Informe sobre las amenazas para la seguridad en internet de symantec 2019

ISTRInforme sobre las Amenazas
para la Seguridad en Internet
Volumen 24 | Febrero 2019

EL DOCUMENTO SE PROPORCIONA “TAL CUAL ESTÁ” Y TODAS LAS
CONDICIONES, GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUYENDO CUALQUIER
GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, ADAPTACIÓN A UN DETERMINADO
FIN O NO VIOLACIÓN, SON OBJETO DE RENUNCIA, EXCEPTO EN LA MEDIDA EN
QUE TALES EXENCIONES SE DETERMINEN LEGALMENTE INVÁLDAS.
SYMANTEC CORPORATION NO SERÁ RESPONSABLE POR DAÑOS
ACCCIDENTALES O CONSECUENTES EN RELACIÓN AL SUMINISTRO, EL
RENDIMIENTO O EL USO DE ESTE DOCUMENTO. LA INFORMACIÓN CONTENIDA
EN ESTE DOCUMENTO ESTÁ SUJETA A CAMBIOS SIN PREVIO AVISO.
LA INFORMACIÓN OBTENIDA DE LAS FUENTES DE TERCEROS SE CONSIDERA
QUE ES CONFIABLE, PERO NO ESTÁ GARANTIZADA DE NINGUNA MANERA.
LOS PRODUCTOS DE SEGURIDAD, LOS SERVICIOS TÉCNICOS Y CUALQUIER
OTRO DATO TÉCNICO REFERIDO EN ESTE DOCUMENTO (“ARTÍCULOS
CONTROLADOS”) ESTÁN SUJETOS A LAS LEYES, REGULACIONES Y REQUISITOS
DE EE.UU. Y PUEDEN ESTAR SUJETOS A LAS REGULACIONES DE EXPORTACIÓN
E IMPORTACIÓN EN OTROS PAÍSES.
USTED ACEPTA CUMPLIR ESTRICTAMENTE CON ESTAS LEYES, REGLAMENTOS
Y REQUISITOS, Y RECONOCE QUE TIENE LA RESPONSABILIDAD DE OBTENER
LICENCIAS, PERMISOS U OTRAS APROBACIONES QUE PUEDAN REQUERIRSE
PARA EXPORTAR, REEXPORTAR, TRANSFERIRSE EN EL PAÍS O IMPORTAR
DICHOS ARTÍCULOS CONTROLADOS.

3HECHOS Y CIFRAS METODOLOGíA
1BIG NUMBERS
2RESTROSPECTIVA DEL AÑO
ÍNDICE
Formjacking
Cryptojacking
Ransomware
Usos de herramientas del día a día y
los ataques a la cadena de suministro
Ataques dirigidos
Nube
IoT
Interferencia electoral
Mensajería
Malware
Dispositivos móviles
Ataques Web
Ataques dirigidos
IoT
Economía clandestina

URLS MALICIOSAS
UNA DE DIEZURLS SON MALICIOSAS

4.800NÚMERO PROMEDIO DE CADA MES DE SITIOS WEB
COMPROMETIDOS CON CÓDIGO FORMJACKING
ATAQUES DE FORMJACKING
3,7M
ATAQUES
BLOQUEADOS
DE FORMJACKING EN ENDPOINTS

CRYPTOJACKING
US$ 362
ENE DIC
8M
MÁS EVENTOS DE CRIPTOJACKING BLOQUEADOS
EN 2018 COMPARADOS CON 2017, PERO CON
TENDENCIA DE DISMINUCIÓN
4X
90%
CAÍDA EN EL VALOR DE
CRIPTOMONEDAS (MONERO)
US$ 48
4M
52%
CAÍDA EN EVENTOS DE CRYPTOJACKING
ENTRE ENE Y DIC 2018

33%
RANSOMWARE
CONTRA EMPRESAS
RANSOMWARE CONTRA
DISPOSITIVOS MÓVILES
RANSOMWARE
GENERAL
12%
20%
AUMENTO
CAÍDA

ATAQUES
A LA CADENA
DE SUMINISTRO
%

POWERSHELL
AUMENTO
EN SCRIPTS
MALICIOSOS DE
POWERSHELL
1000%
CORREO ELECTRÓNICO
MALICIOSO
DE ARCHIVOS ADJUNTOS MALICIOSOS DE
CORREO ELECTRÓNICO SON ARCHIVOS DE
OFFICE, CONTRA APENAS 5% EN 2017
48%

NÚMERO DE GRUPOS
DE ATAQUE QUE
EMPLEAN MALWARE
DESTRUCTIVO
NÚMERO PROMEDIO
DE ORGANIZACIONES
AFECTADAS POR CADA
GRUPO DE ATAQUE
55
%

ISTR 24 | Febrero 2019 Retrospectiva del Año 14Índice
Los incidentes de formjacking: el uso de código JavaScript
malicioso para robar los detalles de las tarjetas de crédito
y otra información de los formularios de pago en las
páginas web de pago en sitios de comercio electrónico,
tuvieron una tendencia al alza en 2018.
Los datos de Symantec muestran que 4.818 sitios web
diferentes se vieron comprometidos con el código de
formjacking todos los meses en 2018. Con los datos de
una sola tarjeta de crédito que se venden por hasta US$
45 en mercados clandestinos, solo 10 tarjetas de crédito
robadas de sitios web comprometidos podrían resultar
en un rendimiento de hasta US$ 2.2 millones para los
delincuentes cibernéticos cada mes. La atracción por el
formjacking de los ciberdelincuentes es clara.
Symantec bloqueó más de 3.7 millones de intentos
de formjacking en 2018, con más de 1 millón de estos
bloqueos ocurriendo solo en los últimos dos meses del
año. La actividad de secuestro de formulario ocurrió a lo
largo de 2018, con un repunte anómalo en la actividad en
mayo (556.000 intentos solo en ese mes), seguido de una
tendencia general al alza en la actividad en la última mitad
del año.
Gran parte de esta actividad de secuestro de formularios ha
sido atribuida a los responsables apodados Magecart, que
se cree que son varios grupos, y algunos, al menos, operan
en competencia uno con el otro. Se cree que Magecart está
detrás de varios ataques de alto perfil, incluidos los de British
Airways y Ticketmaster, así como ataques contra el minorista
británico de electrónicos Kitronik y el vendedor de lentes de
contacto VisionDirect.
Este aumento en el formjacking refleja el crecimiento general
en los ataques a la cadena de suministro que discutimos en
ISTR 23, con Magecart en muchos casos se dirige a servicios
de terceros para obtener su código en sitios web específicos.
En la violación de alto perfil de Ticketmaster, por ejemplo,
Magecart comprometió un chatbot de terceros, que cargaba
código malicioso en los navegadores web de los visitantes
del sitio web de Ticketmaster, con el objetivo de recopilar los
datos de pago de los clientes.
Si bien los ataques a empresas conocidas son titulares,
la telemetría de Symantec muestra que a menudo son
minoristas pequeños y medianos, que venden productos que
varían desde prendas de vestir, equipos de jardinería hasta
suministros médicos, a los que se les ha inyectado un código
formjacking en sus sitios web. Este es un problema global con
la posibilidad de afectar a cualquier negocio que acepte pagos
de clientes en línea.
El crecimiento en el secuestro de formularios en 2018
puede explicarse parcialmente por la caída en el valor de
las criptomonedas durante el año: los ciberdelincuentes que
pueden haber utilizado sitios web para el cryptojacking ahora
pueden optar por el secuestro de formularios. El valor de
los detalles de tarjetas de crédito robadas en el subsistema
cibernético es probablemente más seguro que el valor de las
criptomonedas en el clima actual.
LOS DATOS DE TARJETA DE
CRÉDITO SON EL OBJETIVO
DE LOS CRIMINALES.

Las instancias de cryptojacking — donde los delincuentes
cibernéticos ejecutan a escondidas minadores de moneda
en los dispositivos de las víctimas sin su conocimiento y
utilizan su unidad de procesamiento central (CPU) para
minar criptomonedas — fue la historia del último trimestre
de 2017 y continuó siendo una de las características
dominantes en el panorama de la ciberseguridad en 2018.
La actividad de cryptojacking alcanzó su punto máximo
entre diciembre de 2017 y febrero de 2018, con Symantec
bloqueando alrededor de 8 millones de eventos de
cryptojacking por mes en ese período. Durante 2018,
bloqueamos una cifra mayor de cuatro veces más eventos
de cryptojacking que en 2017: casi 69 millones de eventos
de cryptojacking en el período de 12 meses, en comparación
con poco más de 16 millones en 2017. Sin embargo, hubo
una reducción en la actividad de cryptojacking, cayendo
un 52% entre enero y diciembre de 2018. A pesar de esta
tendencia de disminución, aún bloqueamos más de 3.5
millones de eventos de cryptojacking en diciembre de 2018.
Esta actividad sigue siendo significativa, a pesar del hecho
de que los valores de criptomoneda, que alcanzaron niveles
récord a finales de 2017 y jugaron un papel importante
en el impulso del crecimiento inicial del cryptojacking,
se redujeron significativamente en 2018. Aunque esto
puede haber llevado a algunos de los pioneros del
cryptojacking a recurrir a otras formas de ganar dinero,
como el formjacking, es evidente que existe un segmento
significativo de ciberdelincuentes que todavía cree que
el cryptojacking vale su tiempo. También vimos algunos
delincuentes de cryptojacking dirigidos a empresas
en 2018, con el script de cryptojacking WannaMine
(MSH.Bluwimps), que utiliza el exploit Eternal Blue que
WannaCry hizo famoso a través de redes empresariales,
haciendo que algunos dispositivos sean inutilizables
debido al alto uso de la CPU.
La mayor parte de la actividad de cryptojacking en 2018
continuó originándose en la minería de criptomonedas
basados en el navegador. La extracción de monedas basada
en el navegador se lleva a cabo dentro de un navegador
web y se implementa mediante lenguajes de scripting. Si
una página web contiene una secuencia de comandos de
minería de monedas, el poder de cómputo de los visitantes
de la página web se utilizará para explotar la criptomoneda
mientras la página esté abierta. Los mineros basados en el
navegador permiten a los ciberdelincuentes atacar incluso
dispositivos totalmente actualizados y también pueden
permitirles operar sigilosamente sin que las víctimas noten
la actividad.
EN DISMINUCIÓN,
PERO TODAVÍA PRESENTE.
Predijimos que la actividad de cryptojacking de los
ciberdelincuentes dependería en gran medida de que los
valores de criptomoneda se mantuvieran altos. A medida
que los valores de criptomoneda han caído, también
hemos observado una disminución en el volumen de
eventos de cryptojacking. Sin embargo, no han caído al
mismo ritmo que los valores de criptomoneda: en 2018,
el valor de Monero se redujo en casi un 90%, mientras
que el cryptojacking se redujo en alrededor del 52%.
Esto significa que algunos ciberdelincuentes aún deben
encontrarlo rentable o están esperando su momento hasta
otro aumento en los valores de criptomoneda. También
muestra que hay otros elementos de cryptojacking que lo
hacen atractivo para los delincuentes cibernéticos, como
el anonimato que ofrece y las bajas barreras de entrada.
Parece que el cryptojacking es un área que continuará
desempeñando un papel en el panorama de los delitos
cibernéticos.

