Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) Centro Internacional de Investigaciones para el Desarrollo (IDRC) Proyecto Amparo Panorama del ciberdelito en Latinoamérica “You cannot manage what you cannot measure” Atribuida a Bill Hewlett (1930-2001), Cofundador de Hewlett-Packard Autores: Patricia Prandini Marcia L. Maggiore Director del Proyecto: Ing. Eduardo Carozo Año 2011 Panorama del ciberdelito en Latinoamérica Índice Resumen .............................................................................................................................. 5 Capítulo I – Presentación del Informe ................................................................................ 6 Introducción.................................................................................................................................6 Objetivo del informe....................................................................................................................7 Principales dificultades ................................................................................................................8 Etapas del análisis ........................................................................................................................9 Estructura del informe .................................................................................................................9 Capítulo II – Evolución y Marco Conceptual de los Ciberdelitos.......................................11 La prehistoria .............................................................................................................................11 Actualidad de los ciberataques..................................................................................................12 Quiénes son los delincuentes ....................................................................................................13 Objeto del ciberdelito ................................................................................................................14 Una cuestión de confianza.........................................................................................................15 Capítulo III – Panorama General de las Ciberamenazas ...................................................16 Introducción...............................................................................................................................16 Objetivo y alcance del capítulo..................................................................................................17 Metodología...............................................................................................................................17 Una aproximación sobre la actividad global..............................................................................18 Correo Electrónico...............................................................................................................................18 Sitios Web............................................................................................................................................18 Nombres de dominio...........................................................................................................................18 Usuarios de Internet............................................................................................................................19 Redes Sociales .....................................................................................................................................19 Videos..................................................................................................................................................19 Imágenes .............................................................................................................................................19 Las amenazas en su conjunto ....................................................................................................20 Situación global ...................................................................................................................................20 Situación en Latinoamérica .................................................................................................................24 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 2/84 Panorama del ciberdelito en Latinoamérica Actividad maliciosa discriminada por tipo de amenaza ............................................................25 Código malicioso (MALICIOUS CODE).......................................................................................................25 ¿Para qué se usan los códigos maliciosos? .........................................................................................26 Situación global ...................................................................................................................................27 Situación en Latinoamérica .................................................................................................................29 Spam ..........................................................................................................................................31 Situación Global...................................................................................................................................31 Situación en Latinoamérica .................................................................................................................34 Phishing......................................................................................................................................35 Botnet ........................................................................................................................................40 Situación global ...................................................................................................................................40 Situación en Latinoamérica .................................................................................................................42 Otras actividades maliciosas......................................................................................................43 Código malicioso multiplataforma ......................................................................................................43 Búsquedas en la web llevan a sitios maliciosos ..................................................................................44 Las amenazas de las redes sociales.....................................................................................................44 Falsos antivirus (rogueware) ...............................................................................................................45 Violación de datos ...............................................................................................................................45 Explotación de vulnerabilidades .........................................................................................................46 Ataque distribuido de denegación de servicio (DDoS – DoS) .............................................................49 Tendencias 2011 ........................................................................................................................50 Capítulo IV - Impacto Económico ......................................................................................52 