Informe de estudioLos atacantes usaron amenazas de redes sociales y aplicaciones móviles, no solo correo electrónico, para engañar a los usuarios y hacer que infectaran sus propios

Los ataques avanzados de hoy en día se centran más en

aprovechar los defectos humanos que los defectos de los

sistemas. Proofpoint ha desarrollado El factor humano para

explorar este aspecto escasamente estudiado de las amenazas

empresariales.

Este documento presenta el campo de investigación original

usando datos recopilados por productos de Proofpoint en

entornos de clientes de todo el mundo. Aborda las últimas

tendencias en los principales vectores para la selección de

víctimas: correo electrónico, redes sociales y aplicaciones móviles.

El factor humano revela no solo quién hace clic dónde, sino cómo

los responsables de las amenazas utilizan la ingeniería social

para que sus víctimas hagan el trabajo de las vulnerabilidades

automatizadas. Ya que, como demuestran los datos, el eslabón

más débil somos todos.

Informe de estudio

2016

Resumen ejecutivoEn 2015, la realidad imitó a la ficción: los ciberdelincuentes del mundo real pusieron

en práctica el lema del pirata informático y antihéroe de la serie de televisión Mr.

Robot: “Las personas son las mejores vulnerabilidades”. La ingeniería social se

ha convertido en la técnica de ataque n.º 1. Los atacantes han cambiado las

vulnerabilidades automatizadas por personas para hacer el trabajo sucio: infectar

sistemas, robar credenciales y transferir fondos. En todos los vectores y en ataques

de todos los tamaños, los responsables de las amenazas usaron la ingeniería

social para engañar a la gente y lograr que hicieran cosas que antes requerían

código malintencionado.

Los atacantes utilizan a personas de tres formas de control progresivas

Ejecutan el código de los atacantes por ellos.

Estos ataques comprendieron principalmente campañas masivas distribuidas a

amplios grupos de usuarios. Usaron diversas trampas para burlar la detección

técnica y convencieron a las víctimas para que deshabilitaran o ignoraran la

seguridad, hicieran clic en enlaces, abrieran documentos o descargaran archivos

que instalaban malware en portátiles, tablets y smartphones.

Les dan directamente las credenciales.

Estos ataques se utilizaron a menudo en campañas de tamaño medio. Los dirigían

a personas clave que poseían credenciales valiosas, tales como nombres de usuario

y contraseñas de sistemas o servicios útiles, y las engañan para que se las dieran.

Trabajan directamente para ellos, transfiriéndoles fondos.

Estos ataques eran muy específicos y totalmente selectivos. Los dirigían a usuarios

que desempeñaban el puesto exacto que necesitaban para que actuasen en su

nombre. Estos usuarios hacían transferencias bancarias a cuentas fraudulentas

creyendo que seguían órdenes de sus superiores.

Estos ataques se diferenciaban en tipo y magnitud. Pero todos compartían un punto

en común: usaban la ingeniería social para persuadir a la gente de que hiciera el

trabajo del malware y ofrecían grandes beneficios a los atacantes.

En 2015, la ingeniería social fue la principal técnica de ataque. Las personas sustituyeron a las vulnerabilidades como el método favorito de los atacantes para sortear la ciberseguridad.

3 EL FACTOR HUMANO 2016 | INFORME

ÍndiceResumen ejecutivo ..........................................................................................................................................................................2

Hallazgos clave y recomendaciones defensivas................................................................................................................... 4

Sección 1: Los números no fallan: Seleccionando a las víctimas cuando y donde hacen clic.......................................... 8

Selección de amenazas por región geográfica ..............................................................................................................................9

Correo electrónico Selección de amenazas por día de la semana .............................................................................................10

Correo electrónico Selección de amenazas según la hora del día .............................................................................................11

Selección de amenazas en redes sociales según la hora del día ...............................................................................................12

Selección de amenazas por aplicaciones móviles malintencionadas .........................................................................................13

Sección 2: Aprovecharse de las personas .......................................................................................................................... 15

Personas: Ejecutan el codigo de los atacantes por ellos ............................................................................................................16

Tendencias en vectores de amenazas por correo electrónicos ...................................................................................................17

Tipos de amenazas: Cargas dañinas de malware en adjuntos ...................................................................................................18

Tácticas de los vectores de amenazas: Señuelos más usados en correos electrónicos ...........................................................18

Tipos de amenazas: Formatos de documentos adjuntos malintencionados ..............................................................................19

Las personas entregan credenciales a atacantes .........................................................................................................................20

Tácticas de vectores de amenazas: Phishing de credenciales ....................................................................................................21

Las amenazas de aplicaciones móviles alcanzan la madurez .....................................................................................................22

El phishing domina los ataques a través de redes sociales ........................................................................................................22

Las personas transfieren fondos directamente a los atacantes ...................................................................................................24

Conclusión ............................................................................................................................................................................ 25

Conocer las amenazas avanzadas ...............................................................................................................................................25

Recomendaciones ........................................................................................................................................................................26

4

Sect

ion

2

The Human Factor 2016 | Report4 The Human Factor 2016 | Report

HALLAZGOS CLAVE Y RECOMENDACIONES DEFENSIVAS1. Las personas están reemplazando a las vulnerabilidades automatizadas como táctica de acceso preferida por los atacantes

Los atacantes prefirieron claramente infectar ordenadores engañando a otras personas para que lo hicieran por

ellos a hacerlo a través de vulnerabilidades automatizadas. Un incontestable 99,7 % de los documentos usados en

campañas basadas en adjuntos utilizaron ingeniería social y macros. Al mismo tiempo, el 98 % de las URL en mensajes

malintencionados dirigen a malware alojado, bien como un ejecutable, bien como un ejecutable dentro de un archivo. Para

que funcionen, estos archivos debe abrirlos el usuario. Por tanto, los atacantes engañaban a los usuarios para que hicieran

doble clic en ellos y se infectaran.

Recomendación: Para seleccionar organizaciones y personas específicas, los atacantes suelen transformar el malware

con el fin de evitar las defensas tradicionales de detección. El análisis de malware dinámico es especialmente eficaz en

la detección de estas amenazas inéditas. Gracias al examen de adjuntos y URL sospechosos mediante una amplia gama

de técnicas, este procedimiento detecta y bloquea las complejas amenazas actuales de forma más eficaz. Para abordar el

“factor humano” de los ataques, es necesario informar a los usuarios de los últimos esquemas de ingeniería social y phishing

de credenciales mediante formación continua. Pruebe a utilizar el “phishing” con sus propios empleados para saber quiénes

son los más propensos a hacer clic.

HALL

AZGO

S CLA

VE


HALLAZGOS CLAVE

2. Las campañas del troyano bancario Dridex fueron el vector de ataque que colocó a más personas en la cadena de infección

Los troyanos bancarios son el tipo más habitual de carga dañina de adjuntos de documentos malintencionados,

responsables del 74 % de todas las cargas dañinas. El volumen de correos electrónicos basados en Dridex fue casi 10

veces mayor que la siguiente carga dañina más usada en dichos ataques. Los archivos de documentos en estos mensajes

contenían macros malintencionadas que engañaban al destinatario para que ejecutara código que infectaría su ordenador.

La bandeja de entrada de los empleados sigue siendo el principal modo de acceso a su organización de los troyanos

bancarios. Los atacantes usan ingeniería social e imitan procesos habituales como facturas y extractos con el fin de engañar

al usuario para que haga clic en los mensajes de su correo electrónico. Gracias a la ingeniería social, logran que parezca

que estos mensajes proceden de un compañero o un superior.

Recomendación: Implemente controles y medidas de seguridad robustos dentro de su flujo de correo electrónico. También

podría usar servicios de análisis de malware en tiempo real en la puerta de enlace del correo electrónico para detectar y

bloquear las amenazas antes de que lleguen a sus empleados.

