Es interesante notar que por lo menos un tercio de los programas de código malicioso más proliferados en la región son las amenazas del “día 0”, que sólo se pueden detectar con buenos sistemas heurísticos y no con tecnologías estándares, clásicas como la detección por las firmas.
En la cima siguen las amenazas antiguas que circulan “in-the-wild” desde hace más de dos años. Nos referimos al gusano Kido y sus variantes. El hecho de que este gusano aún se encuentre entre las amenazas más comunes y que entre sus medios de propagación están los dispositivos USB, los recursos compartidos en la red local y las vulnerabilidades, nos hace pensar que en América Latina aún queda mucho por hacer en cuanto a los sistemas de gestión de seguridad.
Vale la pena mencionar que al parecer los dispositivos USB son el principal medio de infecciones en América Latina. El Top 20 lo confirma, pues los virus como Sality, Autoit, VBNA y Virut se propagan a través de este medio.
El programa no deseado y llamado HackTool.Win32.Kiser.zv, que se encuentra en el noveno lugar, es un crack que permite resetear el tiempo de prueba de los productos de Kaspersky. Esto significa que los índices de la piratería en la región son aún muy altos. Aquí no sólo están involucrados los aspectos legales ya que en muchos casos las infecciones de malware se dan por no tener productos licenciados y, a su vez, no actualizados. Debido a que las actualizaciones por lo general son disponibles para los productos con licencias válidas, las vulnerabilidades en las aplicaciones desactualizadas les dan a los criminales cibernéticos grandes ventajas para infecciones fáciles.
Entre otras amenazas se podría mencionar la presencia de los Anti-virus falsos (Rogue o Fake AV) y también troyanos del tipo Downloader que van acompañados de troyanos del tipo Banker que roban información bancaria de las víctimas y luego su dinero.
Víctimas por ubicación geográfica
Las posiciones número 1 y 2 (gráfica) son explicables ya que estos son países con mayor población y una alta penetración de Internet. Sin embargo, el que Venezuela esté en el tercer lugar sorprende. Lo mismo se puede decir para Colombia que está en el cuarto lugar.
Si recordamos el cierre viral del 2010 y comparamos los resultados, se podrá ver que Brasil se movió al primer lugar por la cantidad de ataques, mientras que Venezuela hizo lo mismo. La cantidad de ataques registrados puede ser relacionada con los índices del crecimiento del crimen cibernético. Lo decimos porque hoy en día la inmensa mayoría de los programas de código malicioso es orientada a robar dinero o delinquir de alguna manera para que traiga beneficios económicos ilícitos a los criminales que están detrás de los ataques. El hecho de que algunos países que cuentan con tecnologías desarrolladas no aparezcan en el Top5 puede indicar que estos realizan un mayor esfuerzo en términos de aplicar leyes que son efectivas para combatir este tipo de ataques (Chile como ejemplo particular).
Comparando con 2010 los principales países que siguen hospedando la mayor cantidad de programas de código malicioso siguen siendo Brasil y Panamá. Sin embargo, se puede notar que Paraguay se ha movido del tercer lugar al puesto 13. Esto indica que a nivel interno de alguna manera se tomaron medidas prácticas para mitigar la situación y eliminar cuentas Web utilizadas para hospedar malware. Es probable que se hayan tomado algunas acciones adicionales y como resultado notamos un descenso drástico de Paraguay.
Vulnerabilidades comunes
En América Latina aún no se piensa, ni se actúa de manera general frente a las vulnerabilidades y sus parches. La piratería es uno de los factores, mientras que la cultura es otro aspecto importante.
La vulnerabilidad más común y número uno encontrada en las máquinas de la región es 41340 (clasificación de acuerdo a Secunia) que pertenece a Adobe Reader. Los criminales pueden explotarla y obtener acceso al sistema de forma remota. Lo interesante es que esta vulnerabilidad fue descubierta en septiembre del 2010 y sin embargo, al pasar seis meses muchos usuarios aún no han instalado parches correspondientes.
En el segundo lugar está la 41917 que pertenece a la aplicación Adobe Flash Player. También descubierta en octubre de 2010 y aún hay muchos usuarios que no han tomados medidas necesarias para parcharla. Al explotar esta vulnerabilidad, criminales podrían de forma remota obtener acceso al sistema, información confidencial y a la vez pasar sin ser detectados por los propios mecanismos de seguridad del sistema operativo.
En el tercer lugar se encuentra la 43262 que corresponde a Sun Java y que permite que criminales comprometan el sistema traspasando la seguridad, generen ataques de denegación de servicio hacia la máquina comprometida y además brinden acceso no autorizado a la información confidencial del usuario.
Capas de los ataques
¿Dónde sucede la mayor cantidad de los ataques? ¿Será a través del E-mail, la Web o en el sistema de archivos de la computadora del usuario? La mayor cantidad de ataques suceden en la máquina del usuario al utilizar los dispositivos USB o al conectarse a otros recursos. Sin embargo, es interesante que 43 por ciento de los incidentes está relacionado con los ataques desde los servidores Web.
Los criminales hace mucho entendieron que la Web es el mejor vector de los ataques ya que siempre está disponible y además puede ser utilizada por cualquier usuario desde cualquier parte del mundo. Para este fin los criminales se han esforzado no sólo creando sitios Web maliciosos a través del registro de los dominios desechables sino que además por medio del hackeo de los servidores Web legítimos y populares entre usuarios.
Tanto los usuarios finales de casa, como las empresas deberían pensar en las políticas de manejo seguro de dichos dispositivos. Una de las mejores prácticas es deshabilitar el procesamiento del archivo “autorun.inf” en los sistemas operativos Windows. En algunos casos las empresas también podrían optar por una política más definida, como la prohibición total del uso de las memorias de almacenamiento de información en USB mientras que otros dispositivos USB podrían ser permitidos.
Es importante manejar filtrado de contenidos Web. Este consejo es válido para las empresas donde los empleados suelen tener acceso a todo tipo de recursos Web. Las estadísticas muestran que se podría reducir la cantidad de los ataques exitosos en un ambiente corporativo si es que se manejara un filtrado Web responsable y definido. ionados en el presente artículo abarcan todos los países de América Latina y también los países de Centro América y el Caribe. Las estadísticas se basan en los datos obtenidos a través del Kaspersky Security Network durante enero, febrero y marzo del 2011 y permiten entender la proporción general de los ataques y las tendencias actuales en la región.