Por primera vez desde 2013, observamos una disminución
en la actividad de ransomware durante 2018, con un número
total de infecciones de ransomware en los puntos finales que
disminuyeron en un 20%. WannaCry, versiones de copia, y
Petya, continuaron inflando las cifras de infección. Cuando
estos gusanos se eliminan de las estadísticas, la caída en los
números de infección es más pronunciada: una caída del 52%.
Sin embargo, dentro de estas cifras generales hubo un
cambio dramático. Hasta 2017, los consumidores fueron
los más afectados por el ransomware, lo que represento la
mayoría de las infecciones. En 2017, el saldo se inclinó hacia
las organizaciones, con la mayoría de las infecciones que se
producen en las empresas. En 2018, ese cambio se aceleró y
las empresas representaron el 81% de todas las infecciones
por ransomware. Si bien las infecciones por ransomware
en general disminuyeron, las infecciones en empresas
aumentaron un 12% en 2018.
Este cambio en el perfil de la víctima probablemente se debió
a una disminución en la actividad del kit de explotación,
que anteriormente era un canal importante para la entrega
de ransomware. Durante 2018, el principal método de
distribución de ransomware fue campañas de correo
electrónico. Las empresas tienden a verse más afectadas
por los ataques basados en correo electrónico, ya que el
correo electrónico sigue siendo la principal herramienta de
comunicación para las organizaciones.
Además, un número creciente de consumidores utilizan
dispositivos móviles exclusivamente, y sus datos esenciales a
menudo se respaldan en la nube. Debido a que la mayoría de
las familias de ransomware siguen dirigiéndose a computadoras
basadas en Windows, las posibilidades de que los consumidores
estén expuestos al ransomware están disminuyendo.
LA ACTIVIDA EMPIEZA A CAER,
PERO PERMANECE UN DESAFÍO
PARA LAS ORGANIZACIONES.
Otro factor detrás de la caída en la actividad general del
ransomware es la mayor eficiencia de Symantec para
bloquear el ransomware en el inicio del proceso de infección,
ya sea a través de la protección del correo electrónico o
utilizando tecnologías como el análisis de comportamiento
o el aprendizaje automático. Otro factor que contribuye
a la disminución es el hecho de que algunas pandillas de
cibercrimen están perdiendo interés en el ransomware.
Symantec vio una serie de grupos previamente involucrados
en la difusión del ransomware para entregar otro malware,
como troyanos bancarios y herramientas de robo de
información.
Sin embargo, algunos grupos continúan representando una
amenaza grave. Otra mala noticia para las organizaciones
es que un número notable de ataques de ransomware
dirigidos altamente dañinos afectaron a las organizaciones
en 2018, muchos de los cuales fueron realizados por el grupo
SamSam. Durante 2018, Symantec encontró evidencia de 67
ataques de SamSam, principalmente contra organizaciones
en los EE.UU.. En conjunto con SamSam, otros grupos de
ransomware dirigidos se han vuelto más activos.
También han surgido amenazas dirigidas adicionales. La
actividad relacionada con Ryuk (Ransom.Hermes) aumentó
significativamente a fines de 2018. Este ransomware
fue responsable de un ataque en diciembre en el que se
interrumpió la impresión y distribución de varios periódicos
estadounidenses conocidos.
Dharma / Crysis (Ransom.Crysis) también es utilizado
frecuentemente en forma dirigida contra organizaciones.
La cantidad de intentos de infección por Dharma / Crysis
observada por Symantec se triplicó con creces durante 2018,
de un promedio de 1.473 por mes en 2017 a 4.900 por mes
en 2018.
En noviembre, dos ciudadanos iraníes fueron acusados en los
EE.UU. por su presunta participación en SamSam. Queda por
ver si la acusación tendrá algún impacto en la actividad del
grupo.

En informes anteriores, destacamos la tendencia de los
grupos de ataque que optan por herramientas estándar y
características del sistema operativo para llevar a cabo los
ataques. Esta tendencia de usos de herramientas del día a día
no muestra señales de disminuir, de hecho, hubo un aumento
significativo en ciertas actividades en 2018. El uso de
PowerShell ahora es un elemento básico tanto de los delitos
cibernéticos como de los ataques dirigidos, que se refleja
en un aumento masivo del 1.000% en scripts maliciosos de
PowerShell bloqueados en 2018 en el endpoint.
En 2018, los archivos de Microsoft Office representaron
casi la mitad (48%) de todos los archivos adjuntos de
correo electrónico maliciosos, saltando desde solo el 5% en
2017. Los grupos de cibercrimen, como Mealybug y Necurs,
continuaron usando macros en los archivos de Office como su
método preferido para propagar las cargas útiles maliciosas
en 2018, pero también experimentaron con archivos XML
maliciosos y archivos de Office con cargas útiles DDE.
El uso de exploits de día cero por parte de grupos de ataque
dirigidos continuó disminuyendo en 2018. Sólo el 23% de
PERMANECEN COMO ELEMENTOS
BÁSICOS DEL NUEVO PANORAMA DE
AMENAZAS.
USOS D HERRAMIENTAS DEL
DÍA A DÍA Y LOS ATAQUES A
LA C DENA DE SUMINISTRO
los grupos de ataque emplearon exploits de día cero, una
disminución en relación al 27% observado en 2017. También
comenzamos a ver ataques que se basan únicamente en
usos de herramientas del día a día y no utilizan ningún
código malicioso. El grupo de ataque dirigido Gallmaker
es un ejemplo de este cambio, con el grupo utilizando
exclusivamente las herramientas generalmente disponibles
para llevar a cabo sus actividades maliciosas.
Las amenazas autopropagantes continuaron creando dolores
de cabeza para las organizaciones, pero, a diferencia de los
gusanos antiguos, los gusanos modernos, no utilizan las
vulnerabilidades de explotación remota para propagarse.
En cambio, gusanos como Emotet (Trojan.Emotet) y Qakbot
(W32.Qakbot) utilizan técnicas sencillas que incluyen la
eliminación de contraseñas de la memoria o el acceso
forzado a los recursos compartidos de la red para moverse
lateralmente a través de una red.
Los ataques a la cadena de suministro continuaron siendo una
característica del panorama de amenazas, con un aumento
de los ataques del 78% en 2018. Los ataques a la cadena
de suministro, que aprovechan los servicios y el software
de terceros para comprometer un objetivo final, adoptan
muchas formas, incluido el secuestro de actualizaciones
de software e inyectar código malicioso en el software
legítimo. Los desarrolladores continuaron siendo explotados
como fuente de ataques en la cadena de suministro, ya sea
a través de grupos de ataque que robaban credenciales
para herramientas de control de versiones, o por grupos de
ataque que comprometen bibliotecas de terceros que están
integradas en proyectos de software más grandes.
El aumento en los ataques de formjacking en 2018 reforzó
la forma en que la cadena de suministro puede ser un punto
débil para los minoristas online y los sitios de comercio
electrónico. Muchos de estos ataques de formjacking fueron
el resultado de que los grupos de ataque comprometieron
los servicios de terceros comúnmente utilizados por los
minoristas online, como los chatbots o los widgets de revisión
de clientes.
Tanto los ataques de la cadena de suministro como los usos
de herramientas del día a día resaltan los desafíos a los que
se enfrentan las organizaciones y las personas, y los ataques
llegan cada vez más a través de canales confiables, utilizando
métodos de ataque sin archivos o herramientas legítimas con
fines maliciosos.
Si bien bloqueamos en promedio 115.000 scripts maliciosos
de PowerShell cada mes, esto solo representa menos del 1%
del uso general de PowerShell. La identificación y el bloqueo
efectivos de estos ataques requieren el uso de métodos
de detección avanzados, como los análisis y el aprendizaje
automático.

Los grupos de ataque dirigidos continuaron representando
una amenaza significativa para las organizaciones durante
2018, con nuevos grupos emergentes y grupos existentes que
continuaron refinando sus herramientas y tácticas.
Los grupos de ataque más grandes y más activos mostraron
aumentar su actividad durante 2018. Los 20 grupos más
activos seguidos por Symantec lograron un promedio de 55
organizaciones en los últimos tres años, frente a los 42 entre
2015 y 2017.
Una tendencia notable fue la diversificación de objetivos,
con un número creciente de grupos que mostraron interés
en comprometer las computadoras operativas, lo que
potencialmente podría permitirles montar operaciones
disruptivas si así lo decidieran.
Esta táctica fue iniciada por el grupo de espionaje Dragonfly,
conocido por sus ataques a compañías energéticas. Durante
2018, observamos que el grupo Thrip comprometió a
un operador de comunicaciones satelitales e infectó
computadoras que ejecutan software que monitorea y
controla satélites. El ataque podría haberle dado a Thrip la
capacidad de interrumpir seriamente las operaciones de la
compañía.
También vimos al grupo Chafer comprometer a un proveedor
de servicios de telecomunicaciones en Medio Oriente.
La compañía vende soluciones a múltiples operadores de
telecomunicaciones en la región y el ataque pudo haber sido
para facilitar la vigilancia de los usuarios finales de esos
operadores.
Este interés en ataques potencialmente perturbadores
también se refleja en la cantidad de grupos que se sabe que
usan malware destructivo, un aumento de 25% en 2018.
Durante 2018, Symantec expuso cuatro grupos de ataques
dirigidos, previamente desconocidos, lo que elevó la cantidad
de grupos de ataques dirigidos por primera vez por Symantec
desde 2009 a 32. Si bien Symantec expuso cuatro grupos
nuevos en 2017 y 2018, hubo un gran cambio en la forma en
que se descubrieron estos grupos. Dos de los cuatro nuevos
grupos expuestos durante 2018 se descubrieron a través del
uso de herramientas del día a día. De hecho, uno de esos dos
grupos (Gallmaker) no utiliza ningún malware en sus ataques,
confiando exclusivamente en los usos de herramientas del día
a día y en herramientas de piratería disponibles públicamente.
El uso de herramientas del día a día ha sido cada vez más
utilizado por grupos de ataque dirigidos en los últimos años
porque puede ayudar a los grupos de ataque a mantener
un perfil bajo al ocultar su actividad en un volumen de
procesos legítimos. Esta tendencia fue una de las principales
motivaciones para que Symantec creara su solución de
Análisis de Ataque Dirigido (TAA) en 2018, que aprovecha
la inteligencia artificial avanzada para detectar patrones de
actividad maliciosa asociada con ataques dirigidos. En dos
ocasiones durante 2018, descubrimos grupos de ataque
dirigidos previamente desconocidos en investigaciones
que comenzaron con TAA activada a través de usos de
herramientas del día a día. El aumento en los usos de
herramientas del día a día se ha reflejado en la disminución de
otras técnicas de ataque más antiguas. La cantidad de grupos
de ataque dirigidos que se sabe que usan vulnerabilidades de
día cero fue del 23%, una reducción del 27% a finales de 2017.
Uno de los acontecimientos más dramáticos durante 2018
fue el aumento significativo de las acusaciones en los EE.UU.
contra personas que presuntamente estuvieron involucradas
en espionaje patrocinado por el estado. Cuarenta y nueve
individuos u organizaciones fueron acusados durante 2018,
en comparación con cuatro en 2017 y cinco en 2016. Mientras
que la mayoría de los titulares se dedicaron a la acusación
de 18 presuntos agentes rusos, la mayoría de los cuales
fueron acusados de participar en ataques relacionados con
las elecciones presidenciales de 2016, las acusaciones fueron
mucho más amplias.
Junto a los ciudadanos rusos, 19 individuos u organizaciones
chinos fueron acusados, junto con 11 iraníes y un norcoreano.
Este destaque repentino de publicidad puede perturbar
algunas de las organizaciones mencionadas en estas
acusaciones. Ese panorama limitará gravemente la capacidad
de los individuos acusados para viajar internacionalmente,
lo que podría obstaculizar potencialmente su capacidad para
organizar operaciones contra objetivos en otros países.
ATAQUES
DIRIGIDOS.
MÁS
AMBICIOSO
Y MÁS
SIGILOS
O