3. Los atacantes programaron las campañas de correo electrónico y redes sociales para ajustarlas a las horas con más actividad de usuarios

Al cambiar de las vulnerabilidades de malware a los clics humanos, los atacantes optimizaron las horas de actividad de la

campaña para que coincidieran con las horas en las que hacen clic los usuarios. Los mensajes de correo electrónico se

entregan al comienzo de la jornada laboral (9-10 a.m.) en las regiones objetivo. Del mismo modo, las horas de publicación

de spam en las redes sociales coinciden con las horas de mayor uso legítimo de las redes sociales. Aun así, no hubo

momento del día ni día de la semana en que no se enviase contenido malicioso a otras personas o no se hiciese clic en él.

Recomendación: Dado que las soluciones de seguridad basadas en la red no detectan amenazas dentro del correo

electrónico y las publicaciones en redes sociales, debe plantearse soluciones que integren estas plataformas. La

automatización puede ayudarle a ajustar sus operaciones de seguridad, responder rápidamente a las alertas del sistema

y reconocer las amenazas de mayor prioridad. Busque una solución que pueda bloquear automáticamente amenazas

verificadas, poner en cuarentena a usuarios infectados y proteger a los demás para que no se infecten.

4. Los usuarios se descargaron voluntariamente más de 2000 millones de aplicaciones móviles que robaron sus datos personales

Los atacantes usaron amenazas de redes sociales y aplicaciones móviles, no solo correo electrónico, para engañar a los

usuarios y hacer que infectaran sus propios sistemas. Uno de cada cinco clics en URL malintencionadas se produjeron

fuera de la red, muchos de ellos en redes sociales y dispositivos móviles. Estos clics fuera de la red ya no son casos

aislados: son amenazas reales. Realizamos un análisis de las tiendas de aplicaciones de Android y descubrimos más de

12 000 dispositivos móviles malintencionados (capaces de robar información, crear puertas traseras y otras funciones) que

lograron más de 2000 millones de descargas.

Recomendación: Para detectar estos riesgos y evitar ataques, tal vez deba optar por una solución de defensa e inteligencia

contra amenazas basadas en dispositivos móviles. Además de las aplicaciones malintencionadas, la solución debe

enfrentarse también al riskware: aplicaciones que, pese a no ser directamente malintencionadas, permiten comportamientos

de riesgo. El riskware es invisible a las herramientas de gestión de dispositivos, por lo que es fácil encontrarlo en muchos

dispositivos móviles tanto de empresa como particulares. Estas aplicaciones muestran una amplia gama de comportamientos

peligrosos que llevan a fugas de datos empresariales confidenciales, robo de credenciales o filtraciones de datos, a menudo

usados para escoger a los empleados que serán víctimas del próximo ataque. Busque una solución que pueda evaluar,

detectar y controlar los comportamientos de riesgo sin interferir en la productividad legítima de los usuarios ni en sus

necesidades de privacidad.


5. El número de URL que enlazan a páginas de phishing de credenciales fue casi 3 veces superior al de enlaces a páginas que albergan malware

Hemos observado que, de media, el 74 % de las URL usadas en campañas de phishing enlazaban a páginas de phishing

de credenciales, en lugar de a sitios que albergan malware. En las campañas basadas en URL, los atacantes enlazan a

páginas diseñadas para engañar a los usuarios de modo que les faciliten sus credenciales de inicio de sesión y otros datos

personales. En efecto, la víctima hace el trabajo de los keyloggers y otros tipos de malware automatizado.

Recomendación: Obtenga una solución que combine análisis profundo, inspección de contenido y servicios de

inteligencia de URL potentes. Para detener estas amenazas antes de que afecten a sus empleados, puede utilizar un servicio

basado en la nube y sin agente que reescriba todas las URL incluidas en un correo electrónico y las compruebe cuando el

usuario hace clic en ellas. Los ataques afectan a los trabajadores en cualquier lugar. Asegúrese de que sus defensas llegan

a los usuarios independientemente de que accedan a la URL desde la VPN de la empresa, desde una conexión pública

desprotegida o desde su propio dispositivo.

6. Las cuentas usadas para compartir archivos e imágenes, tales como Google Drive, Adobe y Dropbox, son las trampas más eficaces para el robo de credenciales

Los enlaces de Google Drive son los señuelos de phishing de credenciales en los que más se hace clic. A través de estas

marcas pueden engañar a los usuarios para que hagan clic, especialmente si el mensaje que recibe la víctima procede

de un contacto de su lista. Esto se debe a que estos servicios son habituales para el usuario, que está acostumbrado a la

acción de hacer clic para iniciar sesión necesaria para ver contenido compartido.

Recomendación: Adelántese a las amenazas y responda más rápido con mejores análisis e inteligencia. La visibilidad

de la naturaleza de las campañas dirigidas a su empresa es clave para reducir el tiempo y el esfuerzo requeridos para

detener un ataque y contener los daños. Si los equipos de seguridad son conscientes de la magnitud, el tipo y la urgencia

de las amenazas (junto con una vista detallada de los usuarios afectados) pueden actuar más rápido. Opte por defensas

predictivas para adelantarse a las campañas de ataque. La inclusión proactiva en entornos seguros de URL sospechosas

puede identificar preventivamente URL posiblemente malintencionadas antes de que los usuarios tengan la oportunidad de

hacer clic y poner en riesgo su equipo.

7. El phishing es 10 veces más habitual que el malware en las publicaciones en las redes sociales

La amenaza en redes sociales que más rápido ha crecido ha sido el uso fraudulento, a través del phishing, de cuentas

falsas de atención al cliente, que por medio de la ingeniería social logran engañar a los usuarios para que faciliten datos

de inicio de sesión e información personal. La facilidad para crear cuentas fraudulentas de marcas conocidas en las

redes sociales hace del phishing la técnica preferida a la hora de llevar a cabo ataques basados en las redes sociales. Es

difícil distinguir las cuentas falsas de las auténticas en las redes sociales: hemos detectado que el 40 % de las cuentas de

Facebook y el 20 % de las de Twitter que dicen representar a una marca del Fortune 100 no son autorizadas. En cuanto a

las empresas del Fortune 100, el porcentaje de cuentas de Facebook no autorizadas asciende al 55 %, y al 25 % en el

caso de Twitter.

Recomendación: No deje que las cuentas falsas de las redes sociales se conviertan en un foco de phishing e ingeniería

social. El primer paso es elegir una solución que pueda detectar, notificar y supervisar ininterrumpidamente las cuentas de

las redes sociales asociadas a su marca. Su solución debe ser capaz de detectar y analizar cuentas falsas para proteger a

sus clientes y la reputación de su marca.

HALL

AZGO

S CLA

VE


8. Las aplicaciones móviles peligrosas de tiendas no autorizadas afectan a 2 de cada 5 empresas

Nuestros investigadores han identificado tiendas de aplicaciones no autorizadas que permitían a los usuarios descargarse

aplicaciones malintencionadas en sus dispositivos iOS: incluso en dispositivos sin “Jailbreak” (una configuración que

permite ejecutar aplicaciones no ofrecidas a través de iTunes de Apple). Atraídos por clones “gratuitos” de juegos

conocidos y aplicaciones no permitidas, los usuarios que descargan aplicaciones de tiendas no autorizadas (y eluden

varias advertencias de seguridad en el proceso) tienen cuatro veces más probabilidades de descargar una aplicación

malintencionada. Estas aplicaciones pueden robar información personal, contraseñas y datos. De las grandes empresas

analizadas con Proofpoint TAP Mobile Defense, aproximadamente el 40% tenía aplicaciones malintencionadas de tiendas

DarkSideLoader, es decir, tiendas de aplicaciones no autorizadas.

