informe amenazas 2015 mcafee labs

8/18/2019 Informe Amenazas 2015 Mcafee Labs

1/40

Informe de McAfee Labs

sobre amenazasAgosto de 2015

Informe


2/40

Informe de McAfee Labs sobre amenazas, agosto de 2015 | 2

Acerca de McAfee LabsMcAfee Labs es uno de los líderes mundiales en investigacióne información sobre amenazas, e innovación en ciber-seguridad. Gracias a la información que recibe de millones desensores situados en los principales vectores de amenazas:archivos, Web, mensajería y redes, McAfee Labs proporcionainformación sobre amenazas en tiempo real, análisis críticos

y opiniones de expertos que permiten mejorar la proteccióny reducir los riesgos.

McAfee forma ahora parte de Intel Security.

www.mcafee.com/es/mcafee-labs.aspx

Siga a McAfee Labs

IntroducciónEste mes se cumple el quinto aniversario del anuncio de laadquisición de McAfee por parte de Intel. Desde entonces,el mundo de la seguridad ha cambiado mucho, así quehemos decidido hacer balance de estos años y compararnuestras predicciones con lo que realmente ha ocurrido.

Hemos entrevistado a doce personas con cargos relevantesen Intel o McAfee desde la adquisición para conocer suopinión sobre las principales transformaciones que hantenido lugar en el panorama de las ciberamenazas enlos últimos cinco años: cómo han cambiado los tipos decreadores de amenazas, los objetivos y comportamientosde los agresores, la economía de la ciberdelincuenciay la respuesta del sector. También queríamos saber quéacontecimientos fueron incapaces de prever y qué lesha sorprendido por completo. Esperamos que disfrutede esta retrospectiva.

Este trimestre también cubrimos dos temas de gran interés.

En los Informes de McAfee Labs sobre amenazas dedicamos

mucho tiempo a examinar los métodos que emplean losagresores para introducirse en una red o un sistema deconanza, pero muy poco a averiguar cómo extraen lainformación que desean robar una vez que han logradoinltrarse. En este tema principal, aprovechamos la ampliaexperiencia de los analistas forenses del equipo de McAfeeFoundstone para describir las tácticas y técnicas especícasque utilizan los agresores para hacerse con los datos quebuscan sin levantar sospechas.

El ransomwaresigue creciendo

a gran velocidad:

en el 2.º trimestre elnúmero de muestras

nuevas crecióun 58 %.

http://www.mcafee.com/es/mcafee-labs.aspxhttp://blogs.mcafee.com/mcafee-labshttps://twitter.com/McAfee_Labshttp://blogs.mcafee.com/mcafee-labshttp://www.mcafee.com/es/mcafee-labs.aspx


3/40


Los ataques de malware a las unidades de procesamientográco (GPU) llevan años produciéndose sin llamar muchola atención. Hace poco se publicó en GitHub una prueba deconcepto que supuestamente demuestra cómo utilizan losagresores las GPU para evitar la detección a base de ejecutarmalware y almacenar datos en estos dispositivos. En estetema principal analizamos estas armaciones y explicamoslas posibilidades reales de esta forma de ataque.

Otros temas de interés:

■ A principios de agosto se celebró la conferenciaBlack Hat USA 2015. Intel presentó dos sesiones,una de las cuales demuestra cómo las investigacionesque realizan conjuntamente Intel e Intel Security

permiten mejorar la protección del hardware.La sesión "Attacking Hypervisors Using Firmwareand Hardware" (Ataques a los hipervisores a travésdel rmware y el hardware) analiza la superciede ataque de los hipervisores modernos desde laperspectiva de las vulnerabilidades del rmwaredel sistema, como la BIOS, y de la emulación dehardware. La presentación está disponible aquí desde la clausura de Black Hat.

■ Como ya informamos el pasado trimestre,la infraestructura en la nube de McAfee GlobalThreat Intelligence ha sido sustituida parapoder gestionar más consultas, más datos sobre

amenazas y más tipos de reputaciones. Asimismose ha modicado su arquitectura para hacerlamás rápida, más segura, más resiliente y másfácil de administrar. La base para ello ha sidola nueva arquitectura RESTful. Esta arquitecturase implementó íntegramente en McAfee GTIen todo el mundo durante el 2.º trimestre.

■

En 2014, creamos un equipo de ciencia de losdatos encargado de comprender y aprovecharmejor los datos de McAfee GTI. Este equipo hadesarrollado instrumentos de McAfee GTI en lanube y ha creado un panel que nos permite very analizar los patrones de ataque del mundo real,lo que después sirve para mejorar la protecciónde los clientes. Las cifras siguientes dan una ideadel volumen de los ataques que sufren nuestrosclientes. Durante el 2.º trimestre, estos fueronlos volúmenes registrados:

– Cada hora se produjeron más de 6,7 millonesde intentos de engañar a nuestros clientespara que se conectaran a URL peligrosas

(a través de mensajes de correo electrónico,búsquedas en el navegador, etc.).

– Cada hora las redes de nuestros clientesestuvieron expuestas a más de 19,2 millonesde archivos infectados.

– Cada hora, además, intentaron instalarseo iniciarse 7 millones de programaspotencialmente no deseados.

– Cada hora nuestros clientes realizaron2,3 millones de intentos de conexióna direcciones IP peligrosas o esasdirecciones intentaron conectarse

a las redes de nuestros clientes.■ A través de las encuestas que realizamos seguimos

recibiendo opiniones de nuestros lectores acercadel Informe sobre amenazas, que son de gran utilidadpara nosotros. Si desea hacernos llegar su opiniónsobre este informe, haga clic aquí para rellenar uncuestionario que le llevará apenas cinco minutos.

—Vincent Weafer, Vicepresidente primero, McAfee Labs

Comparta este informe

https://www.blackhat.com/us-15/http://www.blackhat.com/us-15/archives.htmlhttp://www.mcafee.com/es/threat-center/technology/global-threat-intelligence-technology.aspxhttp://www.mcafee.com/es/threat-center/technology/global-threat-intelligence-technology.aspxhttps://www.surveymonkey.com/r/TTZQQJ7https://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcLhttps://www.surveymonkey.com/r/TTZQQJ7http://www.mcafee.com/es/threat-center/technology/global-threat-intelligence-technology.aspxhttp://www.mcafee.com/es/threat-center/technology/global-threat-intelligence-technology.aspxhttp://www.blackhat.com/us-15/archives.htmlhttps://www.blackhat.com/us-15/


4/40

ÍndiceResumen ejecutivo 5

Temas principales 6Intel + McAfee: retrospectiva de los últimos cinco años 7

La ltración de datos: un paso importante en eldesarrollo de un ciberdelito 16

Malware para la GPU: mitos y realidades 26

Estadísticas sobre amenazas 30

Informe de McAfee Labs

sobre amenazas

Agosto de 2015

En la investigación y redacción deeste informe han participado:

Brad Antoniewicz

Christiaan Beek

Dave Bull

Torry Campbell

Cedric Cochin

Carric Dooley

Douglas Frosst

Robert Gresham

Paula Greve

Steve Grobman

Dave Marcus

François Paget

Eric Peterson

Matthew Rosenquist

Raj Samani

Craig Schmugar

Mike Sentonas

Rick Simon

Bruce Snell

Dan Sommer

James Walter

Vincent Weafer


5/40


Resumen ejecutivo

Intel + McAfee: retrospectiva de los últimos cinco años

En agosto se cumple el quinto aniversario del anuncio de adquisición de McAfeepor parte de Intel. Desde entonces, el mundo de la ciberseguridad ha cambiado

mucho. Para esta retrospectiva hemos reunido a doce líderes de opinión concargos relevantes en Intel y McAfee desde antes de la adquisición para explicarcómo han evolucionado el mercado de la ciberseguridad y nuestro trabajo juntos.

Con ellos hemos hablado de la evolución de nuestro concepto de seguridaddel hardware, de la idea que teníamos en aquel momento sobre la "tormentaperfecta" que se cernía sobre el mundo de la ciberseguridad y de cómo seha desplegado nalmente esa tormenta, así como de nuestras expectativasen cuanto a nuevos tipos de dispositivos en 2010 frente a la realidad delmercado. También hemos examinado lo que nos ha sorprendido, sobre todo,la transformación de la ciberdelincuencia en una industria en toda regla.

La ltración de datos: un paso importante en el desarrollo deun ciberdelito

Durante los últimos diez años se ha producido un aumento colosal de las fugasde datos de gran magnitud, así como del volumen de registros robados, desdela sustracción de 94 millones de registros de TJ Maxx en 2007 hasta la ltracióneste año de 80 millones de historias de pacientes de Anthem. Este tema gira entorno a un paso importante en el proceso del robo de datos: la ltración de lainformación. Es el modo en que el ciberdelincuente copia o traslada los datosdesde la red del propietario a una red que está bajo su control. Examinamos lostipos de agresores, sus motivaciones y sus objetivos más probables, los métodosy mecanismos que utilizan para robar datos, y las políticas que deberían aplicarlas empresas para detectar mejor una ltración.

