrero la compañía americana McAfee hizo público un informe en el que se hablaba de la operación “Night Dragon”, donde una serie de compañías energéticas habían sido víctimas de espionaje en una operación que había estado activa al menos durante dos años. Posteriormente se ha podido conocer
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 128/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil que entre las compañías víctimas del ataque se encontraban Exxon Mobil, Royal Dutch Shell, BP, Marathon Oil, ConocoPhillips, y Baker Hughes. Los ataques venían desde China, aunque no se puede demostrar que el gobierno chino esté directamente implicado. En marzo, se conoció que ordenadores militares de Noruega habían sido atacados en ese mes. Unos 100 militares –muchos de ellos de alto rango- recibieron un correo electrónico en noruego, que incluía un archivo adjunto, el cual era un troyano creado para robar información. Según la información hecha pública, uno de los ataques tuvo éxito aunque desde ese ordenador no se tenía acceso a información crítica. En el mismo mes se hizo público que el Ministerio de Economía francés fue víctima de otro ataque varios meses antes –cuyo origen apunta de nuevo a China - con el objetivo de robar documentos sobre la reunión del G-20 en febrero, que tenía lugar en París. Más de 150 ordenadores estaban afectados, y otros ministerios franceses habían sufrido intentos de intrusiones sin éxito. También en marzo, 40 páginas web pertenecientes principalmente al gobierno de Corea del Sur, fueron víctimas de un ataque de denegación de servicio. Este ataque ha sido muy similar a otro que tuvo lugar en 2009, del que se culpó a Corea del Norte, pero tras la investigación todo apuntaba a China. En mayo el portavoz del ministerio de defensa de China, Geng Yansheng, confirmó que ese país contaba con una unidad de élite de ciberguerreros. Diferentes fuentes de inteligencia del Reino Unido comentaron que dicho equipo había sido formado al menos hacía 2 años. A finales del mismo mes, el Pentágono declaró que cualquier tipo de ciberataque llevado a cabo por un gobierno extranjero puede ser clasificado como un acto de guerra. En julio, el segundo funcionario en rango de la Secretaría de Defensa del Gobierno estadounidense, Bill Lynn, hizo público un ataque recibido en marzo, durante el que habían robado 24.000 documentos pertenecientes a un sistema armamentístico secreto. El Departamento de Defensa (DoD) del mismo país dijo que lo más posible es que se tratara de un ataque perpetrado por el servicio de inteligencia de una potencia extranjera. Unos días más tarde, el general de los Marines James ‘Hoss’ Cartwright hizo unas declaraciones en las que decía que el departamento de IT del DoD estaba en la edad de piedra. Si algo se puede decir de los ataques de ciberguerra o ciberespionaje, es que en la mayoría de los casos se mira hacia China como la gran sospechosa que está detrás de todos ellos. Sin embargo es obvio que por una parte, China no es la responsable de todos los ataques, y por otra, ese país se encuentra muy posiblemente siendo blanco de ataques. Una de las características que distinguen a un país democrático de uno que no lo es, es la información que se hace pública a sus ciudadanos. Cuando por ejemplo Estados Unidos o la Unión Europea recibe un ataque cibernético, o tantos otros casos que han sucedido este mismo año, llegan al conocimiento de los ciudadanos porque se hacen públicos. Sin embargo, en otros países no se conocen casos. ¿Es esto debido a que no sufren ataques? En absoluto, normalmente se debe al oscurantismo informativo. Y China, por una vez, se ha abierto y en agosto confesó que el año pasado recibió 500.000 ataques, la mayoría de ellos con procedencia de países extranjeros. En septiembre se conoció que la empresa japonesa Mitsubishi Heavy Industries fue atacada. Casi 100 ordenadores habían sido infectados, aunque la empresa dijo que ninguna información confidencial había sido robada. Esta empresa fabrica material muy delicado, como misiles guiados, motores de cohetes
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 129/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil y equipamiento para centrales nucleares. Tras las primeras investigaciones se descubrió que los atacantes habían utilizado herramientas de software en chino, por lo que de nuevo las miradas se dirigieron al gigante asiático. Y los peores temores vinieron después, cuando se confirmó que sí habían tenido acceso a información confidencial, tanto de motores de aviones y helicópteros de combate como de diseño de plantas de energía nuclear. En octubre se hizo público que varios UAV (vehículo aéreo no tripulado) utilizados por Estados Unidos habían sido víctimas de una infección. Tras las primeras sospechas sobre si era un ataque dirigido con algún tipo de intención bélica, se supo que había sido una “accidente” debido a que los UAV se actualizan mediante llaves USB, y algunos de estos dispositivos estaban infectados. En diciembre, el gobierno iraní hizo pública la foto de un UAV norteamericano que habían capturado en perfecto estado. Lo llamativo de este caso es que habían conseguido hackear la señal del GPS del aparato para que aterrizara en su territorio, mientras el aparato creía que estaba de vuelta en su base.
Tendencias 2013 Se expresa aquí lo recogido en los informes de las diferentes compañías, referenciadas en el presente capítulo y en el anterior, respecto de las tendencias en materia de amenazas para el corriente año. • • • • • • • • •
•
• •
Se espera que continúe la explotación de sitios web legítimos. Las tiendas de aplicaciones legítimas para dispositivos móviles crecerán en el alojamiento de malware. Las amenazas multiplataformas van a crecer para involucrar a los dispositivos móviles. Los ataques a dispositivos móviles aumentarán de manera exponencial y serán más complejos. Se incrementarán los ataques apoyados por los gobiernos. Las amenazas tendrán como objetivo los entornos virtuales. Se verá cada vez más extendido el uso de Android, desde televisores a todo tipo de electrodomésticos, lo cual abre un mundo aún desconocido de posibles ataques. Crecerá la "carrera ciberarmamentística" en función de la necesidad de las principales naciones del mundo de prepararse tanto para la defensa como para el ataque en la ciberguerra. El crecimiento exponencial de la cantidad de malware que se ha venido repitiendo desde hace 2 décadas parece que está muy lejos de llegar a su fin. Las cifras son desalentadoras ya que aparecen decenas de miles de nuevos ejemplares de malware por día. Seguirán en aumento los ataques de malware para MAC, en respuesta a su cada vez mayor número de usuarios sumado a las falencias de seguridad y la falta de concientización de los usuarios respecto a la seguridad (por un exceso de confianza). Otro de los objetivos del cibercrimen será el almacenamiento en la nube dado su crecimiento durante 2012. Siendo la ingeniería social una de las tácticas más utilizadas, las redes sociales pasan a ser el coto de caza preferido por los cibercriminales dado los cientos de millones de usuarios que intercambian información, en muchas ocasiones de índole personal, a través de ellas.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 130/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo V - Impacto Económico Introducción Los dos capítulos precedentes reflejan cómo los países de Latinoamérica y El Caribe siguen siendo tanto origen como blanco de numerosos tipos de incidentes, como las botnets, el SPAM, el phishing, el robo de identidad, etc. En efecto, al ritmo de una tendencia creciente de incorporación de tecnologías en sus sociedades, se mantienen amenazas preexistentes y surgen nuevas, de la mano de la telefonía móvil, la computación en la nube y de otros avances registrados en los últimos años. Como ya fuera expresado en el informe publicado por LACNIC en el año 2011, a la hora de dimensionar la magnitud del problema, un ejercicio imprescindible es estimar el impacto económico de estos ataques, que efectiva o potencialmente podrían afectar tanto a los gobiernos como a las organizaciones y a las personas que residen en la región. Avanzando en esta línea, cabe preguntarse también si lo que efectivamente se invierte en mecanismos de seguridad, tanto preventivos para la defensa, como correctivos cuando se trata de investigar, identificar y neutralizar el accionar de quienes cometen cibercrímenes, resulta suficiente o por lo contrario, es excesivo o si debería asignarse de otra manera. En efecto, en todo el mundo se destina una considerable cantidad de fondos para asegurar la información. Dichos fondos son por naturaleza escasos, por lo que se deberá irremediablemente seleccionar objetivos y determinar prioridades, es decir, decidir cuánto invertir y en qué. Esto crea la necesidad de contar con datos precisos sobre la actividad maliciosa en Internet y de determinar lo más precisamente posible, las pérdidas que éstas generan. Sin embargo, intentar determinar el impacto económico, aunque sea aproximado, es una labor compleja, fundamentalmente por las dificultades para acceder a datos concretos y confiables sobre la ocurrencia de los incidentes de seguridad y para conocer en forma integral sus efectos y sus características. Esto lleva a que cualquier afirmación requiera la consideración de una serie de supuestos justificados y de presunciones sobre las cuales basar las conclusiones a las que se pueda arribar, a la hora de determinar total o parcialmente, el impacto económico del cibercrimen. En junio de 2012, un grupo de investigadores de varias universidades europeas y estadounidenses publicaron un artículo 137 sobre la medición del costo de la actividad ilícita en Internet, elaborado como respuesta a un requerimiento del Ministerio de Defensa del Reino Unido. Este trabajo, considerado como la primera revisión sistemática y completa del impacto económico del cibercrimen realizado desde la Academia, será tomado como base para la desarrollo de parte del presente capítulo, adaptándolo en la medida de lo posible, a la realidad de la región.
137
R. Anderson, C. Barton, R. Bohme, R. Clayton, M. J.G van Eeten, M. Levi, T. Moore, S. Savage - Measuring the Cost of Cybercrime – Proceedings of Eleventh Workshop on the Economics of Information Security (2012)
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 131/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Porqué medir el impacto económico Como fuera indicado en el informe de 2011, estimar el impacto económico de los ataques cibernéticos habilita la posibilidad de establecer la real dimensión del problema y facilita la asignación de recursos suficientes, bajo una ecuación equilibrada de costo/beneficio. Contar con estimaciones lo más precisas posible de dicho impacto, constituye uno de los pilares fundamentales para la adopción de medidas de protección para los datos y para los recursos de información que se utilizan para administrarlos a todo nivel. Como contracara, una incorrecta asignación de fondos expone a la entidad o a la persona a mayores riesgos e incrementa las posibilidades de sufrir otro ataque, con lo que aumenta el impacto potencial, se desperdician recursos valiosos y el problema tiende a retroalimentarse. Por otra parte y ya a nivel de una organización, al justificar la incorporación de una nueva herramienta de seguridad, un mecanismo de control o cualquier iniciativa para el fortalecimiento del marco de protección de la información, se hace inevitable que deban responderse preguntas vinculadas a los beneficios esperados. En otras palabras, se deberá tener en claro cuáles serían las consecuencias de no realizar esa acción y específicamente, cuánto se podría perder o dejar de ganar en términos económicos, en caso de no avanzar en su instrumentación. A nivel de un país, contar con estimaciones del impacto económico permitiría orientar las acciones de los organismos reguladores y de investigación hacia las áreas más susceptibles a pérdidas por ataques cibernéticos o a aquéllas cuyas consecuencias podrían tener un efecto negativo sobre toda o parte de la sociedad. Por otro lado, estas estimaciones económicas pueden ser también expresadas como valor agregado de los efectos sobre determinadas personas (clientes, ciudadanos, etc.) o sobre ciertas organizaciones (Bancos, Hospitales, Compañías de aviación, Organismos estatales, Servicios Públicos, etc.), de manera de identificar la población o los sectores más vulnerables. Si bien desde la perspectiva de los gobiernos, a diferencia de lo que ocurre en las empresas, el aspecto económico no suele ser un componente esencial en razón de que los objetivos se dirigen más hacia el bienestar de la población, su consideración en dicho ámbito tampoco puede ser dejada de lado. Desde el punto de vista de las Fuerzas Policiales y de la Justicia, una estimación lo más precisa posible de las pérdidas económicas ocurridas o eventuales, resulta importante a la hora de priorizar la respuesta a la actividad ilícita en Internet y constituye un elemento a tener en cuenta a la hora de asegurar una sanción o penalidad acorde con el daño producido. Finalmente, cabe acotar que a diferencia de otras actividades delictivas o ilícitas que suelen tener consecuencias locales o en áreas geográficas limitadas, el cibercrimen tiene hoy como escenario el planeta entero y su impacto impone altos costos de protección tanto a las sociedades como a cada uno de las personas u organizaciones que aprovechan los beneficios de Internet. A manera de ejemplo, la botnet Mega-D, que de acuerdo al FBI 138, era responsable del 32% del SPAM del mundo, significó para los ciberdelincuentes que la desarrollaron una ganancia de 2.7 millones de dólares estadounidenses. Como contracara, los costos asociados al combate de dicho SPAM probablemente excedieron globalmente los 138
Portal Switched - FBI Hunts Russian Man Behind One-Third of the World's Spam - 02/12/2012 - Consultado el 21/04/2013 - http://www.switched.com/2010/12/02/oleg-nikolaenko-fbi-hunt-one-third-world-spam/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 132/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil mil millones de dólares, según el informe de los investigadores citado precedentemente. Al decir de dichos autores, tal vez el mundo está siendo ineficiente a la hora de combatir el cibercrimen, ya que como se verá más adelante, los costos que éste impone sobre las personas, las organizaciones, los gobiernos y las sociedades en su conjunto, exceden los ingresos de los cibercriminales y no logran neutralizar en forma efectiva sus consecuencias o al menos, minimizar significativamente su impacto.
Dificultades para la estimación Estimar el impacto económico de la actividad maliciosa en Internet no es una tarea sencilla. El informe publicado por LACNIC en el año 2011 ya reflejaba esta realidad, al igual que lo hace la aún escasa bibliografía existente en esta materia específica. En este sentido, la escasez de datos confiables sobre la cantidad real de casos registrados y las dificultades para establecer los costos directos e indirectos y dimensionar la población afectada, son una parte importante del problema. Si bien existe un número considerable de fuentes de datos sobre el cibercrimen, estimado en más de cien por los autores citados precedentemente, las estadísticas disponibles son todavía insuficientes y fragmentadas y muchas de ellas despiertan sospechas de presentar resultados sobre o sub dimensionados, según quienes las formulan. Estas desviaciones podrían ser atribuidas a la intencionalidad, cuando se trata de actores con intereses en el mercado de los productos y servicios de seguridad, o a la utilización de metodologías inadecuadas, cuando no se utilizan técnicas apropiadas para obtener o analizar los datos. Las fuentes que producen un mayor volumen de datos sobre la actividad maliciosa en Internet provienen de encuestas y relevamientos realizados por organismos internacionales o consultoras, entidades gubernamentales o institutos especializados, o bien responden a la recolección de observaciones directas de ataques, realizadas en su mayor parte por empresas del sector tecnológico y de organizaciones profesionales sin fines de lucro. Sin embargo, y como ya se explicó, estos datos no siempre permiten estimar la cantidad real de víctimas. En el terreno de las estimaciones económicas del impacto de esa actividad maliciosa, los informes, análisis y encuestas son mucho más escasos. Ahondando en las dificultades para estimar el impacto del cibercrimen, influye también el bajo nivel de seguimiento y registro del tiempo y los recursos asignados al momento de enfrentar un ataque. Mayores complicaciones provienen de los problemas para determinar sus consecuencias en el tiempo, todo lo cual dificulta la posibilidad de conocer el gasto total de remediación y compensación por las pérdidas registradas. Un artículo publicado 139 recientemente indica los siguientes obstáculos a la hora de obtener datos precisos sobre el impacto económico: •
Reticencia a informar: muchas organizaciones perciben que informar que han sido víctimas de un cibercrimen puede afectar negativamente su reputación o imagen, causándoles pérdida de clientes, desvalorización frente a empresas de similar propósito, desventajas competitivas, sanciones de entidades reguladoras o un perjuicio similar. En este sentido, es altamente probable que muchas entidades cuenten con datos parciales respecto a los incidentes registrados, pero sean reticentes a
139
Communications of the ACM – “Cybercrime: It´s serious, but exactly how serious”, Paul Hyman – Marzo 2013 – Consultado el 05 de marzo de 2013 - http://cacm.acm.org/magazines/2013/3/161196-cybercrime-its-serious-butexactly-how-serious/fulltext
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 133/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil compartirlos con otros o a divulgarlos por cualquier medio, ante la posibilidad de que se afecte la confianza sobre ellas, se genere publicidad negativa para la organización, los accionistas se enteren, las entidades regulatorias o de seguridad impongan sanciones o bien, que otras empresas del ramo obtengan ventajas competitivas, entre otras posibles razones. •
Sesgo por autoselección: se ha comprobado que las organizaciones que han sido víctimas de un cibercrimen son menos proclives a responder encuestas o a participar en relevamientos sobre actividades ilícitas, que aquellas que no los han sufrido. Del mismo modo, aquellas que fueron expuestas públicamente debido a la dimensión de los ataques o a las pérdidas sufridas, responderán en mayor medida que aquellas cuyos ataques no se han difundido, o que han sufrido menores pérdidas.
