Nuevos reportes de Trustwave revela objetivos del cibercrimen

El Reporte de Seguridad Global de Trustwave 2014 detalla hallazgos a través de cientos de investigaciones de violación de datos e Inteligencia de Amenaza Propietaria en 2013

CHICAGO, 02 de junio del 2014.— Trustwave publicó su Reporte de Seguridad Global Trustwave 2014 (2014 Trustwave Global Security Report) el cual revela la ciberdelincuencia, la violación de datos y las tendencias en amenazas de seguridad sucedidas en 2013. El reporte incluye información específica, industrias más comprometidas, el método como los criminales típicamente suelen entrar en un sistema, cuándo se identifican víctimas de un ataque, tendencias de malware notables y otros componentes críticos de violaciones que son importantes para los negocios. También revela cómo el cibercrimen de alta gama está impactando diferentes regiones del mundo y ofrece recomendaciones a las empresas para ayudarles a combatir el delito cibernético, a proteger sus datos y reducir riesgos de seguridad.

Expertos de Trustwave reunieron los datos de 691 investigaciones de violación (un aumento del 54 por ciento contra 2012) a través de 24 países, además de la información sobre Inteligencia de Amenaza Propietaria (Proprietary Threat Intelligence) obtenida de los cinco Centros de Operaciones de Seguridad de la empresa a nivel global, telemetría de las tecnologías de seguridad y de investigación de amenazas en curso. Todos los datos fueron recogidos y analizados por expertos de Trustwave.

Datos y sistemas clave

• Si bien los datos de tarjetas de pago continuaron encabezando la lista de los tipos de datos comprometidos, el informe señala que el 45 por ciento de losrobos de datos en 2013 involucraron temas confidenciales, los datos de tarjeta no de pago —aumentó 33 por ciento contra 2012. Datos de tarjetas no de pago incluyeron otra información sensible y confidencial, como son credenciales financieras, comunicaciones internas, información de identificación personal y varios tipos de registros de clientes.
• Brechas de seguridad en comercio electrónico fueron los más utilizados constituyendo el 54 por ciento de los activos específicos. Brechas en puntos de venta (POS) contabilizaron el 33 por ciento de nuestras investigaciones en 2013 y centros de datos ocuparon un 10 por ciento. Expertos de Trustwave esperan que los POS y el comercio electrónico sean los asuntos de seguridad que predominen en 2014 y más allá.

Víctimas de cibercrimen

• Cuando se clasificaron los diez primeros lugares de víctimas, el informe pone abrumadoramente de manifiesto a los Estados Unidos con la mayoría de las víctimas con un 59 por ciento, que fue más de cuatro veces contra la posición más cercana que es Reino Unido, que tiene 14 por ciento. Australia se clasificó en tercer lugar, con un 11 por ciento, seguido de Hong Kong y la India, ambos con dos por ciento. Canadá se clasificó sexto con 1 por ciento de los lugares para ataques, empatado con Nueva Zelanda, Irlanda, Bélgica y República de Mauricio.
• Al igual que en 2012, el comercio minorista una vez más fue la primera industria afectada, que constituyó el 35 por ciento de las violaciones investigadas por Trustwave en 2013. Alimentos y bebidas ocupa el segundo lugar con 18 por ciento y la parte de hospitalidad tiene el tercer puesto con 11 por ciento.

Métodos de Intrusión

Malware donde sea

• Los delincuentes continuaron usando el malware como uno de los mejores métodos para conseguir entrar en los sistemas y extraer datos. En 2013, los tres principales países con índices superiores de malware fueron Estados Unidos (42 por ciento), Rusia (13 por ciento) y Alemania (9 por ciento).
• Los delincuentes se basaron más en los applets de Java como método de entrega de malware —78 por ciento de las vulnerabilidades detectadas por Trustwave, tomaron ventaja de las vulnerabilidades de Java.
• Ochenta y cinco por ciento de las vulnerabilidades detectadas en 2013 fueron en plug-ins de terceros, incluyendo Java, Adobe Flash y Acrobat Reader.
• El Spam general se compuso en un 70 por ciento de correo entrante, el spam malicioso sin embargo cayó cinco por ciento en 2013. Cincuenta y nueve por ciento del spam malicioso incluye archivos adjuntos maliciosos y el 41 por ciento incluyó enlaces maliciosos.