Recomendación: Implemente una solución que detecte y controle de forma ininterrumpida el comportamiento de las

aplicaciones en sus dispositivos móviles, ya que los usuarios pueden descargar aplicaciones desde casi cualquier lugar,

incluso en dispositivos sin “jailbreak”. En el mejor de los casos, muy pocas de estas tiendas de aplicaciones no autorizadas

controlan sus contenidos, e incluso las tiendas de aplicaciones autorizadas tienen sus propios riesgos de seguridad y

conformidad. En primer lugar, no exigen que las aplicaciones tengan políticas de privacidad. Eso significa que los datos que

recopila la aplicación no están protegidos. Y las tiendas suelen revisar sus aplicaciones solo una vez. De modo que una vez

que se aprueba la aplicación, las actualizaciones posteriores pueden introducir fácilmente comportamientos arriesgados o

malintencionados, que pasan inadvertidos durante meses tras la descarga inicial.

9. Campañas a pequeña escala que envían correos electrónicos específicamente a una o dos personas dentro de una organización para que transfieran fondos a los atacantes

Los mensajes de phishing dirigidos específicamente a personas con acceso a transferencias bancarias afectan

a organizaciones de cualquier tamaño y sector. Para llevar a cabo estas estafas, también llamadas “phishing de

transferencias” o “phishing para CEO”, los atacantes tienen que realizar una investigación a fondo. Estos correos

electrónicos han falsificado los remitentes, de modo que parezcan enviados por CEO, CFO u otros cargos ejecutivos; rara

vez incluyen enlaces o adjuntos, y suelen incluir instrucciones urgentes para que el destinatario transfiera fondos a una

cuenta indicada.

Recomendación: Para detener esta amenaza, es necesario combinar tanto soluciones de tecnología como controles

procedimentales. Desde una perspectiva técnica, es necesaria una puerta de enlace de correo electrónico compatible con

opciones de configuración avanzadas para marcar mensajes sospechosos en función de sus atributos (como la dirección

y la línea de Asunto) y técnicas de autenticación de correo electrónico. En cuanto a los controles procedimentales, es

necesario garantizar que los controles financieros y de compras internos se llevan a cabo para autenticar solicitudes

legítimas, incluyendo el uso de un control secundario independiente realizado en persona o a través de una llamada de

teléfono para solicitar la aprobación de otra persona en la organización.

Recomendaciones generales

Al mismo tiempo, debe conocer mejor la naturaleza de los ataques contra su organización, de modo que pueda distinguir

rápidamente entre campañas selectivas e indiscriminadas. Sus herramientas deben ser capaces de revelar.

• Quién ha recibido un correo electrónico malintencionado

• Cuántas versiones del mismo mensaje se han repartido

• Cuándo se han recibido

• Qué usuarios han hecho clic

• Qué usuarios han accedido al destino malintencionado

Disponer de esta información puntualmente es fundamental para priorizar su respuesta.

HALLAZGOS CLAVE


SECC

IÓN

1 SECCIÓN 1

SELECCIONANDO A LAS VÍCTIMAS CUANDO Y DONDE HACEN CLICEn 2015, la mayor parte de los ataques fueron campañas masivas de

correo electrónico. Caracterizadas por el uso de la personalización

masiva con fines de evasión, el objetivo de las campañas masivas

era llegar al mayor número posible de personas, cubriendo las

regiones en cuestión de minutos con millones de mensajes enviados

desde cientos de miles de direcciones IP auténticas pero vulneradas.

Ninguna organización, sector o cargo escapó a la exposición a las

amenazas avanzadas.

LOS NÚMEROS NO FALLAN


SECCIÓN 1

Gootkit Emotet Shifu Tinba TorrentLocker Ursnif BetabotDridex

AUSTRALIA

EUROPA DEL ESTE

NorteaméricaEUROPA

JAPÓN

América Latina

235 77

5

27

35

60 2 2

5

2 11 32

5 32 9

Figura 1: Distribución geográfica por carga dañina de malware, 2015

Distribución de las principales campañas por región

Distribución de amenazas por región geográficaLas campañas masivas de 2015 fueron mucho más selectivas en función de la región que por organización o usuario, cuyos

actores centraban todos sus recursos en un solo país al mismo tiempo.

• Las campañas de amplio espectro se especializaban en cada región con plantillas de documentos malintencionadas,

cargas dañinas y correos electrónicos fraudulentos localizados. Esta personalización de las campañas en cada región

objetivo las hacía más realistas para los destinatarios y, por tanto, más eficaces para que hicieran clic, como demuestran las

tasas de infección de las campañas.

• Los botnets y las cargas dañinas observadas principalmente en un único país o región se pueden mover a otros. Esta

variación se generalizó a finales de 2015; estos cambios de recursos y objetivos solían ir acompañados de correos

electrónicos fraudulentos y adjuntos que se adaptaban a cada nueva región objetivo.

Es importante tener en cuenta que mientras que las campañas masivas de 2015 se especializaron por criterios geográficos,

dentro de cada región objetivo eran mucho menos selectivas: las campañas por correo electrónico iban dirigidas a todos

los miembros y departamentos de una organización.1

1. Sorprendentemente, la distribución de mensajes por departamento no es tan plana, como cabría esperar si los atacantes fueran enviando mensajes a todas las direcciones disponibles de todos los usuarios y departamentos de una determinada organización. Esto se debe probablemente al hecho de que cuanto más tiempo pasa una persona en una organización, más probable es que su dirección esté en una lista de spam que contenga direcciones de correo válidas de esa empresa. Los departamentos (y sectores) con menor tasa de renovación de empleados tendrán un mayor porcentaje de direcciones de correo elec-trónico de sus empleados en listas compradas por los servicios de spam que usan las campañas de amplio espectro.


Sá.Vi.Ju.Mi.Ma.Lu.Do.

Volu

men

ind

exad

o d

e co

rreo

s el

ectr

ónic

os

• Al igual que en 2014, los responsables de las amenazas siguieron haciendo del martes el día de mayor distribución de

la campaña en 2015, aunque la diferencia en comparación con otros días de la semana fue menos pronunciada.

• Observamos una clara insistencia durante la primera mitad de la semana. Lunes, martes y miércoles eran los días

preferidos para lanzar campañas de spam.

• Los recuentos de clics por día de la semana siguieron una tendencia similar: El lunes y el martes intercambiaron su

posición como día preferido, y el volumen de URL en las que se hace clic se redujo gradualmente durante el transcurso

de la semana laborable.

• Aunque inferior que durante los días laborables, el volumen de mensajes y las tasas de clics durante el sábado y

el domingo mostraron que durante los fines de semana los usuarios seguían recibiendo URL malintencionadas y

haciendo clic en ellas en mensajes no deseados. Eso significa que las organizaciones deben ser capaces de proteger

a los usuarios, ya estén en la red de la empresa o usando su smartphone o tablet.

A finales de 2015 fuimos testigos de varias campañas masivas lanzadas en lunes, probablemente para aprovechar las

mayores tasas de clics durante este día. Aunque al principio parecía tratarse de incidentes aislados, las campañas durante

los primeros meses de 2016 sugieren que se trata del inicio de un cambio a largo plazo en la programación de campañas

de correo electrónico no deseado.

SELECCIÓN DE AMENAZAS POR CORREO ELECTRÓNICO SEGÚN EL DÍA DE LA SEMANA

Figura 2: Volumen diario medio indexado de mensajes maliciosos enviados por día de la semana

SECC

IÓN

1


SECCIÓN 1

• Las campañas de correo electrónico se programaban para llegar a la organización objetivo entre las 9 y las 10 de la

mañana hora local. El objetivo: sorprender a los trabajadores nada más llegar, antes de que las organizaciones de TI

hayan tenido tiempo de detectar y eliminar los mensajes malintencionados.