•
Inexistencia de mecanismos acordados o estandarizados para contabilizar las pérdidas: no existe acuerdo en el tipo de ítems a incluir al momento de contabilizar las pérdidas, como por ejemplo, si se debe considerar el tiempo de inactividad producto de un ataque, el costo de adquisición de nuevo equipamiento de protección, la actualización de los servicios de seguridad o la contratación de consultores externos. Tampoco si las pérdidas accidentales de datos deben ser consideradas en la ecuación.
•
Pérdidas no detectadas: es habitual que las empresas e inclusive las personas, no sepan que han sido afectadas, que se enteren mucho tiempo después o que conozcan tardíamente la magnitud y el alcance de los efectos del cibercrimen del que han sido víctimas.
El mismo artículo analiza la perspectiva desde el punto de vista de las empresas y de las personas. En el primer caso, destaca que a la hora de calcular la dimensión de las pérdidas causadas por el cibercrimen, confluyen distintas facetas que van desde daños en la reputación de difícil cuantificación, a quebrantos económicos. Por el lado de las personas, pueden identificarse rápidamente los fondos extraídos de una cuenta bancaria o el uso no autorizado de los datos de la tarjeta de crédito para realizar compras por Internet. El panorama se complica cuando se consideran activos digitales, como por ejemplo, las fotos o los documentos profesionales producto de meses o años de trabajo y la propia identidad digital. Muchas víctimas pasan días, semanas y hasta meses tratando de recuperar sus identidades y de recrear información perdida, con la perspectiva de que tal vez, nunca pueda ser completamente recuperada. Una de las preguntas clave es en consiguiente, cómo cuantificar el valor de ese tiempo insumido. Otro factor a considerar es la falta de una metodología establecida de cálculo y las dificultades para formular instrumentos de evaluación, tales como encuestas o relevamientos que acoten el riesgo de interpretaciones erróneas o parciales. Por otro lado, y a diferencia de la determinación de la cantidad de casos de ataques registrados cuyo análisis se desarrolló en los capítulos precedentes y cuya estimación puede basarse en herramientas automatizadas de recolección, en el caso de la ponderación económica, se hace necesaria la denuncia o reporte de al menos un número significativo de entidades o usuarios afectados, a fin de aproximar la cuantificación económica del daño producido, sea en costos directos o indirectos. Cabe acotar que es un error grave suponer que la falta de estimaciones sobre la real dimensión del impacto económico deba ser leída como su inexistencia. Si bien es dable reconocer que establecer la dimensión completa del incidente es posiblemente una tarea casi imposible en la mayoría de los casos,
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 134/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil contar con valores estimados permitirá considerar su alcance, determinar tendencias a lo largo del tiempo y como ya fuera expresado, realizar las previsiones necesarias priorizando los escenarios de mayor riesgo. En otras palabras, permitirá justificar la asignación de recursos, respaldando las decisiones que se adopten. A continuación siguen algunas preguntas que podrían plantearse frente a un ataque real o potencial: •
¿Cuántas personas/entidades denunciaron haber sido afectadas?
•
¿Cuál es la estimación del número de personas/entidades que pudo verse afectado pero no detectó aún el fraude o prefirió no denunciarlo?
•
¿Cuál es la pérdida promedio por persona y/o entidad afectada?
•
¿Cuál es el valor de la información y de los recursos perdidos?
•
¿Cuánto costará recuperar la información afectada?
•
¿Cuál fue el efecto sobre el trabajo cotidiano de las personas, es decir cuántas no pudieron trabajar o efectuar algún tipo de transacción?
•
¿Cuál es el salario de estas personas o bien la pérdida promedio por esta imposibilidad de llevar adelante sus actividades?
•
¿Cuántas personas trabajaron en atender el incidente?
•
¿Cuántas horas destinaron al proceso de gestión del incidente?
•
¿Cuál será la previsión que se realizará para la atención de los costos posteriores, en términos de posibles demandas legales o sanciones?
Con esta información disponible, aunque sea parcialmente, luego es cuestión de mero cálculo arribar a un valor estimado base, que si bien posiblemente no refleje el incidente en su total dimensión, fija un piso para la estimación de su impacto económico. En este sentido, por ejemplo a nivel de una organización, si se utiliza un método consistente de cálculo en forma sucesiva, surgirán tendencias que pueden ser utilizadas a lo largo del tiempo para determinar la evolución, precisar si las medidas implementadas fueron pertinentes y adoptar decisiones al respecto.
Costos asociados a los incidentes informáticos El artículo del equipo de académicos al que se hizo referencia en la introducción de este capítulo, propone la siguiente clasificación para el flujo de fondos asociado a los cibercrímenes: •
Ingresos de los ciberdelincuentes: resulta del equivalente monetario de los ingresos que obtienen los ciberdelincuentes por la actividad maliciosa que realizan en Internet. En esta categoría no se contempla ningún gasto lícito, como podría ser lo pagado por un servicio de hosting a un proveedor de servicios de internet legítimo, a valores de mercado. Esta distinción hecha por los autores apunta a no incluir gastos lícitos en esta categoría, ya que estos contribuyen al producto bruto legítimo de la economía en la que opera el proveedor.
•
Pérdidas directas: incluye los quebrantos que sufren las víctimas, incluyendo no solo el dinero que pueden perder, sino el valor monetario del tiempo y de los esfuerzos que deben realizar para con-
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 135/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil trarrestar el daño. Comprende asimismo los costos derivados de compras diferidas, de la imposibilidad de disponer de los fondos, de las oportunidades de negocio perdidas, etc. •
Pérdidas indirectas: comprende las pérdidas y los costos de oportunidad que son impuestos sobre la sociedad y que no pueden ser atribuidos a una víctima en particular. Ejemplo de esta categoría es la menor confiabilidad en la banca en línea o en el comercio electrónico, que puede devenir del público conocimiento de un cibercrimen. Los costos indirectos se proyectan tanto sobre la actividad ilícita concreta, como sobre la infraestructura que le da soporte.
•
Costos defensivos: son aquellos que reflejan los esfuerzos que realizan las organizaciones, los gobiernos y las personas para prevenir la ocurrencia de cibercrímenes. En esta categoría los autores incluyen tanto los costos defensivos directos, como por ejemplo los que surgen del desarrollo, la implementación y el mantenimiento de medidas preventivas, como los indirectos, que devienen del costeo de los efectos de los inconvenientes asociados a la adopción de este tipo de medidas. Ejemplos de estos últimos son un mayor retraso para arribar a los puestos de trabajo por la necesidad de atravesar varios niveles de acceso o las pérdidas de productividad causadas por demoras para recuperar credenciales de acceso. Los costos asociados a la capacitación y concientización de usuarios y empleados, los desembolsos por filtros anti-spam y antivirus se inscriben también en esta categoría. Los costos defensivos, al igual que los indirectos, no pueden ser atribuidos a una víctima en particular.
•
Costos para la sociedad: representa la suma de los costos directos, indirectos y defensivos.
Los autores refieren también como costos indirectos a aquellos correpondientes a la infraestructura que da soporte al cibercrimen, tales como el desarrollo y despliegue de botnets y los servicios de instalación de código malicioso (“pay per install” o PPI). Dicha infraestructura es utilizada para facilitar muchos tipos de actividades ilícitas en Internet y por ello, no pueden ser considerados como costos directos, es decir, atribuibles a un ciberataque en particular. La inversión realizada con fines defensivos por su parte, pueden destinarse a proteger los activos de la organización de los cibercrímenes o apuntar a neutralizar la infraestructura de soporte. La siguiente figura refleja los conceptos vertidos precedentemente y fue tomada de la versión en inglés del artículo referido:
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 136/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Costos defensivos Costo para la sociedad
Pérdidas indirectas
Ingresos de la ciberdelincuencia
Pérdidas directas
Cibercrimen
Infraestructura de Soporte
Anderson et al - “Measuring the Cost of Cybercrime” - Marco para el análisis de los costos del cibercrimen
Para clarificar esta clasificación, los autores del trabajo presentan el siguiente ejemplo 140 sobre un caso de phishing bancario: •
Ingresos de los ciberdelincuentes: Sumatoria de los valores monetarios extraídos de las cuentas bancarias de las víctimas Ingresos del “Spammer” por el envío de los correos electrónicos de phishing (considerando que parte de lo que obtiene el “phisher” que comete el cibercrimen, será transferido al “spammer”)
•
Pérdidas directas: Ingresos de los ciberdelincuentes Tiempo y esfuerzo para restablecer las credenciales de las cuentas bancarias afectadas Costos secundarios producto de la falta de los fondos robados (compras diferidas, oportunidades perdidas, etc.) Mermas en la productividad asociadas al SPAM, como por ejemplo, el tiempo insumido en leer mensajes de correo electrónico de publicidad no solicitada, adquisición de filtros, menor disponibilidad de banda ancha, etc.
•
Pérdidas indirectas Afectación de la confianza de los clientes en la banca en línea Imposibilidad de utilización del correo electrónico para comunicarse con clientes por parte de los bancos, lo que obligará a utilizar procedimientos alternativos más onerosos
140
11th Workshop on the Economics of Information Security, Berlin, Germany – Measuring the cost of Cybercrime – Anderson, Ross et al – 26/06/2012
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 137/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Esfuerzos para limpiar computadoras infectadas •
Costos defensivos Adquisición de productos de seguridad (por ejemplo, elementos de autenticación y antivirus) Capacitación para empleados y clientes bancarios personales y corporativos Esfuerzos de detección, seguimiento y recuperación frente al fraude Esfuerzos de las fuerzas de seguridad especializadas para la investigación y la detención de los responsables
Los autores distinguen los siguientes tipos de cibercrímenes, a los fines de asociarles sus costos respectivos: •
Genuinos, aquellos que surgen a partir del advenimiento de la tecnología, como los antivirus falsos, los códigos maliciosos, etc.
•
Transicionales, aquellos si bien se realizaban antes del surgimiento de las nuevas tecnologías, a partir de ellas cambian sensiblemente en la manera en que se realizan, en su alcance o en alguna otra característica.
•
Tradicionales, aquellos que siempre se realizaron, solo que ahora utilizan distintas herramientas para cometerlos con el mismo modus operandi, como es el caso de fraude ligado a la presentación de declaraciones impositivas o de la seguridad social, con datos falsos.
Adicionalmente, como ya se dijo, se consideran también los costos asociados a la protección de las infraestructuras tecnológicas, como son la adquisición de licencias de antivirus y otros dispositivos de protección, la administración de parches de seguridad y otros costos asociados a la defensa. Desde el punto de vista de los ciberdelincuentes que buscan lucrar con la actividad maliciosa, una posible clasificación identifica cuatro grandes tipos de criminales que emplean Internet para su actividad maliciosa: •
Programadores, especializados en poner a prueba la seguridad de los servidores y en desarrollar técnicas para robar datos, para luego ofrecer las herramientas que han generado a otros ciberdelincuentes que las utilizan para controlar sistemas susceptibles de ser infectados de manera remota, y así cometer phishing o instalar troyanos bancarios, entre otras opciones.
•
Vendedores de infraestructura, que cuentan con una red de equipos infectados y la ofrecen para la realización de diferentes tipos de cibercrímenes. En su oferta de elementos, este grupo ofrece conjuntos de computadoras infectadas, acceso a otros equipos, paquetes de códigos maliciosos, servicios de SPAM con enlaces de phishing o infecciones de troyanos y capacidades para ocultarse en la red.
•
Vendedores de datos, que ofrecen al mercado sitios de comercio electrónico ya comprometidos, información de contacto de personas que se postulan para recibir mercancías robadas o fondos sustraídos ilegítimamente, sitios de venta de datos de tarjetas de crédito, herramientas para averiguar si la tarjeta todavía está vigente y su nivel de crédito, entre otros elementos.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 138/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil •
Defraudadores que se dedican a organizar pequeñas bandas con personas que probablemente nunca lleguen a verse físicamente, pero que tienen habilidades útiles para la organización y conforman así redes para el cibercrimen organizado, incluyendo la gestión de los fondos producidos.
Objetivo y alcance del capítulo Al igual que en el informe publicado por LACNIC en el año 2011, el objetivo principal de este capítulo es proveer un marco para la medición del impacto económico del cibercrimen en Latinoamérica y El Caribe, que pueda ser actualizado y mejorado cuando se disponga de información más precisa y de análisis más profundos, facilitando estimaciones futuras. Se propone asimismo, realizar algunas aproximaciones y proyecciones globales respecto a la dimensión que podría estar teniendo el cibercrimen en la región. Estas proyecciones son realizadas en base a una serie de supuestos y especulaciones, ante la ausencia de datos concretos y representativos sobre la cantidad y el impacto de los incidentes ocurridos. En otras palabras, los valores que se indican en este capítulo son el resultado de estimaciones, más que de datos específicos de casos de ataques, frente al panorama de escasez de información agregada y precisa de los casos registrados. Dichas estimaciones se basan en datos obtenidos de fuentes públicas y en modelos utilizados mayormente en informes producidos en otros países o regiones, tanto por organizaciones públicas como por entidades privadas, calculados usando factores locales, cuando fue posible. Asimismo, se han tenido también en cuenta las opiniones de expertos locales e internacionales, cuyo aporte ha sido invaluable para la realización de este trabajo. En el mismo sentido, las actividades cubiertas en este capítulo son aquéllas que llevan a cabo los delincuentes para acceder en forma no autorizada a la información y a los servicios que utilizan las personas y organizaciones de Latinoamérica y El Caribe. Sólo se incluirá aquéllas que tengan un impacto financiero, no contemplándose por ejemplo, daños a la reputación, debido a las dificultades para su determinación. Esta decisión se adopta para evitar el agregado de mayores complejidades en los modelos utilizados para realizar las proyecciones, al aumentar la cantidad de supuestos y especulaciones que es necesario realizar. En esta oportunidad, se tomó particularmente como base el trabajo de investigación realizado por un grupo de especialistas de universidades europeas y de los EEUU, tal como se planteo en la introducción. Los cibercrímenes cubiertos son: •
Fraudes bancarios Costos asociados al phishing Inversión de los bancos en seguridad
• •
Fraude en comercio electrónico Robo de identidad
Otros cibercrímenes tales como la distribución de pornografía por Internet, la extorsión, el robo de propiedad intelectual en soporte electrónico y la piratería de software u otras facetas de la actividad ilícita como el ciberterrorismo, no son abarcados en el presente capítulo debido a que no fue posible obtener información suficiente para estimar su impacto económico. Dada la amplitud del impacto económico de Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 139/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil la actividad ilícita en Internet, que excede el listado anterior y ante la ausencia de datos concretos para ponderar otro tipo de incidentes, no ha sido posible en esta instancia llevar adelante otro tipo de análisis. Para cada uno de los cibercrímenes analizados, en la medida de lo posible, se citan datos provenientes de publicaciones de los países de la región que detallan estimaciones del impacto económico de dicha actividad ilícita dentro de sus fronteras. Al final del capítulo se agrega una serie de valores y estimaciones referidas a otros cibercrímenes, así como una sección dedicada a la economía sumergida que da base a la actividad ilícita, que fueron encontrados durante la revisión bibliográfica, con la idea de que puedan ser utilizados cuando se disponga de información más completa.
