Como mencionaba en el post Inversiones en seguridad, ¿un desperdicio?, “la inversión en seguridad será un tema de amplio debate en el futuro cercano“. Y esto es coherente con algunos datos que se mencionan en Information Security Breaches Survey 2010 realizado por Infosecurity Europe.

Según el reporte, el 90% de las empresas aumentaron su presupuesto asignado a seguridad en el último año, un valor alto y alentador respecto a la posición del ámbito corporativo respecto a la relevancia que posee la protección de la información en las organizaciones.

El informe extiende esta información indicando que en promedio el presupuesto de seguridad para empresas pequeñas es de un 10% (cuando el año pasado era el 7%) y en grandes empresas ya ocupa el 6%. Este dato se condice con los presentados en el ESET Security Report Latinoamérica que indicaba según los datos recabados en encuestas realizadas en la región durante el año 2009, que “más de la mitad de los encuestados (57,86%) afirmaban que menos del 5% del presupuesto de IT es utilizado para seguridad“.

Comparando estos datos puede observarse que:

• Las pequeñas diferencias en los valores entre ambos informes pueden deberse a que en 2010 las inversiones en seguridad se estiman mayores a las del año anterior.
• Además, sabido es que en la región latinoamericana los presupuestos pueden ser levemente menores a los que se acostumbren en Europa.
• A pesar de todo, también puede concluirse que las inversiones en Latinoamérica no son tan distintas a las brindadas en el informe de los números en otro continente.

Sobre las inversiones de seguridad, recuerden que ya hemos comentado algunos métodos para analizar, evaluar y decidir sobre estas, con metodologías como TCO o ROSI.

Adicionalmente, el informe también posee muchos datos sobre la cantidad de incidentes que sufrieron las empresas, indicando que el 92% tuvieron un incidente de seguridad el último año. Respecto al malware, 62% de las empresas sufrieron alguna infección durante el año. Extendiendo algunos datos sobre los tipos de incidentes, analizando las respuestas sólo para “grandes empresas” (para ver las respuestas para otros tamaños de organizaciones pueden ver el informe completo) se desprende que:

• 70% tuvieron un incidente de seguridad accidental
• 90% un incidente malicioso
• 62% un incidente serio

Estos datos estadísticos permiten observar con un lenguaje más gráfico (los números) lo que hemos venido conversando en estos post respecto a las inversiones en seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Estadísticas, Gestión, Informes
1 Comment »

Sin lugar a dudas los delincuentes que se encuentran detrás del desarrollo y propagación del gusano Koobface, quienes se hacen llamar Ali Baba, conforman una de las organizaciones delictivas más activas de la actualidad.

Hace unos meses alertábamos sobre la puesta en marcha de una campaña masiva destinada a reclutar zombis a gran escala para el negocio que representa su botnet, y que duró varios días, empleando como vector de ataque la clásica maniobra de Ingeniería Social donde simula la visualización de un supuesto video, algo que es habitual en la propagación de este malware, bajo el título “Video posted by… Hidden Camera“.

En esta oportunidad, Koobface vuelve a protagonizar una nueva campaña, pero bajo el título “Secret video by“. A continuación podemos observar una captura.

Recordemos que Koobface es un gusano que utiliza como vector de ataque las redes sociales y su infección convierte al sistema en un verdadero nido de malware, ya que al comprometer el equipo se encarga de establecer una conexión clandestina contra otros servidores maliciosos desde los que descarga alrededor de cinco códigos maliciosos más, entre ellos uno destinado a romper la barrera de seguridad que se implementa a través de captchas y una variante de sí mismo para continuar con el ciclo de propagación.

Actualmente ya hemos detectado más de 200 dominios comprometidos que forman parte del ciclo propuesto para esta campaña. Sin embargo, a pesar de esta incesante actividad por parte de este grupo de delincuentes, los usuarios de ESET NOD32 pueden estar tranquilos y confiar en la seguridad proporcionada por el motor ThreatSense de ESET, ya que la amenaza es detectada como Win32/Koobface.NAP.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
1 Comment »

Siguiendo con la Gira Antivirus de ESET en México, hoy fui consultado sobre si las técnicas de BlackHat SEO, orientadas al mundial de fútbol y a otros temas demoda, son utilizadas en otros buscadores a parte de Google que, al poseer el 90% del mercado, evidentemente es el blanco preferido de todos los delincuentes.

Entonces, realizando el mismo tipo de búsqueda, los resultados en los tres buscadores más populares fueron los siguientes:

Google sigue devolviendo miles de sitios dañinos sobre el mundial (que reportamos hace varios días) pero con el aviso de que pueden representar una amenaza. Más allá de este hecho, destacable por parte del buscador, el bloqueo llegó al menos tres días después de que reportáramos los primeros casos y esto prueba la importancia de contar con herramientas de detección proactivas como las de ESET, que bloqueen el sitio al momento de su aparición.

Yahoo! lista los mismos sitios dañinos que Google pero sin ningún tipo de aviso sobre el riesgo de visitarlos:

Por “suerte” los delincuentes no se han percatado de esto (aún) y si se intenta ingresar al sitio desde este buscador, el usuario es redirigido (sin infectarse) a la página de la CNN como explicábamos en ¿Qué sucede en un sistema infectado por un rogue?.