Introducción...............................................................................................................................52 Porqué medir el impacto económico ........................................................................................52 Dificultades para la estimación..................................................................................................53 Costos asociados a los incidentes informáticos.........................................................................55 Objetivo y alcance del capítulo..................................................................................................55 Informes internacionales ...........................................................................................................56 Fuentes de datos y metodología ...............................................................................................57 Fraudes Financieros ...................................................................................................................58 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 3/84 Panorama del ciberdelito en Latinoamérica Estimaciones........................................................................................................................................59 Otros valores de interés ......................................................................................................................61 Fraude en el comercio electrónico ............................................................................................62 Estimaciones........................................................................................................................................62 Otros valores de interés ......................................................................................................................63 Fraudes vinculados a la identidad .............................................................................................65 Estimaciones........................................................................................................................................66 Otros valores de interés ......................................................................................................................66 Otros tipos de incidentes...........................................................................................................67 Los valores de la ciberdelincuencia ...........................................................................................68 Capítulo V – Conclusiones .................................................................................................71 Capítulo VI – Recomendaciones ........................................................................................74 Para los Gobiernos .....................................................................................................................74 Para la Academia .......................................................................................................................74 Para el Sector Privado................................................................................................................75 Para los Usuarios........................................................................................................................75 Especialistas y Fuentes Consultados .................................................................................77 Glosario..............................................................................................................................81 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 4/84 Panorama del ciberdelito en Latinoamérica Resumen Latinoamérica ha ingresado al mundo de las Tecnologías de la Información y las Comunicaciones al ritmo de otras sociedades modernas del planeta. Como inevitable consecuencia, se ve obligada a enfrentar un importante desafío para proteger la información de las personas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados a las infraestructuras y sistemas. El presente informe, realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC), analizó la situación de los países latinoamericanos desde la perspectiva del ciberdelito, considerando la región tanto origen como blanco de ataques. Para ello se consultaron fuentes de datos públicas producidas por entidades gubernamentales y de investigación y empresas proveedores de servicios y productos de seguridad localizadas en la región y en otros países del mundo. El trabajo fue desarrollado con el objetivo de favorecer un mayor conocimiento de la incidencia del ciberdelito en Latinoamérica y de generar un marco para futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado cuando se disponga de información más precisa. Los distintos informes consultados muestran que tanto globalmente como a partir de casos particulares de ataques, Latinoamérica siempre se encuentra presente, representada en primer término por Brasil. Esta situación se aprecia para casos de spam, phishing, código malicioso y botnets, entre otras actividades maliciosas. En general, cuando estos listados se amplían aparecen otros países tales como Argentina, Bolivia, Colombia, Ecuador, Chile, Perú o México. Los casos más resonantes de ataques, como por ejemplo los ocurridos a partir de las botnets Mariposa y Rustock o las infecciones de Conficker o Sality.AE, también se muestran en la región con fuerte incidencia. La tarea de determinar el impacto económico del ciberdelito es sumamente compleja principalmente por la ausencia de reportes concretos de ataques tanto de organizaciones como de usuarios. A pesar de ello, a partir de metodologías empleadas en informes internacionales, pero utilizando datos locales, se realizaron algunas estimaciones de lo que serían las pérdidas anuales en Latinoamérica por phishing tanto para los clientes como para las instituciones bancarias, el fraude en el comercio electrónico y el robo de identidad. Los valores calculados fueron presentados y deben ser interpretados como indicativos ya que ante la ausencia de datos reales, resulta imposible un cálculo más preciso. Los informes y especialistas consultados estiman que el campo de las plataformas móviles, los servicios que soportan las infraestructuras críticas de los países y las redes sociales serán blanco de ataques en el futuro cercano, y que continuará creciendo el robo de identidad a través de ataques combinados. El trabajo concluye con una serie de recomendaciones para países, gobiernos, academia y usuarios y cierra destacando la necesidad de desarrollar estrategias organizacionales, nacionales y regionales para la implementación de instancias de reporte, la generación de confianza entre usuarios y organizaciones en cuanto a la voluntad de combatir el ciberdelito y el establecimiento de condiciones de franca colaboración entre el sector público y el privado y entre los países, favoreciendo de esta manera el desarrollo de una cultura de la ciberseguridad a nivel regional y global. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 5/84 Panorama del ciberdelito en Latinoamérica Capítulo I – Presentación del Informe Introducción Las sociedades modernas alrededor del mundo funcionan en la actualidad sobre la base de una amplia gama de tecnologías que garantizan su actividad continua, confiable y efectiva. En efecto, servicios esenciales para el bienestar de la población y el desarrollo económico de las naciones se sustentan en un empleo creciente de servicios tecnológicos que mejoran la calidad de vida y facilitan las labores cotidianas de las personas y las organizaciones. Es indudable que el alto nivel de penetración de estas tecnologías de la información y las comunicaciones ha traído múltiples beneficios, extendiendo las posibilidades de incorporación de conocimiento, mejorando la gestión de los gobiernos, agilizando la realización de trámites, facilitando el acceso a servicios bancarios y de comunicaciones, favoreciendo contactos globales y hasta influyendo en las actividades de esparcimiento, solo por nombrar algunas ventajas. Latinoamérica no ha sido ajena a este fenómeno y hoy la habita el 10,4% de los usuarios de Internet del mundo, con una penetración del 34,5% sobre el total de sus habitantes, muy por encima del promedio mundial (28,7%) y del de otras regiones del planeta. Estos valores provistos por “Internet World Stats”1 muestran además una tendencia positiva a lo largo de la primera década de este milenio, con un crecimiento del 1.032,8% entre los años 2001 y 2010, superando también a otras áreas geográficas. Un informe de VISA2 del año 2010 concluía que el comercio electrónico en Latinoamérica y el Caribe había registrado un crecimiento de más del 39% durante el año 2009, alcanzando los 21.800 millones de dólares en dicho período. Diversos informes señalan que Latinoamérica se convirtió en el segundo mercado de telefonía celular más grande del mundo, desplazando a Europa de Este3. Sin embargo, estas mismas tecnologías que facilitan la vida cotidiana y potencian el desarrollo económico, presentan importantes desafíos frente a la necesidad de proteger la información de las personas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados a los datos y sistemas. La naturaleza global de Internet implica que los ataques o las fallas puedan impactar en cualquier punto de su estructura y complejiza la posibilidad de identificar a sus autores y determinar su verdadero alcance e impacto. Como agravante, la tecnología se desarrolla a un ritmo extremadamente rápido y el tiempo que media entre el descubrimiento de una nueva vulnerabilidad y la aparición de las técnicas que la explotan, es cada vez menor. En la mayoría de los casos, la tecnología empleada en los ataques es simple, barata y fácil de conseguir en uno o más sitios de la propia Internet y los mecanismos utilizados pueden 1 Internet World Stats – World Internet Users and Population Stats - Consultado el 20/05/2011 http://www.internetworldstats.com/stats.htm 2 Ecommerce Journal - Artículo del 06/08/2010 - “Visa: e-commerce in Latin America and Caribbean has spiked nearing 40% in 2009” - Consultado el 13/04/2011 - http://ecommerce-journal.com/news/29219_visa-ecommerce-latin-america-and-caribbean-has-spiked-nearing-40-2009 3 BBC Mundo - Artículo del 07/10/2010 por David Cuen “Latinoamérica es el segundo mercado de celulares más grande del mundo” - Consultado el 13/04/2011 http://www.bbc.co.uk/mundo/noticias/2010/10/101006_1046_telefonos_celulares_america_latina_dc.shtml Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 6/84 Panorama del ciberdelito en Latinoamérica automatizarse por lo que aumentan las posibilidades de replicación del daño, a partir de una única acción. Otra característica que acompaña este escenario es el encadenamiento de ataques, de manera que combinando distintas herramientas tecnológicas y mecanismos de engaño, es posible llegar a un número cada vez mayor de personas conectadas, desmaterializando el concepto de fronteras organizacionales o nacionales. Se ha registrado también un desplazamiento del foco hacia las computadoras domésticas que a partir del fuerte desarrollo de la banda ancha, son utilizadas para cometer ataques sobre otros individuos o entidades, sin que la víctima siquiera lo perciba. El usuario común se transforma así en un partícipe involuntario de un ataque informático, pudiendo inclusive verse afectado por acciones legales. Nuevamente, los países de Latinoamérica no son ajenos a este fenómeno y como el resto del mundo, sus organizaciones, gobiernos y población en general, sufren las consecuencias de las actividades ilícitas y de las vulnerabilidades propias de las tecnologías y de Internet. Efectivamente, estos ataques se presentan bajo las mismas formas que en otros países, ya sean casos de robo de identidad, “PHISHING”4, denegación de servicio, robo de información, violaciones a la propiedad intelectual, etc. Un informe de la firma Symantec5 indica que Latinoamérica es fuente de una elevada proporción de computadoras infectadas por botnets en el mundo, alcanzando un 15% del total global. La Federación Brasilera de Bancos del Brasil (Febraban)6 por su parte, informó que el volumen de fraudes electrónicos en el primer semestre del 2010 fue de aproximadamente el equivalente a 245 millones de dólares. Frente a este panorama, aparecen diversos interrogantes a la hora de determinar la verdadera dimensión del problema. Cabe preguntarse cuál es la real situación de Latinoamérica frente a este fenómeno, cuál es el impacto que tienen los ataques cibernéticos sobre sus países y las personas que los habitan, cuáles son las pérdidas estimadas a consecuencia de la ciberdelincuencia e inclusive, cómo participa la región en la realización de esos ataques. Objetivo del informe En este contexto, el objetivo general de este trabajo es analizar la situación de los países latinoamericanos desde la perspectiva del ciberdelito, considerando que éstos puedan ser tanto origen como blanco de ataques. En consecuencia, el presente informe se propone: • Revisar y exponer el panorama de los ciberdelitos que afectan en mayor medida a los países de la región, compendiando para ello la información disponible en bases de datos de acceso público 4 El formato cursiva y versales identifica a las palabras cuyo significado se encuentra en el Glosario. Cabe señalar que se ha optado por mantener en el idioma de origen aquellas palabras que no tienen una adecuada traducción al Castellano. 5 Symantec Corporation - LAM Bot-Infected Computers by Country for 2010 – Consultado el 15/05/2011 http://www.symantec.com/business/threatreport/topic.jsp?id=lam&aid=lam_bot_infected_computers_by_countr y 6 NOW!DIGITAL BUSINESS – Artículo del 31/08/2010 por Renato Rodrigues “Fraudes em internet banking deram prejuízo de R$ 900 milhões em 2009” – Consultado el 20/05/2011 http://idgnow.uol.com.br/seguranca/2010/08/31/fraudes-online-deram-prejuizo-de-r-900-milhoes-em-2009-dizfebraban/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 7/84 Panorama del ciberdelito en Latinoamérica • Recoger las opiniones de especialistas en cuanto al estado de la ciberdelincuencia en la región • Proyectar una serie de indicadores valorizados que permita obtener una idea de la magnitud del impacto económico de los incidentes de seguridad en Latinoamérica • Generar un marco para estimaciones futuras del impacto del ciberdelito en la región, que pueda ser actualizado y mejorado cuando se disponga de información más precisa • Utilizar un enfoque múltiple que comprenda organizaciones, personas, países, gobiernos y en lo posible, datos globales para toda la región En base al análisis realizado, presentar una serie de