Informes internacionales Desde la publicación del informe anterior, han aparecido nuevos estudios realizados por entidades académicas y empresas del sector tecnológico y de productos y servicios de seguridad informática, que buscan identificar el impacto económico del cibercrimen a nivel global o regional. En los EEUU por ejemplo, la Federal Trade Commission 141, un organismo del Estado Federal que tiene como objetivo la protección de los consumidores, mantiene desde hace varios años una base de datos de reclamos muy completa sobre fraude en Internet y robo de identidad, a partir de la cual se obtienen estadísticas sobre la cantidad de casos de cibercrímenes registrados y se estiman las pérdidas sufridas en forma individual y agregada. En una de sus publicaciones, este organismo indica que durante el año 2012 recibió 2 millones de quejas, de las cuales el 18% se vinculaba con el robo de identidad. El informe 142 indica que un 52% del total de los reclamos recibidos se relacionó con fraudes, causando un impacto financiero estimado en 1.400 millones de dólares estadounidenses, con una media de 535 dólares por persona afectada. Un 57% de las quejas por fraude se correspondieron con situaciones en las que hubo un contacto inicial. De esos contactos, un 38% se realizó a través de mensajes de correo electrónico, es decir que tomando el total de los casos reportados, un 11,3% tuvieron un contacto inicial vía correo electrónico. El siguiente cuadro, extraído del documento mencionado muestra la relación anterior:
141
Informes publicados en el sitio de Internet de la Federal Trade Commission – http://www.ftc.gov/ Informe Consumer Sentinel Network Data Book – Enero a Diciembre 2012 – Federal Trade Commission, Gobierno de los EEUU. – Consultado el 02/04/2013 - http://www.ftc.gov/sentinel/reports/sentinel-annualreports/sentinel-cy2012.pdf 142
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 140/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Otro
7%
Teléfono
34%
Sitios web Correo postal Correo electónico
12% 9% 38%
Federal Trade Commission del Gobierno de los EEUU - Quejas por fraudes según el método utilizado para contactar al consumidor - 2012
En cuanto al Reino Unido, y como ya fuera explicado, el Ministerio de Defensa de ese país, a través de su Científico en Jefe, solicitó a un grupo de académicos la realización de una revisión del informe producido en febrero de 2011 por la consultora Detica y su correspondiente actualización. Producto de ese análisis, surge el trabajo de investigación sobre el que se basan algunas estimaciones del capítulo. Por otro lado, un informe 143 del Instituto Ponemon, cuya realización fue auspiciada por Hewlett Packard, a partir de una muestra de organizaciones de los EEUU, concluyó que al costo promedio anualizado del cibercrimen para el año 2012 en ese país, fue de 8,9 millones de dólares estadounidenses, lo que significó un aumento del 6% respecto al año anterior. También se registró un aumento del 42% en el número de ataques, en comparación con el mismo período. Respecto a Europa, un estudio 144 de Böhme y Moore analizó las respuestas a una encuesta realizada entre marzo y junio de 2012, para determinar en qué medida las experiencias e inquietudes de los cibernautas respecto al cibercrimen condicionaban sus decisiones respecto a Internet. Dicha encuesta abarcó a 26.593 ciudadanos europeos mayores de 15 años. Un hallazgo interesante de los autores muestra que las preocupaciones sobre el cibercrimen llevaban a un 17,5% de los encuestados a evitar la realización de compras en línea y a un 14% a preferir no efectuar operaciones bancarias a través de Internet. Estos porcentajes podrían ser la base para la estimación de los costos indirectos del cibercrimen, ya que tienen un efecto en la confianza de los usuarios en las operaciones que pueden realizar en Internet. Por otro lado, el mismo estudio mostró que un 8% de los encuestados manifestó haber sufrido algún tipo de ataque de robo de identidad, un 37,4% un phishing y un 12,2%, un fraude vinculado a operaciones de comercio electrónico.
143
Ponemon Institute – 2012 Cost of Cybercrime Study: United States – Consultado el 20/02/2013 http://www.ponemon.org/local/upload/file/2012_US_Cost_of_Cyber_Crime_Study_FINAL6%20.pdf 144 Bohme, R. y Moore, T. – How do consumers react to cybercrime? - APWG eCrime Researchers Summit - Septiembre 2012 - Consultado el 27/04/2013 – http://lyle.smu.edu/~tylerm/ecrime12eurobarpres.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 141/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Es interesante destacar que entre las conclusiones de los autores, se encuentra el hecho de que las preocupaciones sobre la actividad ilícita en Internet, condicionaban en mayor medida a los participantes respecto a la realización de operaciones en línea, que la experiencia directa de haber sido víctima de un cibercrimen. Existen también informes de empresas dedicadas a la seguridad informática que intentan cuantificar a nivel internacional el impacto económico producido por distintos tipos de ataques. Entre estos informes, se encuentran los realizados por la empresa Symantec Corporation 145, el cual concluye que el cibercrimen le costó al mundo en el año 2012, 110.000 millones de dólares estadounidenses. Sin embargo, un trabajo similar de McAfee Inc., competidor de la compañía antes citada, lo ubica en 1,1 billones 146 de la misma moneda, es decir, 10 veces mayor. Cabe acotar que en el caso del primer informe, se hace referencia al mostrar las extrapolaciones, que los valores presentados resultan de las encuestas correspondientes a 24 países. Por otro lado, la empresa Canalys 147 anunció en diciembre de 2011 que esperaba un incremento del 8,7% en el mercado global de productos y servicios para el aseguramiento de la información, que alcanzaría un total de 22.900 millones de dólares estadounidenses. Como ya se explicó en el Capítulo III, existe un fuerte debate sobre la credibilidad de estas empresas, que al participar activamente en el mercado de venta de productos y servicios de seguridad, tienen intereses comerciales. Sin embargo, no puede negarse que conocen la actividad, tienen la capacidad y los medios para implementar mecanismos de identificación de los principales actores y han desarrollado diversas herramientas para el conteo de los ataques. Posiblemente sea necesario que dichos informes especifiquen en forma más precisa, los mecanismos que se utilizaron para la recolección de información y divulguen los supuestos que se realizaron para arribar a sus resultados y conclusiones. Con esto se facilitaría la identificación de los desvíos entre los resultados publicados y se contribuiría a dar mayor confiabilidad a la información disponible, que sin duda es de utilidad para combatir el cibercrimen. En lo que respecta en particular a Latinoamérica y El Caribe, la información es mucho más escasa que en otras regiones. Un informe publicado en el portal de Internet AeTecno 148 indica que diferentes analistas ubicaron entre 93 y 114 millones de dólares estadounidenses las pérdidas atribuibles a la infección de códigos maliciosos que permiten robar datos o información relevante en empresas y organizaciones de la región. En cuanto a los países, una publicación 149 de Colombia de octubre de 2012 indica que se estima en más de 9,7 millones la cantidad de personas que han sido víctimas del cibercrimen en los doce meses ante145
Symantec Corp. - 2012 Norton Cybercrime report - Consultado el 01/03/2013 - http://nowstatic.norton.com/now/en/pu/images/Promotions/2012/cybercrimeReport/2012_Norton_Cybercrime_Report_M aster_FINAL_050912.pdf 146 Tal como fuera indicado en el Capítulo III, en el presente informe se toma como base que un billón es equivalente a un millón de millones. 147 Nota de prensa de la empresa Canalys – Enterprise security market to exceed $22 billion in 2012 – Consultado el 02/03/2012 - http://www.canalys.com/newsroom/enterprise-security-market-exceed-22-billion-2012 148 Ae Tecno - Cibercrimen ocasiona cada año pérdidas por US$100 millones en Latinoamérica – 13 de agosto de 2012 – Consultado el 20 de marzo de 2013 - http://tecno.americaeconomia.com/noticias/cibercrimen-ocasionacada-ano-perdidas-por-us100-millones-en-latinoamerica 149 Portal El nuevo siglo – Cibercrimen: usuarios pierden $771 millones – 28/10/2012 - Consultado el 02/04/2013 http://www.elnuevosiglo.com.co/articulos/10-2012-ciber-crimen-usuarios-pierden-771-mil-millones.html
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 142/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil riores y que éstas tuvieron pérdidas financieras directas por un monto cercano a los 43 millones de dólares estadounidenses. El informe de Symantec citado precedentemente estima para Brasil pérdidas de 8.000 millones de dólares estadounidenses y para México, de 2.000 millones, siempre para el año 2012. Estos son los dos únicos países de la Región incluidos en el informe global citado más arriba.
Fuentes de datos y metodología Para la formulación de este capítulo se ha obtenido información de fuentes de dominio público, complementada por las opiniones de especialistas en ciberseguridad de organizaciones públicas y privadas, de Latinoamérica y El Caribe y de algunos centros de investigación en el mundo. La lista de los informes consultados puede ser accedida en los anexos de este informe. La mayoría de los cálculos realizados son adaptaciones de proyecciones efectuadas para otros trabajos de similar propósito para otras regiones o países. En todos los casos en que fue posible, se utilizaron valores de la región, o bien se tomaron indicadores de otras áreas, corregidos por la realidad local. Las fuentes fueron verificadas y sopesadas, privilegiando siempre las más reconocidas por tratarse de entidades académicas o internacionales, organismos nacionales o bien, empresas de trayectoria reconocida en el sector. Ante más de una fuente posible de similar nivel de confianza, se utilizó la más conservadora. De igual forma, se privilegiaron los datos más recientes ya que se ha comprobado que los ataques cibernéticos van cambiando y reinventándose, a medida que aparecen medidas para neutralizarlos. Calcular el impacto del cibercrimen en un país o región es una tarea compleja. Las estimaciones que siguen se basan en supuestos y evaluaciones fundamentadas, más que en datos reales, dado que como fuera ya consignado, no se encuentran accesibles bases completas que registren la actividad maliciosa y mucho menos, sus efectos económicos. Esta realidad puede observarse a nivel mundial pero es particularmente compleja cuando se trata de información de países de Latinoamérica y El Caribe, donde los datos son más escasos aún. En consiguiente, los valores que se exponen deben ser interpretados como guías ilustrativas, más que como estadísticas o datos concretos del impacto económico del cibercrimen en la Región. En primer lugar se plantearán algunas derivaciones que surgen del trabajo de los académicos, citado precedentemente. En su artículo, los autores calculan para una variedad de actividades ilícitas en Internet, el monto global que implican, sobre la base de diversas publicaciones mayormente provenientes de la academia. Para el cálculo de la proporción correspondiente al Reino Unido utilizan como base en la mayoría de los cibercímenes analizados, su participación en el Producto Bruto Mundial. En los casos aplicables, se seguirá el mismo criterio, tomando como base la participación de Latinoamérica y El Caribe, que es de un 8,07%, según lo indican informes del Banco Mundial 150.
Costos para el sector bancario Analizando la geografía del cibercrimen en Latinoamérica, un artículo 151 publicado en septiembre de 2012 indicaba que la mayoría de los ciberataques en esta región tenían como objetivo la información 150
Informe del Banco Mundial para el año 2011 – http://www.worldbank.org – Consultado el 02/03/2013 PC World México – “Analiza Kaspersky la geografía del ciberdelito en AL” – 14/09/2012 – http://www.pcworld.com.mx/Articulos/25262.htm - Consultado el 02/03/2013 151
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 143/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil financiera. A esta conclusión llegaba al precisar que el uso de Internet en los países que la conforman crece año a año y que millones de personas guardan su dinero en cuentas bancarias y utilizan sus tarjetas de crédito para hacer compras en línea. Un informe estadístico 152 de la firma RSA publicado en agosto de 2012 aseguraba que en el primer semestre de 2012 las pérdidas a nivel mundial debidas a los ataques de phishing superaban los 687 millones de dólares estadounidenses. Este valor, de acuerdo al informe, fue calculado utilizando una media relativamente baja en cuanto al tiempo de publicación del sitio malicioso y aún así, mostraba un incremento 32% respecto al mismo semestre del año 2011 y una merma pequeña respecto al segundo semestre de dicho año. Cabe acotar que como ya fuera explicado en el Capítulo III aludiendo a los datos del APWG, mientras el crecimiento del phishing en el mundo fue del 83%, en Latinoamérica y El Caribe, ese porcentaje alcanzó el 108%. Del mismo modo, la cantidad de dominios maliciosos registrados descendieron a nivel global pero en la región bajo análisis, registraron un aumento. Una publicación de BN Américas 153, citando como fuente a la Federación Brasileña de Bancos FEBRABAN 154, estimaba en 750 millones de dólares estadounidenses las pérdidas de los bancos locales atribuibles al fraude electrónico durante el año 2011, con una proyección similar para el año 2012. En este sentido, se explicaba que dicho monto corresponde a todos los canales electrónicos de atención al cliente (teléfono, Internet, banca móvil, cajeros electrónicos y tarjetas de crédito y débito) y que representa menos del 0,007% del monto correspondiente a todas las transacciones bancarias del país. El mismo artículo precisaba que la inversión anual de los bancos para combatir el fraude en ese país superaba los 4500 millones de dólares para el año antes citado. Con referencia al mismo país, un artículo 155 publicado en el portal de Terra, precisaba que la industria bancaria redujo un 7% las pérdidas por fraude electrónico en el 2012, principalmente mediante sistemas más estrictos de autenticación. El texto, citando cifras oficiales, indicaba que las denuncias de ataques de phishing se habían incrementado en un 95% en el 2012. En el Perú, un ejecutivo de Kunak Consulting 156 estimaba en 500 la cantidad de robos de datos bancarios que se registra al día a en ese país, través de “infecciones” por virus, que permiten a los cibercriminales ingresar a cualquier computadora. De acuerdo al especialista, el 5% de quienes reciben un correo electrónico de phishing, lo responden.
152
RSA FraudAction Research Labs – Phishing in Season: A Look at Online Fraud in 2012 – Consultado el 10/12/2012 - http://blogs.rsa.com/phishing-in-season-a-look-at-online-fraud-in-2012/ 153 BN Américas - Mexico, US countries with most card frauds – 23/11/2012 – Consultado el 05/03/2012 http://subscriber.bnamericas.com/Subscriber/index.jsp?idioma=I&tipoContenido=detalle&pagina=content&idCon tenido=601883&tipoDocumento=1 154 Portal de FEBRABAN - FEBRABAN dá dicas de segurança eletrônica – 12/11/2012 – Consultado el 05/03/2013 http://www.febraban.org.br/Noticias1.asp?id_texto=1886&id_pagina=154&palavra= 155 Portal de Terra – “Brasil busca poner orden en su ciberespacio sin ley” - Consultado el 15/02/2013http://economia.terra.com.mx/noticias/noticia.aspx?idNoticia=201302261454_RTI_SIE91P04N 156 Portal de Perú Press - Cibercrimen : “Perú registra 500 robos de datos bancarios al día” – 11/11/2012 – Consultado el 18/03/2013 - http://www.perupress.com/2012/11/28/cibercrimen-peru-registra-500-robos-de-datosbancarios-al-dia/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 144/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En Colombia, según una publicación157, que citaba un informe de la empresa RSA, se calcula las pérdidas por phishing fueron en el año 2011 de seis millones de dólares estadounidenses, siendo el segundo país en América Latina y El Caribe con mayor índice de robos a través de Internet. El mismo artículo indicaba que al mes se registran alrededor de 187 denuncias por robos informáticos, siendo los más comunes los que se realizan bajo la modalidad del phishing.
Estimaciones Costos asociados al phishing En este tipo de fraudes, las credenciales de un cliente bancario, es decir su nombre de usuario y contraseña o inclusive, los datos de su tarjeta de coordenadas, son robadas por un delincuente que luego se conecta con el banco y realiza transferencias a una cuenta perteneciente, en la mayoría de los casos, a un intermediario que trabaja para él. El impacto directo de esta actividad maliciosa se produce sobre los clientes y los bancos e indirectamente, sobre todo el sistema bancario. Este tipo de ataques se realiza mayormente a través de la creación de un sitio de internet similar al de la institución bancaria y de un envío masivo de mensajes de correo electrónico, buscando encontrar clientes bancarios desprevenidos que crean que efectivamente proviene del banco. Varios estudios 158 159 ubican la cantidad de usuarios que anualmente caen víctimas de un ataque de phishing, ingresando sus credenciales o contraseñas en un sitio web, entre un 0,4 y 0,5% de los usuarios de Internet. Esto en América Latina y El Caribe significaría que entre 1 millón y 1,3 millones de personas son estafadas año a año con esta mecánica. El estudio realizado por Anderson y demás colaboradores estima que las pérdidas globales por phishing ascienden a 320 millones de dólares anuales. Si se aplica el porcentaje de participación de la región de Latinoamérica y El Caribe en el producto bruto global, se arriba a un total aproximado de 26 millones de dólares estadounidenses. Las pérdidas por phishing bancario para los clientes ascienden en la Región a 26 millones de dólares estadounidenses Otra forma de robar datos bancarios es el denominado “SPEAR-PHISHING”. A través de esta técnica se instala en forma deliberada código malicioso en las computadoras de determinadas organizaciones, como las pequeñas y medianas empresas, buscando alcanzar al departamento de Finanzas, el de sueldos o el de Cuentas a Pagar. Sobre la base de datos del FBI del año 2011, Anderson y sus colaboradores estiman que las pérdidas globales serían de aproximadamente 300 millones de dólares estadounidenses. Nue157
Portal Mattica - Colombia: Los ataques de phishing crecen – 10/04/2012 – Consultado el 12/03/2013 http://www.mattica.com/2012/04/colombia-los-ataques-de-phishing-crecen/ 158 Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de Latinoamérica 2010 – Consultado el 29/03/2013 - http://www.frost.com/prod/servlet/market-insighttop.pag?docid=213433779 159 Florencio, Dinei y Herley, Cormac. Evaluating a Trial Deployment of Password Re-Use for Phishng Prevention – 2007 Microsoft Research – Consultado el 02/04/2013 http://research.microsoft.com/pubs/74163/APWG_sub.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 145/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil vamente calculando la proporción que le corresponde a la región en función de su participación en el Producto Bruto Global, se arriba a un total estimado en 24 millones de dólares. Las pérdidas para la Región de Latinoamérica y El Caribe atribuibles al denominado “spear phishing” ascenderían a 24 millones de dólares estadounidenses. Los datos bancarios también pueden ser obtenidos de computadoras de usuarios comunes mediante la instalación de código malicioso que registra los datos ingresados por teclado, buscando identificar aquellos que corresponden a información bancaria. En este caso, y en base a datos del FBI del año 2010 obtenidos a partir de una investigación de gran envergadura sobre el que trabajó este organismo, los autores proyectan un monto de 70 millones de dólares estadounidenses como piso a nivel mundial. En consecuencia, la proyección para Latinoamérica y El Caribe sería de 6 millones de dólares. Las pérdidas para la Región de Latinoamérica y El Caribe atribuibles al robo de datos bancarios a través de la instalación de código malicioso, ascenderían a 6 millones de dólares estadounidenses.