Malware para la GPU: mitos y realidades

Los ataques de malware a las unidades de procesamiento gráco (GPU) llevan años

produciéndose. De hecho, hay una forma de malware para la GPU circulando desdehace al menos cuatro años: los troyanos mineros de bitcoins que aprovechanel rendimiento de la GPU para incrementar las ganancias que obtienen de cadasistema infectado.

Hace poco un grupo publicó tres proyectos de prueba de concepto que,conjuntamente, arman utilizar las GPU como instrumento de evasión a basede ejecutar código y almacenar datos en estas unidades, que nadie vigila. En estetema principal, analizamos detalladamente estas armaciones para dilucidar quépuede conseguirse realmente con el uso de estos módulos de software.

En este tema principal aclaramoslas posibilidades reales de losataques a las GPU en la actualidad.

En este tema principal, describimoslas tácticas y técnicas específicasque utilizan los agresores parahacerse con los datos que buscansin levantar sospechas.

En esta retrospectiva de los

últimos cinco años, echamosla vista atrás y comparamosnuestras predicciones con lo querealmente ha ocurrido. Analizamoslas principales transformacionesde la ciberseguridad: cómo hancambiado los tipos de creadoresde amenazas, el comportamientoy los objetivos de los agresores,la economía de la ciberdelincuenciay la respuesta del sector.


https://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcL


6/40

Compartir opinión

Temas principalesIntel + McAfee: retrospectiva de los últimoscinco años

La filtración de datos: un paso importanteen el desarrollo de un ciberdelito

Malware para la GPU: mitos y realidades

https://www.surveymonkey.com/r/TTZQQJ7


7/40


Intel + McAfee: retrospectiva de losúltimos cinco años —McAfee Labs

El 19 de agosto de 2010, Intel anunció su intención de comprar McAfee. En aquel

momento, McAfee e Intel ya trabajaban juntos en algunos proyectos y nos dimoscuenta de que podíamos mejorar y agilizar nuestros esfuerzos si la colaboraciónera permanente. Desde entonces ha sido fascinante conocer los puntos fuertesde cada empresa. Hemos resuelto hipótesis, hemos abandonado expectativaspoco realistas y hemos desarrollado la conanza necesaria para trazar ambiciososplanes para el futuro.

Ya han pasado cinco años: ¿qué tal funciona la alianza? Doce líderes de opinión concargos relevantes en Intel y McAfee desde antes de la adquisición han colaborado eneste análisis sobre la evolución del mercado de la ciberseguridad y el desarrollo denuestro trabajo juntos. En esta retrospectiva examinamos nuestras previsiones sobreel panorama de las amenazas, lo que ha ocurrido realmente y qué acontecimientosnos han sorprendido.

Lo que Intel vio en McAfeeIntel se nutre del crecimiento continuo del conjunto del mercado de la tecnología.A lo largo de nuestra historia, hemos adoptado medidas para resolver todo aquelloque pudiera ralentizar el mercado o constituir un obstáculo para el crecimientopermanente. La velocidad de los procesadores, la capacidad de la memoria,el consumo de energía, las conexiones de periféricos y el tamaño de los chipsson obstáculos que hemos superado. Hace cinco años veíamos la seguridadcomo un impedimento inminente. Creíamos que si los usuarios empezabana perder conanza en sus dispositivos, conexiones o servicios por miedo a perdersu privacidad, seguridad o incluso su integridad física, el resto del mercado severía afectado. A diferencia de algunos de los problemas propios del hardwareque Intel resolvía fácilmente de forma global, nos dimos cuenta de que esteescollo no podríamos superarlo solos; necesitábamos la experiencia en seguridadde McAfee para eliminar ese obstáculo para el crecimiento.

Lo que McAfee vio en Intel

Hace cinco años, al constatar que los ataques estaban mejorando su capacidadpara eludir las defensas, que aumentaban con rapidez los tipos de dispositivosque necesitaban protección y que crecía la presencia de amenazas de bajo nivelcomo los rootkits, McAfee se dio cuenta de que tenía que ampliar el alcance y lacobertura de su seguridad. Por sí solos, el antimalware basado en rmas y lasdefensas perimetrales no podrían garantizar un entorno seguro durante muchomás tiempo. Pensábamos que el malware llegaría a ser tan sosticado queatravesaría las defensas del perímetro. Queríamos que la seguridad fuera másprofunda, que abarcara el hardware y las nuevas plataformas, que pudiera detenerlos ataques en las redes de conanza y reparar los daños causados. Para ellonecesitábamos entender mucho mejor las posibilidades y el comportamiento

del hardware. Ya colaborábamos con Intel en algunos proyectos para la seguridadde los procesadores y sabíamos que sus conocimientos y su capacidad podríanresultarnos de gran ayuda.

Temas principales

Doce líderes de opinión con cargosrelevantes en Intel y McAfee desdeantes de la adquisición hancolaborado en este análisis sobrela evolución del mercado de laciberseguridad y el desarrollo

de nuestro trabajo juntos.Nuestro equipo:

Christiaan BeekTorry CampbellCarric DooleySteve GrobmanDave MarcusMatthew RosenquistRaj SamaniMike SentonasCraig SchmugarBruce SnellJames Walter

Vincent Weafer




8/40


Consideraciones

Cuando Intel anunció la adquisición, expusimos nuestros motivos a técnicos,analistas e inversores. Uno de los motivos fundamentales era acercar el softwareal hardware para reforzar la seguridad y contrarrestar con más ecacia lasamenazas avanzadas. Estas amenazas, junto al importante aumento del númeroy tipo de dispositivos, estaban sentando las bases de una "tormenta perfecta"

de vulnerabilidades y brechas de seguridad. Creíamos que estas nuevasamenazas serían más difíciles de detectar, que requerirían nuevas estrategiasde ciberdefensa. También pensábamos que el panorama de las tecnologías dela información iba a cambiar drásticamente, ya que se estaban conectando a lasredes miles de millones de dispositivos que no eran PC. Juntos, todos estoselementos impulsarían el desarrollo económico y técnico de las ciberamenazas.Así pues, ¿qué dirección tomamos?

La seguridad en el hardware

Desde el principio, un eje importante de la adquisición era desplazar la tecnología deseguridad al hardware. Este paso era difícil, dada la velocidad con que la comunidadde ciberdelincuentes puede copiar y mejorar las amenazas más sosticadas,a menudo a los pocos días de su descubrimiento público. El hardware de seguridadtarda mucho más en desarrollarse, comercializarse y desplegarse que el software,

y el sector de la seguridad depende de la agilidad y la capacidad de adaptación delsoftware para combatir las amenazas nuevas e imprevistas. Los clientes necesitanactualizar sus defensas con rapidez para protegerse de ataques que ayer mismoeran inimaginables, así que no digamos dentro de cinco años, que es la duracióntípica del ciclo de diseño del hardware.

En lugar de esforzarnos por incorporar antimalware en los chips, consideramosque sería más lógico aumentar el rendimiento del cifrado asistido por hardware,mejorar las medidas antimanipulación y la supervisión del kernel con funcionesde bajo nivel y diseñar componentes primitivos de seguridad en el interior delos chips de próxima generación que después aprovecharían el software deseguridad y el sistema operativo.

Los ataques de bajo nivel al rmware y la BIOS permiten que la amenaza persistay por eso son atractivos para el ciberespionaje y otros delitos con proyección a largoplazo. Al comprobar que este tipo de malware se introducía más profundamenteen el sistema operativo para permanecer oculto y sobrevivir a limpiezas y reinicios,lanzamos CHIPSEC, un marco de código abierto para analizar los componentes dehardware y rmware, y evaluar los riesgos de seguridad de bajo nivel, la tecnología

Intel Kernel Guard, que asegura la integridad en tiempo de ejecución, y BIOS Guard,que facilita la autenticación y la protección. La combinación de los conocimientos,la experiencia y la presencia en el mercado de Intel y McAfee nos ha otorgado unpunto de vista único para observar, adaptarnos y anticiparnos a los cambios enel panorama de las amenazas. Nuestro objetivo sigue siendo distribuir softwarede seguridad para los nuevos prototipos —dispositivos móviles, el Internet de lascosas y la nube— mientras llegan al mercado los chips con seguridad mejorada.