NUBE
Desde problemas simples de mala configuración hasta
vulnerabilidades en los chips de hardware, en 2018 vimos la
amplia gama de desafíos de seguridad que presenta la nube.
Las bases de datos en la nube con poca seguridad
continuaron siendo un punto débil para las organizaciones.
En 2018, los bucketss S3 surgieron como un talón de Aquiles
para las organizaciones, con más de 70 millones de registros
robados o filtrados como resultado de una configuración
deficiente. Esto se produjo inmediatamente después de
una serie de ataques de ransomware contra bases de datos
abiertas como MongoDB en 2017, los grupos de ataque
borraron sus contenidos y exigieron el pago para restaurarlos.
Los grupos de ataque no se detuvieron allí, también se
dirigieron a sistemas de implementación de contenedores
como Kubernetes, aplicaciones sin servidor y otros servicios
de API expuestos públicamente. Hay un tema común en estos
incidentes: una configuración deficiente.
LOS RETOS DE SEGURIDAD
SURGEN EN MÚLTIPLES FRENTES.
Existen numerosas herramientas ampliamente disponibles
que permiten a posibles grupos de ataque identificar recursos
de nube mal configurados en Internet. A menos de que las
organizaciones tomen medidas para proteger adecuadamente
sus recursos en la nube, como seguir los consejos
proporcionados por Amazon para asegurar los buckets de S3,
se están dejando vulnerables a los ataques.
Una amenaza más engañosa para la nube surgió en 2018
con la revelación de varias vulnerabilidades en los chips de
hardware. Meltdown y Specter explotan vulnerabilidades
en un proceso conocido como ejecución especulativa. La
explotación exitosa proporciona acceso a ubicaciones
de memoria que normalmente están prohibidas. Esto es
particularmente problemático para los servicios en la nube
porque mientras que las instancias de la nube tienen su
propio procesador virtual comparten conjuntos de memoria,
lo que significa que un ataque exitoso en un solo sistema
físico podría resultar en la filtración de datos de varias
instancias de la nube.
Meltdown y Specter no fueron casos aislados: varias
variantes de estos ataques fueron posteriormente lanzadas
al dominio público durante todo el año. También fueron
seguidos por vulnerabilidades similares a nivel de chip,
como Speculative Store Bypass y Foreshadow, o Falla de
terminal L1. Es probable que esto sea solo el comienzo,
ya que los investigadores y los grupos de ataque detectan
vulnerabilidades a nivel de chip e indican que los servicios en
la nube enfrentarán muchos desafíos.
MELTDOWN
ALMACENAMIENTO
SPECTRE

Mientras que los gusanos y los bots continuaron siendo
responsables de la gran mayoría de los ataques de
Internet de las cosas (IoT), en 2018 vimos surgir una nueva
generación de amenazas cuando los grupos de ataques
dirigidos mostraron interés en el IoT como un vector de
infección.
El volumen general de ataques de IoT se mantuvo alto
en 2018 y fue consistente (-0.2%) en comparación con
2017. Los enrutadores y las cámaras conectadas fueron
los dispositivos más infectados y representaron el 75% y
15% de los ataques, respectivamente. No es sorprendente
que los enrutadores sean los dispositivos más específicos
debido a su accesibilidad desde Internet. También son
atractivos ya que proporcionan un punto de partida
efectivo para los grupos de ataque.
El famoso gusano de denegación de servicio (DDoS) de
Mirai continuó siendo una amenaza activa y, con el 16%
de los ataques, fue la tercera amenaza más común de
IoT en 2018. Mirai está en constante evolución y las
variantes utilizan hasta 16 ataques diferentes, agregando
persistentemente nuevos ataques para aumentar la
tasa de éxito de infecciones, ya que los dispositivos a
menudo permanecen sin actualización. El gusano también
amplió su alcance al enfocarse en servidores de Linux sin
actualización. Otra tendencia notable fue el aumento de los
ataques contra los sistemas de control industrial (ICS). El
grupo Thrip fue tras los satélites, y Triton atacó los sistemas
de seguridad industrial, dejándolos vulnerables al sabotaje
o los ataques de extorsión. Cualquier dispositivo informático
es un objetivo potencial.
La aparición de VPNFilter en 2018 representó una evolución
de las amenazas de IoT. VPNFilter fue la primera amenaza
persistente de IoT, con su capacidad de sobrevivir a un
reinicio, lo que hace que sea muy difícil de eliminar. Con una
serie de potentes cargas útiles a su disposición, tales como
ataques man in the middle (MitM), exfiltración de datos, robo
de credenciales e intercepción de comunicaciones de SCADA,
VPNFilter fue una desviación de la actividad tradicional de
amenazas de IoT, como el DDoS y la extracción de monedas.
También incluye una capacidad destructiva que puede
“bloquear”, o borrar un dispositivo con las órdenes de los
grupos de ataque, si desean destruir las pruebas. VPNFilter es
el resultado del trabajo de un grupo de amenazas capacitado
y con muchos recursos, y demuestra cómo los dispositivos de
IoT ahora enfrentan el ataque desde muchos frentes.
EN LA MIRA
DE LOS CIBERCRIMINALES Y LOS
GRUPOS DE ATAQUE DIRIGIDOS.

Con las elecciones presidenciales de los EE.UU. en 2016
impactadas por varios ataques cibernéticos, como el ataque
al Comité Nacional Demócrata (DNC), todas las miradas
se centraron en las elecciones parciales de 2018. Justo
un mes después del día de las elecciones, el Comité del
Congreso Nacional Republicano (NRCC) confirmó que su
sistema de correo electrónico fue hackeado por un tercero
desconocido en el período previo a las elecciones. Los
hackers aparentemente obtuvieron acceso a las cuentas de
correo electrónico de cuatro asesores principales de NRCC y
podrían haber recolectado miles de correos electrónicos en
el transcurso de varios meses.
Luego, en enero de 2019, el DNC reveló que fue objetivo
de un ataque fallido de phishing poco después de que
terminaran las elecciones de 2018. Se cree que el grupo de
espionaje cibernético APT29, que ha sido atribuido por el
Departamento de Seguridad Nacional de EE.UU. (DHS) y el
FBI a Rusia, es responsable de la campaña.
En julio y agosto de 2018, Microsoft descubrió y cerró
múltiples dominios maliciosos que imitaban sitios web
pertenecientes a organizaciones políticas. Se cree que el
grupo de espionaje cibernético APT28 (que también ha
sido atribuido por Seguridad Nacional y el FBI a Rusia)
ha establecido algunos de estos sitios como parte de una
campaña de spear phishing dirigida a candidatos en las
elecciones del Congreso y Senado de 2018. Para combatir
ataques de suplantación de identidad de sitios web como
este, Symantec lanzó el Proyecto Dolphin, una herramienta
de seguridad gratuita para propietarios de sitios web.
Los adversarios siguieron centrándose en el uso de
plataformas de medios sociales para influir en los votantes
en 2018. Aunque esto no es nada nuevo, las tácticas
utilizadas se han vuelto más sofisticadas. Algunas cuentas
vinculadas a Rusia, por ejemplo, utilizaron a terceros para
comprar anuncios de redes sociales para ellos y evitaron
el uso de las direcciones IP rusas o la moneda rusa. Las
cuentas falsas también comenzaron a enfocarse más
en la promoción de eventos y maniestaciones, que no
se monitorean tan de cerca como los anuncios dirigidos
políticamente.
Empresas propietarias de plataformas de redes sociales y
agencias gubernamentales tomaron un papel más proactivo
para combatir la interferencia electoral en 2018. Facebook
creó una “sala de guerra” para afrontar la interferencia
electoral y bloqueó numerosas cuentas y páginas
sospechosas de estar vinculadas con entidades extranjeras
que intentan influir en la política en los EE.UU., Reino Unido,
Oriente Medio, y latinoamerica.
Twitter eliminó más de 10.000 bots que publicaban
mensajes para alentar a las personas a no votar y actualizó
sus reglas para identificar cuentas falsas y proteger la
integridad de elecciones. Twitter también publicó un archivo
de tweets asociados con dos operaciones de propaganda
patrocinadas por naciones que abusaron de la plataforma
para difundir la desinformación destinada a influir en la
opinión pública.
Otros esfuerzos para combatir la interferencia en las
elecciones en 2018 incluyeron al Cibercomando de los
EE.UU. contactando a los hackers rusos directamente
para decirles que habían sido identificados por agentes
de los EE.UU. y estaban siendo rastreados; el DHS ofrece
evaluaciones de seguridad gratuitas de las máquinas y
procesos electorales estatales; y la adopción generalizada
de los llamados sensores Albert, hardware que ayuda al
gobierno federal a supervisar la evidencia de interferencia
con las computadoras utilizadas para ejecutar elecciones.
ELECTORAL 2018

MENSAJERÍA
CORREO ELECTRÓNICO DISFRAZADO
COMO NOTIFICACIÓN, O COMO UNA
FACTURA O RECIBO
EL ARCHIVO DE OFFICE
ADJUNTO CONTIENE UN
SCRIPT MALICIOSO
APERTURA DEL ADJUNTO
EJECUTA EL SCRIPT PARA
DESCARGAR MALWARE
2 3
48%
DE LOS ADJUNTOS
MALICIOSOS DE CORREO
ELECTRÓNICO SON
ARCHIVOS DE OFFICE
CONTRA APENAS 5%
EN 2017
1
En 2018, era más probable que los empleados de pequeñas organizaciones se vieran afectados por
amenazas de correo electrónico, incluidos el spam, el phishing y el malware de correo electrónico,
que los de las grandes organizaciones. También descubrimos que los niveles de spam continuaron
aumentando en 2018, como lo han hecho todos los años desde 2015, y el 55% de los correos
electrónicos recibidos en 2018 se clasificaron como spam. Mientras tanto, la tasa de malware de
correo electrónico se mantuvo estable, mientras que los niveles de phishing disminuyeron, pasando
de 1 en 2.995 correos electrónicos en 2017 a 1 en 3.207 correos electrónicos en 2018. La tasa de
phishing ha disminuido cada año durante los últimos cuatro años.
También observamos menos URL utilizadas en correos electrónicos maliciosos, ya que los grupos
de ataque se centraron en el uso de archivos adjuntos de correo electrónico maliciosos como un
vector de infección primario. El uso de URL maliciosas en los correos electrónicos había saltado a
12,3% en 2017, pero se redujo a 7,8% en 2018. La telemetría de Symantec muestra que los usuarios
de Microsoft Office son los que corren más riesgo de ser víctimas de malware basado en correo
electrónico. Los archivos de Office representan el 48% de los archivos adjuntos de correo electrónico
maliciosos, siendo que este porcentaje era solo 5% en 2017.

TASA DE CORREO ELECTRÓNICO MALICIOSO (AÑO)
2018
1 de 412
TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO (AÑO)
2018
7,8%
TASA DE CORREO ELECTRÓNICO MALICIOSO (MES)
Tasa de correo electrónico malicioso (1 de cada)
200
300
400
500
600
700
800
DicNovOctSepAgoJulJunMayAbrMarFebEne
TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO (MES)
% de correo electrónico malicioso
0
2%
4%
6%
8%
10%
12%
14%
CORREO ELECTRÓNICO MALICIOSO POR USUARIO (MES)
Usuarios afectados (%)
0
5%
10%
15%
20%
25%
30%
TASA DE CORREO ELECTRÓNICO MALICIOSO
POR INDUSTRIA (AÑO)
INDUSTRIA
TASA DE CORREO ELECTRÓNICO
MALICIOSO (1 DE CADA)
Minería 258
Agricultura, Forestal y Pesca 302
Administración Pública 302
Manufactura 369
Comercio Mayorista 372
Construcción 382
Establecimientos No Clasificables 450
Transporte & Servicios Públicos 452
Finanzas, Seguros y Mercado Inmobiliario 491
Servicios 493
Comercio Minorista 516
El porcentaje de usuarios afectados
con correo electrónico malicioso se
mantuvo durante 2018.
ISTR 24 | Febrero 2019 Hechos y Cifras 24Índice

TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO
INDUSTRIA MALWARE DE CORREO ELECTRÓNICO (%)
Agricultura, Forestal y Pesca 11,2
Comercio Minorista 10,9
Minería 8,9
Servicios 8,2
Construcción 7,9
Administración Pública 7,8
Finanzas, Seguros y Mercado Inmobiliario 7,7
Manufactura 7,2
Establecimientos No Clasificables 7,2
Comercio Mayorista 6,5
Transporte & Servicios Públicos 6,3
CORREO ELECTRÓNICO MALICIOSO POR USUARIO
INDUSTRIA USUARIOS AFECTADOS (%)
Minería 38,4
Construcción 26,6
Manufactura 20,6
Servicios 11,7
TASA DE CORREO ELECTRÓNICO MALICIOSO
POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
TAMAÑO DE LA ORGANIZACIÓN
1-250 323
251-500 356
501-1000 391
1001-1500 823
1501-2500 440
+2501 556
TASA DE URL EN CORREO ELECTRÓNICO MALICIOSO
TAMAÑO DE LA ORGANIZACIÓN CORREO ELECTRÓNICO MALICIOSO (%)
1-250 6,6
251-500 8,3
501-1000 6,6
1001-1500 8,3
1501-2500 7,3
+2501 8,6
CORREO ELECTRÓNICO MALICIOSO POR USUARIO
TAMAÑO DE LA ORGANIZACIÓN USUARIOS AFECTADO (1 DE CADA)
1-250 6
251-500 6
501-1000 4
1001-1500 7
1501-2500 4
+2501 11
Los empleados de organizaciones
más pequeñas tenían más
probabilidades de verse
afectados por amenazas de
correo electrónico, incluido spam,
phishing y malware de correo
electrónico, que los de las grandes
organizaciones.