recomendaciones y medidas a adoptar a nivel nacional, de las organizaciones y de las personas para mitigar el impacto de estas actividades delictivas en la región. Cabe resaltar que los datos y valores fueron obtenidos de fuentes públicas provenientes de informes producidos tanto por organizaciones públicas como por entidades privadas de la región o de otros países del planeta. Se hace la salvedad que, debido a la escasez de datos concretos sobre casos de incidentes ocurridos, los valores indicados en este trabajo, ya sea en cuanto a volumen de incidentes como en las proyecciones económicas, no deben ser interpretados como estadísticas, sino como compilaciones o recopilaciones de información sobre casos acontecidos. Principales dificultades Como ya fuera planteado precedentemente, resulta difícil en la actualidad formular conclusiones precisas respecto a las consecuencias de fallas, ataques o vulnerabilidades reales o potenciales, que afectan a la información tanto de las personas y entidades como de las naciones. Esto se debe a diversos motivos, entre los que se encuentran: • La reticencia a informar los incidentes ocurridos por parte de las organizaciones, los países y las personas • La existencia de publicaciones con datos disímiles de entidades nacionales o internacionales y la escasez de cifras de organismos oficiales • Las dificultades, e inclusive la imposibilidad en ciertos casos, para determinar el impacto global de algunos tipos de ciberataques • En encadenamiento de los incidentes informáticos que resultan en un único ataque, como por ejemplo un caso de denegación de servicio, que podría ser en realidad el resultado de una infección de software malicioso en una serie de equipos que los convierte en ZOMBIES de una botnet, que luego es utilizada para concretar la agresión • La necesidad de utilizar supuestos y de efectuar proyecciones respecto al porcentaje de incidentes reportados que pueden tornar impreciso el cálculo • Las complejidades para cuantificar el efecto económico o financiero sobre personas y organizaciones, tanto en forma individual como agregada • La falta de homogeneidad en la metodología de conteo de los incidentes Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 8/84 Panorama del ciberdelito en Latinoamérica • Las dificultades para valorizar factores tales como pérdida de reputación, imagen, etc. Por otra parte, es dable indicar que la presente revisión tuvo una duración acotada entre los meses de febrero y junio de 2011, por lo que se basó fundamentalmente en fuentes de datos públicas. Estudios futuros que puedan extenderse en un lapso mayor podrán aprovechar el empleo de otras metodologías como por ejemplo, las encuestas, el uso de muestras de ocurrencia real de patrones de ataque, el empleo de señuelos, etc., con el fin de mejorar la precisión de los datos analizados. Etapas del análisis El presente informe fue realizado sobre la base de las siguientes etapas: • Relevamiento de información disponible en fuentes públicas de la región, ya sea por país o globales y por tipo de incidente • Evaluación de los datos para determinar factibilidad de cuantificación, tanto en cuanto a cantidad de casos como económica • Entrevistas personales y virtuales a especialistas • Establecimiento de una metodología de análisis • Desarrollo conceptual del tema • Análisis de datos • Formulación de conclusiones y recomendaciones Estructura del informe A continuación de este capítulo que tiene como objetivo presentar las principales características del informe, el Capítulo II resume la evolución de los ataques informáticos en el tiempo y presenta los contenidos conceptuales más importantes vinculados al tema bajo análisis. El Capítulo III por su parte, expone y analiza el panorama general de las ciberamenazas, presentando asimismo valores regionales y por país, recopilados según el tipo de incidente, la cantidad de casos registrados y sus consecuencias. El Capítulo IV es un intento de estimación del impacto económico del ciberdelito a nivel de los países, las organizaciones y de ser posible, la región. Modelar y realizar proyecciones sobre las implicancias económicas de los ciberataques es una tarea compleja, por lo esta sección despliega estimaciones basadas en supuestos justificados, siguiendo en la mayoría de los casos y ante la ausencia de datos locales, los esquemas de cálculo utilizados en otros países para este tipo de análisis. En los casos en que fue posible, se tuvieron en cuenta como base de cálculo, valores y estimaciones regionales. Finalmente los Capítulos V y VI incluyen respectivamente, las principales conclusiones del trabajo y una serie de recomendaciones respecto a las medidas que se deben adoptar para proteger la información, desde el punto de vista de las personas, las organizaciones y los países. Como anexos se agregan la bibliografía consultada y las fuentes de información a las que se tuvo acceso, un listado de los expertos consultados para la preparación del informe y un glosario con las principales definiciones. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 9/84 Panorama del ciberdelito en Latinoamérica El presente estudio es realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica y el Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC) y se enmarca en los esfuerzos que vienen realizando ambas entidades para fortalecer la capacidad regional de atención y respuesta a incidentes de Seguridad en la Región de Latinoamérica y el Caribe, buscando incrementar las acciones de prevención y la resiliencia frente a los ciberataques que afectan la región. El desarrollo del trabajo fue supervisado por el Ing. Eduardo Carozo, Director Ejecutivo de AMPARO, proyecto de LACNIC cuyo principal objetivo es fortalecer la difusión, el conocimiento y la atención de la problemática de Seguridad de la Información en los países de Latinoamérica y el Caribe, fundamentalmente en el ámbito privado de las empresas y organizaciones sociales. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 10/84 Panorama del ciberdelito en Latinoamérica Capítulo II – Evolución y Marco Conceptual de los Ciberdelitos La prehistoria La historia de los ciberataques puede rastrease posiblemente a las primeras experiencias de generación de código malicioso. En efecto, el desarrollo de lo que hoy se conoce por tal fue en sus comienzos experimental y no tenía como objetivo realizar un daño sino desafiar a los sistemas operativos de la época. En 1982 se programó el primer virus informático para las computadoras Apple II, aunque aún no se lo denominaba de esa manera, que se propagaba infectando los disquetes del sistema operativo. Sin embargo, existen también antecedentes que dan cuenta de la existencia de casos registrados para el sistema IBM 360, allá por los comienzos de los ’70. En 1983 Fred Cohen, un estudiante de posgrado crea uno para UNIX. El primer virus para PC IBM fue creado por dos hermanos pakistaníes en 1986, con la intención de proteger de la piratería los programas de su autoría. Unos años después, en noviembre de 1988 el “Gusano de Morris” sacó de servicio al 10% de las computadoras VAX y SUN conectadas a INTERNET en los EEUU, afectando a unos 60.000 equipos en total. De hecho se le atribuye a Andy Sudduth, estudiante de la Universidad de Harvard, la frase “Hay un virus suelto en la Internet”7, pronunciada unos minutos después de que se conociera el incidente. El origen