Accidentes de los usuarios

• Sin saberlo ellos, los empleados y los usuarios individuales a menudo abren la puerta a los delincuentes mediante el uso de contraseñas de fácil predicción. Expertos de Trustwave encontraron que contraseñas débiles permiten una intrusión inicial en 31 por ciento de los casos.
• En diciembre de 2013, los investigadores de seguridad de Trustwave descubrieron una instancia Pony botnet (conjunto o red de robots informáticos o bots, que ejecutan de manera autónoma y automática órdenes en forma remota, accediendo al panel de control y otras características avanzadas de control de datos) que comprometió aproximadamente dos millones de cuentas de sitios web populares. Al analizar esas credenciales comprometidas, Trustwave encontró que «123456» encabezó la lista de la contraseña más utilizadas, seguido por «123456789», «1234» y luego “contraseña”. Casi el 25 por ciento de los nombres de usuarios habían almacenado contraseñas para múltiples sitios.

Vulnerabilidad de aplicaciones

• El 96 por ciento de las aplicaciones escaneadas por Trustwave en 2013 albergaba una o más vulnerabilidades graves de seguridad. El hallazgo demuestra la necesidad de realizar más pruebas de seguridad de aplicaciones durante el desarrollo, la producción y las fases activas.

La detección, un compromiso

• Expertos de Trustwave encontraron que la autodetección sigue siendo baja con 71 por ciento de las víctimas comprometidas, que no detectaron las propias brechas de seguridad. Sin embargo, los datos también demostraron qué tan crítica es laautodetección para mejorar la línea de tiempo para la contención y, por tanto, la limitación de los daños totales. Por ejemplo, el número promedio de días que tomó a las organizaciones autodetectar una brecha de seguridad para contener una violación fue de un día, mientras que tomó a organizaciones 14 días para contener la violación cuando fue detectado por un tercero.
• El informe también reveló la media en el número de días a partir de la intrusión inicial para la detección, que fue de 87 y el número promedio de días desde la detección hasta la contención que fue de siete más. Desde que se descubría una brecha de violación, 67 por ciento de las víctimas eran capaces de contenerla en el plazo de 10 días. Desde 2012 hasta 2013, hubo una disminución en la cantidad de tiempo que a una organización le llevó contener una violación. En la mitad de los hechos comprometidos investigados por Trustwave, la víctima contuvo la brecha dentro de un promedio de cuatro meses desde la intrusión inicial.

«La seguridad es un proceso que implica la previsión, mano de obra, un conjunto de habilidades avanzadas, inteligencia y tecnologías contra amenazas. Si las empresas no están completamente equipadas con todos estos componentes, sólo están aumentando sus posibilidades de ser la próxima víctima de violación de datos «, dijo Robert J. McCullen, presidente y director general de Trustwave. «Como hemos visto en nuestras investigaciones, las violaciones de seguridad van asuceder. Sin embargo, las empresas más informadas pueden armarse mejor con respecto a quiénes son sus potenciales atacantes, los criminales que están detrás y cómo su equipo va a identificar, reaccionar y remediar la brecha en caso de que ocurra, es clave para la protección de los datos, de los usuarios y de las empresas en general. «

Plan de acción

El Reporte de Seguridad Global de Trustwave 2014 recomienda a los negocios implementar el siguiente plan de acción:

1. Proteger a los usuarios de sí mismos: Educar a los empleados sobre las mejores prácticas de seguridad, incluyendo la creación de contraseñas fuertes y el conocimiento de las técnicas de ingeniería social como el phishing. Invertir en tecnologías de seguridad de accesos como una reserva para automatizar la protección frente a amenazas como las vulnerabilidades de día cero (zero-day vulnerabilities), dirigido al malware y correo electrónico malicioso.
2. Aniquilar contraseñas débiles: Implementar y reforzar políticas de autenticación fuerte. Treinta por ciento de las veces, un atacante obtiene acceso a una máquina por una contraseña débil. Contraseñas fuertes —consistentes de un mínimo de siete caracteres y una combinación de letras mayúsculas y minúsculas, símbolos y números— jugará un rol vital en ayudar a prevenir una vulnerabilidad. Aún mejor es una frase de seguridad o parafrase, será una contraseña que incluye ocho a 10 palabras que componen una frase que sólo el usuario conoce. Los negocios también deben implementar autenticaciones a través de dos factores para empleados que tienen acceso a la red. Esto obliga a los usuarios a verificar su identidad con información que no sea simplemente su nombre de usuario y contraseña, como un código único enviado al teléfono móvil del usuario.
3. Proteger el resto: Asegure todos sus datos, y no se adormezca asimismo en una falsa sensación de seguridad, sólo porque piensa que sus datos de tarjetas de pago están protegidos. Evaluar todo el conjunto de activos –desde el punto final de la red hasta la aplicación hacia la base de datos-. Cualquier vulnerabilidad en cualquier activo podría dar lugar a la exposición de los datos. Realizar una combinación de pruebas continuas y el escaneo de estos activos para identificar y corregir los defectos antes de que un atacante puede aprovecharse de ellos.
4. Moldear la amenaza: Moldear la amenaza y poner a prueba la capacidad de recuperación de los sistemas mediante pruebas de vulnerabilidad. Enfrentar a un experto en seguridad en contra de sus usuarios de la red, las aplicaciones y las bases de datos se aplica la perspectiva de un atacante en el mundo real a sus sistemas (un modelo de amenaza). Una prueba de penetración trasciende la mera identificación de vulnerabilidades mediante la demostración de cómo un atacante puede aprovecharse de los mismos y exponer los datos.
5. Planear su respuesta: Desarrollar, instituir y ensayar un plan de respuesta a incidentes. Identificar qué tipo de eventos o indicadores dispararán el plan de respuesta a incidentes. Un plan ayudará a que su organización esté al tanto de un incidente más pronto, limitar sus repercusiones y acortar su duración.