TASA DE CORREO ELECTRÓNICO MALICIOSO POR PAÍS (AÑO)
PAÍS
Arabia Saudita 118
Israel 122
Austria 128
Sudáfrica 131
Serbia 137
Grecia 142
Omán 160
Taiwán 163
Sri Lanka 169
Emiratos Árabes Unidos 183
Tailandia 183
Polonia 185
Noruega 190
Hungría 213
Katar 226
Singapur 228
Italia 232
Países Bajos 241
Reino Unido 255
Irlanda 263
Luxemburgo 272
Hong Kong 294
China 309
Dinamarca 311
Malasia 311
Colombia 328
Suiza 334
Papúa Nueva Guinea 350
Alemania 352
Filipinas 406
Bélgica 406
PAÍS
Brasil 415
Corea del Sur 418
Portugal 447
España 510
Finlandia 525
Canadá 525
Suecia 570
Nueva Zelanda 660
Estados Unidos 674
Francia 725
Australia 728
India 772
México 850
Japón 905
TASA DE URL DE CORREO ELECTRÓNICO MALICIOSO
POR PAÍS (AÑO)
PAÍS CORREO ELECTRÓNICO MALICIOSO (%)
Brasil 35,7
México 29,7
Noruega 12,8
Suecia 12,4
Canadá 11,5
Nueva Zelanda 11,3
Colombia 11,0
Australia 10,9
Francia 10,5
Finlandia 9,7
Suiza 9,5
España 9,4
Katar 8,9
Estados Unidos 8,9
Portugal 8,4
India 8,3
Filipinas 8,1
Singapur 7,7
Luxemburgo 7,3
Italia 7,1
Austria 6,7
Sudáfrica 6,7
Papúa Nueva Guinea 6,5
Corea del Sur 6,5
Alemania 6,3
Japón 6,3
Bélgica 6,1
Reino Unido 6,1
Hungría 5,9
Arabia Saudita 5,2
Dinamarca 5,1
Hong Kong 5,1
Malasia 5,1
China 4,9
Países Bajos 4,9
Serbia 4,4
Taiwán 4,4
Emiratos Árabes Unidos 4,2
Sri Lanka 4,1
Irlanda 3,9
Omán 3,6
Tailandia 3,4
Grecia 3,3
Polonia 2,8
Israel 1,9

PRINCIPALES TEMAS DE CORREO ELECTRÓNICO (AÑO)
TEMA DE ASUNTO PORCENTAJE
Cuenta 15,7
Error de entrega de correo electrónico 13,3
Entrega e paquete 2,4
Autoridades legales/ jurídicas 1,1
Documento digitalizado 0,3
PALABRAS CLAVE DE CORREO ELECTRÓNICO (AÑO)
PALABRAS PORCENTAJE
invoice (factura) 13,2
mail (correspondencia) 10,2
sender (remitente) 9,2
payment (pago) 8,9
important (importante) 8,5
message (mensaje) 7,7
new (nuevo) 7,2
returned (devuelto) 6,9
: 6,9
delivery (entrega) 6,6
PRINCIPALES TIPOS DE ADJUNTO DE CORREO ELECTRÓNICO
MALICIOSO (AÑO)
TIPO DE ARCHIVO PORCENTAJE
.doc, .dot 37,0
.exe 19,5
.rtf 14,0
.xls, .xlt, .xla 7,2
.jar 5,6
.html, htm 5,5
.docx 2,3
.vbs 1,8
.xlsx 1,5
.pdf 0,8
PRINCIPALES CATEGORÍAS DE ADJUNTO
DE CORREO ELECTRÓNICO MALICIOSO (AÑO)
TIPO DE ARCHIVO PORCENTAJE
Scripts 47,5
Ejecutables 25,7
Otros 25,1
NÚMERO PROMEDIO MENSUAL DE ORGANIZACIONES
AFECTADAS POR FRAUDES BEC (AÑO)
PROMEDIO
5.803
PROMEDIO DE CORREOS ELECTRÓNICOS BEC
POR ORGANIZACIÓN (AÑO)
PROMEDIO
4,5
PRINCIPALES PALABRAS CLAVE DE FRAUDES BEC (AÑO)
ASUNTO PORCENTAJE
urgent (urgente) 8,0
request (solicitud) 5,8
important (importante) 5,4
payment (pago) 5,2
attention (atención) 4,4
outstanding payment (actualización importante) 4,1
info (información) 3,6
important update (actualización importante) 3,1
attn (atención) 2,3
transaction (transacción) 2,3
TASA DE PHISHING DE CORREO ELECTRÓNICO (AÑO)
TASA DE PHISHING (1 DE CADA)
3.207
Las tasas de phishing
disminuyeron, pasando de
1 en 2.995 correos electrónicos
en 2017 a 1 en 3.207 correos
electrónicos en 2018.

TASA DE PHISHING DE CORREO ELECTRÓNICO (MES)
Tasa de phishing (1 de cada)
2.000
2.500
3.000
3.500
4.000
4.500
5.000
TASA DE PHISHING DE CORREO ELECTRÓNICO
POR USUARIO (MES)
Usuarios afectados (%)
30
40
50
60
70
80
INDUSTRIA TASA DE PHISHING (1 DE CADA)
Agricultura, Forestal y Pesca 1.769
Finanzas, Seguros y Mercado Inmobiliario 2.628
Minería 2.973
Comercio Mayorista 3.042
Administración Pública 3.473
Servicios 3.679
Construcción 3.960
Comercio Minorista 3.971
Manufactura 3.986
Establecimientos No Clasificables 5.047
Transporte & Servicios Públicos 5.590
POR USUARIO POR INDUSTRIA (AÑO)
INDUSTRIA USUARIOS AFECTADOS (1 DE CADA)
Minería 30
Construcción 39
Manufactura 52
Servicios 64
TAMAÑO DE LA ORGANIZACIÓN TASA DE PHISHING (1 DE CADA)
1-250 2.696
251-500 3.193
501-1000 3.203
1001-1500 6.543
1501-2500 3.835
+2501 4.286
TASA DE PHISHING DE CORREO ELECTRÓNICO POR USUARIO
TAMAÑO DE LA ORGANIZACIÓN USUARIOS AFECTADOS (1 DE CADA)
1-250 52
251-500 57
501-1000 30
1001-1500 56
1501-2500 36
+2501 82

TASA DE PHISHING DE CORREO ELECTRÓNICO POR PAÍS (AÑO)
PAÍS TASA DE PHISHING (1 DE CADA)
Arabia Saudita 675
Noruega 860
Países Bajos 877
Austria 1.306
Sudáfrica 1.318
Hungría 1.339
Tailandia 1.381
Taiwán 1.712
Brasil 1.873
Emiratos Árabes Unidos 2.312
Nueva Zelanda 2.446
Hong Kong 2.549
Singapur 2.857
Luxemburgo 2.860
Italia 3.048
Katar 3.170
China 3.208
Estados Unidos 3.231
Irlanda 3.321
Bélgica 3.322
Suecia 3.417
Australia 3.471
Suiza 3.627
España 3.680
Reino Unido 3.722
Omán 3.963
Papúa Nueva Guinea 4.011
Sri Lanka 4.062
Portugal 4.091
Filipinas 4.241
Canadá 4.308
PAÍS TASA DE PHISHING (1 DE CADA)
Grecia 4.311
Israel 4.472
Colombia 4.619
Malasia 4.687
Alemania 5.223
Dinamarca 5.312
México 5.389
Francia 5.598
India 5.707
Serbia 6.376
Finlandia 6.617
Japón 7.652
Corea del Sur 8.523
Polonia 9.653
TASA DE SPAM DE CORREO ELECTRÓNICO (AÑO)
TASA DE CORREO ELECTRÓNICO DE SPAM (%)
55
TASA DE SPAM DE CORREO ELECTRÓNICO (MES)
Tasa de spam (%)
54,0%
54,5%
55,0%
55,5%
56,0%
SPAM DE CORREO ELECTRÓNICO POR USUARIO (MES)
Spam por usuario
60
65
70
75
80
85

TASA DE SPAM DE CORREO ELECTRÓNICO
INDUSTRIA TASA DE SPAM DE CORREO ELECTRÓNICO (%)
Minería 58,3
Manufactura 55,1
Servicios 54,1
Construcción 53,6
SPAM DE CORREO ELECTRÓNICO
POR USUARIO POR INDUSTRIA (AÑO)
INDUSTRIA SPAM POR USUARIO
Minería 109
Construcción 103
Manufactura 79
Servicios 59
TASA DE SPAM DE CORREO ELECTRÓNICO
TAMAÑO DE LA ORGANIZACIÓN TASA DE SPAM DE CORREO ELECTRÓNICO (%)
1-250 55,9
251-500 53,6
501-1000 54,5
1001-1500 56,9
1501-2500 53,7
+2501 54,9
SPAM DE CORREO ELECTRÓNICO
POR USUARIO POR TAMAÑO DE LA ORGANIZACIÓN (AÑO)
TAMAÑO DE LA ORGANIZACIÓN SPAM POR USUARIO
1-250 55
251-500 57
501-1000 109
1001-1500 125
1501-2500 107
+2501 55
TASA DE CORREO ELECTRÓNICO DE SPAM POR PAÍS (AÑO)
PAÍS TASA DE SPAM DE CORREO ELECTRÓNICO (%)
Arabia Saudita 66,8
China 62,2
Brasil 60,8
Sri Lanka 60,6
Noruega 59,1
Omán 58,6
Suecia 58,3
México 58,1
Emiratos Árabes Unidos 58,1
Estados Unidos 57,5
Colombia 56,8
Bélgica 56,2
Serbia 55,8
Singapur 55,4
Reino Unido 54,8
Alemania 54,8
Taiwán 54,5
Austria 54,4
Finlandia 54,4
Hungría 54,4
Grecia 54,2
Israel 54,1
Dinamarca 54,1
Francia 54
Países Bajos 53,9
Australia 53,9
Nueva Zelanda 53,4
Canadá 53,4
Italia 53,4
Polonia 53,2
España 52,9
Katar 52,6
Corea del Sur 52,4
Portugal 52,1
Luxemburgo 51,4
Malasia 51,4
Tailandia 51,1
Irlanda 51
India 50,9
Sudáfrica 50,8
Suiza 50,8
Hong Kong 50,5
Papúa Nueva Guinea 50
Filipinas 49,5
Japón 48,7

MALWARE
8.000.000
7.000.000
6.000.000
5.000.000
4.000.000
3.000.000
0
US$ 50
US$ 100
US$ 150
US$ 200
US$ 250
US$ 300
US$ 350
US$ 400
US$ 450
TOTAL DE EVENTOS DE CRYPTOJACKING POR MES
VALOR DE MONERO
EL MECANISMO DE
AUTOPROPAGACIÓN
EMOTET SUBIÓ PARA
FRENTE A 4% EN 2017
Emotet continuó expandiendo agresivamente su participación de mercado en 2018,
representando el 16% de los troyanos financieros, un aumento del 4% en 2017.
Emotet también estaba siendo utilizado para difundir Qakbot, que estaba en el
séptimo lugar en la lista de troyanos financieros, con un 1,8%. de detecciones.
Ambas amenazas presentan desafíos más serios para las organizaciones debido
a su funcionalidad de auto-propagación.
El uso de scripts maliciosos de PowerShell aumentó en un 1.000% en 2018, ya que
los grupos de ataque continuaron el movimiento hacia los usos de herramientas del
día a día. Un escenario de ataque común utiliza macros de Office para llamar a un
script de PowerShell, que a su vez descarga la carga útil maliciosa. Los descargadores
de macros de Office representaron la mayoría de las detecciones del descargador,
mientras que las amenazas VBS.Downloader y JS.Downloader disminuyeron.
En 2018, también bloqueamos 69 millones de eventos de cryptojacking, cuatro
veces más que los bloqueados en 2017. Sin embargo, la actividad de cryptojacking
disminuyó en un 52% entre enero y diciembre de 2018. Esto reflejó la disminución en
los valores de criptomoneda, aunque a un ritmo menor. Por primera vez desde 2013,
el número total de infecciones por ransomware se redujo, disminuyendo en más de
20% en relación al año anterior. Sin embargo, las detecciones corporativas superaron
la tendencia, aumentando en un 12%, lo que demuestra que el ransomware sigue
siendo un problema para las empresas. En 2018 surgieron menos familias nuevas de
ransomware, lo que indica que el ransomware puede tener menos atractivo para los
ciberdelincuentes que antes.