Inversión de los bancos en seguridad Los bancos desembolsan una cantidad considerable de fondos para prevenir una amplia gama de eventos vinculados al fraude bancario en línea, entre los cuales se encuentran el phishing y la instalación de código malicioso por distintas vías. Dichos fondos se destinan, entre otros, a la adquisición de herramientas para la autenticación de usuarios y clientes, así como los correspondientes a desarrollos internos de las entidades bancarias. Anderson y sus colaboradores estiman los costos defensivos para prevenir el fraude bancario a nivel global en 1000 millones de dólares estadounidenses, lo cual lleva a una estimación de 81 millones de dólares anuales para la región de Latinoamérica y El Caribe. La inversión en seguridad de la información en los bancos de la Región de Latinoamérica y El Caribe para prevenir el fraude bancario en línea ascendería a 81 millones de dólares estadounidenses. Cabe recalcar que este valor, si bien puede ser considerado muy conservador si se lo compara con lo indicado precedentemente en el informe de FEBRABAN, en el cual se señalaba que la inversión anual en seguridad informática por parte de los bancos del Brasil en el año 2011, fue de 4500 millones de dólares estadounidenses, es solo atribuible a la inversión vinculada a la prevención del fraude bancario en línea.
Otros valores de interés Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del impacto económico de este tipo de cibercrimen en el sector bancario, en la medida en que sea posible acceder a datos adicionales confiables para el cálculo:
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 146/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil •
De acuerdo a un informe 160 de la empresa RSA, en el año 2011 se presumía que uno de cada 300 mensajes de correo electrónico que circulaban en Internet, contenía elementos vinculados al phishing. Cabe señalar que Symantec Corporation, según lo expuesto en el Capítulo III - Phishing, encontró que este valor pasó a ser en 2012, uno de cada 377,4 mensajes.
•
Otro aspecto interesante del informe de RSA es la manera en que los ataques de phishing se empezaron a orientar a los teléfonos celulares. En efecto, el informe señala que en muchos casos, las direcciones de los sitios apócrifos fueron enviados vía mensajes SMS, situación en la cual resultaba más complejo determinar si se trataba de un sitio genuino, una vez que se había ingresado, ya que la mayoría de los mensajes muestran sitios abreviados o la versión del sitio para teléfonos móviles. El estudio agregaba que quienes se conectaban vía telefonía celular eran tres veces más proclives a proveer su nombre de usuario y contraseña cuando les eran requeridos, que quienes accedían a través de una computadora personal.
•
Finalmente, el informe señalaba que en promedio, cada ataque de phishing proporciona al delincuente una ganancia aproximada de 4500 dólares estadounidenses en fondos robados.
•
Tal como se mencionó en el Capítulo III, Websense Security Labs realizó un estudio en el año 2012 en el que revelaba que el porcentaje total de SPAM que puede considerarse phishing es de aproximadamente el 1,62 %. Al respecto, agregaba que las campañas de envío de correo electrónico no solicitado pueden alcanzar más de 250.000 mensajes por hora y que los intentos de phishing son superiores a los correspondientes a ejecutables maliciosos, respecto al volumen del correo electrónico enviado.
Fraude en el comercio electrónico El comercio electrónico alcanzó durante el año 2011 en la región de Latinoamérica y El Caribe los 43.000 millones de dólares estadounidenses, según un artículo publicado en el portal VISA América Economía 161, registrando un 98,5% de crecimiento bianual. Este crecimiento se debe a diversos motivos, entre los que se encuentran el uso cada vez mayor de Internet, conexiones más veloces de banda ancha, una creciente confianza del consumidor, una mayor cantidad de comerciantes que utilizan este canal de venta y una mayor difusión de uso de los medios de pago electrónicos. Un estudio realizado por el Instituto Latinoamericano de Comercio Electrónico en conjunto con VISA 162, muestra la evolución a partir del año 2003, de los ingresos generados en la región y su proyección para los años 2012 y 2013:
160
RSA – The year in phishing, January 2012 – Consultado el 02/03/2013 http://www.rsa.com/solutions/consumer_authentication/intelreport/11635_Online_Fraud_report_0112.pdf 161 Portal América Economía - “Los años del boom” - Consultado el 16/02/2013 http://especiales.americaeconomia.com/2012/comercio-electronico-america-latina-2012/estudio.php 162 Instituto Latinoamericano de Comercio Electrónico - Estudio del Comercio Electrónico en América Latina - Consultado el 06/04/2013 - http://especiales.americaeconomia.com/2012/comercio-electronico-america-latina2012/pdf/Estudio_de_comercio_electronico_en_America_Latina_Mayo_2012.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 147/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
70 54,4 43 30,3
1,7
3
4,9
7,5
2003
2004
2005
2006
10,6
2007
15,6
2008
21,8
2009
2010
2011
2012 2013 (proy.) (proy.)
Instituto Latinoamericano de Comercio Electrónico - Ingresos en millones de dólares estadounidenses por comercio electrónico en Latinoamérica y El Caribe
En cuanto a la distribución por país, Brasil ocupa un papel preponderante con casi un 60% del ingreso total producto del Comercio Electrónico en la región, seguido de lejos por México, con un 14,2%, como lo muestra el siguiente gráfico del mismo informe:
Instituto Latinoamericano de Comercio Electrónico - Participación por país en los ingresos del comercio electrónico de la región
Finalmente, el trabajo señala la ponderación de los usuarios frente a la decisión de transaccionar en un sitio de comercio electrónico. En una escala de 1 a 4, el cuarto punto es la seguridad, interesante aspecto que demuestra la consideración que los usuarios dan al tema.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 148/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Instituto Latinoamericano de Comercio Electrónico - Factores más relevantes al comprar por Internet
Estimaciones Como ya se explicó, el comercio electrónico en América Latina y El Caribe prácticamente se duplicó en sólo dos años, registrando en el año 2011 ventas por 43 mil millones de dólares estadounidenses. Durante el mismo año, de acuerdo al informe antes citado, la tasa promedio de fraude, entendido como los créditos y la anulación de cargos generada por reclamos de los clientes, fue del 1% del ingreso total por las ventas. Los grandes comercios mostraban menores porcentajes de pérdida (4%) mientras que los pequeños reportaban pérdidas que triplicaban dicha tasa, posiblemente porque los primeros cuentan con mejores capacidades para la prevención del fraude. Los porcentajes de fraude también se encuentran influenciados por otras cuestiones, tales como el volumen de ventas, los tipos de productos comercializados y la forma de entrega y pago. Un estudio 163 más reciente de la firma CyberSource Corporation, una unidad de VISA, referido a datos del año 2011 reflejando datos obtenidos de relevamientos en Canadá y los EEUU, coincide con el valor de fraude del 1% antes indicado. De acuerdo al estudio, un 41% de ese total puede adjudicarse a la anulación de cargos de cliente. Para el caso de Latinoamérica y El Caribe, un artículo del portal Tecnovirus, citando a la empresa antes mencionada, indica que luego de analizar 5.000 millones de operaciones electrónicas de comercio electrónico mediante 260 pruebas de autenticación, se pudo determinar que de cada 100 dólares estadounidenses, 1,8% corresponde a actividades ilegales. Otro dato que aporta el informe es que un 2,8% de las órdenes de compra recibidas, son rechazadas por sospecha de fraude. Sin embargo, el Director comercial para Latinoamérica y El Caribe de la empresa CyberSource sostiene que el porcentaje de órdenes rechazadas debido a la sospecha de fraude es mucho mayor en dicha región. 163
Cybersource - 13th On line Fraud Report 2012 – Consultado el 22/03/2013 http://forms.cybersource.com/forms/NAFRDQ12012whitepaperFraudReport2012CYBSwww2012
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 149/185
-
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil El informe concluye además que se mantiene la tendencia de mejora reportada por los comerciantes frente al fraude, evolución que puede apreciarse en el siguiente cuadro que muestra el porcentaje de las pérdidas atribuido a los fraudes en los pagos en línea, entre los años 2000 y 2011, siempre referidos a datos del hemisferio norte de América:
Cybersource - Evolución del porcentaje de las pérdidas atribuido a los fraudes en los pagos en línea - 2012
Para realizar una estimación en este caso, si bien se cuenta con información para la región, se adopta una posición conservadora, por lo que se tomará entonces el 1% sobre el monto total que generó el comercio electrónico en Latinoamérica y El Caribe en el año 2011. Aplicando este porcentaje, se proyecta en consecuencia como el límite inferior del monto del fraude un monto, de 430 millones de dólares estadounidenses para toda la región. El fraude en el comercio electrónico en Latinoamérica y El Caribe originado en reclamos de los clientes podría estar alcanzando un piso de 430 millones de dólares estadounidenses.
Otros valores de interés Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del impacto económico del fraude en el comercio electrónico, en la medida en que sea posible acceder a otros modelos y a datos confiables adicionales para su cálculo: •
El informe “13th On line Fraud Report” de la firma Cybersource referido precedentemente, señala que existe una mayor tendencia al rechazo de órdenes de compra de países extranjeros, que se calcula que es tres veces mayor que los valores correspondientes a las compras locales. Como respuesta, los comerciantes rechazan un 7,3% de las órdenes provenientes del exterior, contra 2,8% en el caso de aquellas generadas en el propio país.
•
El mismo informe señala que un 25% de los comerciantes alcanzados por la encuesta gastó en el año 2011 un mínimo de un 0,5% de sus ingresos para enfrentar el fraude por pagos en línea, mientras que un 75% gastó una cifra menor a ese porcentaje. Estos valores corresponden a la gestión del riesgo y no alcanzan los quebrantos asociados a las devoluciones, a la pérdida de mercadería y de
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 150/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil sus costos de envío asociados, ni a los costos de oportunidad devenidos del rechazo de órdenes de compra válidas. •
El presupuesto destinado a enfrentar el fraude en el comercio electrónico se distribuye de la siguiente manera: un 21% se utiliza para el desarrollo y la implementación de sistemas y herramientas internas, un 27% para herramientas de terceros y el mayor porcentaje, 52%, para la revisión manual de las órdenes de compra. Estos valores pueden apreciarse en el siguiente cuadro.
21%
Sistemas y herramientas internas Herramientas de terceros
52% 27%
Personal para revisión
Cybersource - Porcentaje promedio de distribución del presupuesto de fraude en las empresas - 2012
Fraudes vinculados al robo de identidad Bajo este tipo de fraude se incluye el uso de identidades falsas o robadas para obtener servicios o bienes mediante distintos tipos de engaño o ardid. En su versión tradicional, tiene lugar a partir del robo o la falsificación de documentos de identidad, tales como documentos nacionales de identificación, pasaportes, licencias de conducir, etc. A partir del advenimiento del uso de las tecnologías de información y particularmente de Internet, este delito toma nuevas formas y se encadena de alguna manera a los vectores de ataque de otros cibercrímenes, tales como el phishing, el pharming, el SPAM, las infecciones de código malicioso, etc. En consiguiente, el fraude en el comercio electrónico y el bancario, tratados precedentemente, pueden tener componentes vinculados al robo de identidad, como pasos del proceso de comisión de la actividad ilícita. Sin embargo, se los presenta en forma separada debido a la magnitud que representa el robo de identidad entre los actos ilícitos cibernéticos, crecimiento que surge a partir del incremento de la disponibilidad de datos personales en línea que se viene registrando en los últimos años y de la explosión en el uso de las redes sociales. En efecto, diversos estudios coinciden en afirmar que el robo de identidad es el delito de mayor crecimiento en el mundo, amparado además en el volumen creciente de datos disponibles, en la facilidad con que se puede obtener información de usuarios desprevenidos, en los bajos presupuestos de las fuerzas de la ley, en las insuficientes campañas de prevención, en el ya mencionado explosivo crecimiento de las redes sociales y sus múltiples usos que exceden lo meramente “social”, y en un mercado delictivo cada vez más atractivo para el tráfico de este tipo de información.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 151/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil En línea con lo anterior, el informe de la Federal Trade Commission, citado precedentemente afirma que hace ya más de una década, el robo de identidad es la queja más frecuente, alcanzando un 18% del total de denuncias recibidas en el año 2011. En consecuencia, es dable esperar que el impacto económico de este tipo de delitos sea alto. En este caso, deben tenerse en cuenta diversos factores como la pérdida económica directa para la persona afectada, el valor asociado al tiempo que le lleva realizar las gestiones para solucionarlo, el costo de reparación y resarcimiento para la entidad en donde el usuario tenía sus datos, las posibles sanciones a las que dicha entidad podría verse expuesta, entre otros. El Identity Theft Resource Center, entidad sin fines de lucro que funciona en los EEUU, publica semanalmente reportes 164 de casos ocurridos en el año del informe, detallando la organización afectada por casos de robo de identidad, su localización, el total de registros expuestos y el total de fallas registrado. Para el informe, una falla se define como un evento por el cual el nombre de un individuo, más su número de seguridad social, los datos de su licencia de conducir, sus registros médicos o financieros o los de su tarjeta de crédito o débito, son puestos en riesgo potencial, sea que éstos se encuentren en soporte papel o electrónico. Los casos son obtenidos de fuentes confiables como sitios gubernamentales, medios de prensa, etc. Un artículo 165 publicado en el periódico argentino Diario Popular indicaba que se calcula que en el año 2013 se registrarán unos 10.000 casos de robos de identidad, es decir alrededor de 27 por día, generando una ganancia para los delincuentes que podría superar los 200 millones de dólares estadounidenses.
Estimaciones Una manera de estimar el impacto del robo de identidad parte de la cantidad de ciudadanos con acceso a Internet, valor que es luego multiplicado por la probabilidad de que cada uno de ellos sea blanco de un robo de esta naturaleza, ponderando que ese delito sea cometido en línea. El total obtenido es luego multiplicado por un monto estimado de pérdida por caso. De acuerdo a lo señalado previamente en el Capítulo III - Una aproximación sobre la actividad global en el ciberespacio, en junio 2012 había en Latinoamérica y El Caribe aproximadamente 255.000.000 de personas conectadas a Internet. Por otra parte, información publicada 166 por Javelin Strategy, sobre la base de una encuesta realizada en los EEUU, indica que en el año 2011 un 4,9% de los estadounidenses adultos sufrió un robo de identidad, reflejando un incremento del 13% respecto al año anterior. Este incremento fue motivado fundamentalmente por la mayor exposición que implica el uso de redes sociales sin adoptar adecuadas precauciones. La evolución de este porcentaje desde el 2004 puede apreciarse en el cuadro que sigue.