• Los principales correos electrónicos fraudulentos aprovecharon esta programación: Facturas, recibos y documentos

digitalizados que engañaban a usuarios de empresa específicos y estaban diseñados para llamar su atención al principio

de la jornada laboral.

• La distribución de correos electrónicos a lo largo del día seguía un patrón similar al observado en 2014, con picos que se

corresponden con el inicio de la jornada laboral en la zona horaria objetivo.

• Cuanto más tiempo permanece un correo electrónico en la bandeja de entrada, menos probable es que se haga clic en

él. Y las tasas de clics disminuyen a lo largo del día y de la semana. Teniendo esto en cuenta, los atacantes anticipan la

distribución tanto en el día de la semana como en la hora del día

SELECCIÓN DE AMENAZAS POR CORREO ELECTRÓNICO SEGÚN LA HORA DEL DÍA

1 2 312AM 5 6 74 9 10 118 1 2 3 5 6 74 9 10 11 12AM812PM

Rec

uent

o d

e m

ensa

jes

ind

exad

os p

or h

ora

Hora del día (UTC)

Recuento de mensajes indexados por hora

Figura 3: Ejemplo de distribución de mensajes malintencionados por hora y día, campaña de Dridex en Reino Unido

EL FACTOR HUMANO 2016 | INFORME

• Los atacantes optimizan su actividad para que coincida con las horas

de máxima participación de su objetivo. Dado que su objetivo son

organizaciones, tienen en cuenta tanto a las personas como la zona horaria.

• El spam en las redes sociales inicia su mayor nivel de actividad entre las

8 de la mañana (ET) y lo mantiene durante seis horas aproximadamente,

hasta las 2 de la tarde (ET), momento en el que la actividad comienza

a reducirse gradualmente durante el transcurso de la jornada laboral

en EE. UU. Este periodo de actividad punta ocupa la mayor parte de la

mañana hasta el almuerzo, cuando los usuarios están más activos en

Facebook y en otras redes sociales.

• La actividad del spam en las redes sociales nunca cesa por completo.

Siempre hay alguien publicando contenido fraudulento y posiblemente

malintencionado.

SELECCIÓN DE AMENAZAS EN REDES SOCIALES SEGÚN LA HORA DEL DÍA

Figura 4: Actividad legítima y de spam en redes sociales por hora del día

1 2 312AM 5 6 74 9 10 118 1 2 3 5 6 74 9 10 11812PM

Vol

umen

ind

exad

o d

e ac

tivid

ad e

n la

s A

19:E

138

soci

ales

por

hor

a

Hora del día (UTC)

Actividad del spam

Actividad legítima

El 21,5% de los clics se produjo fuera de la red

RESUMENLos responsables de las amenazas avanzadas las dirigen claramente a los usuarios basándose en los momentos de mayor

debilidad de estos, una mezcla de tráfico punta y fatiga. Las amenazas en las redes sociales y las aplicaciones móviles se

han unido al correo electrónico para convencer a los usuarios de que infecten sus propios sistemas. Uno de cada cinco clics

en una URL malintencionada se produce fuera de la red. Y este año, la amenaza externa a la red de correos electrónicos

malintencionados se ha visto complementada con el aumento de las amenazas en redes sociales y aplicaciones móviles.

SECC

IÓN

1


SELECCIÓN DE AMENAZAS: POR APLICACIONES MÓVILES MALINTENCIONADAS

Figura 5: Aplicaciones móviles malintencionadas por categorías

TiempoMedicinaEntretenimiento Educación Libros Estilo de vida

Utilidades Fotografía y vídeo

Salud y forma física

Empresas Música Productivi-dad

Red social Viajes Deportes Noticias Finanzas CatálogosJuegos

21123

2,249

980 942 835774

515 500 469 436 419405 275

220 159 151 115

2,970

Núm

ero

de

aplic

acio

nes

mal

inte

ncio

nad

as

Categorías de aplicaciones móviles

SECCIÓN 1

Figura 6: Descargas de aplicaciones móviles malintencionadas por categoría

00

466

1317 6

153154

9 5

212

133

24211 4 01

818

Núm

ero

de

des

carg

as d

e ap

licac

ione

s

Categorías de aplicaciones móviles

TiempoMedicinaEntretenimiento Educación Libros Estilo de vida

Utilidades Fotografía y vídeo

Salud y forma física

Empresas Música Productivi-dad

Red social Viajes Deportes Noticias Finanzas CatálogosJuegos


RESUMENLas aplicaciones móviles peligrosas de tiendas no autorizadas afectan a 2 de cada 5 empresas.

Nuestros investigadores han identificado tiendas de aplicaciones en las que

los usuarios podían descargar aplicaciones malintencionadas en dispositivos

iOS. Las tiendas no autorizadas funcionaban incluso en dispositivos que no

habían sido configurados para ejecutar aplicaciones ofertadas fuera de la

iTunes Store de Apple (también conocidos como dispositivos “jailbroken”).

Atraídos por clones gratuitos de juegos conocidos y aplicaciones no

permitidas, los usuarios que descargan aplicaciones de tiendas no autorizadas

(y eluden varias advertencias de seguridad en el proceso) tienen cuatro veces

más probabilidades de descargar una aplicación malintencionada. Estas

aplicaciones roban información personal, contraseñas o datos. De las grandes

empresas analizadas con Proofpoint TAP Mobile Defense, aproximadamente el

40 % tenía aplicaciones malintencionadas de tiendas DarkSideLoader, es decir,

tiendas de aplicaciones no autorizadas.

SECC

IÓN

1

• Solo en Android se realizaron más de 2000 millones de descargas de

aplicaciones móviles malintencionadas.

• Las aplicaciones malintencionadas se centran principalmente en las

categorías de aplicaciones de Juegos y Entretenimiento.

• Muchas de estas aplicaciones malintencionadas se ofrecen como versiones

gratuitas o pirateadas de aplicaciones de pago conocidas, desde juegos

hasta herramientas de productividad. Esta trampa sirve para engañar a los

usuarios de modo que descarguen malware en sus dispositivos de forma

voluntaria.

Las aplicaciones malintencionadas son un vector atractivo para los atacantes.

A diferencia de las campañas basadas en correo electrónico, que funcionan

enviando mensajes a millones de usuarios, una aplicación colocada en una

única tienda puede llegar a millones de usuarios potenciales.

Solo en Android se realizaron más de 2000 millones de descargas de aplicaciones móviles malintencionadas.

2000 millones de aplicaciones malintencionadas


Section 2

Los hallazgos de los anteriores informes Human Factor demostraron

que “todas las organizaciones hacen clic”. Independientemente de su

tamaño, ubicación o sector, la tasa de clics en URL malintencionadas no

fue cero en ningún caso. En los últimos años, los clics de los usuarios en

URL malintencionadas de correo no deseado convirtió su sistema en una

sofisticada infraestructura de ciberdelincuencia. Las campañas usaron

vulnerabilidades automatizadas para infectar los sistemas de los usuarios

con cargas dañinas de malware o para robar su información.

Eso está cambiando. En 2015, los atacantes lograron que los usuarios

(personas) hicieran el trabajo de las vulnerabilidades automatizadas. Esta

sección muestra cómo este cambio de tendencia afectó a todos los niveles,

desde los tipos de malware que usaron los responsables de las amenazas

hasta los correos electrónicos, trampas y publicaciones en redes sociales

que conformaron sus campañas.

SECCIÓN 2

APROVECHARSE DE LAS PERSONAS

SECCIÓN 2


En 2015, los atacantes infectaron los ordenadores engañando a los usuarios para

que ellos mismos los infectaran en lugar de usar vulnerabilidades automatizadas.