NUEVAS VARIANTES DE MALWARE (AÑO)
AÑO NUEVAS VARIANTES VARIACIÓN PORCENTUAL
2016 357.019.453 0,5
2017 669.947.865 87,7
2018 246.002.762 -63,3
PRINCIPALES NUEVAS VARIANTES DE MALWARE (MES)
W32.Almanahe.B!infWS.Reputation.1
W32.Sality.AE
Trojan.Kotver!gm2 Heur.AdvML.CXM.Mailcab@mm W32.Ramnit!html
JS.Webcoinminer
PUA.WASMcoinminer Heur.AdvML.B
0
5.000.000
10.000.000
15.000.000
20.000.000
25.000.000
30.000.000
35.000.000
Emotet continuó expandiendo
agresivamente su participación de
mercado en 2018, representando el
16% de los troyanos financieros, un
aumento del 4% en 2017.

TOP MALWARE (AÑO)
NOMBRE DE LA AMENAZA ATAQUES BLOQUEADOS PORCENTAJE
Heur.AdvML.C 43.999.373 52,1
Heur.AdvML.B 8.373.445 9,9
BloodHound.SymVT.FP 3.193.779 3,8
JS.Webcoinminer 2.380.725 2,8
Heur.AdvML.S.N 2.300.919 2,7
W97M.Downloader 1.233.551 1,5
Packed.Dromedan!lnk 1.215.196 1,4
Hacktool 846.292 1,0
Hacktool.Kms 763.557 0,9
Trojan.Mdropper 679.248 0,8
TOP MALWARE (MES)
Heur.AdvML.CfHacktool
Packed.Dromedan!lnkHacktool.Kms
Heur.AdvML.S.N Trojan.MdropperBloodHound.SymVT.FP Heur.AdvML.B
JS.Webcoinminer W97M.Downloader
0
3.000.000
6.000.000
9.000.000
12.000.000
15.000.000
Los grupos de delitos cibernéticos,
como Mealybug y Necurs,
continuaron usando macros en los
archivos de Office como su método
preferido para propagar cargas
útiles maliciosas en 2018.

TOTAL DE MALWARE (MES)
Ataques bloqueados
0
5.000.000
10.000.000
15.000.000
20.000.000
25.000.000
TOTAL DE DESCARGADORES (MES)
Descargadores bloqueados
0
50.000
100 .000
150.000
200.000
250.000
300.000
350.000
DESCARGADORES DE MACROS DE OFFICE (MES)
0
50.000
100.000
150.000
200.000
250.000
300.000
DESCARGADORES DE JAVASCRIPT (MES)
0
30.000
60.000
90.000
120.000
150.000
DESCAGADORES VBSCRIPT (MES)
0
20.000
40.000
60.000
80.000
100.000
Si bien las amenazas
VBS.Downloader y JS.Downloader
tuvieron una tendencia descendente
en 2018, los descargadores de
macros de Office mostraron una
tendencia ascendente hacia finales
de año.

TOTAL DE MALWARE POR SISTEMA OPERATIVO (AÑO)
AÑO
SISTEMA
OPERATIVO
ATAQUES
BLOQUEADOS PORCENTAJE
2016 Windows 161.708.289 98,5
Mac 2.445.414 1,5
2017 Windows 165.639.264 97,6
Mac 4.011.252 2,4
2018 Windows 144.338.341 97,2
Mac 4.206.986 2,8
TOTAL DE MALWARE PARA MAC (MES)
Ataques bloqueados
0
100.000
200.000
300.000
400.000
500.000
NUEVAS VARIANTES DE MALWARE PARA MAC (AÑO)
AÑO VARIANTES VARIACIÓN PORCENTUAL
2016 772.018
2017 1.390.261 80,1
2018 1.398.419 0,6
PRINCIPALES NUEVAS VARIANTES DE MALWARE PARA MAC (MES)
OSX.ShlayerW97M.Downloader
SMG.Heur!gen
Miner.Jswebcoin Heur.AdvML.BWasm.Webcoinminer PUA.WASMcoinminer
JS.Nemucod
JS.Webcoinminer Bloodhound.Unknown
0
100.000
200.000
300.000
400.000
500.000

PRINCIPALES MALWARE PARA MAC (AÑO)
OSX.MacKeeper 452.858 19,6
OSX.Malcol 338.806 14,7
W97M.Downloader 262.704 11,4
OSX.Malcol.2 205.378 8,9
Heur.AdvML.B 166.572 7,2
JS.Webcoinminer 122.870 5,3
Trojan.Mdropper 77.800 3,4
OSX.Shlayer 59.197 2,6
OSX.AMCleaner!g1 49.517 2,1
JS.Downloader 40.543 1,8
PRINCIPALES MALWARE PARA MAC (MES)
OSX.MalcolTrojan.Mdropper
OSX.Shlayer
OSX.MacKeeper!gen1 JS.WebcoinminerW97M.Downloader OSX.Malcol.2
OSX.AMCleaner!g1
OSX.MacKeeper Heur.AdvML.B
0
50.000
100.000
150.000
200.000
250.000
En 2018, Symantec bloqueó
69 millones de eventos de
cryptojacking, 4 veces
más eventos que 2017.

PORCENTAJE DE MALWARE ACTIVADO POR SSL (AÑO)
AÑO PORCENTAJE DE MALWARE QUE UTILIZA SSL
2017 4,5
2018 3,9
TOTAL DE RANSOMWARE (AÑO)
AÑO TOTAL
2018 545.231
RANSOMWARE POR MERCADO (AÑO)
MERCADO TOTAL
Consumidores 100.907
Corporativo 444.259
PRINCIPALES RANSOMWARE POR PAÍS (AÑO)
PAÍS PORCENTAJE
China 16,9
India 14,3
Estados Unidos 13,0
Brasil 5,0
Portugal 3,9
México 3,5
Indonesia 2,6
Japón 2,1
Sudáfrica 2,1
Chile 1,8
RANSOMWARE POR PAÍS (MES)
JapónSudáfrica
Portugal
Indonesia ChileEstados Unidos México
China
India Brasil
0
5.000
10.000
15.000
20.000
25.000
30.000
35.000
40.000

TOTAL DE RANSOMWARE (MES)
Ransomware
0
10.000
20.000
30.000
40.000
50.000
60.000
NUEVAS VARIANTES DE RANSOMWARE (MES)
Nuevas variantes
0
5.000
10.000
15.000
20.000
25.000
NUEVAS VARIANTES DE RANSOMWARE (AÑO)
AÑO TOTAL
2018 186.972
RANSOMWARE POR MERCADO (MES)
0
10.000
20.000
30.000
40.000
50.000
Consumidores
Corporativo
NUEVAS FAMILIAS DE RANSOMWARE (AÑO)
2018201720162015
0
20
40
60
80
100
120
Familias de Ransomware
30
98
28
10
MALWARE: PRINCIPALES VARIANTES DE MINADORES DE
CRIPTOMONEDAS (MES)
ShminerXiaobaminer
XMRigminer
Linux.Coinminer CPUMinerZcashminer WASM.Webcoinminer
Coinminer
JS.Webcoinminer Bitcoinminer
0
1.000.000
2.000.000
3.000.000
4.000.000
5.000.000
6.000.000
7.000.000
8.000.000
El número total de infecciones por
ransomware cayó, disminuyendo
en más del 20% en relación
al año pasado. Sin embargo,
las detecciones corporativas
superaron la tendencia,
aumentando en un 12%, lo que
demuestra que el ransomware
sigue siendo un problema para las
empresas.

TOTAL DE CRYPTOJACKING (MES)
Cryptojacking
0
1.000.000
2.000.000
3.000.000
4.000.000
5.000.000
6.000.000
7.000.000
8.000.000
PRINCIPALES MINADORES DE CRIPTOMONEDAS (MES)
JS.WebcoinminerXMRigminer
WASM.Webcoinminer
Gyplyraminer BluwimpsZcashminer Linux.Coinminer
CPUMiner
Coinminer Bitcoinminer
0
500.000
1.000.000
1.500.000
2.000.000
2.500.000
PRINCIPALES MINADORES DE CRIPTOMONEDAS (AÑO)
JS.Webcoinminer 2.768.721 49,7
WASM.Webcoinminer 2.201.789 39,5
Bitcoinminer 414.297 7,4
Bluwimps 58.601 1,1
XMRigminer 58.301 1,0
Coinminer 38.655 0,7
Zcashminer 13.389 0,2
Gyplyraminer 5.221 0,1
CPUMiner 3.807 0,1
Linux.Coinminer 3.324 0,1
PRINCIPALES MINADORES DE CRIPTOMONEDAS
PARA MAC (MES)
NeoscryptminerXMRigminer
WASM.Webcoinminer
Linux.Coinminer CPUMinerZcashminer OSX.Coinminer
Coinminer
JS.Webcoinminer Bitcoinminer
0
30.000
60.000
90.000
120.000
150.000
MINERADORES DE CRIPTOMOEDAS POR MERCADO (MES)
0
300.000
600.000
900.000
1.200.000
1.500.000
Consumidores
Corporativo
TOTAL DE TROYANOS FINANCIEROS (MES)
Ataques bloqueados
0
1.000
2.000
3.000
4.000
5.000
6.000
7.000

PRINCIPALES TROYANOS FINANCIEROS (MES)
QakbotTrickybot
Shylock
Emotet CarberpZbot Ramnit
Cidox/Rovnix
Cridex Bebloh
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
PRINCIPALES TROYANOS FINANCIEROS (AÑO)
TROYANO FINANCIERO ATAQUES BLOQUEADOS PORCENTAJE
Ramnit 271.930 47,4
Zbot 100.821 17,6
Emotet 92.039 16,0
Cridex 31.539 5,5
Carberp 22.690 4,0
Trickybot 14.887 2,6
Qakbot 10.592 1,8
Shylock 7.354 1,3
Bebloh 5.592 1,0
Cidox/Rovnix 3.889 0,7
MALWARE CAPAZ DE IDENTIFICAR MÁQUINAS
VIRTUALES (AÑO)
2018201720162015
0
5%
10%
15%
20%
25%
15%
18%
16%
20%
Malware capaz de identiﬁcar máquinas virtuales
DETECCIONES DE POWERSHELL (MES)
MES
PORCENTAJE DE SCRIPTS
MALICIOSOS DE POWERSHELL
RELACIÓN
(1 DE CADA)
Ene 0,1 1.000
Feb 0,5 200
Mar 2,5 40
Abr 0,4 250
May 1,3 77
Jun 0,9 111
Jul 1,4 71
Ago 0,8 125
Sep 1,0 100
Oct 1,0 100
Nov 0,7 143
Dic 0,7 143
DETECCIONES DE POWERSHELL (AÑO)
AÑO
PORCENTAJE DEL
TOTAL QUE ES
MALICIOSO
RELACIÓN
(1 DE CADA)
AUMENTO DEL
PORCENTAJE DE
SCRIPTS MALICIOSOS
2017 0,9 111
2018 0,9 111 998,9
El uso de scripts maliciosos de
PowerShell aumentó en un 1.000%
en 2018, ya que los grupos de
ataque continuaron el movimiento
hacia los usos de herramientas del
día a día.