de esta primera infección masiva fue un programa de 99 líneas, escrito por Robert Tappan Morris, estudiante de doctorado de la Universidad de Cornell, que llevó a que los equipos infectados se vieran inundados por miles de tareas, forzando a los administradores a desconectarlas directamente de la red. Años después en el 2001, el gusano “Código Rojo” causó una denegación de servicio de una gran cantidad de sitios web, afectando los servicios de Internet y dejando fuera de línea a las operaciones de varios gobiernos y empresas. Así comenzó esta historia que ha ido cambiando a través de los años para convertirse en una realidad cada vez más preocupante. Hace no muchos años a fines del siglo XX, el software malicioso era muy molesto y peligroso en tanto y en cuanto podía ser la causa de la pérdida de información valiosa como consecuencia de su accionar: destrucción de archivos o discos completos; o bien la imposibilidad de operar o verse obligado o tener que rearmar el sistema operativo y recuperar la información, siempre y cuando se hubiera hecho el correspondiente resguardo. Pero resultaba aún más aterradora su posibilidad de replicarse a través de varios canales como los diskettes o el uso de un aún incipiente sistema de correo electrónico. En las organizaciones, la situación empezaba a tornarse más grave ya que se inundaban las redes produciendo una reducción importante del tiempo de respuesta, más el daño ya mencionado en los equipos. Todo esto conllevaba y conlleva también hoy, sin lugar a dudas, a importantes pérdidas económicas, tanto por el valor de la información en sí, como por el tiempo que absorben las tareas de 7 Traducción de las autoras de la frase: “There may be a virus loose on the internet” Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 11/84 Panorama del ciberdelito en Latinoamérica detección del problema y luego de recuperación y reconstrucción de los datos afectados, en los casos en que esto es factible. Esta situación creció en volumen con el masivo uso del correo electrónico que como ya fuera dicho, sirvió como medio de transporte de archivos infectados. Hasta aquí, el daño se circunscribía al hardware y software impactando sobre la operatoria tanto de las organizaciones como de usuarios individuales. Actualidad de los ciberataques A comienzos de este siglo la situación comenzó a cambiar. El auge de Internet, la innovación permanente que requiere la generación de software que probablemente no ha sido lo suficientemente probado en sus aspectos de seguridad, la necesidad de ganar mercados, la inundación de nuevos dispositivos, protocolos, lenguajes, paradigmas de desarrollo, herramientas de automatización, etc., han presentado una cantidad inusitada de oportunidades para quienes buscan algo más que desafiar a la tecnología. Más aún, la expansión del uso de las PC, la computación distribuida, la penetración de Internet con una banda ancha cada vez mayor, la creciente dependencia de las organizaciones respecto de las tecnologías de la información y las comunicaciones y el soporte que éstas brindan a las infraestructuras de servicios esenciales de los países, han creado un panorama complejo para la adopción de medidas adecuadas de protección de la información en formato digital. En este contexto, empiezan a aparecer personas y organizaciones que utilizan toda la tecnología disponible para generar redes con propósitos delictivos de todo tipo, desde obtener ganancias a partir del fraude a producir múltiples daños a compañías específicas o a infraestructuras críticas nacionales. En este sentido, el software malicioso y otros tipos de ataques surgidos a lo largo de estas últimas décadas, han evolucionado hacia la generación de amenazas vinculadas a la comisión de actos ilícitos con el objetivo de obtener beneficios económicos, el mero reconocimiento de la comunidad de ciberatacantes o la venganza respecto a una o varias entidades específicas. En este sentido, actualmente resulta habitual relacionar los ciberataques con el negocio del crimen organizado. Como puede apreciarse, el panorama es completamente diferente al que se presentaba en los primeros tiempos, pudiendo observarse amenazas más complejas y sofisticadas, más agresivas, mejor dirigidas y con intenciones más claras y concretas. A manera de ejemplo, los sitios web y el software maliciosos han aumentado casi seis veces durante los años 2009 y 2010, pudiéndose observar una cantidad de nuevos tipos superior a la surgida en la suma de todos los años anteriores. Un factor que debe tenerse en cuenta es la necesidad de investigar el negocio generado por estas amenazas, la dimensión de su verdadero impacto, las motivaciones que se esconden detrás de su desarrollo y la manera en que operan los ciberdelincuentes, alimentando una economía clandestina que crece exponencialmente día a día. Un modelo de negocio delictivo que en la actualidad es ampliamente explotado a través de Internet y que hoy se conoce como ciberdelito o cibercrimen. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 12/84 Panorama del ciberdelito en Latinoamérica Los especialistas opinan que el ciberdelito se está expandiendo en Latinoamérica y que los negocios de estas organizaciones criminales dejan ganancias semejantes a las de otros delitos de gran envergadura.8 Con la creciente amenaza de ciberdelincuentes que buscan información corporativa y sobre los consumidores, la seguridad de la información pasa a ser un aspecto primordial en el uso de las tecnologías. Quiénes son los delincuentes Los delitos han existido prácticamente desde el origen de la humanidad, y quienes los cometen manifiestan motivaciones que van desde la revancha a la curiosidad, la ambición excesiva, la necesidad o el placer de romper las reglas, entre otras. Sin embargo, las maneras en que se cometen han cambiado significativamente en el tiempo. Así, hoy nos enfrentamos a los delitos cometidos usando las tecnologías o bien aquellos que las tienen como blanco. En este contexto, los delincuentes buscan explotar las debilidades de las tecnologías, los vacíos en la legislación y la falta de concientización de los usuarios, así como el alcance global de Internet y su rápida expansión, factores que facilitan la comisión de viejos delitos con nuevas herramientas. El siguiente cuadro es una adaptación del publicado por la Australian Crime Commission9 y compara algunos delitos tradicionales con sus equivalentes en el mundo de las tecnologías. Delitos tradicionales Fraude Hurtos malicioso Ciberdelito equivalente Fraude en línea, subasta fraudulenta, estafa por solicitud de adelanto de fondos a través de Internet menores/daño Hackeos, ataques de software malicioso, denegación de servicios Ofensas contra menores Sitios web pornográficos, creación de perfiles falsos con fines pedófilos Lavado de dinero Sistemas fraudulentos de pago en línea, mulas, engaño nigeriano (Nigerian scam) Robo Robo de identidad, phishing, piratería de software, películas y música, robo de Propiedad Intelectual en soporte electrónico Acoso Ciberacoso a adultos y menores 8 iProfesional.com - El ciber crimen mueve tantos millones como el narcotráfico y se expande en toda la región – Fecha de consulta: mayo/11 - http://negocios.iprofesional.com/notas/106780-El-cibercrimen-mueve-tantosmillones-como-el-narcotrafico-y-se-expande-en-toda-la-region El país.com - Guillaume Lovet: "El cibercrimen es más rentable que el