• El 99,7% de los documentos usados en campañas basadas en adjuntos

utilizó la ingeniería social y las macros, en lugar de vulnerabilidades

automatizadas. (Consulte el apartado “Habilitar contenido (malintencionado)”

para obtener información detallada sobre cómo funcionan estas campañas).

• El 98 % de las URL en mensajes malintencionados dirigen a malware

alojado, bien como un ejecutable, bien como un ejecutable dentro de

un archivo. Los paquetes de vulnerabilidades usan código malintencionado

para infectar automáticamente al usuario; los archivos malintencionados

alojados y los archivos ejecutables requieren engañar al usuario para que se

infecte a sí mismo haciendo doble clic en el malware.

Este problema se vio exacerbado por el crecimiento dramático de las campañas

del troyano bancario Dridex, en las que el factor humano fue la clave de la

cadena de infección. En 2015, los troyanos bancarios fueron el tipo más habitual

de carga dañina de documentos adjuntos malintencionados (Fig. 9). Supusieron

el 74 % de la carga dañina total, y el volumen de mensajes de Dridex fue casi 10

veces superior que el de la carga dañina más usada en ataques que empleaban

documentos adjuntos malintencionados. Los documentos en sí utilizaban

ampliamente macros malintencionadas y confiaban en la ingeniería social

para convencer a los usuarios de que ejecutaran código malintencionado para

infectar sus ordenadores.

Habilitar contenido (malintencionado) Las macros de Microsoft Office malintencionadas, también

llamadas virus VBA (Visual Basic para aplicaciones), fragmentos

de código que no se pueden incrustar en un documento de

Office como Word o Excel. Al abrir el documento, estas macros

pueden ejecutar diversas operaciones, entre las que se incluyen

ejecutar automáticamente el descargador de un fragmento

de malware. Los virus VBA fueron el método de ataque

predominante a finales de la década de 1990.

Pero se diluyeron rápidamente hace casi una década, cuando

Office 2007 empezó a deshabilitar las macros de manera

predeterminada, una decisión Microsoft Office mantiene en la

actualidad. Cuando un usuario abre un documento de Office

con macros, puede ver un mensaje que le advierte de que

habilitar las macros “convierte en vulnerable al equipo ante

códigos potencialmente malintencionados y no se recomienda”.

(Consulte la figura 7).

Pese a esta protección, las macros malintencionadas resucitaron sorprendentemente en 2014 y principios de 2015. Se expandieron a través

de campañas de phishing, gracias a diversas técnicas de ingeniería social que lograban convencer a los usuarios de que habilitaran las

macros en sus equipos. Una vez habilitadas, las macros instalaban una variedad de cargas dañinas de malware en los ordenadores de las

víctimas. Puesto que esta técnica requiere que la víctima habilite directamente las macros (la mayoría de las veces haciendo clic en el botón

Habilitar contenido), la ingeniería social es fundamental en estas campañas. Los documentos adjuntos con macros malintencionadas suelen

estar relacionados con atacantes que utilizan el troyano bancario Dridex. Pero esta técnica se usa ampliamente para distribuir gran variedad de

malware, incluido el malware usado por atacantes de amenazas persistentes avanzadas y sofisticadas. La gran ventaja de este enfoque es que

el vector no puede corregirse: en su lugar, se transforma la voluntad para hacer clic del usuario en una parte central de la cadena de infección.

Figura 7: Ejemplo de adjunto de Microsoft Word con un mensaje para habilitar una macro malintencionada

PERSONAS: EJECUTAN EL CÓDIGO DE LOS ATACANTES POR ELLOS

El 98 % de las URL y el 99,7 % de los ataques basados en documentos utilizaron a los usuarios para deshabilitar abiertamente la seguridad. 1 de 10 personas cayó en la trampa.

SECC

IÓN

2


Ene. Ene.Feb. Mar. Abr. Mayo Jun. Jul. Ago. Sep. Oct. Nov. Dic

Volu

men

ind

exad

o d

e m

ensa

jes

mal

inte

ncio

nad

os

por

sem

ana Z6

Documentos adjuntos malintencionados

URLs

• Los responsables de las amenazas prefirieron los documentos

adjuntos malintencionados antes que las URL por un amplio

margen para los ataques basados en correo electrónico en 2015.

• En lugar de regresar a las campañas basadas en URL a finales

de 2015 conforme las defensas se adaptaron, los atacantes

aumentaron drásticamente el tamaño de sus campañas y atacaron

selectivamente y de forma agresiva a organizaciones del Reino

Unido y Europa.

• Las campañas basadas en URL del tipo observado en años

anteriores fueron prácticamente inexistentes en comparación con

las campañas basadas en documentos adjuntos.

• Los responsables de la amenaza Dridex se mantuvieron inactivos

durante el mes de septiembre tras el arresto de miembros clave

de una organización criminal acusada de usar malware para robar

millones de dólares. Las detenciones afectaron a la infraestructura

de envíos y esto podría haber contribuido al alto volumen de

campañas en noviembre y diciembre.

Figura 8: Tendencia indexada de URL frente a documentos adjuntos malintencionados, 2015

Figura 9: Cargas dañinas de malware distribui-das con mayor frecuencia mediante documentos adjuntos malintencionados

TENDENCIAS EN VECTORES DE AMENAZAS POR CORREO ELECTRÓNICO: URL FRENTE A ADJUNTOS

Most Used Malware Payloads in Malicious Document Attachment, by Type

Info Stealer

2% Ransomware

1% Miscellaneous

79%

14%

3%

Banking Trojan

Downloader

Total Malicious Document Attachments = 210,784,788

SECCIÓN 2


TIPOS DE AMENAZAS: CARGAS DAÑINAS DE MALWARE EN ADJUNTOS

TÁCTICAS DE LOS VECTORES DE AMENAZAS: SEÑUELOS MÁS USADOS EN CORREOS ELECTRÓNICOS

Figura 10: Carga dañina semanal de phishing de malware en documentos adjuntos como porcentaje del malware total de las 5 cargas dañinas principales de 2015

2 Dridex y Shifu le dan el día libre a los bots de spam y distribuyen a través de paquetes de vulnerabilidades”, 18 de noviembre de 2015, http://www.proofpoint.com/us/threat-insight/post/dridex-shifu-give-spam-bots-day-off

3 Los participantes en la campaña de malware de Dyre innovan con las técnicas de distribución”, 9 de octubre de 2015,http://www.proofpoint.com/us/dyre-malware-campaigners-innovate-distribution-techniques

Vawtrak Ursnif Dyreza Pony Dridex

Volu

men

ind

exad

o d

e m

ensa

jes

por

mes

Dic.Nov.Oct.Sep.Ago.Jul.Jun.MayoAbr.Mar.Feb.Ene.

Factura Recibo Extracto escaneado

Extracto bancario

Aviso de envío

Orden de compra

Documento de viaje

Aviso de fax Aviso de reclamación

Volu

men

ind

exad

o d

e ca

mp

añas

ob

serv

ado

Los responsables de las amenazas suelen alinear las cargas dañinas con técnicas de distribución. Por ejemplo, mientras que

los troyanos bancarios fueron la carga dañina principal de las campañas que usaban documentos adjuntos malintencionados,

rara vez se han observado distribuidos mediante paquetes de vulnerabilidades. Por el contrario, apenas se presenció

ransomware en campañas de documentos adjuntos malintencionados, pero fue muy habitual en paquetes de vulnerabilidades

y campañas de archivos adjuntos. A finales de 2015, estas especializaciones empezaron a ampliarse. Observamos que los

atacantes empezaron a usar cargas dañinas y técnicas de distribución que no se habían asociado antes.2 A finales de 2015,

cambiaron las configuraciones de troyanos bancarios y se centraron en las credenciales de usuarios de un abanico mucho

más amplio de servicios, seleccionando de todo, desde compras y cuentas de distribución hasta servicios en la nube.3

Figura 11: Señuelos más habituales a través de correo electrónico en campañas de documentos adjuntos

SECC

IÓN

2


TIPOS DE AMENAZAS: FORMATOS DE DOCUMENTOS ADJUNTOS MALINTENCIONADOSMalicious Attachment Document Formats

0.5% Powerpoint, PDF, & Other

77%Word

22.5%Excel

Figura 12: Principales formatos de documentos adjuntos

• Sin contar los ejecutables malintencionados y archivados,

las campañas de documentos adjuntos fueron la técnica

más usada del año, y la mayoría de estos documentos

optaron por macros malintencionadas para distribuir sus

cargas dañinas. (Consulte la Figura 12). El predominio

de documentos malintencionados en 2015 demuestra su

eficacia engañando a los usuarios para que hagan clic.