UNO
DE
CADA
DISPOSITIVOS
MÓVILES HABÍA
INSTALADO
APLICACIONES
DE ALTO RIESGO
33%
INFECCIONES POR
RANSOMWARE EN
DISPOSITIVOS
MÓVILES
AUMENTARON
DESDE 2017
DISPOSITIVOS
MÓVILES
Si bien el número total de infecciones de malware móvil disminuyó durante
2018, hubo un rápido aumento en el número de infecciones de ransomware en
dispositivos móviles, un tercio más que en 2017. EE.UU. Fue el más afectado por
el ransomware móvil, con un 63% de infecciones. Le siguieron China (13%) y
Alemania (10%).
La gestión de la seguridad de los dispositivos móviles continúa presentando
un desafío para las organizaciones. Durante 2018, uno de cada 36 dispositivos
utilizados en las organizaciones se clasificó como de alto riesgo. Esto incluía
dispositivos que estaban enraizados o liberados, junto con dispositivos que
tenían un alto grado de certeza de que se había instalado malware.

NUEVAS VARIANTES DE MALWARE
PARA DISPOSITIVOS MÓVILES (AÑO)
201820172016
0
1.000
2.000
3.000
4.000
5.000
6.000
7.000
8.000
Nuevas variantes agregadas
6.705
5.932
2.328
CIFRA DE APLICACIONES MÓVILES BLOQUEADAS (AÑO)
POR DÍA
10.573
PRINCIPALES CATEGORÍAS DE APLICACIONES MALICIOSAS
CATEGORÍAS PORCENTAJE
Herramientas 39,1
Estilo de Vida 14,9
Entretenimiento 7,3
Social & Comunicación 6,2
Música & Audio 4,3
Juegos de Memoria & Rompecabezas 4,2
Foto & Video 4,2
Juegos de Acción y Arcade 4,1
Libros y Referencia 3,2
Educación 2,6
NUEVAS FAMILIAS DE MALWARE
201820172016
0
10
20
30
40
50
60
70
80
Nuevas familias agregadas
68
50
23
CIFRA PROMEDIO MENSUAL DE RANSOMWARE
POR MES
4.675
PRINCIPALES MALWARE PARA DISPOSITIVOS MÓVILES (AÑO)
NOMBRE DE LA AMENAZA PORCENTAJE
Malapp 29,7
Fakeapp 9,1
MalDownloader 8,9
FakeInst 6,6
Mobilespy 6,3
HiddenAds 4,7
Premiumtext 4,4
MobileSpy 2,8
HiddenApp 2,5
Opfake 2,0
En 2018, Symantec bloqueó un
promedio de 10.573 aplicaciones
móviles maliciosas por día.
Herramientas (39%), Estilo de
Vida (15%), y Entretenimiento
(7%) fueron las categorías más
observadas de aplicaciones
maliciosas.

PRINCIPALES PAÍSES – MALWARE PARA DISPOSITIVOS
MÓVILES (AÑO)
Porcentaje de Malware
Alemania 3,9%
China 3%
Japón 2,8%
Rusia 2,6%
Brasil 2,3%
Holanda 2,1%
Australia 1,9%
Indonesia 1,8%
EE.UU.
24,7%
India
23,6%
Otros
31,3%
DISPOSITIVOS CON ACCESO ROOT O DESBLOQUEADOS (AÑO)
SEGMENTO RELACIÓN (1 DE CADA)
Consumidores Android 23
Corporativo Android 3.890
Consumidores iOS 828
Corporativo iOS 4.951
DISPOSITIVOS MÓVILES PROTEGIDOS POR CONTRASEÑA
POR SEGMENTO (AÑO)
SEGMENTO PORCENTAJE
Consumidores 97,9
Corporativo 98,4
DURACIÓN DE LA EXPOSICIÓN A LAS AMENAZAS
DE LA RED PARA DISPOSITIVOS MÓVILES (AÑO)
DISPOSITIVOS EXPUESTOS A ATAQUES DE RED PORCENTAJE
Después de 1 mes
(de dispositivos creados 1-4 meses atrás)
15,1
Después de 2 meses
(de dispositivos creados 25 meses atrás)
21,8
Después de 3 meses
27,4
Después de 4 meses
32,2
DISPOSITIVOS QUE NO POSEEN CIFRADO (AÑO)
SEGMENTO PORCENTAJE
Consumidores 13,4
Corporativo 10,5
NIVELES DE RIESGO DE DISPOSITIVOS (AÑO)
NIVEL DE RIESGO DE DISPOSITIVOS RELACIÓN (1 DE CADA)
Mínimo 2
Bajo 4
Medio 4
Alto
(incluido los dispositivos con acceso root/desbloqueados/
que cieramente poseen instancias de malware instaladas)
36
DISPOSITIVOS EJECUTANDO LA VERSIÓN MÁS RECIENTE
DE ANDROID (AÑO)
Otros 76,3%
Versión
principal
más reciente
18,6%
Versión
incremental
más reciente
5,1%
Todas las
nuevas versiones
del Android
23,7%
DISPOSITIVOS EJECUTANDO LA VERSIÓN MÁS RECIENTE
DE IOS (AÑO)
Versión principal
más reciente
48,6%
Todas las nuevas versiones del iOS 78,3%
Otros
21,7%
Versión incremental
más reciente
29,7%

PROPORCIÓN DE APLICACIONES QUE ACCEDEN A DATOS DE
ALTO RIESGO (AÑO)
AÑO
APLICACIONES QUE
ACCEDEN A DATOS DE
ALTO RIESGO (%)
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 7,2 13,9
2017 8,9 11,3 1,7
2018 6,9 14,5 -2
PROPORCIÓN DE APLICACIONES QUE CONTIENEN
CREDENCIALES CODIFICADAS INTERNAMENTE (AÑO)
AÑO
APPLICACIONES QUE CONTIENEN
CREDENCIALES CODIFICADAS
INTERNAMENTE (%)
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 0,8 124,5
2017 1,1 91,0 0,3
2018 1,0 99,1 -0,1
PROPORCIÓN DE APLICACIONES QUE UTILIZAN
HOT PATCHING (AÑO)
AÑO
RIESGO DE
APLICACIONES
QUE UTILIZAN
HOT PATCHING (%)
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 0,7 142,1
2017 0,35 285,1 -0,35
2018 0,01 7.146 -0,34
PROPORCIÓN DE APLICACIONES QUE ACCEDEN A DATOS DE
SALUD (AÑO)
AÑO
APLICACIONES QUE
ACCEDAN A DATOS
DE SALUD (%)
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 0,2 427,3
2017 1,7 57,6 1,5
2018 2,2 46,3 0,5
PROPORCIÓN DE APLICACIONES QUE UTILIZAN PUBLICIDAD
INVASIVA (AÑO)
AÑO
PORCENTAJE DE
APLICACIONES QUE
UTILIZAN PUBLICIDAD
INVASIVA (%)
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 19,4 5,2
2017 30,5 3,3 11,1
2018 26,4 3,8 -4,1
PORCENTAJE DE ORGANIZACIONES AFECTADAS POR
APLICACIONES QUE ACCEDEN A DATOS DE SALUD (AÑO)
AÑO
ORGANIZACIONES CON
1+ APLICACIONES:
DATOS DE SALUD (%)
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 27,6 3,6
2017 44,9 2,2 17,3
2018 39,0 2,6 -5,9
El porcentaje de aplicaciones
móviles que emplean técnicas
publicitarias invasivas disminuyó.
Habiendo permanecido estable en
30% en 2017, cayó a 26% en 2018.

PORCENTAJE DE ORGANIZACIONES AFECTADAS
POR APLICACIONES QUE ACCEDEN A DATOS
DE ALTO RIESGO (AÑO)
AÑO
PORCENTAJE DE
ORGANIZACIONES
ENCONTRADAS CON
APLICACIONES QUE ACCEDEN A
DATOS DE ALTO RIESGO
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 63 1,6
2017 54,6 1,8 -8,4
2018 46 2,2 -8,6
APLICACIONES QUE CONTIENEN CREDENCIALES
CODIFICADAS INTERNAMENTE (AÑO)
AÑO
PORCENTAJE DE
ORGANIZACIONES AFECTADAS
POR APLICACIONES QUE
CONTIENEN CREDENCIALES
CODIFICADAS INTERNAMENTE
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 47,3 2,1
2017 42,9 2,3 -4,4
2018 34,3 2,9 -8,6
APLICACIONES QUE UTILIZAN HOT PATCHING (AÑO)
AÑO
PORCENTAJE DE
POR APLICACIONES QUE UTILIZAN
HOT PATCHING
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 31,3 3,2
2017 11,7 8,5 -19,6
2018 6,8 14,7 -4,9
APLICACIONES QUE UTILIZAN PUBLICIDAD INVASIVA (AÑO)
AÑO
PORCENTAJE DE
POR APLICACIONES QUE
UTILIZAN PUBLICIDAD INVASIVA
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2016 19,4 5,2
2017 30,5 3,3 11,1
2018 26,4 3,8 -4,1
PRINCIPALES PAÍSES – RANSOMWARE PARA DISPOSITIVOS
MÓVILES (AÑO)
EE.UU.
63,2%China
13,4%
Alemania
10,4%
Japón 3,4%
India 2,4%
Canadá 1,5%
Reino Unido 0,8%
Noruega 0,6%
Holanda 0,6%
Austria 0,6%
Otros 3,1%
PRINCIPALES RANSOMWARE PARA DISPOSITIVOS
MÓVILES (AÑO)
Simplocker 59,3
Lockdroid.E 26,2
LockScreen 7,1
Simplocker.B 2,8
Ransomware 2,7
Ransomeware 1,0
Lockdroid.F 0,7
Android.WannaLocker <0,1
WannaLocker <0,1
Lockdroid.G <0,1
Hubo un marcado aumento en
el número de infecciones de
ransomware en dispositivos
móviles durante 2018, un tercio en
comparación con 2017.

NÚMERO DE INSTANCIAS BLOQUEADAS POR MALWARE
PARA DISPOSITIVOS MÓVILES (MES)
0
2.000
4.000
6.000
8.000
10.000
12.000
Malware por mes
NÚMERO DE INSTANCIAS BLOQUEADAS POR RANSOMWARE
PARA DISPOSITIVOS MÓVILES (MES)
0
50
100
150
200
250
300
350
400
Ransomware por día
Si bien el total anual de infecciones de malware en
dispositivos móviles cayó en 2018, los números de
infecciones comenzaron a aumentar nuevamente
durante el cuarto trimestre del año.