tráfico de heroína" – Fecha de consulta: mayo/11 http://www.elpais.com/articulo/portada/Guillaume/Lovet/cibercrimen/rentable/trafico/heroina/elpepisupcib/20 100422elpcibpor_4/Tes 9 Australian Crime Commission – Crime Profile Series Cyber Crime – Consultado el 06/05/2011 http://www.crimecommission.gov.au/publications/crime-profile-series/cyber-crime.htm Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 13/84 Panorama del ciberdelito en Latinoamérica Una característica del escenario actual del ciberdelito es que plantea una relación asimétrica, donde un número pequeño de personas podría causar un daño enorme en una o varias organizaciones públicas o privadas, con un alto impacto negativo sobre un número potencialmente alto de usuarios. Como con otro tipo de delitos, el perfil del atacante también ha ido cambiando con el tiempo. En el campo de la cibercriminalidad, puede afirmarse que no existe un único tipo de ciberdelincuente, sino varios en base a las motivaciones, la oportunidad y los recursos con los que cuentan. Un informe del Reino Unido10 identifica 4 grandes categorías, a la hora de clasificar a los ciberatacantes: • Los servicios extranjeros de inteligencia, que tienden a estar fuertemente organizados y a utilizar técnicas de ataque sofisticadas y amplios recursos. • Las grandes redes del crimen organizado, que focalizan cada vez más su atención en la ciberdelincuencia porque ofrece una mayor rentabilidad frente a una inversión mínima y un riesgo relativamente bajo. Las redes más sofisticadas con contactos globales, se concentran en el espionaje industrial mientras que aquellas con menor nivel de organización se vuelcan al robo de datos y a los engaños en línea de gran escala. • Las organizaciones legítimas pero de dudosa reputación, que buscan hacerse de datos de propiedad intelectual de otras organizaciones o del espionaje industrial para obtener datos sensibles de otras entidades. Estas actividades pueden ser efectuadas en forma directa o a través de otras organizaciones delictivas, a las que se contrata. • En un último peldaño, se ubican las personas o los pequeños grupos de individuos que tienen por objetivo las organizaciones vulnerables o los usuarios comunes y se focalizan en las ganancias que pueden obtenerse del robo de identidad, la sustracción de datos de clientes, los engaños en línea de menor escala, la extorsión o las infecciones por software malicioso. El informe de Australia antes citado por su parte, distingue tres tipo de organizaciones en el campo del ciberdelito: • Grupos organizados de delitos tradicionales que emplean las tecnologías de la información y las comunicaciones para potenciar sus actividades criminales • Grupos organizados de cibercriminales que operan exclusivamente en línea • Grupos organizados de delincuentes motivados por ideologías o posturas políticas extremas Objeto del ciberdelito A diferencia de los delitos convencionales, en los que el dueño o custodio del o los bienes sustraídos pierde la tenencia del bien, en el caso del robo de información, no suele haber pérdida física, por lo que los mecanismos de alerta y detección tienen características distintivas. Otra de las particularidades de este tipo de actividades es la facilidad con que pueden borrarse las evidencias y las dificultades para identificarlas y preservarlas cuando no se es un especialista o no se cuentan con las herramientas adecuadas para su resguardo. Es también un atractivo para la ciberdelincuencia, la desmaterialización de las fronteras nacionales u organizacionales, que habilita al 10 Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 14/84 Panorama del ciberdelito en Latinoamérica delincuente a acceder a su blanco sin prácticamente moverse de su silla, a miles de kilómetros de sus eventuales víctimas. Adicionalmente, puede utilizar distintos caminos y recorridos en su afán de dificultar cualquier rastreo. Por otro lado, y dada las asimetrías en las legislaciones, no es clara la tipificación. Todas estas características lo diferencian de los delitos tradicionales y crean un escenario propicio para el desarrollo de las actividades delictivas en el mundo virtual. En el caso de información sustraída a organizaciones, el informe del Reino Unido referido establece que los ciberdelincuentes tienen básicamente cuatro formas de robar la información: • • • • Comprar el producto y someterlo a un proceso de ingeniería reversa para reproducirlo Realizar un ciberataque para obtener electrónicamente la información, desde fuera de la red de la organización Realizar un ataque interno, de manera que los datos son obtenidos por alguien que tiene algún nivel de autorización desde dentro de la propia organización Robar la información, mediante el acceso físico al equipamiento donde se encuentra instalado o hurtándola de alguno de los empleados. Una cuestión de confianza Un informe11 de la Empresa CISCO afirma que los ciberdelincuentes cuentan hoy con un arma poderosa: la explotación de la confianza. En efecto, posiblemente desde el origen de los tiempos, las personas han tendido naturalmente a confiar en otras personas, fenómeno que se manifiesta también en Internet y que es aprovechado por el ciberdelito una y otra vez, bajo distintas formas de engaño. En otro sentido pero siempre alrededor del tema de la confianza, las organizaciones tienden a no confiar en otras entidades a la hora de reportar un ataque y ante la posibilidad de que un incidente que comprometa la seguridad pueda trascender, prefieren ocultarlo y no compartir lo acontecido. De esta manera, provocan que un mismo tipo de incidente y eventual delito, pueda ser reiterado en otras organizaciones o afectar a otras personas, favoreciendo sin querer un proceso multiplicador con importantes consecuencias negativas. Pareciera también existir desconfianzas a la hora de trabajar en forma conjunta entre el Sector Público y el Privado, en el combate contra el ciberdelito. De la misma manera, esa desconfianza se manifiesta entre los gobiernos, que si bien en su mayoría reconocen la necesidad de desarrollar estrategias, estándares y normas comunes, tienden a mantener la independencia en cuanto al desarrollo, la reglamentación y el uso de la tecnología dentro de sus fronteras, comprometiendo las posibilidades de una acción coordinada. 