• Los archivos Excel fueron ganando popularidad a lo largo

del año. Los adjuntos XLS permiten crear fácilmente

documentos de pedidos y facturación creíbles, y los

usuarios finales están más acostumbrados a usar

contenido activo para actualizar datos automáticamente

en hojas de datos.

TIENDAS DE APLICACIONES NO AUTORIZADAS: UN JUEGO PELIGROSO

Figura 13: Instalación de aplicaciones de tiendas de aplicaciones no autorizadas

SECCIÓN 2

Los usuarios de dispositivos móviles no son inmunes a las amenazas que tienen como objetivo el factor humano. Para

muchos, el gancho de los videojuegos y otras aplicaciones gratuitos es suficiente para vencer las defensas tradicionales.

Ofrecidas a través de tiendas de aplicaciones no oficiales, estas aplicaciones suelen incluir funciones no deseadas:

instalan código que roba información personal y crean puertas traseras en las redes empresariales.

En 2015, una tienda de aplicaciones no autorizada, vShare, encontró un modo de ofrecer aplicaciones no aprobadas

en dispositivos iOS sin “Jailbreak”. Bautizamos este tipo de tienda de aplicaciones no autorizada como tienda de

aplicaciones “DarkSideLoader”, ya que evitaron el proceso de revisión habitual de Apple para cargar localmente (en

inglés, sideload) aplicaciones peligrosas o no aprobadas. Las aplicaciones pueden acceder a las API privadas de iOS

para llegar a funciones esenciales del sistema operativo que Apple restringe normalmente.

Las tiendas de aplicaciones DarkSideLoader ganan dinero con la publicidad. Y peor aún, también insertan código

malintencionado como troyanos de acceso remoto en aplicaciones por lo demás legítimas y venden ese acceso a

atacantes que quieren infiltrarse en empresas y organismos gubernamentales.

Los usuarios (o sus hijos) suelen acceder a tiendas de aplicaciones no autorizadas por diversas razones:

• Descargar juegos, fondos de pantalla y otros contenidos de forma gratuita

• Conseguir películas o series de forma gratuita

• Obtener aplicaciones de productividad de forma gratuita

• Descargar aplicaciones no disponibles en la tienda de aplicaciones oficial de Apple

Las diez aplicaciones de pago más populares del App Store de Apple están disponibles en la tienda de aplicaciones

vShare, incluidas algunas tan famosas como Minecraft y Geometry Dash, así como aplicaciones de productividad

empresarial de editores como Adobe y Microsoft.

Para instalar estas aplicaciones, los usuarios tienen que hacer clic en varias advertencias y mensajes de confirmación,

y así lo hacen (ver figuras). Las descargas gratuitas de las aplicaciones de pago más habituales arrastran a los usuarios

a tiendas de aplicaciones DarkSideLoader, donde los engañan para que hagan clic. Esta atracción es suficientemente

fuerte como para superar a las precauciones de seguridad habituales de los usuarios.

El mercado de vShare dice ofrecer 1 millón de aplicaciones, y Proofpoint ha encontrado más de 15 000 aplicaciones

de iOS disponibles a través de este sitio DarkSideLoader. El sitio afirma tener más de 40 millones de usuarios, y hemos

observado que el 25 % de ellos usan dispositivos iOS.


LAS PERSONAS ENTREGAN CREDENCIALES A ATACANTESVo

lum

en in

dex

ado

de

men

saje

s m

alin

tenc

iona

dos

URL de phishing de credenciales

URL de malware

Ene. Feb. Mar. Abr. Mayo Jun. Jul. Ago. Sep. Oct. Nov. Dic.

Las URL que enlazan a páginas de phishing de credenciales fueron casi 3 veces más habituales que las páginas que albergan

malware. Nuestros investigadores han observado que, de media, el 74 % de las URL usadas en campañas de phishing

enlazaban a páginas de phishing de credenciales, en lugar de a sitios que alojaban malware (Fig. 14). En las campañas

basadas en URL, los atacantes enlazan a páginas diseñadas para engañar a los usuarios de modo que les faciliten sus

credenciales de inicio de sesión y otros datos personales. En efecto, la víctima hace el trabajo de los keyloggers (registrador

de pulsaciones de teclas), info stealers (programas de interceptación de información ) y otro malware automatizado que se

usaron en campañas anteriores para robar esta información.

• Durante la mayor parte del año, hubo entre 4 y 6 veces más URL que enlazaban a sitios de phishing que aquellas que

enlazaban a sitios que albergan malware

• El descenso estacional del uso de sitios URL de phishing de credenciales durante el verano continuó durante los

meses de otoño.

Mientras que los señuelos de marcas de Apple son con diferencia los más usados para el phishing de credenciales, las cuen-

tas usadas para compartir archivos e imágenes, como Google Drive, Adobe y Dropbox, fueron los señuelos más eficaces.

Los enlaces a phishing de Google Drive fueron los señuelos de phishing de credenciales en los que más veces se hizo clic.

La presencia de estas marcas pueden engañar a los usuarios para que hagan clic, especialmente si el mensaje que recibe la

víctima procede de uno de sus contactos. Estos señuelos de marcas son eficaces porque los usuarios están familiarizados

con estos servicios y los usan para iniciar sesión con un clic y ver el contenido compartido.

Figura 14: URL que enlazan a malware alojado frente a páginas de phishing de credenciales, 2015

SECC

IÓN

2


Volu

men

ind

exad

o d

e m

ensa

jes

de

phi

shin

g Z8Apple

AccountGoogle

DriveMicrosoft Outlook

Web AccessPayPal Dropbox

AccountAdobe Account

TÁCTICAS DE LOS VECTORES DE AMENAZAS: PHISHING DE CREDENCIALES

Figura 15: Señuelos de marcas más usados en phishing de credenciales

Most Clicked Lures in Credential Phishing Attacks

4%

22%

Google Drive

PayPal

3%

18%

Adobe

Microsoft

3%

8%

Linkedin

Blackboard

23%

5%

Dropbox

Apple

Z9Figura 16: Señuelos de marcas con más clics en phishing de credenciales

• El volumen de distribución no se corresponde con las tasas de clics. Algunas marcas son más eficaces que otras para

lograr clics en URL de mensajes de phishing. Pese a que los mensajes de phishing de ID de Apple fueron los más enviados,

los enlaces de phishing de Google Drive fueron los que más clics lograron. Por el contrario, las URL de phishing de ID de

Apple son las más habituales por volumen, pero ocupan la quinta posición en tasa de clics.

• Las cuentas usadas para compartir archivos e imágenes, como Google Drive, Adobe y Dropbox, son los señuelos más eficaces.

• Los señuelos mediante invitaciones a redes sociales ya no son tan eficaces como antes. Los señuelos que lograron más

clics en el informe El factor humano 2014 apenas se han usado en el phishing de credenciales en 2016, gracias a una

combinación de información a los usuarios y cambios en los proveedores de servicios de redes sociales para identificar y

mitigar el impacto de las credenciales de usuario obtenidas mediante phishing.