Latinoamérica y el Caribe (LAC):

Eventos notables:

•  28% de las contraseñas que fueron comprometidas en el último ataque Pony botnet estaban en México, mientras que el 27% se encontraba en Argentina; 13% en Perú; 11% en Chile; 9% en Colombia; 4% en Ecuador; 3% en Venezuela y 1% en Uruguay.
•  Las contraseñas más comunes usadas en Latinoamérica en 2013 fueron 123456 seguido de 1234, 12345678 y ronald123!
•  La palabra más usada en Latinoamérica fue “ronald” seguida de geob, caleta y hnpublica.
• Nota: Estos datos fueron recolectadoscuando fue descubierto un Pony botnet que controlaba que contenía cerca de dos millones de claves de acceso comprometidas de websites populares. El análisis de la contraseña viene de esas 2 millones de claves de acceso que fueron comprometidas. 

Hoja de Datos del Reporte de Seguridad Global de Trustwave 2014

Expertos de Trustwave reunieron para el Reporte de Seguridad Global de Trustwave 2014 datos de 691 investigaciones de violación de seguridad (un aumento de 53.6 por ciento contra 2012) en 24 países, todos los cuales han sido recogidos y analizados por expertos de Trustwave —no por encuestas.

Qué datos criminales fueron clasificados:

• 45 por ciento de los robos de datos en 2013 involucraron tarjetas de no-pago. Mientras que los datos de tarjetas de pago continúan encabezando la lista de los tipos de datos comprometidos, al observar un aumento de 33 por ciento en el robo de información sensible y confidencial, como son credenciales financieras, comunicaciones internas, información de identificación personal y varios tipos de registros de clientes. Vimos un aumento de 22 por ciento en el robo de credenciales de la cuenta financiera.
• E-commerce se compuso por un 54 por ciento de activos afectados.
• Puntos-de-venta (POS) contabilizaron brechas por 33 por ciento de los casos de investigaciones en 2013.
•  Centros de datos sumaron más de 10 por ciento de los activos afectados.

Qué delincuentes son los clave:

Cuando se clasificación los diez primeros lugares donde se ubican las víctimas, en nuestras investigaciones, Estados Unidos cuentan con la mayoría de las víctimas con 59 por ciento, lo cual es más de 4 veces mayor que la ubicación siguiente más cercana, Reino Unido, con 14 por ciento. Australia está clasificada en tercero, con 11 por ciento. Canada está ubicada en sexto sitio con un 1 por ciento, igualando a Nueva Zelanda, Irlanda,Bélgica e Isla Mauricio. 

• Retail una vez más fue la industria número uno que sufrió ataques con más de 35 por ciento de los casos que fueron investigados en 2013. Alimentos y Bebidas estuvo clasificada en Segundo sitio con 18 por ciento y Hospitalidad ocupó el 11 por ciento.

Cómo los criminales logran entrar:

Malware donde sea

• Dentro de los primero tres países que alojaron malware estuvieron Estados Unidos (42 por ciento), Rusia (13 por ciento) y Alemania (9 por ciento).
• 59 por ciento del spam malicioso incluyó archivos anexos, mientras que el 41 por ciento incluyó links maliciosos.
• Spam representó 70 por ciento del mail entrante sin embargo el spam malicioso cayó 5 por ciento en 2013. Las principales tres líneas de asunto del span malware fueron “Falta alguna información importante”; “Estado de Cuenta Bancaria. Favor de leer”; “Importante – Pago Atrasado”.
• Los delincuentes se basaron más en applets de Java como método de entrega de malware —78 por ciento de las vulnerabilidades que fueron explotadas tomaron ventaja de las vulnerabilidades de Java.
• 85 por ciento de las vulnerabilidades explotadas en 2013 provinieron de plug-ins de terceros, incluyendo Java, Adobe Flash y Acrobat Reader.