11 CISCO CISCO 2010 Annual Security Report – http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html Patricia Prandini – Marcia L. Maggiore Consultado el 06/05/2011 Junio 2011 – Pág. Nº 15/84 - Panorama del ciberdelito en Latinoamérica Capítulo III – Panorama General de las Ciberamenazas Introducción Con el objetivo de conocer la actividad del ciberdelito se accedió a la información que brindan los laboratorios de las empresas proveedoras de soluciones de seguridad, así como la que proveen los investigadores independientes. Son las mencionadas organizaciones las que han desarrollado productos y servicios que permiten la recolección, a través de equipamiento específico, de valiosos datos sobre amenazas y tendencias en Internet, así como sobre la actividad de ataques. Dichos datos son luego analizados por equipos de investigadores, generando reportes sobre la actividad maliciosa global, por región y/o país, enmarcados en diferentes períodos de tiempo. Dichas herramientas son distribuidas a través de todo el mundo utilizando hardware de gran capacidad para el procesamiento de miles de millones de piezas digitales por día. En general participan de esta recolección de datos la extensa comunidad de empresas antifraude, proveedores de seguridad y millones de consumidores. Asimismo, se recolecta MALICIOUS CODE INTELLIGENCE en millones de sistemas cliente, servidores y GATEWAYS, además de capturar amenazas y ataques, muchos de ellos nunca vistos previamente, a través de redes de HONEYPOTS, lo cual permite comprender mejor los métodos utilizados por los atacantes. Otras tecnologías pasibles de ser usadas son los HONEYCLIENTES, REPUTATION SYSTEMS, MACHINE LEARNING y GRID COMPUTING. Es importante destacar que las diferentes compañías cuentan con bases de datos generadas en algunos casos desde hace dos décadas. Por ejemplo, Symantec mantiene una base de datos sobre vulnerabilidades que contiene más de 40.000 vulnerabilidades registradas que afectan a más de 105.000 tecnologías provistas por más de 14.000 proveedores. Panda Security, posee una base de datos de aproximadamente 134 millones de piezas digitales, entre los cuales hay 60 millones de código malicioso. Websense Inc. basa su capacidad en una red internacional que le permite procesar varias decenas de millones de correos electrónicos y sitios webs por hora. A su vez, McAfee Inc. cuenta con una red de millones de sensores en Internet, alrededor del mundo. En general, los resultados de la investigación que las mencionadas organizaciones realizan son expresados en porcentajes y, si bien en algunos casos se aclara que se utiliza registros no duplicados, no se menciona la cantidad resultante. Cabe señalar que esta información que resulta sumamente valiosa, no puede ser considerada “estadística” ya que no es recolectada según la metodología del muestreo estadístico y tampoco constituye el cien por ciento de las piezas digitales que circulan por las redes extendidas por todo el mundo, ya que esto resulta hoy prácticamente imposible. Sin embargo, dada la magnitud de los Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 16/84 Panorama del ciberdelito en Latinoamérica volúmenes procesados, sin duda alguna permite una buena aproximación, sobre todo cuando es posible demostrar que diferentes organizaciones llegan a la misma o muy semejante conclusión a pesar de los, algunas veces, diferentes enfoques y distintas capacidades. La tarea de armado de cuadros comparativos entre compañías y de relaciones de los dos años en estudio ha resultado ardua. En general, las compañías e incluso los grupos independientes suelen coincidir en los resultados, si bien en algunas ocasiones, también pueden diferir bastante. La realidad es que se trata de una actividad tan cambiante y dinámica, producto en parte de la acción y reacción de atacantes y defensores, que es bastante difícil conseguir resultados semejantes; fotografías en momentos distintos pueden generar interpretaciones disímiles. Por otro lado, también influye en los resultados la distribución y capacidad de las redes de recolección de datos. Éstas van cambiando a medida que cambian los escenarios. Si bien se entiende que las compañías u organizaciones independientes deben utilizar indicadores proporcionales, no todas lo explican claramente como para validar el criterio. De todos modos, los valores consignados en este informe surgen, en todos los casos posibles, de la obtención de resultados semejantes entre varios investigadores. Además de los métodos de recolección previamente explicados, otras organizaciones como los CERTs o aquéllas dedicadas al servicio de ayuda a las víctimas utilizan metodologías como el análisis de reportes de incidentes recepcionados, o como las consultoras, que realizan encuestas sobre la ocurrencia e impacto de ciertos eventos. Todas las fuentes hasta aquí mencionadas dan base al presente informe. Objetivo y alcance del capítulo El objetivo de este capítulo es presentar las amenazas que generan los ciberdelincuentes para atacar las tecnologías de información, así como señalar los sistemas operativos y productos en los que se ha detectado un mayor número de vulnerabilidades, mostrando en todos los casos cifras representativas de la situación mundial, de la de los países latinoamericanos respecto de aquélla y de Latinoamérica en particular. La investigación se realiza para los años 2009 y 2010 con el objeto de mostrar una etapa de la evolución, descartándose años anteriores por considerar que ante un escenario tan cambiante y vertiginoso, presentarían un panorama que podría ser calificado como antiguo. Por último se realizará una exposición de las tendencias que los expertos han previsto para el año 2011. Metodología En primera instancia se relevó la información existente respecto del objeto de estudio y correspondiente a los años que componen el alcance del informe. Posteriormente fue necesario conciliar los datos entre las diferentes fuentes encontradas con el fin de verificar su consistencia, la coincidencia de las amenazas y vulnerabilidades tratadas así como la presentación de las cifras de modo de confirmar que fueran comparables y, en algunos casos convertir o interpretar las diferentes unidades de medida utilizada por las fuentes consultadas. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 17/84 Panorama del ciberdelito en Latinoamérica Al mismo tiempo que se analizaba la información se consultó a expertos en la materia con el fin de confirmar o enmendar en caso de ser necesario, las conclusiones formuladas. El modo de presentación de los resultados consiste en mostrar información obtenida de diferentes compañías por cada año con el fin de que el lector pueda hacer sus propias comparaciones. En todos los casos se incluye la definición de la amenaza, las cifras encontradas y un comentario respecto de los efectos, estados o bien situaciones más significativas. Asimismo, siempre se incluye información sobre los países latinoamericanos; ya sea la posición en el ranking mundial o el detalle del ranking de la región. Una aproximación sobre la actividad global Como se ha mencionado en la introducción, las cifras resultantes de las investigaciones realizadas por los expertos, en general son expresadas en porcentajes. Con el objeto de que el lector pueda establecer alguna relación respecto de la magnitud de las ciberamenazas, a continuación se incluye valores sobre la actividad en Internet durante 2010, publicados por Pigdom12 el 12 de enero de 2011. Correo Electrónico • 107 billones – Número de correos electrónicos enviados en Internet durante 2010 • 294 mil millones – Promedio de número de correos electrónico por día • 1.88 mil millones– Número de usuarios de correos electrónicos en el mundo • 480 millones – Nuevos usuarios de correo electrónico desde el año anterior • 2.9 mil millones – Número de cuentas de correo electrónico en el mundo Sitios web • 255 millones – Número de sitios web a diciembre de 2010. • 21.4 millones – Creados durante 2010. Nombres de dominio • 88.8 millones – .COM al finalizar el año 2010. • 13.2 millones – .NET al finalizar el año 2010. • 8.6 millones – .ORG al finalizar el año 2010. • 79.2 millones – Número de dominios de nivel superior por código de país (ej. .CN, .UK, .DE, etc.) • 202 millones – Número total de nombres de dominio de nivel superior a Octubre de 2010 12 Pingdom – Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que la contratan con el fin de detectar cualquier posible caída del mismo – Consultado el 28/05/2011 