Temas principales

Desde la adquisición, hemoslanzado el marco de códigoabierto CHIPSEC para analizar los

componentes de hardware y defirmware, y evaluar los riesgos deseguridad de bajo nivel, así comola tecnología Intel Kernel Guard,para garantizar la integridad entiempo de ejecución.


http://www.intelsecurity.com/advanced-threat-research/chipsec.htmlhttps://01.org/intel-kgthttp://www.intel.com/content/dam/www/public/us/en/documents/white-papers/security-technologies-4th-gen-core-retail-paper.pdfhttps://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcLhttp://www.intel.com/content/dam/www/public/us/en/documents/white-papers/security-technologies-4th-gen-core-retail-paper.pdfhttps://01.org/intel-kgthttp://www.intelsecurity.com/advanced-threat-research/chipsec.html


9/40


Temas principales

Tormenta perfecta a la vista

Todos creíamos que dada la proliferación de usuarios, el incremento de datos,el crecimiento de las redes y la explosión de tipos de dispositivos y blancos,como la nube, combinado con un aumento de los ataques, nuevo malwareinteligente y ciberdelincuentes cada vez más sosticados, la "tormenta perfecta"de seguridad estaba asegurada. La mayoría de estas predicciones se hicieron

realidad. La adopción de la computación en la nube, los dispositivos del Internetde las cosas y los dispositivos móviles fue incluso más veloz de lo esperado.En 2010 calculamos que para 2020 habría 31 000 millones de dispositivosconectados a Internet, previsiones que ahora parecen haberse quedado cortas.

Está claro que los ciberdelincuentes han aprovechado este incremento enormede blancos potenciales y han ampliado su supercie de ataque. Al principio,estas amenazas eran preocupantes sobre todo para los gobiernos, las institucionesnancieras y los proveedores de seguridad, pero ahora también lo son paraempresas y consumidores, ya que pueden afectar signicativamente al valor de unnegocio y ocasionar importantes quebraderos de cabeza en nuestra vida privada.Actualmente nos enfrentamos a una ciberguerra entre países que incluye ataquesestatales muy notorios, aunque negados enérgicamente, y espionaje a largo plazo.También aquí, aunque predijimos la mayoría de estos acontecimientos, nos hansorprendido la rápida evolución del malware, el aumento del volumen de ataques

y la escala de los ataques perpetrados por países.

Q4 2014

Cambio del perfil de los agresores

Diversión

Delincuentes

Hacktivistas

Crimenorganizado

Financiadospor países

• Fama y notoriedad

• Recursos técnicoslimitados

• Exploits conocidos

• Vandalismo

• Conocimientostécnicos limitados

• Reivindicaciones

• Implacables,muy implicados

• Redes degran tamaño

• Ataquesselectivos

• Beneficioeconómico

• Conocimientosy recursostécnicosconsiderables

• Organizacionesestablecidas

• Adware,crimeware,robo depropiedadintelectual

• Ciberquerra,secretos deestado, espionajeindustrial

• Muy sofisticados

• Recursos

prácticamenteilimitados

• Amenazaspersistentesavanzadas

AUMENTO DE RECURSOS Y SOFISTICACIÓN

Detectar lo indetectable

Para responder en parte a la tormenta perfecta, nos pareció que debíamos aumentarrápidamente el antimalware basado en rmas añadiendo tecnología que detectaralo indetectable, ya que el malware estaba evolucionando y adaptándose paraevitar las defensas de seguridad tradicionales. A n de cuentas, y a diferencia dela mayoría de los ataques, las defensas suelen estar disponibles para que cualquieralas pruebe y las evalúe. Cualquier agresor puede llevar un producto de seguridada un laboratorio y probarlo de todas las maneras posibles, buscando sus puntosdébiles para aprovecharlos o las formas de eludir su detección.

La proliferación de tipos de agresores, sus recursos y su sofisticación

Acertamos al predecir la tormentade seguridad perfecta, peroinfravaloramos su velocidady su fuerza.




10/40


Temas principales

A pesar de esta preocupación, la mayoría de los ataques de seguridad delos últimos años han resultado fácilmente detectables. Eran sosticados enplanicación, elección del objetivo, persecución y ejecución; algunos inclusoeran muy técnicos o evasivos. Sin embargo, en los dos últimos años hemosobservado un cambio, un aumento considerable del número de ataquestécnicamente sosticados. Muchos de ellos están diseñados con el único nde evadir las defensas avanzadas. Se inltran por partes, se ocultan en código

aparentemente inerte y esperan cualquier momento de desprotección parasalir a la luz. Estas amenazas también evitan las trampas basadas en rmasde sus antepasados, ya que emplean el cifrado y la modicación dinámica decódigo para cambiar con cada nuevo despliegue y ocultar datos que las delaten.

2010 2011 2012 2013 2014 2015

Diversificaciónde plataformasde malwarey ataquesmultiplataforma

Amenazas para móviles (malware, aplicaciones potencialmente peligrosas y potencialmente no deseadas)

Amenazas delInternet de las cosas

Retrospectiva: cinco años de amenazas

Tendencias y malware destacado

Aumento de infecciones MBR Debajo del SO (MBR, BIOS, firmware)

Descargas desapercibidas

Amenazas permanentes en el navegador

Explosión de kits de exploits

Amenazas sin archivos/intrusiones sin malware

Polimor fismo del lado del ser vid or/hashbus ters Malware de un solo uso

Malware de "raspado" de memoria (amenazas contra TPV)

Macros y malware de mejora de secuencias de comandos PowerShell

Antivirus falso

Amenazas relacionadas con moneda digital/bitcoin

Ransomware

Malware para TPV

Aumentan las amenazascontra Mac

2011 2012 2013 2014 2015

CRIME—CVE-2012-4929, C VE-2012-4930

RC4—CVE-2013-2566

BEAST—CVE-2011-3389

HeartBleed—CVE-2014-0160,CVE-2014-0346

Shellshock—CVE-2014-6271,CVE-2014-6277,CVE-2014-6278,CVE-2014-7169,CVE-2014-7186,CVE-2014-7187

BERserk—CVE-2006-4339,CVE-2014-1568

Poodle—CVE-2014-3566,CVE-2014-8730

FREAK—CVE-2015-0204,CVE-2015-1637

Logjam—CVE-2015-4000

Vulnerabilidades principales

Principales ataques contra el núcleo de Internet




11/40


Temas principales

Cada vez hay más ataques de larga duración que se prolongan durante meseso ataques a largo plazo que esperan y observan antes de actuar maliciosamente.Probablemente, la mayoría de ellos pretenden desempeñar una labor de espionajepermanente en lugar de vender los datos ltrados. Aunque en 2010 ya preveíamosla existencia de los ataques de larga duración, algunas de las tácticas y técnicasutilizadas en estos ataques eran inimaginables hace cinco años. Documentamosuno de estos ataques en "El Equation Group: ataques al rmware de los discos duros

y de las unidades en estado sólido", un tema principal del Informe de McAfee Labssobre amenazas de mayo de 2015. En el informe Disección de la operación Troy:el ciberespionaje en Corea del Sur se describe otro de estos ataques a largo plazo.

Evolución de los tipos de dispositivos

Como hemos visto, uno de los aspectos de la tormenta perfecta era el enormeaumento de los tipos y el volumen de dispositivos, además de la tremendaexpansión de la virtualización y las nubes públicas.

Los consumidores han adoptado las últimas tecnologías con gran rapidez.Ya había sucedido lo mismo con los teléfonos móviles, después con lossmartphones y las tablets, y ahora con los "wearables". La rápida adopción dedispositivos está conectando nuestros hogares y organizaciones al Internet delas cosas, tanto en sanidad, energía y logística como en distribución, urbanismo,

transporte, automoción y fabricación. Ahora la gente depende tanto de losdispositivos en su entorno que no les importa sacricar seguridad y privacidad.Creíamos —y seguimos creyendo— que cuando hubiera sucientes dispositivosde un determinado tipo para crear un mercado lucrativo, comenzarían a serblanco de ataques. Durante los últimos cinco años, los resultados han sidolos esperados en algunas áreas y sorprendentes en otras.

Dispositivos móviles: aunque los dispositivos móviles han experimentado unaumento muy rápido de ataques de malware, la mayoría de ellos siguen enetapa exploratoria o con un impacto comparativamente pequeño. El valor de losdatos recuperables de un smartphone es relativamente bajo y los smartphonesno representan un vector de ataque importante para las empresas. La funciónde copia de seguridad automática de muchos smartphones y tablets los hacefáciles de limpiar y recuperar si se infectan o los secuestran, al menos hasta

que los delincuentes logren atacar las copias de seguridad basadas en la nube.Los mercados de aplicaciones para smartphones y tablets también son muchomás restrictivos, ya que actúan como servicios de listas blancas para limitar lasdescargas de aplicaciones maliciosas. Estas restricciones no son 100 % ecaces,pero sí limitan el incremento de los ataques a dispositivos móviles. Aunque elvolumen de los dispositivos móviles ha aumentado incluso a más velocidadde la esperada, el incremento de los ataques graves generalizados contra estosdispositivos ha sido mucho más lento de lo que creíamos.