Bing no devolvió resultados sospechosos, lo cual no significa que no existan. Esto puede traducirse como que Bing ha eliminado estos enlaces (lo cual es excelente) o que quizás todavía no ha alcanzado a indexarlos y pueden aparecer en algunos días (hecho poco probable por la velocidad en la que se basan los atacantes y el malware). En este sentido es destacable mencionar que si se realiza una búsqueda específica de los sitios dañinos, Bing lista el sitio pero no muestra las página (generalmente un script PHP) que realiza la infección.

Ask no devolvió sitios potencialmente dañinos pero tampoco dió resultados consistentes con lo que se intentaba encontrar, incluso al refinar excesivamente la búsqueda.

Si bien estos resultados pueden ser anecdóticos, de cierta forma revelan algunas conclusiones como las siguientes:

• Los delincuentes buscan la mayor exposición posible que, en este caso es brindada por el buscador más popular.
• Si bien se puede pensar que los atacantes tienen todo controlado, tienen puntos débiles y el usuario los puede aprovechar para su propio bien y para estar protegido.
• Los buscadores reaccionan totalmente distinto a una amenaza específica.
• Los usuarios tienen alternativas entre las cuales elegir y esto aplica para los sistemas operativos, los navegadores, las aplicaciones y por supuesto los buscadores.
• Existen herramientas de protección capaces de bloquear estos ataques y el usuario las debe utilizar.

Cristian Borghello
Director de Educación

Categories: Black Hat SEO, Declaraciones, Educación
No Comments »

Del mismo informe que comentaba el otro día en el post Inversiones en seguridad, ¿un desperdicio?, realizado por la empresa Verizon, y publicado en el portal Computer Weekly, aparece otro dato que, aunque relacionado a las inversiones en seguridad, también resulta muy interesante en otros aspectos, y comparto en libre traducción:

Muchas empresas aún no están haciendo las cosas más simples y baratas, pero a la vez siguen gastando dinero en hacer las cosas más rápido.

La investigación realizada muestra que actualizar los sistemas rápidamente reduce el riesgo en la empresa en un 2% aproximadamente.

Pero simplemente eliminando las contraseñas por defecto (fáciles de adivinar) en los sistemas recorta el riesgo en al menos un 25%, diez veces más que al instalar los parches rápidamente.

Este dato que parece pequeño, es revelador respecto al valor de las buenas prácticas en la seguridad corporativa.

¿Esto quiere decir que no es necesario instalar las actualizaciones de software? NO, nada más lejano a eso. Hay un famoso dicho en seguridad que dicta que mientras los responsables de la seguridad deben considerar TODAS las vulnerabilidades posibles, un atacante necesita sólo UNA para realizar su tarea. Es decir que en lo que respecta a seguridad, deben considerarse todas las amenazas y desarrollar un Sistema de Gestión de Seguridad de la Información que contemple la mitigación de la mayor cantidad de riesgos que sea posible. Ese 2% que según el informe se protege al instalar los parches, puede ser el que, por ejemplo, evite una infección en la red del gusano Conficker, que causó pérdidas en empresas por 9100 mil millones de dólares.

Pero sí es cierto que organizar la seguridad de la información en la empresa es un proceso continúo que tiene un período inicial que puede ser muy extenso, especialmente en organizaciones que hayan descuidado durante un tiempo dichos controles. Y en ese contexto, es donde las buenas prácticas toman la importancia que efectivamente poseen. Se trata de controles que, por lo general, no poseen ni grandes condicionamientos tecnológicos, ni dificultades operativas ni, especialmente, grandes costos asociados; pero que a la vez tienen un impacto moderado o alto en la protección de la información corporativa.

Como se cita en el ejemplo, cambiar las contraseñas por defecto, o como también podría ser utilizar las claves fuertes, rotarlas periódicamente, utilizar un sistema de gestión de usuario y no utilizar usuarios con permisos administrativos en la operatoria diaria; son todos ejemplos de buenas prácticas sobre los sistemas, todas altamente efectivas en lo que respecta la protección de la red en la empresa.

En resumen, el mejor aliado para las tecnologías de seguridad y la educación del usuario, es acompañar estos dos ejes de los que tanto hablamos con las buenas prácticas.

Sebasitán Bortnik
Analista de Seguridad

Categories: Gestión
2 Comments »

Varios usuarios han reportado a nuestro Laboratorio un correo electrónico que menciona una “alerta de Terremoto y Tsunami con un 89 % de efectividad para un amplia área del Pacífico y Atlántico”. Como puede verse en la siguiente imagen, la noticia dice provenir de National Geographic y menciona que “Chile es quien al parecer se llevara la peor parte”.

El enlace conduce a un sitio falso (www.nationalsgeographic[ELIMINADO].com) y termina descargando un troyano bancario que modifica el archivo hosts del sistema y está preparado para realizar ataques de phishing a los siguientes bancos chilenos:

Además de buscar robar los datos de acceso a home-banking, el sitio falso también solicita la tarjeta de coordenadas de los mismos, haciendo que quien caiga en la trampa quede totalmente vulnerable al delincuente. Como siempre, al finalizar el robo de datos, se informa al usuario de un supuesto error de comunicación y la transacción finaliza.

Al momento de escribir el presente el sitio falso sigue activo y ESET NOD32 detecta el troyano como Win32/Qhost.Banker.DQ.

Cristian Borghello
Director de Educación

Categories: Alertas, Malware, Phishing
5 Comments »