DICNOVOCTSEPAGOJULJUNMAYABRMARFEBENE
200,000
400,000
600,000
800,000
1,000,000
1,200,000
1,400,000
ATAQUES WEB
1.362.990
4o
TRI
1.122.229
2o
TRI
551.117
3o
TRI
697.187
1o
TRI
En 2018, 1 de cada 10 URL analizadas se identificaron como maliciosas, en comparación con
1 de cada 16 en 2017. Además, a pesar de un descenso en la actividad del kit de explotación,
los ataques web generales en los endpoints aumentaron en un 56% en 2018. En diciembre,
Symantec bloqueó cada día más de 1.3 millones de ataques web únicos en dispositivos de
endpoints.
Formjacking fue una de las mayores tendencias de seguridad cibernética del año, con un
promedio de 4.800 sitios web comprometidos con el código de formjacking todos los meses
en 2018. Formjacking es el uso de código JavaScript malicioso para robar los detalles de las
tarjetas de pago y otra información de
formularios en las páginas web de pago
de los sitios de comercio electrónico, y
en total Symantec bloqueó 3.7 millones
de intentos de secuestro de formularios
en dispositivos de endpoint en 2018.
Más de un tercio de la actividad de
formjacking tuvo lugar en el último
trimestre de 2018, con 1.36 millones de
intentos de formjacking bloqueados solo
en ese período.
FORMJACKING POR TRIMESTRE
ACTIVIDAD DE FORMJACKING
Más de un tercio de la actividad de formjacking
tuvo lugar en el último trimestre de 2018.
FORMJACKING POR MES

ATAQUES WEB (AÑO)
TOTAL DE ATAQUES WEB BLOQUEADOS
PROMEDIO DE ATAQUES WEB
BLOQUEADOS POR DÍA
348.136.985 953.800
ATAQUES WEB (MES)
0
10.000.000
20.000.000
30.000.000
40.000.000
50.000.000
Ataques Web por mes
ATAQUES WEB (DÍA)
0
300.000
600.000
900.000
1.200.000
1.500.000
Ataques Web por día
PRINCIPALES CATEGORÍAS DE SITIOS WEB
COMPROMETIDOS (AÑO)
CATEGORÍAS DE
DOMINIO 2017 (%) 2018 (%)
DIFERENCIA
PORCENTUAL
DNS Dinámico 15,7 16,6 0,8
Apuestas 7,9 16,3 8,4
Alojamiento 8,2 8,7 0,5
Tecnología 13,6 8,1 -5,5
Compras 4,6 8,1 3,6
Negocios 9,0 7,2 -1,7
Pornografia 3,2 5,2 2,1
Salud 5,7 4,5 -1,2
Educación 3,7 3,9 0,2
Red de Entrega de
Contenido
2,1 2,6 0,6
URLS MALICIOSAS (AÑO)
AÑO
PORCENTAJE
DO TOTAL
RELACIÓN
(1 DE CADA)
DIFERENCIA
PORCENTUAL
2017 6,4 16
2018 9,9 10 3,4
URLS DE BOTNET (AÑO)
AÑO
PORCENTAJE
DE TODAS
LAS URLS
RELACIÓN
(1 DE CADA)
PORCENTAJE
DE TODAS
LAS URLS
MALICIOSAS
RELACIÓN
(1 DE CADA)
VARIACIÓN
PORCENTUAL
DIFERENCIA
PORCENTUAL
2017 1,2 85 18,2 5
2018 1,8 54 18,7 5 57,6 0,7
URLS DE PHISHING (AÑO)
AÑO
PORCENTAJE
DE TODAS
LAS URLS
RELACIÓN
(1 DE CADA)
PORCENTAJE
DE TODAS
LAS URLS
MALICIOSAS
RELACIÓN
(1 DE CADA)
VARIACIÓN
PORCENTUAL
DIFERENCIA
PORCENTUAL
2017 0,4 235 6,6 15
2018 0,6 170 5,9 17 38,1 0,2
ATAQUES DE FORMJACKING (AÑO)
AÑO ATAQUES DE FORMJACKING
2018 3.733.523
ATAQUES DE FORMJACKING (MES)
0
100.000
200.000
300.000
400.000
500.000
600.000
Ataques de Formjacking
PROMEDIO DE SITIOS WEB ATACADOS
POR FORMJACKING WEBSITES (MES)
AÑO PROMEDIO DE SITIOS WEB POR MES
2018 4.818

49
2016 2017
5
4
ATAQUES DIRIGIDOS
2015-2017: PROMEDIO DE 42 ORGANIZACIONES
ESTABLECIDAS COMO VÍCTIMAS POR GRUPO
(LOS 20 GRUPOS MÁS ACTIVOS)
INDICES DE ESPIONAJE POR
LAS AUTORIDADES DE EE.UU.
SPEAR PHISHING RECOPILACIÓN DE INTELIGENCIA
2016-2018: PROMEDIO DE 55 ORGANIZACIONES
ESTABLECIDAS COMO VÍCTIMAS POR GRUPO
(LOS 20 GRUPOS MÁS ACTIVOS)
8%
de los grupos
utilizan
malware
destructivo
23%
de los gupos
utilizan
vulnerabilidades
de día cero
2018
CHINA
RUSSIA
IRÁN
COREA DEL NORTE
Si bien el número total de ataques dirigidos disminuyó un poco el año pasado, los grupos
más activos incrementaron su actividad, atacando a un promedio de 55 organizaciones en
los últimos tres años, un aumento de 42 entre 2015 y 2017. Los correos electrónicos de
phishing fueron la vía más popular para el ataque y fueron utilizados por el 65% de todos los
grupos conocidos. La razón más probable para que una organización experimente un ataque
dirigido fue la recopilación de inteligencia, que es el motivo para el 96% de los grupos.
Junto con el aumento en la popularidad de los usos de herramientas del día a día, el uso de
vulnerabilidades de día cero disminuyó en 2018, con solo el 23% de los grupos conocidos
aplicando exploits de día cero, frente al 27% en 2017. Aunque todavía es un área de nicho,
el uso de instancias de malware destructivo continuó creciendo. Se sabe que el 8% de los
grupos utiliza herramientas destructivas, un aumento del 25% con respecto a 2017.
65%
de los grupos utilizaron
spear phishing como vector
principal de infección
96%
de la motivación principal de
los grupos continúa siendo la
recopilación de inteligencia
19
18
11
1

GRUPOS DE ATAQUES DIRIGIDOS CONOCIDOS (AÑO)
201820172016
0
50
100
150
200
Total de grupos conocidos
116
137
155
GRUPOS DE ATAQUES DIRIGIDOS EXPUESTOS
POR SYMANTEC (AÑO)
2018201720162015201420132012201120102009
0
1
2
3
4
5
6
7
8
Número de grupo
MOTIVOS DE LOS GRUPOS DE ATAQUES DIRIGIDOS
CONOCIDOS (HISTORIAL)
InteligenciaDisruptivoFinanciero
0
20%
40%
60%
80%
100%
Porcentaje de grupos
96%
10%
6%
MOTIVOS POR GRUPO DE ATAQUE DIRIGIDO (HISTORIAL)
123
0
20%
40%
60%
80%
100%
Motivos por grupo
89%
10%
1%
La razón más probable para que
una organización experimente un
ataque dirigido fue la recopilación
de inteligencia, que es el motivo
para el 96% de los grupos.

VECTORES DE INFECCIÓN DE LOS GRUPOS DE ATAQUE
DIRIGIDO (HISTORIAL)
Spear phishing
de correos
electrónicos
Sitios web de
watering hole
Actualizaciones
de software
con Troyano
Exploits de
servidores web
Dispositivos de
almacenamiento
de datos
0
10%
20%
30%
40%
50%
60%
70%
80%
65%
23%
5%
1% 2%
VECTORES DE INFECCIÓN POR GRUPO
DE ATAQUE DIRIGIDO (HISTORIAL)
Tres VectoresDos VectoresUn VectorVector Desconocido
0
10%
20%
30%
40%
50%
60%
4%
15%
27%
54%
PRINCIPALES PAÍSES AFECTADOS POR GRUPOS DE ATAQUE
DIRIGIDO (2016-2018)
PAÍS ATAQUES
Estados Unidos 255
India 128
Japón 69
China 44
Perú 43
Arabia Saudita 42
Corea del Sur 40
Taiwán 37
Emiratos Árabes Unidos 30
Pakistán 28
NÚMERO DE ORGANIZACIONES AFECTADAS
POR ATAQUES DIRIGIDOS (AÑO)
201820172016
0
100
200
300
400
500
600
455
388
582
Organizaciones
Los correos electrónicos de spear-
phishing siguieron siendo la vía
más popular para el ataque y
fueron utilizados por el 65% de
todos los grupos conocidos.

NÚMERO DE HERRAMIENTAS UTILIZADAS POR
LOS 20 GRUPOS MÁS ACTIVOS (2016-2018)
MÍNIMO MÁXIMO PROMEDIO
1 18 5
NÚMERO PROMEDIO DE ORGANIZACIONES AFECTADAS
POR LOS 20 GRUPOS MÁS ACTIVOS (2016-2018)
2016-2018
55
PORCENTAJE DE GRUPOS CONOCIDOS POR EL USO DE
VULNERABILIDADES DE DÍA CERO (HISTORIAL)
Sí
No
77%
23%
PORCENTAJE DE LOS GRUPOS CONOCIDOS POR EL USO DE
MALWARE DESTRUCTIVO (HISTORIAL)
Sí
No
92%
8%
TOTAL DE ACUSACIONES POR LAS AUTORIDADES DE
ESTADOS UNIDOS (AÑO)
201820172016
0
10
20
30
40
50
60
49
5 4
Número de personas acusadas
ACUSACIONES POR LAS AUTORIDADES DE
ESTADOS UNIDOS POR PAÍS (AÑO)
Corea del NorteSiria
Irán
Rusia China
0
10
20
30
40
50
201820172016
Si bien todavía es un área de nicho,
el uso de malware destructivo
continuó creciendo. Se sabe
que el 8% de los grupos utiliza
herramientas destructivas, un
aumento del 6% a finales de 2017.

IoT
REPRESENTANDO
MÁS DEL 90%
DE TODAS LAS ACTIVIDADES
FUERON
, LA
PRINCIPAL FUENTE DE ATAQUE
S
DE
IOT
LOSENRU
TADORES Y LAS CÁMARAS CO
NECTADAS
LOS DISPOSITIVOS IOT SUFREN UN PROMEDIO DE 5.200 ATAQUES POR MES
LASCÁMARAS
CO
N
ECTADAS REPRESENTARON EL 15% DE LOS ATAQUES, FREN
T
E
AL
3.5%
EN2017.
Después de un aumento masivo en los ataques de
Internet de las cosas (IoT) en 2017, la cifra de ataques
se estabilizó en 2018, cuando la cantidad de ataques
promedió 5.200 por mes contra el honeypot IoT de
Symantec. Los enrutadores y las cámaras conectadas
fueron, sin lugar a dudas, la principal fuente de ataques
de IoT, representando más del 90% de todos los ataques
en el honeypot. La proporción de cámaras infectadas
utilizadas en ataques aumentó considerablemente
durante 2018. Las cámaras conectadas representaron el
15% de los ataques, frente al 3,5% en 2017. Los grupos
de ataque también se enfocaron cada vez más en Telnet
como una vía para el ataque. Telnet representó más del
90% de los intentos de ataques en 2018, un salto del
50% en 2017.

PRINCIPALES PAÍSES DE ORIGEN PARA ATAQUES A IoT (AÑO)
PAÍS PORCENTAJE
China 24,0
Estados Unidos 10,1
Brasil 9,8
Rusia 5,7
México 4,0
Japón 3,7
Vietnam 3,5
Corea del Sur 3,2
Perú 2,6
Italia 1,9
PRINCIPALES NOMBRES DE USUARIO
UTILIZADOS EN ATAQUES A IoT (AÑO)
NOMBRES DE USUARIO PORCENTAJE
root 38,1
admin 22,8
enable 4,5
shell 4,2
sh 1,9
[BLANK] 1,7
system 1,1
enable 0,9
>/var/tmp/.ptmx && cd /var/tmp/ 0,9
>/var/.ptmx && cd /var/ 0,9
PRINCIPALES CONTRASEÑAS UTILIZADAS
EN ATAQUES A IoT (AÑO)
CONTRASEÑA PORCENTAJE
123456 24,6
[BLANK] 17,0
system 4,3
sh 4,0
shell 1,9
admin 1,3
1234 1,0
password 1,0
enable 1,0
12345 0,9
PRINCIPALES AMENAZAS A IoT (AÑO)
Linux.Lightaidra 31,3
Linux.Kaiten 31,0
Linux.Mirai 15,9
Trojan.Gen.2 8,5
Downloader.Trojan 3,2
Trojan.Gen.NPE 2,8
Linux.Mirai!g1 1,9
Linux.Gafgyt 1,7
Linux.Amnesiark 1,1
Trojan.Gen.NPE.2 0,8
El famoso gusano de denegación de
servicio (DDoS) de Mirai continuó
siendo una amenaza activa y, con el
16 % de los ataques, fue la tercera
amenaza más común de IoT en
2018.