Internet de las cosas: los ataques a los dispositivos IoT no han hecho más queempezar. La variedad de dispositivos, sistemas operativos y versiones constituyeuna resistencia a corto plazo a los ataques, porque pocos cuentan con una baseinstalada lo sucientemente amplia para atraer a los ciberdelincuentes. No obstante,el volumen de dispositivos ha aumentado más deprisa de lo previsto y en sectoresque no esperábamos, por lo que se ha creado una supercie de ataque enorme;es solo cuestión de tiempo que las amenazas se extiendan a estos dispositivos.Por supuesto, los agresores no van detrás de los dispositivos propiamentedichos, sino de sus datos o de su capacidad para actuar como puerta de enlace.Buscan la manera más fácil de entrar, y estos dispositivos a menudo brindan unacceso desprotegido a redes que contienen abundantes blancos. Tan solo estamospresenciando el inicio de las brechas de seguridad y los ataques contra ellos.

PC y sistemas de centros de datos: aun con el increíble crecimiento de losdispositivos que no son PC, tal y como esperábamos los PC y los sistemasde los centros de datos siguen siendo el objetivo más lucrativo para losciberdelincuentes. Contienen los mejores datos, las vulnerabilidades másvisibles y el sistema de parches más débil.

Aunque el volumen de losdispositivos móviles ha aumentadoincluso a más velocidad de laesperada, el incremento de losataques graves generalizados contraestos dispositivos ha sido mucho

más lento de lo que creíamos.

Esto es solo el principio de losataques contra los dispositivosdel Internet de las cosas (IoT).


El aumento del malware evasivoy de los ataques de larga duraciónno nos ha sorprendido, sin embargo,algunas de las tácticas y técnicasempleadas eran inimaginableshace cinco años.

http://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdfhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdfhttp://www.mcafee.com/es/resources/white-papers/wp-dissecting-operation-troy.pdfhttp://www.mcafee.com/es/resources/white-papers/wp-dissecting-operation-troy.pdfhttps://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcLhttp://www.mcafee.com/es/resources/white-papers/wp-dissecting-operation-troy.pdfhttp://www.mcafee.com/es/resources/white-papers/wp-dissecting-operation-troy.pdfhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdfhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdf


12/40


La virtualización y la nube: el aumento de dispositivos viene acompañado de unenorme crecimiento de la virtualización y la computación en la nube. Habíamosprevisto el rápido crecimiento de la virtualización, especialmente en el centrode datos, pero nos ha sorprendido la rapidez del despliegue y la adopción de lacomputación y el almacenamiento en la nube. La virtualización tenía gran sentidodesde el punto de vista económico y optimizamos el hardware con ese n. El pasoa la nube también era lógico desde el punto de vista operativo y nanciero, pero

creíamos que las empresas lo adoptarían con más lentitud. La adopción de lanube ha cambiado la naturaleza de algunos ataques, ya que su objetivo no es lapequeña cantidad de datos que albergan los dispositivos, sino que sirven comovía para llegar al lugar donde residen los datos importantes.

Si un agresor logra acceder a las credenciales de una víctima en la nube, puedeespiar actividades y transacciones, manipular datos, devolver informaciónfalsicada y redirigir a los clientes a sitios ilegítimos. Las instancias del servicioo la cuenta de la víctima pueden convertirse en la nueva base del agresor, quede este modo puede aprovechar la reputación de la víctima para lanzar ataquesposteriores. Predijimos las vulnerabilidades de la nube bajo ataque antes inclusode la adquisición y, tal como esperábamos, siguen aquí.

Evolución y economía de las ciberamenazas

Todos preveíamos un crecimiento importante del volumen y la capacidadtécnica de los ciberataques. Las condiciones eran demasiado tentadoras paradejarlas pasar. Las amenazas han evolucionado como en la clásica carreraarmamentística: los delincuentes han desarrollado nuevos ataques, el sector dela seguridad ha respondido con nuevas defensas, y así sucesivamente. Internety la "Internet profunda" han contribuido decisivamente a impulsar esta carrera,pues han facilitado que los delincuentes compartan técnicas y aprendan unosde otros. En cuanto aparecía un ataque en escena, aunque fuera del grupodelictivo más sosticado técnicamente, otros podían observarlo, descodicarlo,reutilizarlo e incluso mejorarlo. Poco después de que se descubriera unavulnerabilidad, a menudo ya se había vendido a los delincuentes para que laexplotaran. Los proveedores de tecnología empezaron a lanzar programas derecompensas a cambio de errores y ahora la compra de vulnerabilidades porproveedores o delincuentes se ha convertido en un negocio mucho mayor delo que habíamos previsto.

Tipo de vulnerabilidad Precio por exploit de tipo zero-day

Adobe Reader 5000–30 000 dólares

Mac OS X 20 000–50 000 dólares

Android 30 000–60 000 dólares

Complementos Flash o Javapara navegadores

40 000–100 000 dólares

Word 50 000–100 000 dólares

Windows 60 000–120 000 dólares

Firefox o Safari 60 000–150 000 dólares

Chrome o Internet Explorer 80 000–200 000 dólares

iOS 100 000–250 000 dólares

Precios de exploits de tipo zero-day en 2013


La adopción de la nube hacambiado la naturaleza de algunosataques, ya que su objetivo noes la pequeña cantidad de datosque albergan los dispositivos,sino que sirven como vía para

llegar al lugar donde residenlos datos importantes.

Temas principales



13/40


Temas principales

Lo que no esperábamos era la transformación de la ciberdelincuencia en unaindustria en toda regla, con sus distribuidores, mercados, proveedores de servicios("la ciberdelincuencia como servicio"), nanciación, sistemas comerciales y todauna proliferación de modelos de negocio. Por supuesto, el delito pretende siempreconseguir dinero de la forma más fácil posible y ha de estar sucientementebien pagado, porque si no la gente dejaría de practicarlo. Lamentablemente,la ciberdelincuencia se paga muy bien. Según un proveedor de seguridad, una

campaña hipotética, aunque realista, de malware puede obtener una rentabilidaddel 1425 %. Y en un estudio encargado por Intel Security se calculó queel coste anual de la ciberdelincuencia para la economía mundial alcanza los400 000 millones de dólares.

Aunque Internet ha sido fundamental para la ciberdelincuencia, los ataques sehan visto impulsados por el acceso a tecnologías que permiten a los delincuentespermanecer en el anonimato. En concreto, las redes de anonimización —en especialTor— y las monedas virtuales se han convertido en un factor clave de la capacidadde los ciberdelincuentes para permanecer ocultos de las fuerzas de seguridad.Algunos de nosotros nos percatamos del desarrollo inicial de las monedas virtualesy vimos inmediatamente su potencial para transacciones ilegales de muchos tipos.Los bitcoins y los intermediarios anónimos también han revitalizado el mercadodel ransomware, haciéndolo comercialmente viable y fomentando un crecimiento

inesperadamente elevado.Hace cinco años se produjeron numerosos robos importantes de datos de tarjetasde crédito que se vendían a granel lo antes posible a quienes querían hacer comprasfraudulentas. Los emisores de tarjetas de crédito han hecho un esfuerzo importantepara bloquear rápidamente el uso de las tarjetas robadas, por lo que ahora pierdenpronto su valor. Como consecuencia, algunos agresores han empezado a robar otrosdatos de valor, como las historias médicas personales, que no se devalúan con tantarapidez. Siguiendo el ejemplo de la comunidad empresarial, los ciberdelincuentestambién están optando por almacenar los datos para combinarlos, correlacionarlosy así convertirlos en algo mucho más valioso. Muchos de los robos de datos másdestacados que se han llevado a cabo recientemente, como llos de declaracionesde la renta o certicados de antecedentes penales, no se han convertido deinmediato en dinero, lo que posiblemente indica una mayor madurez delictiva.Eso es algo que no habíamos previsto.

Otro indicador de la madurez del negocio de la ciberdelincuencia ha sido ladisminución de las aptitudes técnicas necesarias para participar en él. En la Internetprofunda han aparecido toolkits comerciales de malware, programas de aliacióna ransomware, formularios de creación de ataques y otras conocidas ofertas parapermitir una distribución más rápida, fácil y amplia de los ataques. Ahora no hacefalta saber mucho para ser ciberdelincuente. (Para obtener más información sobrepaquetes de malware en venta, lea "Tras la desaparición de Blacole: el kit de exploitsAngler" en el Informe de McAfee Labs sobre amenazas de febrero de 2015).

Asistimos a la transformación de laciberdelincuencia en una industriaen toda regla, con sus distribuidores,mercados, proveedores de servicios,sistema de financiación y comercio,y una proliferación de modelos

de negocio.


http://www.mcafee.com/es/resources/white-papers/wp-cybercrime-exposed.pdfhttps://www2.trustwave.com/GSR2015.htmlhttp://www.mcafee.com/es/resources/reports/rp-economic-impact-cybercrime2.pdfhttp://www.mcafee.com/es/resources/white-papers/wp-digital-laundry.pdfhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdfhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdfhttps://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-ushttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q4-2014.pdfhttps://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcLhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q4-2014.pdfhttps://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-ushttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdfhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q1-2015.pdfhttp://www.mcafee.com/es/resources/white-papers/wp-digital-laundry.pdfhttp://www.mcafee.com/es/resources/reports/rp-economic-impact-cybercrime2.pdfhttps://www2.trustwave.com/GSR2015.htmlhttp://www.mcafee.com/es/resources/white-papers/wp-cybercrime-exposed.pdf


14/40


Temas principales

En general, los países tienen motivos distintos para sus ataques, pero normalmenteemplean la misma infraestructura delictiva. Los países no suelen actuar motivados

por la rentabilidad directa y pueden iniciar acciones a más largo plazo con recursosenormemente diferentes. Para nosotros el espionaje es la actividad discreta de unpequeño número de personas, y ese ha sido en general el caso del ciberespionaje.Sin embargo, la escala del ciberespionaje patrocinado por países ha superadonuestras expectativas: en solo los dos últimos años ha cobrado mucha másvisibilidad, incluso para el público en general.