164
Identity Theft Center – 2013 Data Breach Stats - Consultado el 07/04/2013 http://www.idtheftcenter.org/ITRC%20Breach%20Stats%20Report%202013.pdf 165 Diario Popular – En Argentina hay unos 27 delitos diarios por robo de identidad – Consultado el 07/04/2013 http://www.diariopopular.com.ar/notas/126188-en-argentina-hay-unos-27-delitos-diarios-robo-identidad 166 Javelin Strategy & Research - 2012 Identity Fraud Report – Consultado el 07/04/2013 https://www.javelinstrategy.com/brochure/239
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 152/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Javelin Strategy & Research - Cantidad de víctimas y tasa de incidencia del fraude por robo de identidad en los EE.UU - 2012
Un informe 167 de la Oficina de Protección de la Privacidad del Estado de California indica que cada víctima perdió, en promedio, 354 dólares estadounidenses y 12 horas para resolver el problema. En cuanto a la proporción de los casos de robo de identidad que se realizan a través de Internet, un informe 168 del Reino Unido referido al tema, lo estima en un 25%. Este coincide con la publicación de la firma Edgar, Dunn & Company, que analizando las estimaciones de varias agencias globales de prevención del delito, observan que la mayoría coincide en estimar que un 25% de todos los reclamos por fraude por parte de consumidores estaban relacionados con el uso de Internet. Tomando los factores antes citados, se estima que el monto total de la pérdida para Latinoamérica y El Caribe sería de 1.100 millones de dólares estadounidenses.
Se estima que el monto total de la pérdida para Latinoamérica y El Caribe por robo de identidad sería de 1.100 millones de dólares estadounidenses.
Otros valores de interés Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del impacto económico del robo de identidad, en la medida en que sea posible acceder a otros datos y modelos confiables para su cálculo. •
El informe correspondiente al año 2012 de la Federal Trade Commissión indica que los fraudes por robo de identidad vinculados a documentos y beneficios otorgados por entidades de gobierno fue el
167
Identity Theft First Aid - Oficina de Protección de la Privacidad del Estado de California - Consultado el 28/03/2013 - http://www.privacy.ca.gov/consumers/identity_theft.shtml 168 Cabinet Office of United Kingdom – “The cost of Cybercrime – A Detica report in partnershipo wiht the Office of Cybere Security and Information Assurance in the Cabinet Office” – https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60943/the-cost-of-cyber-crimefull-report.pdf - Consultado el 24/03/2013
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 153/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil más común de los reportados en esa categoría, correspondiendo a uno de cada cuatro casos denunciados. •
Un informe del Servicio de Prevención de Fraudes del Reino Unido 169 (CIFAS, por su sigla en inglés) indica que en el dicho país, un 80% de todos los robos de identidad fueron realizados en línea, confirmando la importancia de Internet para los defraudadores modernos. Téngase que en cuenta que para la estimación de la sección anterior se utilizó un valor menor, respetando la consigna de privilegiar las estimaciones más conservadoras.
•
Un estudio 170 de la firma ESET a partir de una encuesta realizada a usuarios de Latinoamérica y El Caribe mostraba los siguientes resultados cuando se les preguntaba el tipo de información que se les requería a través de mensajes fraudulentos de correo electrónico: usuarios y contraseñas (81%), las tarjetas de crédito con (46%), de débito (19%), token de seguridad (9%) y tarjetas de coordenadas (6%). El siguiente gráfico muestra la información referida.
9%
Contraseñas
6%
Tarjetas de Crédito
19% 81% 46%
Tarjetas de Débito Token de Seguridad Tarjetas de coordenadas
ESET - Tipo de datos requeridos con fines fraudulentos a través de mensajes de correo electrónico
Otros tipos de incidentes La falta de información referida a otros tipos de incidentes ha hecho imposible presentar valores de impacto económico para los países o para la región sobre ellos. Sin embargo, en el decurso de esta investigación se han encontrado algunos datos que pueden tener valor para investigaciones futuras a la hora de dimensionar su magnitud económica y entender sus principales causas y consecuencias, cuando sea posible disponer de mayor información. Siguen a continuación las estimaciones y proyecciones encontradas:
169
CIFAS – The UK’s Prevention Service - Informe Fraudscape – Consultado el 06/04/2013 https://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/ExternalFraudscape_2013_CIFAS.pdf 170 Phishing: webmail, redes sociales y bancos son los servicios más suplantados – ESET – 19/01/2013 – Consultado el 09/01/2013 - http://blogs.eset-la.com/laboratorio/2013/01/09/phishing-webmail-redes-sociales-bancosservicios-mas-suplantados/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 154/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil •
Según el informe del APWG 171 del segundo semestre del 2011, el 39% de las computadoras del mundo están infectadas con algún tipo de código malicioso.
•
La encuesta de la empresa Symantec Corporation referida precedentemente, realizada sobre 13.000 usuarios de Internet localizados en 24 países repartidos en los cinco continentes, indica que el 66% de ellos ha sido víctima de algún tipo de cibercrimen en su vida y un 46% lo padeció en el año del informe. La pérdida promedio por individuo fue de 197 dólares estadounidenses.
•
El informe indica que de los costos totales atribuibles al cibercrimen, un 42% corresponde a fraude, un 26% a reparaciones, un 17% a robos o pérdidas y un 15% a otros motivos.
•
De acuerdo a un informe 172 de la Asociación de Control del Fraude en las Comunicaciones, a nivel mundial en el año 2011 se registraron pérdidas estimadas en 40.000 millones de dólares estadounidenses en esa categoría, cifra que demuestra valores decreciente a partir del 2008. La cifra mencionada representa aproximadamente un 1,88% de los ingresos de las empresas de telecomunicaciones. Un fraude en este sector tiene lugar cuando se utilizan productos o servicios sin la intención de pagarlos, encareciendo los costos operativos de los proveedores de servicios.
•
El informe del Ponemon Institute citado precedentemente en este capítulo reveló que en los Estados Unidos, el tiempo promedio para la resolución de un ataque cibernético a una organización es de 24 días, mientras que el costo promedio incurrido en ese lapso es de 591,780 dólares estadounidenses.
•
Citando datos del Instituto antes mencionado, un artículo 173 publicado en el año 2011 en el sitio Hackmageddon, indicaba que el costo promedio para la organización derivado de una violación de datos, es de 214 dólares estadounidenses por cada registro.
•
El mismo artículo recopilaba una serie de casos relevantes que afectaron a empresas de todo el mundo en el año antes citado, indicando para algunos de ellos, los costos estimados. A continuación se listan los más relevantes, utilizando los valores considerados conservadores por la publicación: Compromiso de 100.000 registros de la empresa EPSILON, que fueron expuestos por una falla en el servidor de correo. Costo estimado en 100 millones de dólares estadounidenses Robo de datos de millones de usuarios de la Red de Play Station de SONY. Costo estimado en 13,4 millones de dólares estadounidenses. Robo de información de 250.000 personas perpetrado por el grupo de ciberdelincuentes LULZSEC. Unos días después del robo seguido del hackeo de varias cuentas de Linkedin. Costo estimado en 15 millones de dólares estadounidenses.
171
APWG – Phishing Activity Trend Report – 2nd Half 2011 - Consultado el 07/04/2013 http://docs.apwg.org/reports/apwg_trends_report_h2_2011.pdf 172 Communications Fraud Control Association – 2011 Global Fraud Loss Survey – Consultado el 04/03/2013 http://www.cfca.org/pdf/survey/Global%20Fraud_Loss_Survey2011.pdf 173
Portal Hackmageddon.com - 2011 Cyber Attacks (and Cyber Costs) Timeline (Updated) – 28/06/2011 - Con-
sultado el 13/04/2013 - http://hackmageddon.com/2011/06/28/2011-cyber-attacks-and-cyber-costs-timelineupdated/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 155/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Descubrimiento de una falla en la plataforma en línea del Banco City, a través de la cual se robaron los datos de 200.000 empleados. Costo de la falla estimado en 22 millones de dólares estadounidenses, mientras que se calcula que los atacantes obtuvieron 2,7 millones de dólares. Adquisición por parte de un delincuente de 200.000 registros conteniendo nombres de usuario, cuentas de mail, direcciones postales y contraseñas, a través del sitio web de la Librería en línea de la NATO. Costo estimado en 720.000 dólares estadounidenses. •
En su informe sobre seguridad informática 2013, PWC 174 recabó información entre enero y abril de 2012, de ejecutivos de 128 países. De los encuestados, un 14% correspondía a personas residentes en Latinoamérica y El Caribe. Entre estos últimos, un 62,6% estimaba que en comparación con el año anterior, en los siguientes 12 meses, el presupuesto de seguridad de la información se incrementaría. El promedio para esta pregunta de todos los encuestados a nivel mundial, fue de 45,4%. El siguiente cuadro muestra la comparativa entre el total de las respuestas y aquellas correspondientes a la Región.
PWC - En comparación con el año anterior, el presupuesto del corriente año tendrá el siguiente comportamiento (respuestas globales y de Latinoamérica y El Caribe)
•
En el mismo informe y ante la consulta sobre la manera en que la organización fue impactada por los incidentes de seguridad, el ítem que tuvo un mayor nivel de selección fue el de Pérdidas Financieras, con un 28,5% a nivel global y un 36,7% en el caso de la Región de Latinoamérica y el Caribe.
•
Un estudio de empresa ESET citado precedentemente indicó que el 58,6% de los usuarios encuestados afirmó que le habían robado su teléfono móvil, siendo el dispositivo más sustraído de los que permiten conectarse a Internet. El siguiente cuadro grafica la información recolectada:
174
PWC – Resultados de la encuesta global sobre seguridad de la información 2013 – Consultado el 13 de abril de 2013 - http://www.pwc.com/gx/en/consulting-services/information-security-survey/assets/2013-giss-report.pdf
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 156/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
58,6%
36,7%
6,1% Teléfono móvil
Nunca me robaron
Computadoras portátiles
3,0%
1,6%
Netbooks
Tabletas
ESET - Robo de dispositivos de conexión a Internet
Los valores de la ciberdelincuencia Este capítulo se centró en las pérdidas a las que se exponen los usuarios y las organizaciones cuando son afectados por el cibercrimen. Pero cabe preguntarse cuán lucrativo es este negocio ilícito y en cuánto se benefician los ciberdelincuentes como consecuencia de las fallas de seguridad. Siguen algunos valores obtenidos de los trabajos de un académico de la Universidad de Michigan, EEUU 175 176: •
La siguiente tabla muestra los valores de referencia para la venta de botnets publicados en un sitio web. En la descripción de los elementos ofrecidos se destacaba que se trataba de bots “frescas y listas para ser vendidas”, y que se entregaban en lotes de entre 500 y 4000 instalaciones.
Cantidad de instalaciones
Precio total
500
US$5
1000
US$10
2000
US$20
3000
US$30
4000
US$40
175
Science Direct – A.K. Sood, R.J. Enbody – Crimeware-as-a-service – A survey of commoditized crimeware in the underground market, International Journal of Critical Infrastructure Portection (2013) –01/04/2013 - Consultado el 01/04/2013 . http://dx.doi.org/10.1016/j.ijcip.2013.01.002 176 Science Direct – Cybercrime: Dissecting the State of Undergroung Enterprise
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 157/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil •
•
El siguiente cuadro muestra los valores de venta de los datos correspondientes a tarjetas de crédito. Como puede apreciarse, los precios varían según el país. Alemania y EEUU presentan los montos más elevados, posiblemente por el mayor poder de compra de los potenciales clientes de esos países. Los datos por cada tarjeta incluyen apellido y nombre del titular, el número, el número de documento, la fecha nacimiento, la dirección de correo electrónico, la contraseña e inclusive, información utilizada para verificar el origen, como las respuestas a los desafíos de preguntas. Estos datos le permiten a los estafadores presentarse como el titular de la tarjeta y realizar operaciones financieras. País
Valor estimado (por tarjeta)
EEUU
US$4 a 10
Australia
US$6 a 8
Canadá
US$5 a 7
Alemania
US$9 a 12
Reino Unido
US$6 a 8
En cuanto a los servicios de ofuscación, los valores que se pagan son los siguientes: Archivos ofuscados
Precio por archivo
Ejecutables (exe)
US$20 – 25
Dynamic link library (DLL)
US$20 – 25
Código HTML
US$5 – 10
Código iFRAME
US$5 – 10
Código JavaScript/DOM
US$5 – 10
PDF
US$25 – 30
Flash
US$25 – 30
PHP/JSP/ASP scripts
US$25 – 30
Otros datos respecto a la economía sumergida siguen a continuación: •
De acuerdo a lo publicado en el blog 177 de Dancho Danchev, consultor independiente en seguridad, sobre la base del análisis de 20 gateways activos para la compra de datos financieros, puede observarse lo siguiente: Decenas de miles de registros de datos de tarjetas robadas se ofrecían a la venta diariamente en un mercado que permite a los “clientes” hacer todo ellos mismos (tipo “DiT” - Do it Yourself)
177
Blog de Dancho Danchev – Exposing the market for Stolen Dredit Cards Data – 31/10/2011 - Consultado el 09/04/2013 - http://ddanchev.blogspot.com.ar/2011/10/exposing-market-for-stolen-credit-cards.html
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 158/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
•
La mayoría de los sitios de venta de datos de tarjetas de crédito se encontraba en Ucrania y los Países Bajos Liberty Reserve era la opción de pago en la mayoría de los portales Para el registro de dominios, cuatro de ellos utilizaban cuentas de Yahoo y el resto, cuentas de Live Cuatro dominios utilizan servidores con nombres idénticos Cada servicio incorporaba un verificador tarjetas de crédito u ofrecía enlaces a sitios externos que prestaban ese servicio Varios de los portales fraudulentos ofrecían servicios de tipo “proxy-as-a-service”, lo cual permitía a los delincuentes ocultar su IP real, utilizando equipos de usuarios infectados con código malicioso como intermediarios Otro artículo 178 del mismo autor presentaba los siguientes resultados a la hora de comprar acceso a hosts pasibles de ser infectados por código malicioso: Ubicación En todo el mundo
En Europa
En los EEUU
En Dinamarca, Canadá y Gran Bretaña
Cantidad de Hosts
Precio total
1.000
US$25
5.000
US$110
10.000
US$200
1.000
US$50
5.000
US$225
10.000
US$400
1.000
US$120
5.000
US$550
10.000
US$1.000
1.000
US$80
5.000
US$350
10.000
US$600
178
Blog de Dancho Danchev – How much does it costs to buy 10,000 US-Based malware infected? – 28/02/2013 Consultado el 13/04/2013 - http://blog.webroot.com/2013/02/28/how-much-does-it-cost-to-buy-10000-u-sbased-malware-infected-hosts/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 159/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo VI – Encuesta sobre Ciberseguridad Introducción Como fuera explicado en capítulos precedentes, existen pocos informes sobre el cibercrimen o sobre aspectos específicos de la ciberseguridad, focalizados exclusivamente en Latinoamérica y El Caribe. La mayoría de ellos reflejan la situación de los países más representativos de la Región y suelen focalizarse en aspectos específicos, como el phishing, las botnets o el código malicioso. A partir de esta realidad, y con el objetivo de profundizar el conocimiento sobre el estado de la ciberseguridad, y del cibercrimen en particular, LACNIC realizó entre mediados de febrero y fines de marzo de 2013, una encuesta destinada a usuarios de tecnologías en la Región. Entre las preguntas se incluyeron algunas vinculadas a cuestiones preventivas, como por ejemplo el uso de contraseñas y el criterio de aceptación de invitaciones en redes sociales, y otras relacionadas con la exposición de los encuestados a instancias de actividad maliciosa. Por tratarse de la primera encuesta de este tipo llevada a cabo por dicha entidad, se fijó como objetivo la obtención de al menos 500 respuestas, meta que fue mejorada en un 68%, al obtenerse 844 respuestas. Si bien se superaron las expectativas iniciales, se espera que de realizarse nuevamente, este número pueda incrementarse para lograr una muestra más representativa.
Objetivo del capítulo El objetivo de este capítulo es presentar los resultados de la encuesta, detallando en forma descriptiva y gráfica las respuestas obtenidas para cada una de las preguntas formuladas.