Mientras Blackhole mantuvo su clasificación como primer-lugar con 49 por ciento de los casos en 2013, el arresto de su creador el pasado mes de octubre, apodado «Paunch«, provocó un descenso en su uso, en comparación con la prevalencia del 60 por ciento que tuvo en 2012, debido a la falta de cambios y un aumento en las tasas de detección. Tenemos la sospecha de que, sin que nadie toma la propiedad del kit, éste con el tiempo desaparecerá.

Accidentes de los usuarios

Las contraseñas débiles abrieron la puerta para una intrusión inicial en el 31 por ciento de las vulnerabilidades investigadas en 2013.

En diciembre de 2013, los investigadores de seguridad de Trustwave descubrieron un Pony botnet que comprometió a aproximadamente dos millones de cuentas de sitios web populares. El análisis de sus contraseñas se basa en las credenciales encontradas:

• “123456” encabeza la lista de las contraseñas más comunmente usadas seguido de “123456789,” “1234” y la palabra “password”.
• En Estados Unidos, Mexico, Brasil, Rusia, China, Israel, India, Tailandia, Indonesia, Pakistán y Filipinas, “123456” fue el password más afectado.
• En Reino Unido, “password,” fue la palabra clave más comprometida; mientras que en Alemania fue “qwer1234«.
• Cerca de 25 por ciento de los nombres de usuario tuvieron un solo password utilizado para múltiples sitios.

Vulnerabilidad de aplicaciones

• 96 por ciento de las aplicaciones escaneadas por Trustwave en 2013 presentaron una o más serias vulnerabilidades de seguridad.

Descubriendo una brecha:

• 71 por ciento de las víctimas no detectaron que tenía vulnerabilidades.
• Los datos demuestran cómo la auto-detección es fundamental en la mejora de la línea de tiempo para la contención de una vulnerabilidad. Por ejemplo, el número promedio de días que tomó a las organizaciones la auto-detección de un incumplimiento para contener una violación de seguridad fue de un día, mientras que a las organizaciones les tomó 14 días contener una vulnerabilidad cuando trató de ser detectado por un tercero.
• El número promedio de días desde la intrusión inicial hasta la detección fue de 87 días.
• El número promedio de días desde la detección hasta contenerla fue de siete días.
• Una vez que se descubrió una brecha, 67 por ciento de las víctimas estuvieron disponibles para contenerla en el lapso de 10 días, una estadística relativamente alentadora.
• De 2012 a 2013, hubo un decremento en el tiempo que le tomó a una organización contener un incidente de seguridad. En la mitad de los casos investigados por Trustwave, la víctima contuvo la vulnerabilidad durante los siguientes cuatro meses desde la intrusión inicial.

Descargar la copia complementaria desde el Reporte de Seguridad Global Trustwave 2014 aquí.

Recurso para saber si su servidor o dirección IP es vilnerable a Heartbleed

https://www.trustwave.com/resources/heartbleed/

Acerca Trustwave

Trustwave ayuda a los negocios a luchar contra el cibercrimen, proteger datos y reducir riesgos de seguridad. Con la administración de servicios de seguridad y en la nube, tecnologías integradas y un equipo de expertos de seguridad, hackers éticos e investigadores, Trustwave permite a los negocios transformar la manera en la que ellos administrar suinformación de seguridad y programas de quejas mientras se alinean a las prioridades de negocio en forma segura incluyendo big data, BYOD y social media.

Más de dos millones de negocios están confiando en la plataforma basada en la nube Trustwave TristKeeper a través de la cual Trustwave entrega protección de datos de costo efectivo, eficiente y automatizado, administración de riesgos e inteligencia contra robos. Trustwave es una compañía privada con oficinas centrales en Chicago con clientes en 96 países. Para más información de Trustwave visite www.trustwave.com

Puedes seguir a Trustwave en Twitter:  www.twitter.com/Trustwave, Facebook:  www.facebook.com/Trustwave y LinkedIn: www.linkedin.com/companies/Trustwave. Todas las marcas utilizadas en este documento son propiedad de sus respectivos dueños. Su uso no indica ni implica una relación entre Trustwave y los dueños de dichas marcas comerciales.