Más sorpresas

Nos hemos llevado algunas sorpresas que no encajan del todo en las categoríasdescritas. Posiblemente la mayor de ellas es la continua falta de atención queempresas y consumidores por igual prestan a actualizaciones, parches, protecciónde contraseñas, alertas de seguridad, conguraciones predeterminadas y otrasformas fáciles pero indispensables de proteger activos electrónicos y físicos.

Esto no es nuevo en el sector de la seguridad: llevamos décadas insistiendoen ello y sin embargo siguen siendo los vectores más probables de que unataque prospere.

Cuando se trata de recursos físicos, nos asombra que no se haya producido conéxito un ataque catastróco a alguna infraestructura crítica. Este tipo de ataquesno son convenientes para los ciberdelincuentes porque no reportan beneciosfáciles, pero desde luego sí lo son para los terroristas y quizá para algunospaíses. Aunque hemos observado actividades de exploración electrónica deinfraestructuras críticas, suponemos que hay motivos políticos o estratégicosque han impedido que se lleven a cabo... hasta ahora.

En lo que respecta a las infraestructuras, el inesperado y reciente descubrimientode vulnerabilidades en el núcleo de Internet —en código que tiene décadas deantigüedad— y su explotación han demostrado cómo algunas tecnologías básicas

carecen de la nanciación y el personal que necesitan. El reconocimiento de esteriesgo ha generado el patrocinio de software y una mayor colaboración entreimportantes organizaciones que dependen de Internet para todas sus actividades.

Empresas y consumidores porigual siguen sin prestar suficienteatención a actualizaciones, parches,protección con contraseñas, alertas

de seguridad, configuracionespredeterminadas y otros mediossencillos pero indispensables paraproteger los activos electrónicosy físicos.

El descubrimiento y elaprovechamiento de

vulnerabilidades básicas deInternet han puesto de manifiestoque algunas tecnologíasfundamentales carecen dela financiación y del personalque precisan.


El asequible precio de los paquetes de malware ha contribuido enormementea los ciberataques.

http://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q2-2014.pdfhttps://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcLhttp://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q2-2014.pdf


15/40


Finalmente, estamos muy satisfechos de la colaboración positiva y cadavez mayor entre el sector de la seguridad, las universidades, las fuerzasde seguridad y los gobiernos para desmantelar las operaciones de laciberdelincuencia. Los delincuentes pueden y quieren compartir sus códigosy sus conocimientos; nosotros tenemos que hacer lo mismo con las defensas.Puede que "La unión hace la fuerza" no sea más que una frase hecha, pero eneste caso no puede ser más acertada.

Conclusión

Hace cinco años acertamos con algunas de nuestras predicciones, no así con otras.Muchos de los componentes anunciados de la tormenta perfecta se han hechorealidad, mientras que otros nos han tomado por sorpresa. Tres elementos hancontinuado desaando el panorama de la ciberseguridad: el crecimiento de lasupercie de ataque, la industrialización de la ciberdelincuencia y la complejidady fragmentación del mercado de la seguridad de TI. La ciberdelincuencia hamadurado mucho antes de lo que esperábamos; de ser una ación ha pasadoa ser una industria que prueba diferentes modelos de negocio y funciona conuna mezcla de motivos delictivos, políticos y militares.

La conciencia sobre la ciberseguridad está en su apogeo, en parte por los mediosde comunicación, por las nuevas normativas que exigen la divulgación de las

intrusiones y por un mayor conocimiento y madurez. Sin embargo, hoy hay muchomás en juego, el panorama ha cambiado en favor de los agresores y sus capacidadesy recursos han crecido más que nunca. Las batallas de seguridad siguen siendoun tremendo reto, pero la guerra no ha terminado. Entre los factores beneciososcabe mencionar una mayor sensibilización, la incorporación de más profesionalesde la seguridad, las innovaciones tecnológicas y el reconocimiento de los gobiernosde su papel para proteger a los ciudadanos en el ciberespacio. La fusión de Intely McAfee forma parte de una evolución cuyo n es proporcionar seguridad paraproteger a las personas y las tecnologías en el futuro.

Temas principales

Estamos muy satisfechos dela colaboración positiva y cadavez mayor entre el sector de laseguridad, las universidades,las fuerzas de seguridad y losgobiernos para desmantelar las

operaciones de la ciberdelincuencia.

http://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdfhttp://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdfhttp://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdfhttp://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdfhttp://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdfhttp://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdfhttp://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdfhttp://www.mcafee.com/es/resources/reports/rp-catch-me-if-you-can.pdf


16/40


La fltración de datos: un paso importanteen el desarrollo de un ciberdelito —Brad Antoniewicz

Durante los últimos 10 años hemos sido testigos de una adopción de tecnología sin

precedentes en todo el mundo. El uso de Internet se ha disparado del 15 % a másdel 40 % de la población mundial y, con él, empresas de todos los tamaños hancreado redes conectadas a Internet para comunicarse con sus clientes y suministrarlos datos que impulsan su negocio. Esta recopilación y digitalización de información, junto con la enormidad y el alcance de las redes modernas, genera una atractivaoportunidad para los ladrones: robar datos.

Los últimos 10 años también han registrado un aumento tremendo del número defugas de datos importantes. En 2007, TJ Maxx sufrió una de las primeras brechasde seguridad a gran escala, en la que se robó información de tarjetas de créditoy débito de hasta 94 millones de clientes. Tan solo dos años después, HeartlandPayment Systems, el gigante de procesamiento de pagos, sufrió un ataque enel que perdió datos de aproximadamente 130 millones de clientes. Durante losaños siguientes se descubrieron fugas aún mayores cuyo blanco eran redes de

información más extensas.Además de números de tarjetas de crédito y débito, los ciberdelincuenteshan robado casi todos los demás tipos de datos personales: nombres, fechasde nacimiento, direcciones, números de teléfono, números de documentosde identidad, información sanitaria, credenciales de cuentas e inclusopreferencias sexuales.

Ahora sabemos que los ciberdelincuentes no son solo grupos o personasque pretenden lucrarse. Los motivos que los mueven han creado distintascategorías de delincuentes, cada una con una intención propia para robardatos. Como demuestra la reciente oferta de trabajo de un gobierno extranjeropara "agente de inteligencia estadounidense", los datos personales robadostienen una nalidad diferente cuando las víctimas son empleados de unorganismo público y los ciberdelincuentes actúan en nombre de un país.

El éxito de Internet y la evolución de la ciberdelincuencia también han dado nuevasalas al ciberespionaje, lo que convierte el robo de propiedad intelectual digitalen una amenaza real. Se han robado secretos comerciales de organizaciones detodos los tipos —desde Google, Microsoft y Sony hasta Boeing, Lockheed Martin y DuPont— lo que demuestra que los ciberdelincuentes encuentran valor en todoslos lugares donde lo hay.

Este tema principal gira en torno a un paso importante en el proceso de un robo dedatos: la ltración o fuga de la información. En esta fase, el ciberdelincuente copiao traslada los datos de la red del propietario a una red que está bajo su control.La ltración de datos la llevan a cabo delincuentes cuya intención es robar datos,no se trata de pérdidas de datos accidentales en equipos extraviados u olvidados(en las que el ladrón está más interesado en sacarle rentabilidad al hardware).

Creadores de amenazas

Orígenes de la amenaza, creadores de la amenaza y agentes de la amenaza son los términos empleados para describir a un grupo o individuo que pretendeconseguir acceso no autorizado a redes informáticas y sistemas. Entre las distintaspublicaciones, tanto del sector público como privado, que intentan clasicar dichasamenazas, encontramos que generalmente los autores se clasican en tres tipos:países, delincuentes organizados y hacktivistas.