Metodología La encuesta consistió en 15 preguntas de opción múltiple, de las cuales 3 estuvieron destinadas a perfilar a los encuestados. A través de las 12 preguntas restantes, se buscó determinar si el encuestado: •
• • •
había sido víctima de algún tipo de ilícito durante el año 2012, para lo cual se le presentó un listado de situaciones en las que se registraban actividades maliciosas y se preguntó si había sufrido el robo o la pérdida de algún dispositivo usado para procesar o almacenar información o para conectarse a Internet o las redes tomaba precauciones de seguridad para proteger la información contenida en dichos dispositivos incorporaba medidas de seguridad al momento de conectarse a Internet o acceder a sus correos electrónicos protegía la información contendida en sus perfiles de redes sociales
Se obtuvieron respuestas de 26 países, con mayores porcentajes de Argentina y México y una escasa presencia de Brasil, Perú y Chile.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 160/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil La encuesta fue publicada en el sitio de LACNIC 179 y replicada por varios sitios en Latinoamérica y El Caribe 180. Asimismo, fue difundida a través de diversa listas de correo de dicha organización y en otras específicas de entidades de países de la región. También se publicó en Facebook. Por el tipo de sitios y listas utilizadas, si bien esta información no surge de la encuesta en sí, se estima que un porcentaje importante de quienes respondieron la encuesta, son usuarios con experiencia elevada o media en el campo de las tecnologías de información y en el uso de dispositivos. Esto se desprende también, como se verá más adelante, de los porcentajes relativamente altos que se obtuvieron al consultar sobre la adopción de mecanismos de seguridad para proteger la información o navegar en forma segura. El texto de la invitación y las preguntas se redactaron en español, portugués e inglés, de manera de facilitar la comprensión del cuestionario y acotar cualquier posible malinterpretación idiomática. Como resultado, se obtuvieron 844 respuestas, de las cuales 819 fueron completas. Sin embargo, se optó por realizar el análisis sobre la totalidad de muestra, por considerar que quienes respondieron parcialmente también aportaron información de utilidad a los fines de la encuesta. En esos casos, las preguntas no contestadas se englobaron en un ítem denominado “Sin respuesta”. La encuesta tuvo carácter anónimo y se distribuyó en todos los países de la Región. Sin embargo, no se logró una muestra representativa ya que como se explicó, hubo una elevada participación de Argentina y México, seguida de un grupo de países, pero en el otro extremo, Brasil, Perú y Chile, entre otros, casi no se vieron reflejados en la muestra. Esta circunstancia también condicionó las conclusiones que pueden extraerse del análisis de las respuestas.
Análisis de las respuestas A continuación se presenta un análisis de las respuestas a las 15 preguntas de la encuesta, agrupadas según la siguiente clasificación: a. b. c. d. e. f.
Perfil de los encuestados Utilización de dispositivos para acceder a Internet y redes Medidas de protección a la información Mecanismos de seguridad para el acceso a Internet Precauciones para el ingreso a las redes sociales Exposición a cibercrímenes
Perfil de los encuestados Esta sección consistió en 3 preguntas destinadas a conocer el país de residencia del encuestado, su rango etario y su sexo. Del análisis de las respuestas, se observa que los países más representados fueron México (246 respuestas, 29%) y Argentina (205 respuestas, 24%), que en conjunto representan más del 50% de las respuestas obtenidas. Le siguen República Dominicana, Uruguay, Colombia y Costa Rica, con porcentajes inferiores al 10%. Llama la atención el bajo nivel de respuestas de Brasil (36 respuestas, 4%), lo cual representa un condicionante importante al momento de analizar las respuestas por tratarse del país con mayor número de usuarios conectados a Internet (31% del total de conectados en la Región). 179
Ver http://www.lacnic.net.uy/vote/index.php?sid=57553 – Consultado el 14/04/2013 Se agradece especialmente los esfuerzos de difusión que se hicieron desde distintas instituciones. En particular, se expresa el reconocimiento de las autoras a la Sra. Elia Fernández, el Sr. Rubén Aquino Luna y la Sra. Célica Martínez. 180
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 161/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Algo similar aunque en menor magnitud, mismo ocurre con Venezuela, Perú y Chile, que apenas alcanzaron el 2% de representación en la encuesta.
Saint Maarten, 1, 0%
San Eustaquio 1, 0%
País de Origen
Trinidad y Tobago, 13, 2%
República Dominicana, 73, 9%
Las referencias muestran el país, la cantidad de respuestas y el porcentaje
Uruguay, 42, 5% Venezuela, 16, 2%
Argentina, 205, 24%
Perú, 9, 1%
Belice, 2, 0%
Paraguay, 7, 1% Panamá, 7, 1%
Bolivia, 4, 0%
Nicaragua, 3, 0%
Brasil, 36, 4%
Sin respuesta, 6, 1% Chile, 15, 2% Colombia, 39, 5% Costa Rica, 40, 5%
México, 246, 29%
Cuba, 15, 2% Martinica, 1, 0%
Curazao, 1, 0% Guatemala, 12, 1%
Honduras, 6, 1%
Ecuador, 21, 2% El Salvador, 23, 3%
Distribución de respuestas por país
Respecto al sexo, dos tercios de los encuestados eran hombres (576 respuestas, 68%), algo menos de un tercio, mujeres (254 respuestas, 30%) y una cantidad menor de personas no respondieron la pregunta (14 respuestas, 2%). Sin respuesta 14, 2%
Femenino 254, 30%
Las referencias muestran el el sexo, la cantidad de respuestas y el porcentaje
Masculino 576, 68%
Distribución de respuestas según el sexo del encuestado
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 162/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Finalmente, y con referencia al rango etario, la mayor cantidad de respuestas provino de individuos de entre 31 y 40 años (272 respuestas, 32%), seguidos de quienes tenían entre 21 y 30 años (228 respuestas, 27%) y entre 41 y 50 años (180 respuestas, 21%). En suma, un 80% de las respuestas corresponde a la franja ubicada entre los 21 y 60 años, es decir la población considerada activa. El 20% restante, correspondiente a los grupos menos representados fueron los que tenían más de 60 años (40 respuestas, 5%) y menos de 20 años (21 respuestas, 2%). Solo 5 (menos del 1%) personas no respondieron esta pregunta. 5; 1% 40; 5%
Las referencias muestran el el rango etario, la cantidad de respuestas y el porcentaje
21; 2%
51 a 60 años 98; 12%
Menor a 20 años 228; 27%
21 a 30 años 31 a 40 años
41 a 50 años 180; 21%
41 a 50 años 51 a 60 años Mayor a 60 años Sin respuesta 272; 32% Distribución de respuestas según el rango etario del encuestado
Utilización de dispositivos para acceder a Internet y redes Se consultó sobre la utilización de distintos dispositivos para conectarse a Internet y redes. En este caso, las personas consultadas podían seleccionar más de una opción. Con porcentajes similares de alrededor del 75%, los usuarios indicaron que utilizan PC y notebooks (627 y 614 respuestas, respectivamente). Los teléfonos móviles siguieron con un orden de magnitud similar (599 respuestas, 73%). En menor cantidad respondieron respecto a las tabletas (320, 39%) y los equipos de acceso público (91, 11%). Finalmente, 19 personas (2%) indicaron utilizar otro tipo de dispositivos.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 163/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
76,56
74,97
73,14 Porcentaje 39,07
11,11 PC
Notebook
Teléfono móvil
Tableta
Equipo de acceso público
0
2,32
No me conecto
Otro
Utilización de dispositivos para conectarse a Internet
Medidas de protección a la información Bajo esta categoría se incluyeron 4 preguntas, vinculadas al uso de contraseñas, el cifrado de información y la instalación de software antivirus. En el caso de las contraseñas, dos preguntas apuntaban a determinar si eran efectivamente utilizadas para proteger el acceso a los dispositivos antes mencionados y si se compartían. En el primer caso y en cuanto a las notebooks, la mayoría de los encuestados indicó que se utilizaban contraseñas (599 respuestas, 72%), un porcentaje menor (97 respuestas, 12%) decía no tenerlas y un 15% señaló no poseer una dispositivo de esa naturaleza (123 respuestas). Respecto a los teléfonos móviles, un 63% (520 respuestas) precisó que utiliza contraseñas, un 31% (258 respuestas) que no, y solo un 5% (123 respuestas) indicó no ser propietario de un celular. En cuanto a las tabletas, los porcentajes son mucho menores con un 30% (250 respuestas) que emplea contraseñas y un 15% (127 respuestas) que no lo hace, mientras que un 53% (442 respuestas) señaló no poseer un dispositivo de este tipo. Respecto a la utilización de contraseñas, el siguiente gráfico muestra la distribución de las respuestas:
Tableta
Notebook
Teléfono móvil
30%
15%
72%
63%
Patricia Prandini – Marcia L. Maggiore
53%
2
12%
31%
15%
1
5%1
Utiliza contraseñas No utiliza contraseñas No tengo ese dispositivo
Julio 2013 – Pág. Nº 164/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Utilización de contraseñas para la protección de distintos dispositivos, en porcentaje
La segunda pregunta buscaba determinar si se compartían las contraseñas y con quienes. En ese sentido las respuestas mostraron que la mayoría (653 respuestas, 78%) no comparte las contraseñas con nadie, un 18% (153 respuestas) solo con personas de confianza, un 3% (31 respuestas) con individuos de su trabajo y menos de un 1% (4 respuestas) con otras personas.
78%
18% 3% Con personas de confianza
Con compañeros o jefes en el trabajo
1% Con otras personas
Con nadie
Tratamiento que le dan a las contraseñas respecto a si se comparten con otras personas
También se incluyó una pregunta que buscaba indagar si se contaba con software antivirus instalado y actualizado en los distintos dispositivos. Al respecto, los datos recopilados mostraron que una amplia mayoría tenía instalado un software de ese tipo en su PC (597 respuestas, 72%), seguido de un 62% (517 respuestas) en sus notebooks. Con porcentajes mucho menores siguen los teléfonos celulares (154 respuestas, 19%) y las tabletas (91 respuestas 11%), mientras un 11% (86 respuestas) indicó que no utilizaba antivirus en ningún dispositivo. En el caso de esta pregunta, llama la atención el alto porcentaje de encuestados que indicó que no utiliza antivirus. Aún en el caso de las PC y notebooks, alrededor de un 30% en ambos casos manifiestan no tener instalado un antivirus, lo cual aumenta notablemente la posibilidad de que distintos tipos de códigos maliciosos se instalen en los dispositivos.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 165/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
72% 62%
19% 11%
PC
Notebook
Teléfono móvil
Tableta
11%
No uso antivirus
Instalación de antivirus actualizado
Finalmente, se consultó si la información almacenada en los distintos dispositivos se guardaba cifrada. En este sentido, los resultados muestran que en el caso de las PC y notebooks, solo un 23,5% (194 respuestas) y un 25% (209 respuestas) utiliza técnicas de encriptación para proteger su información. En el caso de otros dispositivos, como celulares (101 respuestas, 12,2%), pendrives (119 respuestas, 14,22%), discos externos (119 respuestas, 14,22%) y tabletas (43 respuestas, 5,1%), los porcentajes son mucho menores. Un 58,29% (479 respuestas) indicó no guardar información cifrada en ningún dispositivo.
Almaceno información cifrada en: 60 50 40 30 20 10 0 PC Notebook
Porcentaje 23,7 25
Teléfono móvil
12,2
Tableta
5,21
Disco externo
14,22
Dispositivo de almacenamiento tipo USB (pendrive, memoria flash, etc.)
14,22
No almaceno información cifrada
58,29
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 166/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Resguardo de información cifrada en distintos dispositivos
Mecanismos de seguridad para el acceso a Internet Dos preguntas estuvieron enfocadas a determinar si se adoptaban algunas precauciones a la hora de navegar por Internet. En una de ellas se preguntó si había configurado opciones de seguridad en el navegador, mientras que la segunda buscaba determinar si se accedía a través de redes públicas para efectuar distintas acciones en Internet. Respecto a la primer pregunta, un 74% (608 respuestas) indicó haber configurados opciones de seguridad, mientras que el 25% (211 respuestas) dijo no haberlo hecho. El porcentaje restante (1%) no respondió la pregunta.
74%
25% 1%
Sí
No
Sin respuesta
Opciones de seguridad configuradas en el navegador
Con relación a la pregunta de si se usaban redes inalámbricas públicas para realizar operaciones financieras, compras, navegar o acceder a cuentas de correo electrónico. Una amplia mayoría (605 respuestas, 75%) indicó haber navegado por Internet, mientras que un 40% (335 respuestas) las utiliza para acceder a perfiles de las redes sociales y a las cuentas personales de correo electrónico (370 respuestas, 45%). Con porcentajes menores, los encuestados indican haber accedido a cuentas de correo electrónico laboral (183 respuestas, 22%), con posible exposición de información de la organización en la que se desempeña, efectuado operaciones bancarias (97 respuestas, 12%), con posible compromiso de credenciales de acceso, efectuado compras en línea (60 respuestas, 7%), con posible ingreso de datos de tarjeta de crédito. Finalmente, un 15% (119 respuestas) indica no utilizar redes inalámbricas públicas para realizar ninguna de las acciones antes mencionada.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 167/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Accedí a mis cuentas bancarias
73%
45%
Accedí a mis cuentas de correo electrónico personales Accedí a mis cuentas de correo electrónico laboral
40%
22% 15%
12% 7%
Accedí a mis perfiles de redes sociales Realicé compras en línea Navegué por internet
Utilización de redes inalámbricas públicas
Precauciones para el ingreso a las redes sociales En esta categoría se formularon 3 preguntas, orientadas a determinar cuáles eran las redes sociales de mayor utilización en Latinoamérica y El Caribe, si se aceptaban personas desconocidas como contactos en las redes sociales y si se configuraban medidas de seguridad para proteger dichos perfiles. Respecto a las redes sociales de mayor utilización, se observó que una amplia mayoría (706 respuestas, 86%), Twitter (527 respuestas, 64%) y Linkedin (495 respuestas, 60%), seguidas de Instagram (132 respuestas, 16%), MySpace (55 respuestas, 7%) y Orkut (35 respuestas, 4%). Un 6% (43 respuestas) indicó no utilizar ninguna mientras que un 7% (61 respuestas) utiliza otra red social. Como se desprende de los porcentajes expuestos, la pregunta admitía respuestas múltiples. Respecto a los datos obtenidos, cabe indicar que el orden en que aparecen las distintas redes coincide con los que ocurre en el resto del mundo. Sin embargo corresponde indicar que Orkut es una red ampliamente utilizada en el Brasil, que en el caso de esta encuesta, y como ya fuera explicado, no tuvo una participación representativa de la cantidad de internautas de ese país. Nótese que la cantidad de usuarios de dicha red es prácticamente coincidente con la cantidad de respuestas obtenidas para dicho país.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 168/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
86%
64%
60%
16% 4% Facebook Twitter
Linkedin
Orkut
7%
6%
MySpace Instagram Ninguna
7% Otra
Utilización de redes sociales
A la pregunta de si aceptaba como contactos de sus redes sociales a personas desconocidas, un 30% (249 respuestas) indicó que lo hacía, mientras que un 62% (513 respuestas) señaló que no. Un 8% (57 respuestas) no respondió la pregunta.
Sin respuesta 8%
Sí 30%
No 62%
Aceptación de desconocidos como contactos en redes sociales
Finalmente, se preguntó si se habían configurado opciones de seguridad en los perfiles de redes sociales para controlar qué información comparte y con quién. En este sentido, un 81% (668 respuestas), un 10% (81 respuestas) indicó que no y un 9% (70 respuestas) no contestó la pregunta.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 169/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
81%
9%
10%
Sí
No
Sin respuesta
Configuración de opciones de seguridad en el perfil de red social
Exposición a cibercrímenes Terminando la encuesta, dos preguntas apuntaban a determinar si la persona había estado expuesta a situaciones que implicaban alguna actividad maliciosa. La primera de ellas buscaba conocer si el encuestado había perdido o le habían robado algún dispositivo utilizado. Las respuestas mostraron que un 77% no perdió ni le fue robado ningún dispositivo y del 23% restante, un 10% indicó que había perdido o le habían sustraído su teléfono celular, un 13%, un dispositivo tipo USB, un 3% la notebook, y un 1% su PC, en coincidencia con los que perdieron o les fue quitada su tableta. Entre los encuestados ninguno declaró no disponer de un disco externo.