SECCIÓN 2


• Los Datos enviados a EE. UU. no son más seguros de por sí.

• Las aplicaciones malintencionadas envían datos a servidores de 56 países aparte de EE. UU. Los 10 destinos

principales procedían del 86 % de aplicaciones malintencionadas.

• China es, después de EE. UU, el primer destino de los datos de aplicaciones malintencionadas.

El phishing domina los ataques a través de redes socialesEl phishing es 10 veces más habitual que el malware en las publicaciones en redes sociales. La facilidad para crear cuentas

fraudulentas de marcas conocidas en las redes sociales explica que el phishing sea la técnica preferida en los ataques

basados en las redes sociales.

La amenaza en redes sociales que más rápido ha crecido ha sido el uso fraudulento de phishing a través de cuentas falsas

de atención al cliente, que por medio de la ingeniería social logra engañar a los usuarios para que les faciliten información

personal y credenciales de inicio de sesión. Es difícil distinguir las cuentas falsas de las auténticas en las redes sociales.

Observamos que el 40 % de las cuentas de Facebook y el 20 % de las de Twitter que dicen representar a una marca del

Fortune 100 lo hacen sin autorización. Y en cuanto a las empresas del Fortune 100, las cuentas no autorizadas en Facebook

y Twitter ascienden al 55 % y al 25 % respectivamente. (Consulte el apartado “Phishing en las redes sociales”).

Las amenazas de aplicaciones móviles alcanzan la madurez2015 fue el año en que los vectores de ataque en dispositivos móviles pasaron de ser casos aislados a amenazas

generalizadas. El robo de datos y el mal uso de recursos se aplican a una amplia gama de aplicaciones con funciones

sospechosas, desde aplicaciones con malware conocido hasta la categoría más amplia de “riskware.”

Figura 17: Países de destino de los datos enviados desde aplicaciones móviles

Z23Federación Rusa

1.2%

Hong Kong

4.1%

República de Corea

6.9%

48.8%

Estados Unidos

Alemania

3.8%

Países Bajos

4.0%

China

19.1%

Japón

2.1%

SECC

IÓN

2


PHISHING EN LAS REDES SOCIALESMuchas marcas aprovechan las redes sociales para ofrecer un mejor servicio a sus clientes. Las redes sociales, que son ya el canal de comunicación preferido por los clientes, ofrecen un modo rápido y de bajo coste para responder a las preguntas y quejas de los usuarios. Los piratas informáticos, estafadores y los bromistas ya se han subido también al carro.

Los investigadores de Proofpoint Nexgate observaron un aumento repentino de cuentas falsas de atención al cliente en las redes sociales en 2015. Estas cuentas se usan para obtener credenciales mediante phishing, robar información personal que pueda identificar al usuario (PII) y manchar la buena reputación de la marca.

Uno de los ataques más relevantes que solemos observar: cuentas falsas de atención al cliente de servicios bancarios que los atacantes aprovechan para obtener los datos de acceso a la cuenta mediante phishing. Estos ataques suelen seguir estos pasos:

1. Un cliente tuitea una pregunta (por ejemplo, “He olvidado mi contraseña”) a una cuenta del servicio de atención del cliente de un banco.

2. Un atacante, que ha elaborado una cuenta falsa de Twitter convincente y que supervisa la cuenta verdadera ve la pregunta. El atacante tuitea inmediatamente una “respuesta” directamente al cliente desde la cuenta falsa. La cuenta parece idéntica a la cuenta real: logotipos, imágenes, etc. Y los atacantes suelen trabajar fuera del horario de oficina habitual para actuar antes de que la empresa auténtica vea la consulta.

3. El tuit del atacante incluye un enlace a un sitio web malintencionado en el que pide al cliente su inicio de sesión para poder supuestamente resolver el problema (por ejemplo, restablecer su contraseña). Cuando el cliente inicia sesión en el sitio falso, el atacante captura las credenciales de la cuenta bancaria del cliente.

Este procedimiento permite a los atacantes acceder a los datos de la cuenta del cliente sin molestarse siquiera en penetrar en la infraestructura del banco; no tiene ni que enviar correos electrónicos de phishing a los clientes del banco.

Estos ataques a través de las redes sociales son mucho más eficaces que las amenazas a través de correo electrónico. Los bancos han advertido muchas veces a la mayoría de sus clientes de que ignoren este tipo de correos electrónicos. Pero en las redes sociales los atacantes juegan con ventaja: son los clientes los que suelen iniciar la conversación, y a menudo suelen necesitar ayuda con su cuenta. Las redes sociales les permiten elaborar un señuelo de phishing muy convincente que no haga sospechar al cliente.

• Según la muestra del cuarto trimestre, una primera marca típica tiene una media de 340 páginas de Facebook

y 235 cuentas de Twitter. Las principales marcas de servicios financieros tienen una media de 265 páginas de

Facebook y 200 cuentas de Twitter.

• Entre las principales marcas en las redes sociales, solo el 5 % de esas páginas de Facebook son cuentas de

Facebook verificadas, y solo el 20 % de las cuentas de Twitter son cuentas verificadas de Twitter. (Lo anterior se

cumple también en el caso de las principales marcas de servicios financieros). Esto significa que hasta un 80 % de

las cuentas de Twitter y un 95 % de las cuentas de Facebook no han sido verificadas por la marca.

• De media, hemos encontrado cinco cuentas de Facebook y 30 cuentas de Twitter sospechosas por cada marca.

Las marcas de servicios financieros tenían hasta un 50 % más de cuentas de Facebook y Twitter sospechosas.

• Las cuentas no autorizadas que anuncian obsequios de regalos “gratis” o puntos por ser miembro son las más

habituales. En una sola marca encontramos hasta 330 cuentas de ese tipo.

• El 72 % de las URL malintencionadas que enlazan a sitios web vulnerados pertenecía a cuentas dirigidas a niños,

como las de programas de dibujos animados.

SECCIÓN 2


Las personas transfieren fondos directamente a los atacantesLas campañas selectivas de correos electrónicos muy bien dirigidos se centraron en una o dos personas dentro de una

organización para que transfirieran fondos directamente a los atacantes. Los mensajes de phishing muy bien dirigidos que

tenían como destinatarios personas con acceso a las transferencias afectaron a organizaciones de todos los tamaños y

sectores. A menudo llamado “phishing de transferencias” o “phishing para CEO”, en estas estafas se suele observar un alto

grado de investigación de fondo por parte de los atacantes. Estos correos electrónicos tienen remitentes falsificados para

que aparenten ser del consejero delegado (CEO), el director financiero u otro miembro del equipo directivo; no suelen tener

enlaces ni archivos adjuntos; y suelen exigir al destinatario que transfiera fondos urgentemente a una cuenta (la del atacante).

Entre estos ataques, hemos observado cuatro tipos de mensajes:

• Suplantación de Responder a (75 % de la muestra): Mensajes en los que se ha suplantado la dirección del remitente

para que sea la dirección de correo electrónico real del remitente seleccionado (que suele ser el CEO), pero que

contienen además una dirección ”Responder a” a la que se envían todas las respuestas. Normalmente, el nombre de

Responder a es el mismo que el del remitente suplantado, pero la dirección no está relacionada, con un aspecto similar

a ”[email protected].”

• Nombre falsificado (21 % de las muestras): Mensajes en los que el nombre de la dirección del remitente es el nombre

del CEO o un cargo afín, pero la dirección real indica un servicio de correo de terceros, como Gmail.

• Remitente suplantado sin “Responder a”: En este ejemplo, el mensaje se suplantó para que pareciera que procedía

de la dirección de correo electrónico del CEO sin Responder a. De este modo, es imposible que el atacante continúe

la conversación con la víctima. Por tanto, en este ejemplo, el mensaje contenía instrucciones completas para la

transferencia, de modo que no hicieran falta más instrucciones.