Temas principales

Los ciberdelincuentes han robadocasi todos los tipos de datospersonales: nombres, fechasde nacimiento, direcciones,números de teléfono, númerosde documentos de identidad,

números de tarjetas de créditoy débito, información sanitaria,credenciales de cuentas e inclusopreferencias sexuales.


http://www.internetlivestats.com/internet-users/#trendhttp://www.internetlivestats.com/internet-users/#trendhttp://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/http://www.channel4.com/news/adult-friendfinder-dating-hack-internet-dark-webhttp://www.duffelblog.com/2015/06/china-announces-us-intelligence-officer-job-openings/http://www.theguardian.com/technology/2015/jun/04/us-government-massive-data-breach-employee-records-security-clearanceshttp://www.theguardian.com/technology/2015/jun/04/us-government-massive-data-breach-employee-records-security-clearanceshttp://www.wired.com/2010/03/source-code-hacks/http://www.scmagazine.com/hacking-ring-member-pleads-guilty-to-stealing-intellectual-property-data-of-microsoft-others/article/407124/http://thehill.com/blogs/pundits-blog/technology/231085-ip-theft-and-cybersecurity-get-short-shrift-in-sony-hackhttp://www.ft.com/cms/s/0/00610adc-0964-11e4-906e-00144feab7de.htmlhttp://www.wsj.com/articles/chinas-cyber-theft-jet-fighter-1415838777http://www.bloomberg.com/news/articles/2011-03-08/hacking-of-dupont-j-j-ge-were-google-type-attacks-that-weren-t-disclosedhttps://ics-cert.us-cert.gov/content/cyber-threat-source-descriptionshttps://www.fbi.gov/news/stories/2012/march/shawn-henry_032712/shawn-henry_032712https://www.owasp.org/index.php/Category:Threat_Agenthttps://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcLhttps://www.owasp.org/index.php/Category:Threat_Agenthttps://www.fbi.gov/news/stories/2012/march/shawn-henry_032712/shawn-henry_032712https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptionshttp://www.bloomberg.com/news/articles/2011-03-08/hacking-of-dupont-j-j-ge-were-google-type-attacks-that-weren-t-disclosedhttp://www.wsj.com/articles/chinas-cyber-theft-jet-fighter-1415838777http://www.ft.com/cms/s/0/00610adc-0964-11e4-906e-00144feab7de.htmlhttp://thehill.com/blogs/pundits-blog/technology/231085-ip-theft-and-cybersecurity-get-short-shrift-in-sony-hackhttp://www.scmagazine.com/hacking-ring-member-pleads-guilty-to-stealing-intellectual-property-data-of-microsoft-others/article/407124/http://www.wired.com/2010/03/source-code-hacks/http://www.theguardian.com/technology/2015/jun/04/us-government-massive-data-breach-employee-records-security-clearanceshttp://www.theguardian.com/technology/2015/jun/04/us-government-massive-data-breach-employee-records-security-clearanceshttp://www.duffelblog.com/2015/06/china-announces-us-intelligence-officer-job-openings/http://www.channel4.com/news/adult-friendfinder-dating-hack-internet-dark-webhttp://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/http://www.internetlivestats.com/internet-users/#trendhttp://www.internetlivestats.com/internet-users/#trend


17/40


Motivación

La motivación es una de las características fundamentalesque distinguen a los creadores de las amenazas. Aunqueno todos ellos necesitan robar datos durante cada una delas campañas para conseguir su objetivo, suele ser el casoen muchas de las campañas.

Cuando se requiere el robo de datos, el autor del ataquenormalmente intenta encontrar los tipos de datos másatractivos. Sin embargo, los tipos de datos que persigueun autor pueden cambiar; no es raro observar cómo unmiembro de una banda de delincuentes organizada se

interesa por el robo de propiedad intelectual, por ejemplo,con el n de incrementar sus ganancias.

El objetivo de los países es generalmente conseguir unaventaja estratégica que con frecuencia implica apoderarsede propiedad intelectual. Dada la variadísima informaciónde la que puede aprovecharse un creador de este tipo,es difícil calcular el volumen de datos que puede salir deuna organización; por ejemplo, mientras que el diagramao el plano de un nuevo producto es relativamentepequeño, el código fuente de una aplicación importante

es enorme. Este tipo de información es difícil de organizary, además, suele estar distribuida en varias redes, por loque los creadores se ven obligados a dedicar bastantetiempo a investigar su ubicación, a menos que cuentencon información privilegiada de empleados internos.

Los objetivos nancieros de los responsables del crimenorganizado son bastante más fáciles de entender. En estecaso se suelen centrar en hallar el cofre del tesoro llenode números de tarjetas de crédito, información bancariao datos de identicación personal. La mayoría de lostipos de datos siguen un formato estándar y estructuradoque facilita su búsqueda. Además, los datos suelen estarsujetos a normativas, lo que signica que se encuentran

en ubicaciones establecidas de la red.

Temas principales

Países Crimen organizado Hacktivistas

Motivación general ■ Ciberespionaje

■ Ventajas estratégicas

■ Económica ■ Reputación

■ Social

Ejemplo de tipos de datos ■ Código fuente

■ Mensajes de correoelectrónico

■

Documentos internos ■ Actividad militar

■ Información deidenticaciónpersonal deempleados de laadministración

■ Información decuentas bancarias

■ Números de tarjetas

de crédito ■ Información deidenticaciónpersonal (númerosde documentos deidentidad, datossanitarios, etc.)

■ Mensajes decorreo electrónico

■ Información de

los empleados ■ Cualquier tipode informacióncondencial interna

Volumen de datos buscados Pequeño-grande Grande Pequeño-grande

Sosticación de lastécnicas de ltración

Alta Media-baja Media-baja

Ubicación de la red Desconocida/dispersa Conocida Conocida y desconocida/dispersa




18/40


Los más difíciles de detener posiblemente sean los hacktivistas, ya que cualquierinformación interna puede afectar a la reputación de una organización. Por estemotivo, todos los tipos de datos, de cualquier tamaño, desde números de tarjetasde crédito hasta mensajes de correo electrónico son susceptibles de ser robadospor estos creadores de amenazas.

Acceso físico

Si el creador de una amenaza tiene la posibilidad de acceder físicamente a unsistema, aunque sea a través de un proxy, ya cuenta con una ventaja enorme.Los dispositivos de almacenamiento USB ofrecen un método fácil para ltrargrandes cantidades de datos sorteando los controles de seguridad de la red.Para iniciar un ataque, un ciberdelincuente puede darle un soporte extraíblea un empleado que no sospeche nada y, de manera inadvertida, lance el ataqueal insertar el dispositivo.

Conocimiento del entorno

Para conocer el entorno de las redes y los sistemas, los creadores se sirven detécnicas de ingeniería social, la ayuda de personal interno e información de códigoabierto. Dichas técnicas reducen el tiempo que necesitan para descubrir los datos,obtener acceso a los sistemas y realizar la ltración.

Filtración de datos

Copiar datos de una red que ha sufrido un ataque puede una tarea complicada.Requiere un conocimiento detallado de la conguración de seguridad de laorganización, los puntos débiles en la segmentación de su red, la ubicacióny conguración de los controles de seguridad, y los privilegios que concedenacceso a los sistemas.

Para entender y clasicar estas complejas técnicas, hemos dividido los componentesen cinco áreas principales:

■ Objetivos de datos: sistemas que contienen datos que persigueel agresor, como recursos compartidos de archivos, repositorios,sistemas punto de venta, etc.

■ Infraestructura: sistemas que posee la empresa y que el agresorutiliza para obtener y transmitir datos desde la empresa hasta losservidores de volcado.

■ Servidores de volcado: sistemas a los que el agresor puede accedery que se emplean para almacenar los datos de manera temporalhasta que estén totalmente bajo control del agresor.

■ Transportes de datos: protocolos de red o dispositivos de almacenamientode datos utilizados para transportar los datos de una ubicación a otra.

■ Manipulación de datos: técnicas que alteran o enmascaran los datos,como el cifrado, la ocultación, la compresión y la fragmentación.

Temas principales

Componentes de la filtración de datos

Transportes/manipulación de datos

Infraestructuraintermedia

Internet Servidoresde volcado

Objetivode datos

Componentes principales de la filtración de datos




19/40


Objetivos de datos

Una vez que el agresor ataca a un sistema de la red, la puerta está abierta paraexplorar otros sistemas y descubrir los que albergan datos interesantes. Una redcompleta contiene diversos tipos de datos, por lo que este proceso es largo paralos ciberdelincuentes que no disponen de información privilegiada.

Entre los principales objetivos de datos se encuentran los siguientes:

Objetivo de datos Tipos de datos Intereses del agresor

Sistemas de basede datos

Varían: datos sanitariosprotegidos, informaciónde identicación personal,tarjetas de crédito,información bancariay cuentas de usuario

Crimen organizado,hacktivistas

Repositorios decódigo fuente

Código fuente,credenciales, claves

Países, hacktivistas

Sistemasespecializados

Varían Todo, según el tipode endpoint

Recursos de archivoscompartidosy sistemas similares

Código fuente, diseños,comunicaciones, etc.

Países, hacktivistas

Correo electrónicoy comunicaciones

Diseños, comunicaciones Países, hacktivistas

Sistemas de base de datos

Estos sistemas almacenan grandes cantidades de datos estructurados, lo que losconvierte en un objetivo inmediato, especialmente para delincuentes organizados.Los sistemas realizan numerosas funciones empresariales:

■ Autenticación: sistemas que contienen información como nombresde usuario y contraseñas asociada a la autenticación de los usuarios.