77%
PC Notebook Teléfono móvil Tableta Disco externo
13%
10% 1%
3%
1%
0%
Dispositivo de almacenamiento tipó USB (pendrive, memoria flash, etc.) No perdí ni me robaron ningún dispositivos
Robo de dispositivos
La segunda pregunta era también de opciones múltiples y presentaba las siguientes situaciones:
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 170/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil a b
Un virus o algún otro tipo de código malicioso infectó mi computadora Me han amenazado, difamado u hostigado por mail o a través de las redes sociales
c
Capturaron mis datos personales, contraseñas o datos financieros
d
Cambiaron la contraseña de mi cuenta de correo electrónico y no pude acceder más a mi casilla
e
Comprometieron mi perfil de una o varias redes sociales y no pude acceder más
f
Se publicó mi información personal sin mi autorización (por ejemplo, mails, fotos, videos, datos personales, etc.)
g
Completé mis datos personales en un mensaje de correo electrónico o en un sitio web que resultaron ser falsos (ejemplo, simulaban ser de mi banco) Intenté ingresar a un enlace que parecía ser válido pero me llevó a una página en blanco o a un resultado sospechoso, distinto del esperado
h i
Se enviaron sin mi autorización mensajes desde mi cuenta de correo electrónico
j k
Se enviaron sin mi autorización SMS desde mi teléfono móvil Alguien robo mi identidad haciéndose pasar por mí en un entorno virtual (por ejemplo, red social, foro, correo electrónico, etc.)
l
Hice una compra por Internet, pagué y nunca recibí lo comprado o recibí algo distinto y no respondieron mi reclamo
m
Accedí a un enlace desde un correo electrónico o una página web, se abrió una ventana inesperadamente (o paso algo similar), alertándome sobre algún riesgo e invitándome a solucionarlo (por ejemplo, instalando un antivirus) y luego mi PC tuvo un comportamiento no deseado (por ejemplo, una infección por virus)
n
Recibí y respondí un correo electrónico en el que me proponían ganar una importante suma de dinero (por una operación financiera, un sorteo o similar) y luego fui estafado
o
Experimenté algún otro tipo de actividad maliciosa en mi PC (indicar lo ocurrido)
p
Experimenté algún otro tipo de actividad maliciosa en mi tableta, celular o dispositivo móvil (indicar lo ocurrido)
q r
No fui víctima de ninguna de las situaciones mencionadas No lo sé
Entre ellas, un 35% indicó que algún código malicioso había infectado su equipo, un 23%, que intentó ingresar en un enlace que podría haber sido apócrifo por la conducta del navegador y un 12% señaló haber accedido a un enlace desde un correo electrónico o una página web, a consecuencia de lo cual su PC tuvo un comportamiento inesperado. Menos de la mitad (42%) precisó que no había sido víctima de ninguna de las situaciones mencionadas en pregunta.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 171/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
0% a b c d e f g h i j k l m n o p q r
10%
20%
30%
5%
40%
50%
35%
4% 4% 1% 8% 2% 10%
23%
2% 1% 4% 12% 3% 4% 2% 2%
42%
a. Un virus o algún otro tipo de código malicioso infectó mi computadora b. Me han amenazado, difamado u hostigado por mail o a través de las redes sociales c. Capturaron mis datos personales, contraseñas o datos financieros d. Cambiaron la contraseña de mi cuenta de correo electrónico y no pude acceder más a mi casilla e. Comprometieron mi perfil de una o varias redes sociales y no pude acceder más f. Se publicó mi información personal sin mi autorización (por ejemplo, mails, fotos, videos, datos personales, etc.) g. Completé mis datos personales en un mensaje de correo electrónico o en un sitio web que resultaron ser falsos (ejemplo, simulaban ser de mi banco) h. Intenté ingresar a un enlace que parecía ser válido pero me llevó a una página en blanco o a un resultado sospechoso, distinto del esperado i. Se enviaron sin mi autorización mensajes desde mi cuenta de correo electrónico j. Se enviaron sin mi autorización SMS desde mi teléfono móvil k. Alguien robo mi identidad haciéndose pasar por mí en un entorno virtual (por ejemplo, red social, foro, correo electrónico, etc.) l. Hice una compra por Internet, pagué y nunca recibí lo comprado o recibí algo distinto y no respondieron mi reclamo m. Accedí a un enlace desde un correo electrónico o una página web, se abrió una ventana inesperadamente (o paso algo similar), alertándome sobre algún riesgo e invitándome a solucionarlo (por ejemplo, instalando un antivirus) y luego mi PC tuvo un comportamiento no deseado (por ejemplo, una infección por virus) n. Recibí y respondí un correo electrónico en el que me proponían ganar una importante suma de dinero (por una operación financiera, un sorteo o similar) y luego fui estafado
Exposición a posibles cibercrímenes
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 172/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo VII – Conclusiones El uso cada vez más intensivo de las tecnologías de la información y las comunicaciones para el sostenimiento de la actividad económica y del bienestar de la población, en un mundo cada vez más conectado, trae aparejado inexorablemente, la necesidad de enfrentar y paliar la actividad ilícita en Internet. Al igual que en el resto del mundo, el presente informe mostró que en Latinoamérica y El Caribe, el panorama del cibercrimen sigue mostrando una realidad de características cambiantes, con singularidades que le otorgan entidad propia. Efectivamente, los delincuentes van adaptando sus estrategias utilizando ataques cada vez más sofisticados, combinados y dirigidos, entre los que se puede mencionar el spear phishing y el ciberespionaje. En este periodo se observa un interés cada vez mayor en los dispositivos móviles, las redes sociales y las infraestructuras críticas. También se ha visto ataques más pacientes, concentrados en información altamente sensitiva, tales como los producidos por las amenazas persistentes avanzadas (APT), el desarrollo de herramientas para la comisión de cibercrímenes desde dentro de la propia región y casos locales de hacktivismo. Cada modalidad delictiva evoluciona de diferentes maneras y los ciberdelincuentes disponen de un mercado sumergido cada vez más desarrollado, que a precios accesibles y de manera organizada, les permite disponer de herramientas variadas para llevar adelante su actividad, incluyendo la gestión de los fondos obtenidos clandestinamente. En efecto, los años bajo estudio no solo mostraron una mayor sofisticación por parte de los ciberdelincuentes, sino también una mayor fortaleza de las estructuras organizacionales en las que operan. A nivel global, analizando la información que proveen mayormente empresas dedicadas a la comercialización de productos y servicios de seguridad, Brasil sigue destacándose en los primeros puestos para distintos tipos de incidentes, aunque también aparecen Argentina, Colombia, México y Chile así como Honduras, Bolivia, Costa Rica, Perú y República Dominicana. Como se puede deducir de todo lo antedicho, la actividad del cibercrimen es totalmente fluctuante y está condicionada a la conveniencia de los delincuentes y a las herramientas disponibles en cada momento, así como a las oportunidades que se les brinde para desarrollar su actividad. En consiguiente, dependerá de las medidas que adopten los usuarios, las organizaciones y los países para enfrentarlo, del accionar de las fuerzas de seguridad y de justicia y de las capacidades de los equipos especializados. Cuanto mejor preparadas se encuentren para dar una rápida y efectiva respuesta a la actividad maliciosa, mejores serán los resultados que se obtengan. Como en el informe anterior, la premisa central que da fundamento a esta investigación es la certeza de que cualquier incremento en el conocimiento del impacto de la actividad maliciosa en Internet en la región, contribuye a dimensionar adecuadamente el problema, asignar prioridades y comprometer recursos en donde realmente se necesitan. Su desconocimiento en cambio, parece invitar a una toma de decisiones en la penumbra, sin comprender realmente a qué nos estamos enfrentando y en qué medida son acertadas las acciones que se emprenden. En este sentido, el trabajo buscó generar un marco para futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado cuando se disponga de información más precisa sobre la actividad ilícita en la región. Aparece inmediatamente una primera conclusión y es que la escasez de datos concretos sobre la cantidad de ataques, sean estos potenciales o reales, hace difícil o casi imposible conocer su frecuencia, su
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 173/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil verdadera magnitud, sus costos y la profundidad de su impacto. Si bien para algunos tipos de incidentes, obtener estas cifras es sumamente complejo, para otros es probable que existan o se puedan obtener con relativa facilidad. Sin embargo, las organizaciones que los han sufrido son reticentes a denunciarlos por temor a que se vea afectada su reputación. En el caso de las personas, persiste el desconocimiento sobre instancias de reporte o la creencia de que poco o nada sucederá en caso de hacerlo. En este sentido, sigue sin definirse claramente una estrategia que implemente mecanismos de comunicación de incidentes, genere confianza entre los usuarios y en las organizaciones en cuanto a la efectividad a la hora de enfrentar este flagelo, establezca instancias de franca colaboración entre el sector público y el privado y contribuya a la creación de una cultura de la ciberseguridad. Basta una recorrida por la bibliografía y los artículos publicados para comprender que esta situación afecta a todos los países y regiones, con solo avances considerados como insuficientes, en los países más desarrollados. La vertiginosidad del desarrollo tecnológico en los países de la región y la consiguiente necesidad de enfrentar el cibercrimen, hace imprescindible la generación de planes de acción que recogiendo sus características culturales y de desarrollo, muestren desde la perspectiva de las personas, las organizaciones y las naciones, que es factible generar un entorno seguro que garantice la maximización del aprovechamiento de los múltiples beneficios de las tecnologías de la información y las comunicaciones, minimizando los riesgos que las acompañan. La actividad maliciosa en Internet representa altos costos para las sociedades, organizaciones y personas que habitan la región. Para enfrentarla, se requiere conocer sus características y no sólo estar en condiciones de anticipar el impacto, sino también incrementar las instancias de respuesta. Si bien existe un número considerable de fuentes diversas para la región, los datos disponibles son todavía insuficientes y fragmentados y muchos de los resultados publicados despiertan sospechas de sobre o subdimensionamiento, según quienes los formulan. Existen además muchas asimetrías en los mecanismos utilizados para contabilizar los casos y las pérdidas que el cibercrimen genera. Sin embargo, a la hora de dimensionar la magnitud del problema, un ejercicio ineludible es estimar su impacto para la región, tanto en cantidad de casos como económico. Urge la necesidad de desarrollar mecanismos de recolección de datos, metodologías de análisis y métricas representativas que guíen las decisiones que se adopten. Solo así se podrán privilegiar las áreas donde deben profundizarse los esfuerzos y asignarse los fondos, para poder minimizar efectivamente el impacto del cibercrimen en la región.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 174/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Capítulo VIII – Recomendaciones El presente capítulo detalla una serie de recomendaciones para protegerse de las consecuencias del cibercrimen e implementar medidas para enfrentarlo, dirigidas a entidades del sector privado, centros universitarios de formación e investigación y usuarios de Internet en la región. Algunas de ellas ya figuraban en el informe anterior. Sin embargo por su vigencia y actualidad, se optó por incluirlas.
Sector académico • • •
Desarrollar contenidos y programas de formación de profesionales especialistas en seguridad de la información, que la aborden desde distintas visiones: técnica, legal, educativa, etc. Desarrollar líneas de investigación que analicen las distintas perspectivas de la ciberseguridad y el cibercrimen Trabajar en conjunto con entidades nacionales e internacionales, privadas y públicas, con el fin de intercambiar información, recolectar datos, crear marcos conceptuales de análisis y métricas y ayudar a gobiernos y al sector privado en la lucha contra este flagelo.
Sector Privado •
•
•
•
•
•
•
Desarrollar, gestionar y monitorear adecuadamente políticas y procedimientos de seguridad en las organizaciones, favoreciendo que sean conocidas y entendidas por empleados, clientes y demás entidades involucradas y abordar en forma integral la gestión de riesgos, como base de sus programas de seguridad. A partir del crecimiento de las amenazas sobre dispositivos móviles y redes sociales desarrollar políticas y establecer mecanismos de gestión para el uso de dispositivos propios (BYOD) y el acceso a redes sociales y a la información que en ellas puede publicarse, en su entorno. Colaborar con los organismos del Gobierno y con el Sector académico y proponer acciones conjuntas para mejorar la ciberseguridad a nivel nacional, facilitando la remoción de sitios fraudulentos o que contengan código malicioso, la elevación de los parámetros de seguridad de los sistemas, la concientización de los usuarios, la generación de métricas e instancias de reporte, etc. A partir de los ataques dirigidos al robo de información sensible, conocer el valor de la información que administran y clasificarla adecuadamente según su nivel de criticidad, para así invertir adecuadamente en su seguridad. Es importante implementar, en relación con esta actividad, una solución de "prevención de pérdida de datos" (Data loss prevention - DLP) que puede descubrir dónde residen los datos sensitivos, monitorizar su uso y protegerlos de su potencial pérdida. Emplear estrategias de defensa en profundidad para la identificación de amenazas, que enfaticen sistemas de protección múltiples, superpuestos y mutuamente complementarios, aplicándolos en línea y tiempo real, a partir de la focalización de las amenazas en la web. Debido a que los cibercriminales buscan vulnerabilidades en las aplicaciones mantenerlas actualizadas, incluyendo los sistemas operativos y adoptar metodologías de desarrollo seguro de aplicaciones web. . Diseñar una estrategia de concientización entre empleados, clientes y demás entidades con las que interactúan, sobre la responsabilidad que les compete en el manejo de la información y sus posibles consecuencias laborales y legales
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 175/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil •
•
Colaborar y notificar a las fuerzas policiales, a los equipos de respuesta a incidentes, a los proveedores de Internet o a toda otra entidad que corresponda, sobre cualquier indicio de un posible incidente de seguridad Monitorear y evaluar la seguridad regularmente para garantizar que se implementen controles adecuados y adherir a estándares internacionales en materia de seguridad y control
Usuarios •
• • •
• • • • •
•
•
Adoptar una actitud responsable frente al uso de las tecnologías de información, capacitándose para minimizar los riesgos que las acompañan, aceptando que como usuarios, podemos ser el "eslabón más débil de la cadena" y en consecuencia, a quienes el ciberdelincuente busque engañar más fácilmente, haciendo uso de las técnicas de ingeniería social. Cuidar la información propia y la de otras personas, cualquiera sea el soporte Enseñar a los menores los peligros de las redes sociales y entrenarlos en una adecuada utilización de las tecnologías de la información. Evitar navegar por sitios desconocidos y abrir archivos origen dudoso y ser muy cuidadoso en el uso de las redes sociales, implementando la seguridad del perfil y restringiendo el grupo de personas con la que se comparte información. Se debe tener en cuenta que una de las maneras en la que actúa el cibercriminal para perpetrar sus ataques dirigidos, es estudiando los intereses de la víctima en las redes sociales. Utilizar siempre que estén disponibles, las aplicaciones de seguridad para dispositivos móviles, provistas por el proveedor y ser cuidadosos a la hora de establecer los permisos. Cuidar físicamente los dispositivos móviles a efectos de evitar su robo y utilizar mecanismos de cifrado de la información y de borrado remoto. Utilizar contraseñas en equipos de escritorio y dispositivos móviles. Elegirlas cuidadosamente utilizándolas en forma exclusiva y realizar resguardos periódicos de la información Instalar software protección frente a las ciberamenazas y mantenerlos permanentemente actualizados, tanto en los equipos de escritorio como en los dispositivos móviles. Denunciar los incidentes de seguridad y cualquier sospecha de fraude en operaciones realizadas a través de Internet, ante las instancias que correspondan, permitiendo su seguimiento y contribuyendo así a su resolución Destruir toda información personal, sensible y/o confidencial antes de desecharla, cualquiera sea el soporte en el que se encuentre, de manera que no sea posible accederla bajo ninguna circunstancia. Revisar de manera regular las liquidaciones de bancos, compañías emisoras de tarjetas de crédito y compañías de telefonía móvil, contactando inmediatamente a dichas organizaciones ante movimientos sospechosos.