PRINCIPALES PROTOCOLOS ATACADOS
POR AMENAZAS DE IoT (AÑO)
SERVICIO ESTABLECIDO COMO OBJETIVO PORCENTAJE
telnet 90,9
http 6,6
https 1,0
smb 0,8
ssh 0,6
ftp <0,1
snmp <0,1
cwmp <0,1
upnp <0,1
modbus <0,1
PRINCIPALES PUERTOS ATACADOS
POR AMENAZAS DE IoT (AÑO)
NÚMERO DEL PUERTO TCP SERVICIO PORCENTAJE
23 Telnet 85,0
80 World Wide Web HTTP 6,5
2323 Telnet (alternativo) 5,8
443 HTTP sobre TLS/SSL 1,0
445 Servicios de Directorio Microsoft 0,8
22 Protocolo Secure Shell (SSH) 0,6
8080 HTTP (alternativo) 0,1
2223 Rockwell CSP2 <0,1
2222 Protocolo Secure Shell (SSH) (alternativo) <0,1
21
Protocolo de transferencia
de archivos [control]
<0,1
PRINCIPALES TIPOS DE DISPOSITIVOS UTILIZADOS
EN ATAQUES DE IoT (AÑO)
TIPO DE DISPOSITIVO PORCENTAJE
Enrutador 75,2
Cámara conectada 15,2
Dispositivo multimedia 5,4
Firewall 2,1
Sistema telefónico PBX 0,6
NAS (Network Attached Storage) 0,6
Teléfono VoIP 0,2
Impresora 0,2
Sistema de Alarma 0,2
Adaptador VoIP 0,1
ATAQUES CONTRA DISPOSITIVOS DE IoT (AÑO)
AÑO TOTAL DE ATAQUES VARIACIÓN PORCENTUAL
2017 57.691
2018 57.553 -0,2
PROMEDIO DE ATAQUES CONTRA DISPOSITIVOS DE IoT (MES)
POR MES
5.233
Los enrutadores y las cámaras
conectadas fueron los dispositivos
más infectados y representaron
el 75% y el 15% de los ataques,
respectivamente.

US$ 0,50–45
US$ 1–35
US$ 0,10–35
US$ 15–25
US$ 0,50–99
US$ 1–100
US$ 0,50–25
US$ 1–20
US$ 0,50–12
US$ 0,10–10
US$ 0,10–2
CUENTAS
Tarjetas de regalo de restaurante
Tarjetas de regalo de minoristas online
Cuentas bancarias online (dependiendo del valor y verificación)
Cuenta de proxy Socks
Cuentas de streaming de video y música
Cuenta de servicios en la nube
Cuenta de plataforma de juegos
Cuentas de correos electrónicos hakeadas (2.500)
Servicios de VPN
Cuentas de programa de fidelidad (recompensa de hoteles con 100.000 puntos)
Diversos servicios (más de 120 cuentas diferentes)
Credenciales de usuario de RDP
Cuenta de sitios web de compras
Cuentas de pago online (dependiendo del valor y verificación)
IDENTIDADES
Identidad robada o falsa (nombre, SSN/DNI, y fecha de nacimient)
Anotaciones y prescripciones médica
Cuenta online de teléfono celular
Registros médicos robados
Modelos o digitalizaciones de identidad/pasaporte
Documentos digitalizados (cuenta de energía eléctrica, etc.)
Paquetes completos de identidad
(nombre,dirección, teléfono, SSN/DNI, correo electrónico, cuenta bancaria, etc.)
15–40% del valor
15–50% del valor
0,5%–10% del valor
US$ 1–15
US$ 10–20
US$ 3–30
US$ 30–100
US$ 5–10
US$ 15–20
100 20 30 40 50 60 70 80 90 100 110 120
US$ 0,10–1,50
ECONOMÍA CLANDESTINA

US$ 0–250
US$ 10–200
US$ 4–60
US$ 50–220
US$ 70–240
IDENTIDADES (CONTINUACIÓN)
Tarjetas de identidad falsas de plan de salud
Buzón de recolección de encomiendas para entrega
Identidad, carnet de conducir, pasaporte falso, etc.
SERVICIOS DE TRANSFERENCIA MONETARIA
Servicio de redireccionamiento de dinero para cuentas bancarias
Servicio de redireccionamiento de dinero hacia plataformas online
Pague US$ en Bitcoin y reciba una transferencia de US$ 1.000,00
Servicio de redireccionamiento de dinero hacia cuentas bancarias
MALWARE
Generador de descargador de macro de Office
Software bot DDoS
Spyware
Malware de robo de criptomonedas
Minería de criptomonedas (ej. Monero)
Toolkit de Ransomware
Toolkit común de Troyano bancario con soporte
0,1–15% del valor
1–5% del valor
US$ 100
5–20% del valor
US$ 1–15
US$ 3–50
US$ 5–10
US$ 10–1.500
US$ 25–5.000
10
100
0
0
20
200
30
300
40
1000
50
1500
60
2000
70
2500
80
3000
90
3500
100 110 120
4000 4500 5000

US$ 2–6
US$ 0,10–3
US$ 5–60
US$ 0,50–20
US$ 10–1,000
US$ 3–12
US$ 200–250
SERVICIOS
Pasajes aéreos y reservas de hotel
Servicio de lavado de dinero (en efectivo o en criptomonedas)
Servicio de saque (cuenta bancaria, tarjeta de cajero automático e identificación falsa)
Contratação de hacker
Hacker de alquiler Servicio de phishing personalizado
Servicio DDoS, corta duración <1 hora (objetivos protegidos medios)
Servicio DDoS, duración >24 horas (objetivos protegidos medios y fuertes)
TARJETAS DE PAGO
Tarjeta única de crédito
Tarjeta única de crédito con detalles completos (fullz)
Datos de la banda magnética 1/2
(ej.: a través de skimming)
REDES SOCIALES
100 me gusta en las plataformas de redes sociales
500 seguidores en redes sociales
100.000 visualizaciones de videos en las redes sociales
10% del valor
4–40%
US$ 350
US$ 100+
US$ 5–20
10
100
0
0
20
200
30
300
40
1000
50
1500
60
2000
70
2500
80
3000
90
3500
100 110 120
4000 4500 5000
US$ 1–45

ISTR 24 | Febrero 2019 Metodología 59Índice
Symantec ha creado la red civil de recolección de amenazas más
grande del mundo y una de las recopilaciones más completas de
inteligencia de amenazas de ciberseguridad, a través de la Red
de Inteligencia Global de Symantec (GIN).
La Red de Inteligencia Global de Symantec comprende más
de 123 millones de sensores de ataque, registra miles de
eventos de amenazas por segundo y contiene más de 9
petabytes de datos de amenazas de seguridad. Esta red
también supervisa las actividades de amenazas para más de
300,000 empresas y organizaciones en todo el mundo que
dependen de Symantec para su protección. La telemetría de
toda la cartera de protección contra amenazas de Symantec
ayuda a nuestros 3.800 investigadores e ingenieros de
ciberseguridad a identificar las principales tendencias que
configuran el panorama de amenazas.
Los análisis de spam, phishing y tendencias de malware
de correo electrónico se recopilan de una variedad de
tecnologías de seguridad de correo electrónico de Symantec
que procesan más de 2.4 mil millones de correos electrónicos
cada día, que incluyen: Symantec Messaging Gateway for
Service Providers, Symantec Email Security.cloud, Symantec
Advanced Threat Protection for Email, Symantec CloudSOC™
y Symantec Probe Network. Symantec también recopila
información sobre suplantación de identidad a través de una
extensa comunidad antifraude de empresas, proveedores de
seguridad y partners.
Al filtrar más de 322 millones de correos electrónicos y
más de 1,5 mil millones de solicitudes web cada día, la
tecnología patentada Skeptic™ de Symantec respalda los
servicios de Symantec Email and Web Security. cloud™,
que utilizan el aprendizaje automático avanzado, el análisis
del tráfico de la red y el análisis del comportamiento para
detectar incluso las amenazas más sigilosas y persistentes.
Además, la solución Advanced Threat Protection for Email
identifica los ataques avanzaddos para correo electrónico al
agregar sandboxing basado en la nube, protección adicional
contra phishing y capacidades únicas de identificación de
ataques dirigidos.
Miles de millones de URL se procesan y analizan cada mes
con las soluciones de Secure Web Gateway de Symantec,
que incluyen ProxySG™, Advanced Secure Gateway (ASG)
y Web Security Solution (WSS), todas basadas en nuestra
tecnología y contenido de WebPulse Collaborative Defense
en tiempo real. Esas soluciones identifican y protegen
contra cargas útiles maliciosas y controlan el contenido
sensible basado en la web.
La inteligencia de amenazas móviles, proporcionada por
Symantec Endpoint Protection Mobile (SEPM), se utiliza para
predecir, detectar y proteger contra la gama más amplia de
amenazas existentes y desconocidas. La tecnología predictiva
de SEPM utiliza un enfoque en capas que aprovecha la
inteligencia masiva de amenazas de múltiples proveedores,
además del análisis basado en el dispositivo y en el servidor,
para proteger de forma proactiva los dispositivos móviles
del malware, las amenazas de red y las vulnerabilidades de
aplicaciones y sistemas operativos. Así mismo, la tecnología
móvil de Appthority, junto con SEPM, ofrece la capacidad
de analizar aplicaciones móviles tanto para capacidades
maliciosas como para comportamientos no seguros y no
deseados, como vulnerabilidades, riesgo de pérdida de datos
confidenciales y acciones invasivas de privacidad.
Estos recursos brindan a los analistas de Symantec fuentes
de datos inigualables con las cuales identificar, analizar
y proporcionar comentarios actualizados acerca de las
tendencias emergentes en los ataques cibernéticos, la
actividad de códigos maliciosos, phishing y el correo no
deseado. El resultado es el Informe sobre las Amenazas para
la Seguridad en Internet de Symantec™, que brinda a las
empresas, pequeños negocios y consumidores información
esencial para ayudar a proteger sus sistemas de manera
efectiva ahora y en el futuro.
METODOLOGÍA

CRÉDITOS
Colaboradores
Alan Neville
Alex Shehk
Brian Duckering
Chris Larsen
Christian Tripputi
Dennis Tan
Gavin O’Gorman
Parveen Vashishtha
Pierre-Antoine Vervier
Pravin Bange
Robert Keith
Sean Kiernan
Sebastian Zatorski
Seth Hardy
Shashank Srivastava
Shaun Aimoto
Siddhesh Chandrayan
Tor Skaar
Tyler Anderson
Yun Shen
Equipo
Brigid O’Gorman
Candid Wueest
Dick O’Brien
Gillian Cleary
Hon Lau
John-Paul Power
Mayee Corpin
Orla Cox
Paul Wood
Scott Wallace

02/19
Sede Mundial de
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
EE.UU.
+1 650 527–8000
+1 800 721–3934
Symantec.com
Para escritorios regionales,
números de contacto
específicos por favor visite
nuestro sitio web. Para
información acerca del
producto en EE.UU. llame gratis
al 1 (800) 7456054.
Copyright © 2019
Symantec Corporation.
Todos los derechos
reservados. Symantec, el
logotipo de Symantec y el
logotipo de Checkmark son
marcas comerciales o marcas
comerciales registradas
de Symantec Corporation
o sus afiliados en Estados
Unidos y otros países. Otros
nombres pueden ser marcas
registradas de sus respectivos
propietarios.

Informe sobre las amenazas para la seguridad en internet de symantec 2019

Recomendados

Recomendados

Más contenido relacionado

Similar a Informe sobre las amenazas para la seguridad en internet de symantec 2019

Similar a Informe sobre las amenazas para la seguridad en internet de symantec 2019 (20)

Más de Yesith Valencia

Más de Yesith Valencia (20)

Último

Último (20)

Informe sobre las amenazas para la seguridad en internet de symantec 2019