■ Seguimiento de pacientes: sistemas empleados para el seguimientode la toma de medicamentos, administración y alta de los pacientesen el sector de la sanidad.

■ Procesamiento de pagos: sistemas que aceptan, emiten y procesantransacciones nancieras de clientes o proveedores.

■ Procesamiento/delidad de clientes: sistemas que contienen datosde clientes para su seguimiento o para campañas de marketing

o nes similares. ■ Administración de recursos humanos/nanzas: sistemas responsablesde la administración de los empleados y las nóminas

■ Tecnología no empleada en producción/sistemas no aprobados:sistemas de testing y no aprobados que contienen datos deproducción y otra información de la empresa que puede serigualmente útil para el agresor y más vulnerable ante un ataque.

Temas principales


20/40


Repositorios de código fuente

Los repositorios de código fuente internos se dejan en ocasiones desprotegidosincluso aunque contengan datos de mucho valor, como el código fuentede aplicaciones, claves API, credenciales de bases de datos y servidores deautenticación y claves de cifrado.

Sistemas especializadosLos ataques contra comercios minoristas y fabricantes demuestran que los autorespersiguen datos que se almacenan en sistemas especializados o endpointsespecícos para un sector concreto. Entre ellos se incluyen:

■ Sistemas terminales punto de venta: posiblemente el punto másvulnerable del procesamiento de pagos sean los terminales puntode venta, ya que los datos de tarjetas de crédito no suelen cifrarseen la memoria una vez que el lector los ha leído.

■ Estaciones de trabajo de desarrolladores: en las estaciones de trabajo delos desarrolladores puede haber multitud de información de propiedadintelectual y del entorno, lo que las convierte en objetivos muy valiosos.

■ Sistemas de control: los puntos de ajuste y la lógica de los programas

ofrecen información de gran valor y pueden modicarse conconsecuencias devastadores en los ataques a industrias.

Repositorios de archivos

Para un ciberdelincuente, el ingente volumen de datos de los grandes repositoriosde archivos ofrece ventajas y desventajas. Por una parte, pueden contener multitudde información; y por otra, ltrarla de forma manual puede ser una tarea inacabable,ya que se incluyen datos no estructurados. Los sistemas que se agrupan en estacategoría son:

■ Recursos compartidos de archivos de red: estos sistemas contienencarpetas de grupos y usuarios, junto a documentos, diagramasy otros datos de la empresa almacenados en dichas carpetas.

■ Sistemas de gestión de contenidos: Microsoft SharePoint y otros

albergan contenido similar a los recursos compartidos de archivos,pero generalmente para los ciberdelincuentes es más difícildesenmarañarlo.

■ Nube de terceros: los servicios para compartir archivos alojados en lanube, como Google Drive, Dropbox y Box.com también pueden ponerlos datos en riesgo, pero normalmente son objetivo de agresoresexternos con información privilegiada de personal interno y no deagresores de una red interna.

Correo electrónico y comunicaciones

Las estaciones de trabajo de los usuarios, servidores de correo electrónicoy sistemas de mensajería instantánea, como Skype for Business suelen ser

blanco de ataques, ya que en su memoria caché se guardan datos condencialesde la empresa, información sobre operaciones y comunicaciones privadas.

Temas principales




21/40


Temas principales

Infraestructura intermedia

Cuanto más segmentado y profundo esté el objetivo en la red, más difícil será parael creador de la amenaza ltrar los datos. Cuando es necesario, los ciberdelincuentesdesarrollan una infraestructura provisional para un n especíco, mediante elempleo de hosts que actúan como intermediarios entre los segmentos de la redy un servidor de volcado controlado por el delincuente.

Esta infraestructura puede ser sencilla o muy complicada. En los casos de fugade datos avanzados, hemos observado sistemas con las siguientes funciones:

■ Endpoints: uno o varios objetivos de datos en el mismo segmento,o en un segmento que se pueda direccionar al agregador.

■ Agregador: actúa como un punto de recopilación de los datos de losendpoints atacados y carga dichos datos en el agente de ltración.El agregador puede tener acceso a Internet, aunque no necesariamente.En las campañas más sosticadas, puede haber varios agregadores quetranseran los datos a varios agentes de ltración con el n de ocultarla ruta de los datos de salida.

■ Agente de ltración: recoge los datos del agregador y facilita sutransferencia al servidor de volcado del agresor. Puede realizarse

mediante una transferencia sencilla o bien retener los datos hastaque el agresor los recupere.

Este diagrama representa una arquitectura de ltración de datos típica, pero existenotras. Por ejemplo, una campaña que se diseccionó públicamente establecía unared especial de agentes de ltración y agregadores dispersa geográcamente queoperaba con una planicación rotativa al transferir los datos entre los sistemasy a los servidores de volcado. En otro caso, se utilizaba un servidor de contenidoaccesible a través de Internet, propiedad de una empresa, como agente de ltración

mediante la incrustación de datos en el ujo de vídeo del contenido saliente.

Arquitectura de filtrado de datos

Agregador Agente de filtración Internet Servidoresde volcado

Endpoints

Arquitectura típica de filtración de datos de red

Cuanto más segmentadoy profundo esté el objetivo enla red, más difícil será para elcreador de la amenaza filtrar

los datos.




22/40


Servidores de volcado

Un servidor de volcado es el primer punto en el que residen los datos robadoscuando ya no están bajo control de la empresa. Sin embargo, es posible quetampoco estén bajo el control del agresor, sino simplemente en un lugar al queeste puede acceder fácilmente. Los servidores de volcado pueden ser:

■ Sistemas comprometidos: sistemas que han sufrido un ataque del

agresor durante otra campaña diferente. Estos sistemas pueden serdesde blogs de WordPress personales hasta servidores que pertenecena empresas que no disponen de controles de seguridad ecaces.

■ Sistemas alojados en determinados países: los países en los que lalegislación sobre la privacidad es muy restrictiva son muy atractivospara los delincuentes, ya que esta circunstancia les permite alojarlos sistemas dentro de sus fronteras y que no les molesten mientrasgozan de un cierto grado de protección.

■ Sistemas alojados temporalmente: sistemas temporales que se alojanen la nube a través de proveedores como AWS, Digital Ocean o Azure.

■ Servicios para compartir archivos en la nube: sitios para compartirarchivos online a los que puede acceder el público general, comoDropBox, Box.com o Paste Bin.

■ Servicios alojados en la nube: otros servicios que funcionan a travésde Internet, como Twitter y Facebook, que permiten a los usuariospublicar información.

Los hosts comprometidos, sistemas alojados en determinados países y sistemasalojados de manera temporal funcionan bien como servidores de volcado,ya que ofrecen el máximo control sobre los datos, lo que permite a los agresorespersonalizar completamente los transportes utilizados desde el agente de ltrado.Los servicios de alojamiento y para compartir archivos en la nube dicultan a lossistemas de seguridad el bloqueo de los hosts de destino debido a que están muydistribuidos geográcamente. Sin embargo, dichos servicios suelen contar conmétodos de fácil acceso para denunciar conductas delictivas y permiten desactivarrápidamente una cuenta maliciosa.

La desventaja de utilizar hosts dedicados como servidores de volcado es que unavez que se descubren, pueden bloquearse o cerrarse. Para sortear este obstáculose pueden utilizar algoritmos de generación de dominios. Estos algoritmos secrean en el interior del malware que se ejecuta en la empresa elegida como víctimay generan una lista de nombres de dominio posibles que se pueden consultar conel n de identicar servidores de control o de volcado activos.

Temas principales

http://en.wikipedia.org/wiki/Domain_generation_algorithmhttp://en.wikipedia.org/wiki/Domain_generation_algorithm


23/40


Transportes de datos

Los transportes de datos son los protocolos y métodosempleados para copiar la información de una ubicacióno sistema en otro, como entre un agente de ltración y elservidor de volcado o entre el endpoint y el agregador.

En la tabla siguiente se resumen muchos de los medios detransporte habituales utilizados en la actualidad, así comosus redes:

Temas principales

Transporte Descripción Interno Externo

HTTP/HTTPS Debido a la prevalencia de HTTP en las comunicaciones de red esel protocolo ideal para ocultar los datos ltrados entre otro tipo detráco. Se ha utilizado como transporte de ltración general mediante

la incrustación de comandos en encabezados HTTP y métodosGET/POST/PUT.

FTP El protocolo FTP se emplea habitualmente en los servidores empresarialesy es fácil de utilizar mediante comandos nativos del sistema, por lo que esun medio de transporte sencillo.

USB Los dispositivos de almacenamiento USB se utilizan con frecuencia para laltración de datos cuando se atraviesan redes aisladas. Hemos observadomalware que busca un dispositivo de almacenamiento USB con un marcadorespecíco y que, a continuación, copia los datos que se van a ltrar en unsector oculto del mismo. La ltración comienza cuando el dispositivo secoloca en otro sistema infectado con acceso a la red.