Finalmente, y como ya se manifestó en el informe anterior y a lo largo del presente estudio, una de las mayores dificultades que acompañaron la realización de este trabajo fue la dificultad para contar con información confiable, completa y coherente sobre la ocurrencia de la actividad maliciosa en Internet en la región, sus características y reales consecuencias. Sin datos confiables es imposible dimensionar la magnitud del problema, estimar el riesgo para asignar prioridades y recursos y adoptar así, decisiones certeras para proteger la confidencialidad, integridad y disponibilidad de la información. La base de este
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 176/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil problema, si bien atribuible a diversos motivos, es que no se comparten datos. Esta responsabilidad recae tanto en las entidades públicas como en las empresas dedicadas a las tecnologías de la información y su aseguramiento, en las organizaciones de todo tipo y en todos nosotros, como usuarios de información y servicios en línea. Sea nuevamente entonces la recomendación con la que se cierra este informe, un llamado a crear mecanismos confiables de reporte y colaboración, contribuyendo así a un mayor conocimiento colectivo que permita aprovechar a pleno los beneficios de las tecnologías de la información, minimizando cualquier peligro que conlleve su uso.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 177/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Fuentes Consultadas #TCBlog El Marketing en español http://www.territoriocreativo.es Ae Tecno - tecno.americaeconomia.com América Economía especiales.americaeconomia.com Antiphishing Working Group (APWG) – www.antiphishing.org, docs.apwg.org b:secure - www.bsecure.com.mx BN Américas - http://subscriber.bnamericas.com Canalys – www.canalys.com CIFAS – www.cifas.org.uk Communications of the ACM – cacm.acm.org ComScore - http://www.comscore.com Dancho Danchev – ddanchev.blogspot.com.ar Diccionario de la Real Academia Española – www.rae.es Digitalbuzz - http://www.digitalbuzzblog.com E-commerce day Colombia www.ecommerceday.co El país.com - www.elpais.com ESET Latinoamérica – www.eset-la.com http://blogs.eset-la.com Federal Trade Commission – www.ftc.gov F-Secure - www.f-secure.com Google - http://googleblog.blogspot.se IANA - www.iana.org Identity Theft First Aid - www.privacy.ca.gov InformationWeek - www.informationweek.com Internet World Stats - www.internetworldstats.com Javelin Strategy & Research www.javelinstrategy.com Mattica - www.mattica.com Microsoft Research – research.microsoft.com Netcraft - http://news.netcraft.com Open Networks – www.opennetla.com PC World www.pcwla.com http://www.pcworld.com.mx Pingdom – www.royal.pingdom.com Proyecto Amparo (LACNIC) www.proyectoamparo.net PWC – http://www.pwc.com RSA – www.rsa.com
Patricia Prandini – Marcia L. Maggiore
1080b bloggresivo – www.1080b.com AllSpammedUp – www.allspammedup.com Anonymous - http://anonymousnews.blogs.ru/ Australian Crime Comisión www.crimecommission.gov.au Banco Mundial - www.worldbank.org Cabinet Office of United Kingdom http://www.cabinetoffice.gov.uk, www.gov.uk CDS Comunicaciones – www.cds11.com Communications Fraud Control Association www.cfca.org Communities Dominate Brands - http://communitiesdominate.blogs.com/brands Cybersource - www.cybersource.com Diario Popular – www.diariopopular.com.ar Digital Forensics Association http://www.digitalforensicsassociation.org Dinero Panamá – www.dineropanama.com El nuevo siglo - www.elnuevosiglo.com.co elmundo.es – www.elmundo.es FEBRABAN - www.febraban.org.br Frost and Sullivan - http://www.frost.com Gigaom - http://gigaom.com/ Hackmageddon - http://hackmageddon.com/ Identity Theft Center – www.idtheftcenter.org Info Spyware – www.infospyware.com Instituto Latinoamericano de Comercio Electrónico www.einstituto.org Internet World Stats - www.internetworldstats.com Kaspersky Lab www.securelist.com/ http://latam.kaspersky.com McAfee, Inc. – http://www.mcafee.com www.secure.mcafee.com MSDN Blog - http://blogs.msdn.com NIST - http://csrc.nist.gov Panda Security – http://www.pandasecurity.com/ http://prensa.pandasecurity.com/ Perú Press - Cibercrimen - www.perupress.com
-
-
-
Ponemon Institute – www.ponemon.org PWC – www.pwc.com/ar/es Radicati Group - http://www.radicati.com RSA FraudAction Research Labs – blogs.rsa.com
Julio 2013 – Pág. Nº 178/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Slideshare - http://www.slideshare.net
Terra –economia - terra.com.mx Verizon - http://www.verizonenterprise.com Gustavo Saín - “El fenómeno del cibercrimen en Internet y la World Wide Web: una mirada criminológica” European Journal of Criminology - Yar, Majid – “The novelty of cybercrime – An Assessment in light of Routine Activity Theory” (2005) euc.sagepub.com R. Anderson, C. Barton, R. Bohme, R. Clayton, M. J.G van Eeten, M. Levi, T. Moore, S. Savage - Measuring the Cost of Cybercrime – Proceedings of Eleventh Workshop on the Economics of Information Security (2012) Edición Internacional Semanal del New York Times, en colaboración con el periódico argentino Clarín
Symantec Corporation - www.symantec.com http://www.symanteccloud.com http://www.messagelabs.com https://www.emea.symantec.com nowstatic.norton.com Verisign - http://www.verisigninc.com YouTube - http://youtube-global.blogspot.se Science Direct – A.K. Sood, R.J. Enbody – Crimewareas-a-service – A survey of commoditized crimeware in the underground market, International Journal of Critical Infrastructure Protection (2013) Bohme, R. y Moore, T. – How do consumers react to cybercrime? - APWG eCrime Researchers Summit Septiembre 2012 - Consultado el 27/04/2013 – http://lyle.smu.edu/~tylerm/ecrime12eurobarpres.pdf
A continuación se incluye una lista de las páginas consultadas a modo referencial, existiendo la posibilidad de que algunas fueran descartadas por haber considerado que su contenido no era útil para los propósitos del informe. •
Antifraude - www.antifraude.org
•
CERT – Software Engineering Institute – Carnegie Mellon - www.cert.org
•
Cnet News - www.news.cnet.com
•
Comisión Económica para América Latina (CEPAL) - www.cepal.org
•
Credit Repair - www.creditrepair.org
•
Defending the Kingdom - www.defendingthekingdom.com
•
Estrategia para la sociedad de la información en América Latina y el Caribe (eLAC) www.eclac.org/socinfo/elac
•
Infobae Profesional - www.iprofesional.com
•
Ingeniería Comercial - www.ingenieriacomercial.com
•
Internet Storm Center - www.isc.sans.edu
•
Javelin Strategy & Research - www.javelinstrategy.com
•
National Institute of Standards and Technology – www.nist.gov
•
Population Reference Bureau - www.prb.org
•
PWC - www.pwc.com/ar/es
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 179/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil •
Seguridad Informática - www.seguinfo.wordpress.com
•
Team CYMRU Community Services - www.team-cymru.org
•
United Nations Conference on Trade and Development (UNCTAD)- www.unctad.org
•
United Nations Statistics Division - http://unstats.un.org/
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 180/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil
Glosario Técnico Advanced Persistent Threat (APT) - Su objetivo es recolectar objetivos nacionales de alto valor tales como militares, políticos o económicos. Usan herramientas y técnicas de intrusión personalizadas y sigilosos, pacientes y persistentes métodos para reducir el riesgo de detección. Adware - Recibe esta denominación cualquier programa que ejecuta, muestra o baja publicidad de Internet en forma automática a la PC de usuario, después de instalar un programa o mientras se está utilizando una determinada aplicación. El prefijo 'Ad' proviene de la palabra “advertisement”, que en idioma inglés significa anuncios publicitarios. Blackhat SEO - Este término hace referencia a una técnica de optimización de los motores de búsqueda con fines maliciosos que se aprovecha de las funcionalidades de dichos motores para situar páginas maliciosas en los primeros lugares de los resultados de las búsquedas. Botnet - Es un conjunto de computadoras conectadas a Internet, que interactúan para realizar una tarea distribuida, controladas por una computadora de “comando y control” (C&C) que las dirigirán para ejecutar lo que necesiten. Estos sistemas son usados para propósitos ilegales y están compuestos por máquinas comprometidas que son utilizadas sin que sus dueños lo sepan. Esas máquinas son denominadas “zombis” y el software malicioso que corre en ellas “bot”. Bot – Software malicioso que corre en una máquina comprometida que forma parte de una botnet. También se utiliza este término para identificar a la computadora comprometida. BYOD - Esta sigla proviene de las iniciales de la frase en idioma inglés “Bring Your Own Device”, que significa “Traiga su propio dispositivo”. Se refiere a la posibilidad de que los empleados lleven y utilicen sus propios dispositivos electrónicos, como teléfonos inteligentes, computadoras portátiles o PDAs, en sus trabajos y los conecten a la red corporativa. Crimeware - Este término se aplica a cualquier tipo de software diseñado específicamente, mediante técnicas de ingeniería social u otros mecanismos de fraude en línea, para la ejecución de delitos financieros en operaciones efectuadas a través de Internet. Doxing - Es una técnica empleada para seguir a alguien o reunir información sobre un individuo usando fuentes de Internet. Su nombre deriva de de "Documents" o "Docx". Este método se basa específicamente en la habilidad de hacker para reconocer información valiosa sobre su destinatario y para usar esta información en su beneficio. Se basa también en la idea que, "Cuanto más sabes sobre el destinatario de tu ataque, mucho más fácil va a ser encontrar su debilidad. Exploit – Código malicioso que toma ventaja de las vulnerabilidades del software para infectar una computadora. Firma – Conjunto de características de los códigos maliciosos que pueden ser usadas para identificarlos usando productos antivirus. Gateway – Interfase que provee compatibilidad entre redes convirtiendo velocidades de transmisión, protocolos, códigos o medidas de seguridad. Hacking - Por el sentido de los textos donde esta expresión es utilizada, significa violación de computadoras o sistemas. Sin embargo, la palabra técnica para esta acción sería "cracking".
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 181/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Honeypot – Sistema (por ej. un servidor Web) o recurso de sistema (por ej. un archivo en un servidor) que es diseñado de manera tal que resulte atractivo a potenciales intrusos y que no tiene otros usuarios autorizados que no sean los administradores. Honeycliente – Dispositivos activos de seguridad en búsqueda de servidores maliciosos que atacan clientes. El honeycliente se posiciona como un cliente e interactúa con el servidor para examinar si ha ocurrido un ataque. Habitualmente el foco de un honeycliente se sitúa en los navegadores web, pero cualquier cliente que interactúa con los servidores puede ser parte de un honeycliente (ftp, ssh, email, etc.). Ingeniería social – Una técnica que derrota las precauciones de seguridad tomadas, explotando las vulnerabilidades humanas. Las estafas a través de la ingeniería social pueden suceder en línea (tal como recibir correos electrónicos que solicitan abrir un adjunto, el cual es realmente un software malicioso) o fuera de línea (como recibir una llamada telefónica de alguien que se hace pasar por un representante de una compañía de tarjetas de crédito). Independientemente del método seleccionado, el propósito de un ataque de ingeniería social es siempre el mismo: hacer que el usuario realice la acción que el atacante desea. Grid computing - Forma de computación distribuida, a través de la cual se genera una “super computadora virtual” compuesta por muchas computadoras en red que actuán en conjunto para hacer tareas de envergadura. Además este tipo de sistema es un tipo especial de computación paralela que se monta sobre computadoras conectadas a una red a través de una interface estándar como por ej. Ethernet. Esto es es contraste con la noción tradicional de supercomputadora, la cual tiene múltiples procesadores conectados por un “bus” local de alta velocidad. Gusano – Código malicioso que se distribuye espontáneamente enviando copias de si mismo a través del correo electrónico o usando otros mecanismos de comunicación tales como la mensajería instantánea o las aplicaciones peer-to-peer (P2P). Keylogger - Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de Internet. Suele usarse como software malicioso permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener. Machine learning – Es un tipo de inteligencia artificial que provee a las computadoras la habilidad de aprender sin que sean explícitamente programadas. Se focalize en el desarrollo de programas de computadoras que pueden enseñarse a sí mismos a crecer y cambiar cuando se exponent a nuevos datos. Este proceso de aprendizaje es similar al de data mining. Ambos sistemas buscan patrones a través de los datos. Sin embargo, en vez de extraer datos que sean comprendidos por los humanos, como en el caso de las aplicaciones de data mining, este sistema usa los datos para mejorar su propia comprensión; detecta patrones en los datos y ajusta las acciones del programa de acuerdo con ellos. Mail Spoofing – Suplantación, en el correo electrónico, de la dirección de correo electrónico de otras personas o entidades. Malware – Software malicioso o potencialmente no deseado, instalado sin el consentimiento del usuario, con la intención de comprometer la seguridad de la información y/o los recursos del sistema.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 182/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Malicious code - Software or firmware que intenta ejecutar un proceso no autorizado que va a tener un impacto adverso sobre la confidencialidad, integridad o disponibilidad de un sistema de información. Virus, troyanos, gusanos u otras entidades basadas en código que infecte una computadora. También el spyware y algunas formas de adware son ejemplos de código malicioso. Malicious code intelligence – Conocimiento de la conformación del código: a qué familia pertenece, la estrategia de ataque, qué objetivo persigue, técnicas de desarrollo, etc. PayLoad - Es una función adicional que posee cierta amenaza en particular. La traducción exacta del inglés, es más precisa respecto a su definición: "carga útil". Refiere a acciones adicionales, incluidas en virus, gusanos o troyanos; como por ejemplo robo de datos, eliminación de archivos, sobre-escritura del disco, reemplazo del BIOS, etc. Un payload no es necesariamente maligno, sino que refiere también a efectos secundarios nocivos para el ordenador. Pharming - Es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio. Phishing - Acrónimo de “password harvesting fishing”, o "cosechar y pescar contraseñas". Es una técnica que se usa con el propósito de recolectar ilegalmente información personal y financiera, tal como nombres de usuarios, contraseñas, números de tarjeta de crédito, identificación bancaria, etc. Phishing host - Es una computadora que provee servicios de sitio web, donde se copian los sitios de conocidas y confiables organizaciones y/o marcas, para ser utilizados como sitios de phishing. Polimorfismo - Tendencia de los códigos maliciosos a crear tantas variantes de las amenazas como sea posible para evitar que éstas sean detectadas por los antivirus. Reputation systems - La seguridad basada en la reputación es una estrategia de identificación de amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, se combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificaciones de reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles. Rogue antivirus (Rogueware) – Es un software que aparece como beneficioso desde una perspective de seguridad pero que provee limitada o ninguna capacidad de seguridad, generando un significativo número de erróneas o engañosas alertas, o intenta convencer al usuario de participar en transacciones fraudulentas a través de técnicas de ingeniería social. Rootkit - Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 183/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil SPAM – Correos electrónicos basura (junk) o no solicitados enviados masivamente. Los autores de software malicioso pueden usar SPAM para distribuirlo, ya sea adjuntándolo al mensaje o bien enviando un mensaje que contenga un link al software. También éste puede recolectar direcciones de correo de las computadoras comprometidas. Spear-phishing – Un ataque de SPEAR-PHISHING comienza con un cibercriminal realizando un "reconocimiento" en línea para recopilar información sobre el trabajo, educación, pasatiempos u otros intereses de la víctima que será el sujeto de ataque. Esto permite que el delincuente crea un mensaje personalizado que va a atraer a la víctima a actuar, sin levantar sospechas. Spyware – Un tipo de código malicioso que es subrepticiamente en un sistema de inforamación para juntar información sobre individuos u organizaciones sin su conocimiento. SQL injection - Es una técnica de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. Troyano - Códigos maliciosos que no se autopropagan pero toman acciones maliciosas sobre el computador. Trojan downloader/dropper – Una forma de troyano que instala otros archivos maliciosos en el sistema infectado ya sea descargándolos desde una computadora remota o bien bajándolos directamente de una copia contenida en su propio código. Virus – Código malicioso que se replica, comúnmente infectando otros archivos en el sistema, permitiendo así la ejecución de código malicioso y su propagación cuando esos archivos son activados. Vulnerability – Una debilidad, error o una técnica pobre de codificación que puede permitir a un atacante explotarla con un código malicioso. Web hosting service – es un tipo de servicio que provee la infraestructura que permite a individuos y organizaciones crear su propio sitio web accesible a través de la World Wide Web. Las compañías que proveen estos servicios, brindan espacio en servidores que les pertenecen o alquilan para uso de sus clientes, agregando también conectividad a Internet, generalmente en un centro de procesamiento de datos. También pueden proveer espacio en un centro de procesamiento de datos y conectividad a Internet para que los clientes coloquen sus servidores. Este servicio es comúnmente denominado “Housing” en Latinoamérica o Francia. Zero-day (o zero-hour o day zero) ataque o amenaza – Es una amenaza que trata de explotar las vulnerabilidades de aplicaciones que son desconocidas para otros o para el desarrollador del software. El software que explota los Zero-day es usado o compartido por los atacantes antes que el desarrollador del software receptor conozca la vulnerabilidad. El término deriva de la antigüedad de la amenaza de explotación. Un ataque de “zero day” ocurre en o antes del primer día en que el desarrollador conoce la vulnerabilidad, lo cual implica que el desarrollador no tuvo ninguna oportunidad de distribuir una actualización de seguridad para los usuarios del software. Zeus - Sofisticada pieza de software malicioso (troyano) diseñada específicamente para automatizar el robo de identidad y facilitar transacciones no autorizadas sobre las cuentas bancarias de los consumidores.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 184/185
Ciberdelito en América Latina y el Caribe: una visión desde la sociedad civil Zombi/Zombie - Máquinas comprometidas que componen las botnets (Ver botnet y bot en este mismo Glosario) y que son utilizadas sin que sus dueños lo sepan para propósitos ilegales.
Patricia Prandini – Marcia L. Maggiore
Julio 2013 – Pág. Nº 185/185