• Dominio parecido: En este ejemplo, el mensaje usaba una dirección de remitente que suplantaba el nombre del CEO,

pero utilizaba un dominio en el que cambiaba una letra con respecto al dominio del cliente. Por ejemplo, un correo

electrónico suplantado del CEO de empresaverdadera.com se mostraría como empresaverddera.com.

Las campañas de amplio espectro de 2015 no parecían dirigirse específicamente a personas u organizaciones. En con-

traste, las campañas selectivas de correos electrónicos específicamente dirigidos se centraban en una o dos personas de

una organización. Según el FBI, el Centro de Denuncias de Delitos en Internet (IC3, Internet Crime Complaint Center) em-

pezó a recibir denuncias de empresas en relación con remitentes de confianza que les solicitaban transferencias bancarias.

Estas transferencias llegaban a bancos extranjeros y resultaban ser peticiones fraudulentas. Desde entonces, “las pérdidas

debidas a vulneraciones de correo electrónico de empresas (BEC) han sido significativas”cant.”4

Los atacantes utilizaban el procedimiento

“blockbuster” para estos ataques. Aunque los

destinatarios detectarán rápidamente que la

mayoría de estos mensajes son phishing, con que

una pequeña proporción de los mensajes logre su

objetivo, los atacantes habrán obtenido millones

de dólares de transferencias fraudulentas. Por

desgracia, este tipo de correos electrónicos suele

pasar desapercibido para las defensas antispam

habituales, ya que parecen totalmente auténticos,

no incluyen enlaces ni adjuntos y no se reciben

en cantidades tan grandes como para llamar la

atención de los servicios y aplicaciones antispam.

Figura 18: Ilustración de técnicas de suplantación del remitente en

el phishing BEC

SECC

IÓN

2

4 FBI Public Service Announcement, “Business Email Compromise,” August 27, 2015, https://www.ic3.gov/media/2015/150827-1.aspx


CONCLUSIÓN

Conocer las amenazas avanzadasComo muestra este análisis de tendencias de ataque, en 2015 los atacantes adoptaron el lema “las personas son las mejores

vulnerabilidades”, reorientándose rápida y eficazmente para centrarse en técnicas en las que las personas son el eslabón

central de la cadena de infección. Desde campañas masivas de correo electrónico hasta ataques dirigidos, y desde correos

electrónicos a aplicaciones móviles, los atacantes incorporaron la ingeniería social a sus señuelos y vectores para aprovechar

la disposición de las personas a hacer clic y abrir un adjunto, ejecutar el código de un tercero, descargar una aplicación o

facilitarles sus credenciales.

Para comprender la naturaleza de las amenazas que aprovechan el factor humano, debemos ponerlas en el contexto de la

estructura de nivel superior utilizada por muchos ciberdelincuentes modernos. Puede que sea demasiado pronto como para

predecir si esta tendencia permanecerá a lo largo de 2016, o si los atacantes cambiarán igual de rápido a un nuevo grupo de

herramientas y técnicas. Lo que sí es cierto es que seguirán usando una estructura de amenazas que haya demostrado ser

flexible, adaptable y resiliente. Esta estructura de amenazas avanzadas consta de cinco elementos: actor, vector, hosts, carga

dañina, y canal de comando y control.

CONCLUSIÓN y RECOMENDACIONES


Esta estructura permite a los atacantes actuar en ecosistemas robustos

segmentados horizontalmente. Se pueden especializar en ciertas partes de

la estructura y venderlas o alquilarlas. Y como mostraron los esfuerzos por

desmantelar Dridex en 2015, dichas estructuras son resilientes, y sobreviven las

interrupciones o fallos de los componentes individuales.

Pero dichas estructuras también aumentan la superficie de detección de

los atacantes, lo que facilita su detección. Rastreando esos elementos, los

defensores pueden saber qué esperar de otros elementos y adoptar las tácticas

defensivas adecuadas. Para detectar las amenazas avanzadas de hoy día y

defenderse de ellas, las organizaciones deben adoptar soluciones que integren

la inteligencia necesaria para incluir y analizar cada uno de estos elementos e

implementar rápidamente la respuesta adecuada, así como hacerlo en los tres

vectores principales que aprovechan los atacantes para aprovecharse de los

usuarios: correo electrónico, redes sociales y dispositivos móviles.

Recommendations Las organizaciones deben actuar para defenderse a sí mismas de este amplio

tipo de amenazas; las acciones inmediatas incluyen:

• Adoptar soluciones contra amenazas avanzadas para identificar y

bloquear ataques dirigidos que viajan por correo electrónico, el vector

n.º 1. Estas soluciones deben tener en cuenta el creciente grado de

sofisticación de las amenazas emergentes y los ataques que aprovechan

la ingeniería social.

• Implementar funciones de respuesta automatizada a incidentes para

identificar y mitigar rápidamente las infecciones, incluida la detección y

el bloqueo de la comunicación mediante comando y control (C2) de los

sistemas infectados.

• Revisar todas las vulnerabilidades conocidas del sistema operativo y la

aplicación de los sistemas de los clientes para protegerlos de paquetes

de vulnerabilidades agresivos que llegan a los clientes por correo

electrónico, publicidad malintencionada y descargas ocultas.

• Actualizar tanto las reglas de puerta de enlace como los controles

financieros internos para mejorar la resistencia contra las estafas

mediante transferencias fraudulentas.

• Supervisar la actividad en las redes sociales para detectar cuentas

posiblemente falsas que puedan interceptar conversaciones con los

clientes, robar información personal y financiera y dañar las marcas, cuyo

uso de las redes sociales no hace sino aumentar.

LA ESTRUCTURA DE AMENAZAS AVANZADAS

Actor

La organización atacante; humanos

de carne y hueso con diversas

motivaciones, a menudo de

financiación para ciberdelincuentes.

Vector

El mecanismo de distribución; el

correo electrónico a través de una

botnet de spam controlada por el

atacante o arrendada es el vector más

habitual, aunque las redes sociales

están ganando peso.

Hosts

Los sitios que alojan malware; si el

malware no se adjunta directamente

al correo electrónico, los documentos

con las macros habilitadas o

los instaladores de malware en

el paquete de vulnerabilidades

procederán de estos sitios.

Carga dañina

El malware; software que permitirá

al atacante hacer uso (controlar,

filtrar datos, descargar más

software) del ordenador objetivo.

C2

El canal de comando y control que

sirve para retransmitir comandos

entre el malware instalado y los

atacantes.

CONC

LUSI

ÓN

ACERCA DE PROOFPOINTProofpoint Inc. (NASDAQ:PFPT) es una empresa líder en el sector de la seguridad y el cumplimiento que proporciona

soluciones basadas en la nube para la protección integral contra amenazas, respuesta a incidentes, comunicaciones

seguras, seguridad en redes sociales, cumplimiento, archivo y gobernanza. Organizaciones por todo el planeta

dependen de la experiencia, la tecnología patentada y los sistemas de entrega según demanda de Proofpoint. Proofpoint

ofrece protección contra phishing, malware y spam, a la vez que salvaguarda la privacidad, cifra información confidencial

y archiva y gestiona mensajes e información empresarial clave.

Más información disponible en www.proofpoint.com/es

©Proofpoint, Inc., 2016. Proofpoint es una marca comercial de Proofpoint, Inc. en Estados Unidos y otros países. El resto

de marcas comerciales mencionadas pertenecen a sus respectivos propietarios.

Documents

Informe de estudioLos atacantes usaron amenazas de redes sociales y aplicaciones móviles, no solo correo electrónico, para engañar a los usuarios y hacer que infectaran sus propios