Los dispositivos de almacenamiento USB también pueden ser utilizadospor personal interno para copiar fácilmente grandes cantidades de datosy sacarlos físicamente de la empresa.

DNS Hay registros DNS especícos, como TXT o incluso los registros A y CNAME,que pueden almacenar datos en su interior hasta cierto punto. Con elcontrol de un dominio y un nombre de servidor, un agresor puede transmitirpequeñas cantidades de datos realizando consultas especícas en el

sistema atacado.

Tor La red Tor es cada vez más popular. Esto permite a los agresores enviardatos ltrados a servidores que son difíciles de localizar. Sin embargo, eltráco Tor en redes empresariales no suele ser legítimo por lo que puededetectarse y detenerse fácilmente.

SMTP/correoelectrónico

Los servidores SMTP, tanto si son propiedad de la empresa como si no,pueden utilizarse para enviar datos fuera de la empresa como adjuntoso en el cuerpo de los mensajes de correo electrónico.

SMB SMB es un protocolo extremadamente común en entornos Windowsy puede estar disponible en los sistemas.

RDP El protocolo RDP permite realizar varias actividades, como copiar/pegary compartir archivos y, en algunos casos, los sistemas que admiten RDPpueden estar desprotegidos en Internet.

Transportespersonalizados

En ocasiones se utilizan transportes personalizados en comunicacionescon los servidores de control y en algunos tipos sosticados de malware.Un transporte robusto requiere una gran cantidad de trabajo y debidoa su exclusividad el protocolo es fácil de identicar en la red, inclinandola balanza hacia un tipo de transporte ya establecido.




24/40


Los transportes que ofrecen alternativas cifradas (como HTTPS) pueden incrementarla dicultad de detección para las organizaciones. Hemos observado un aumento,aunque limitado, en el uso del cifrado a nivel de transporte. La falta de cifradoimplica que la detección será más fácil, pero también supone un riesgo añadidopara los datos, ya que en ocasiones se transmiten a través de Internet.

Muchos transportes requieren el uso de credenciales válidas o bien alguna forma

de acceso abierto/anónimo para poder utilizarse en el servidor. En este caso,si el agresor desea automatizar la ltración de datos, deberá dejar un nombrede usuario/contraseña en el host atacado o bien se arriesga a que alguien noautorizado acceda al sistema de forma remota.

Manipulación de datos

La manipulación de los datos antes de su transferencia contribuye a evitar ladetección, reduce el tiempo de transferencia y aumenta el tiempo de análisis.Aunque lo más frecuente es que los datos se manipulen cuando se transerenpor Internet, sigue siendo habitual el uso de la manipulación en la red interna.Una vez que los datos originales han sido manipulados, se envían empleandoel transporte hasta su destino. Entre las técnicas de manipulación habitualesse pueden citar:

Técnicas Descripción

Compresión La compresión con el formato ZIP estándar no solo ofreceun nivel de ocultación sino que además acelera lastransferencias de archivos.

Fragmentación La división de los datos en pequeñas partes antes de suenvío permite que la transferencia se confunda en laactividad habitual de la red.

Codicación/ocultación

El tipo de manipulación de datos más común es el empleode un algoritmo de codicación u ocultación básico.Mediante el empleo de sencillas técnicas, como realizaruna operación XOR con una clave estática, emplearcodicación Base64 o simplemente convertir todos loscaracteres en código hexadecimal, se pueden manipularlos datos lo sucientemente para evitar la detección.

Cifrado Es sorprendente que el cifrado no se utilice siempredurante la ltración. Es posible que esto se deba a queel rendimiento es menor o simplemente a que no esnecesario. Cuando se emplea, lo habitual es observarun cifrado con RC4 o AES.

Conclusión

La información digital se ha convertido en el objetivo principal de los ciber-delicuentes. Los datos que se roban incluyen desde grandes bases de datosde empleados a memoria volátil en sistemas TPV. En cuanto los sistemasde defensa crean una nueva capa de seguridad en sus redes, los agresoresencuentran la forma de poner a los sistemas de conanza contra la organizaciónconvirtiéndolos en sus propios cómplices.

Temas principales

La manipulación de los datos antesde su transferencia contribuyea evitar la detección, reduce eltiempo de transferencia y aumentael tiempo de análisis.




25/40


El primer paso para hacerse con el control es entender quiénes son los creadoresde las amenazas, cuáles son sus motivaciones y qué técnicas emplean. Aunque laltración de datos puede ser un pequeño componente de una campaña global,es también el más importante que debe ejecutar el agresor y bloquear el sistemade defensa. Establecer directivas y procedimientos ecaces, además de crearuna línea de defensa alrededor de los activos y los datos críticos permite a lasorganizaciones priorizar sus esfuerzos de manera que se otorgue más atención

a los sistemas que son más importantes.

Temas principales

Prácticas y procedimientos recomendados

Identicar las fuentesde datos

Lleve a cabo una evaluación de riesgos que obligue a los principales implicados a identicar

los datos condenciales de su red, y dónde están almacenados.

■ Control de inventario de activos

■ Sistemas y arquitectura de red

Considere el uso de software de descubrimiento de datos para identicar la informacióncondencial y su ubicación.

Determinar los ujosde datos

Identique el ujo de datos condenciales que cruzan y salen de la red.

■ Sistemas y arquitectura de red

Considere utilizar software de supervisión de ujos de datos en tiempo real para conocerlos movimientos de datos.

Identicar los requisitosnormativos y de protecciónde la privacidad

Conozca los requisitos normativos que afectan a su empresa y los controles deseguridad necesarios.

Clasicar los datos Establezca una política de clasicación de los datos por condencialidad, tipo e importancia.

■ Política de protección de datos

■ Política de clasicación de datos

Asignar propietariosde los datos

Desarrolle un programa que detalle los propietarios de los datos y sus responsabilidades.

■ Propietarios de los datos

■ Inventario y mantenimiento de activos de datos

Garantizar la protecciónde los datos

Establezca una política para denir los requisitos de seguridad de los datos enmovimiento y en reposo.

■ Política de cifrado de datos

Instale software de prevención de pérdida de datos para impedir la ltración de datosno autorizada.

Revisar el accesoa los datos

Dena un proceso en el que el acceso a los datos se supervise y autorice formalmente.■ Autorización de los datos

■ Gestión de cambios

Revisar el programacon regularidad

Dena un proceso de gestión de riesgos para los datos de manera que se revisenanualmente las políticas y los procedimientos.

■ Gestión de riesgos

Considere el uso de un software de gestión de riesgos para evaluar los riesgosy administrar el cumplimiento de normativas.


Descubra cómo puede

protegerle Intel Security

frente a esta amenaza.

http://www.mcafee.com/es/resources/white-papers/foundstone/wp-data-loss-prevention-program.pdfhttp://www.mcafee.com/es/resources/solution-briefs/sb-quarterly-threats-aug-2015-1.pdfhttp://www.mcafee.com/es/resources/solution-briefs/sb-quarterly-threats-aug-2015-1.pdfhttp://www.mcafee.com/es/resources/solution-briefs/sb-quarterly-threats-aug-2015-1.pdfhttps://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fbit.ly%2F1VckZwd&title=McAfee+Labs+August+Threats+Report&summary=Data%20exfiltration%20is%20critical%20to%20a%20cyber%20thief%E2%80%99s%20process.%20McAfee%20Labs%20analyzes%20attackers%E2%80%99%20tactics%20and%20techniques%20in%20a%20new%20threats%20report.&source=McAfee+Labshttp://www.mcafee.com/es/resources/solution-briefs/sb-quarterly-threats-aug-2015-1.pdfhttp://www.mcafee.com/es/resources/solution-briefs/sb-quarterly-threats-aug-2015-1.pdfhttp://www.mcafee.com/es/resources/solution-briefs/sb-quarterly-threats-aug-2015-1.pdfhttps://twitter.com/intent/tweet?text=.%40McAfee_Labs+separates+fact+from+fiction+around+GPU+%23malware+in+their+August+Threats+Report.+Read+it+here%3A&url=http%3A%2F%2Fbit.ly%2F1I9wkcLhttp://www.mcafee.com/es/resources/white-papers/foundstone/wp-data-loss-prevention-program.pdf


26/40


Malware para la GPU: mitos y realidades —Craig Schmugar

Casi todo el malware actual ha sido diseñado para ejecutarse desde la memoriadel sistema principal y en la CPU. Ocurre así desde hace décadas y por estemotivo, la inmensa mayoría de las herramientas de defensa y de análisis forense

basadas en el host se desarrollan partiendo de esta idea. Cualquier excepcióna esta norma hay que estudiarla con detenimiento y ha dado quebraderos decabeza a muchos profesionales de la seguridad de la información este año.

Ya hace años que se observan ataques de malware a unidades de procesamientográco (GPU) con mayor o menor intensidad. De hecho, ese tipo de malware llevaen circulación y activo desde hace al menos cuatro

informe amenazas 2015 mcafee labs

Documents