http://royal.pingdom.com/2011/01/12/internet-2010-in-numbers/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 18/84 Panorama del ciberdelito en Latinoamérica • 7% – Incremento de nombres de dominio desde el año anterior Usuarios de Internet • 1.97 mil millones – Número de usuarios de Internet en del mundo a junio de 2010 • 14% – Incremento de usuarios de Internet desde el año anterior • 825.1 millones – Número de usuarios de Internet en Asia • 475.1 millones – Número de usuarios de Internet en Europa • 266.2 millones – Número de usuarios de Internet en America del Norte. • 204.7 millones – Número de usuarios de Internet en América Latina y el Caribe • 110.9 millones – Número de usuarios Internet en África • 63.2 millones – Número de usuarios de Internet en el Oriente Medio • 21.3 millones – Número de usuarios de Internet en Oceanía / Australia. Redes sociales • 152 millones – Número de blogs en Internet según BlogPulse (www.blogpulse.com) • 25 mil millones – Número de mensajes por Twitter durante 2010 • 100 millones – Número de nuevas cuentas creadas en Twitter durante 2010 • 175 millones – Número de personas en Twitter a Setiembre de 2010 • 600 millones – Número de personas en Facebook al finalizar el año 2010 • 250 millones – Número de nuevos usuarios de Facebook en 2010 • 30 mil millones – Trozos de contenidos (links, notas, fotos, etc.) compartidos en Facebook por mes • 70% – Porcentaje de usuarios de Facebook localizados fuera de los Estados Unidos • 20 millones – Número de aplicaciones de Facebook instaladas por días Videos • 2 mil millones – Número de videos mirados por día en YouTube • 35 – Horas de video cargadas en YouTube cada minuto • 2+ mil millones – Número de videos mirados en Facebook por mes. • 20 millones – Número de videos cargados en Facebook por mes Imágenes • 5 mil millones – Número de fotos cargadas en Flickr a Setiembre de 2010 • 130 millones – Número de fotos cargadas por mes en Flickr. • 3+ mil millones – Número de fotos cargadas en Facebook por mes Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 19/84 Panorama del ciberdelito en Latinoamérica Las amenazas en su conjunto Situación global En este punto se muestra la situación respecto de algunas actividades maliciosas analizadas en forma agregada y a nivel global por país. Se ha seleccionado información de diferentes compañías para obtener una conclusión de la comparación entre ellas. En cada caso se menciona la fuente de la información. Symantec Corporation - Actividad maliciosa global por país – 2010 13 Symantec Corporation - Actividad maliciosa global por país – 2009 14 13 Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf 14 Symantec Corporation - Global Internet Security Threat Report Trends for 2009 – Consultado el 20/04/2011 http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP T_ISTR15_Global_0410.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 20/84 Panorama del ciberdelito en Latinoamérica Websense Inc. - Actividad maliciosa en el mundo, 2010 15 15 Websense Inc – 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 – https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 21/84 Panorama del ciberdelito en Latinoamérica Websense Inc. - Actividad maliciosa en el mundo, 2009 16 16 Websense Inc - A Websense® White Paper Websense Security Labs State of Internet Security, Q3 – Q4, 2009 – Consultado el 20/04/2011 – https://www.websense.com/assets/reports/WSL_H2_2009.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 22/84 Panorama del ciberdelito en Latinoamérica Panda Security - Actividad maliciosa en el mundo, 2010 17 Panda Security - Actividad maliciosa en el mundo, 2009 18 De los gráficos anteriores es posible concluir que Latinoamérica se encuentra entre los cinco (5) o diez (10) primeros puestos en el mundo, representada por Brasil. En el caso de Panda Software que toma los primeros veinte (20) puestos, incluye también Argentina, Bolivia, Ecuador, Chile, Perú y México. 17 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf 18 Panda Security – Informe Anual Pandalabs 2009 – Consultado el 27/04/2011 http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf Patricia Prandini – Marcia L. Maggiore – – Junio 2011 – Pág. Nº 23/84 Panorama del ciberdelito en Latinoamérica Situación en Latinoamérica A continuación se presenta el resultado de las diez (10) primeras posiciones obtenidas del análisis realizado por Symantec, única compañía encontrada que provee esta información, sobre países latinoamericanos. Symantec Corporation - Actividad maliciosa por país, Latinoamérica, 2010 Symantec Corporation - Actividad maliciosa por país, Latinoamérica, 2009 19 20 19 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR16-Datasheet-LAM-SP.pdf 20 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 24/84 Panorama del ciberdelito en Latinoamérica Como es posible observar en los cuadros anteriores, Brasil ocupó el primer lugar en las actividades maliciosas de la región consideradas en la evaluación, tanto en el año 2009 como en 2010. Ello fue consecuencia del aumento de su participación en todas las mediciones de categorías específicas, en virtud del rápido y continuo crecimiento de su infraestructura de Internet y del uso de banda ancha. Asimismo ha tenido un aumento significativo en su clasificación de códigos maliciosos, ocupando el quinto lugar a nivel mundial. Esto probablemente se debe a la propagación de las infecciones del GUSANO Downadup (también conocido como Conficker) ocurridas en 2009 y en las que Brasil ocupó el cuarto lugar a nivel mundial. Una explicación de la expansión de Downadup en Brasil es que, como parte de su funcionalidad, el gusano puede centrarse específicamente en regiones con base en su capacidad para identificar la configuración del idioma de una computadora atacada, de los cuales uno es el "portugués (brasilero)”. También ocupó el tercer puesto a nivel mundial en posibles infecciones por virus y cuarto por posibles infecciones por gusanos. En el 2010, Brasil tuvo una presencia mundial del 5%. Además de ser el país con la mayor cantidad de conexiones de banda ancha en la región, su participación en las grandes BOTNETS tales como Rustock, Maazben, y Ozdok (Mega-D), contribuye en su alto rango de computadoras infectadas (BOTS), emisoras de SPAM y repositorios de phishing. Actividad maliciosa discriminada por tipo de amenaza Bajo este acápite se realizará un análisis global y específico para Latinoamérica por cada tipo de amenaza de las consideradas por Symantec Corporation en su cuadro global, con el objetivo de que, si el lector está interesado, pueda establecer relaciones o comparaciones. Código malicioso (MALICIOUS CODE) Los códigos maliciosos adquieren infinitas formas, aumentan y varían su funcionalidad, desde infectar los equipos para que puedan ser controlados remotamente hasta robar información, atacan diferentes plataformas y cada vez son más sofisticados. Las compañías investigadoras determinan las familias de códigos maliciosos más relevantes, recolectando datos obtenidos para el período en estudio y analizando muestras de códigos malintencionados nuevas y pre-existentes para determinar qué tipos de amenazas y vectores de ataque se emplean con mayor frecuencia. El código malicioso es clasificado en familias basándose en variantes de FIRMAS cuando el código es identificado. Las variantes aparecen cuando los atacantes modifican o mejoran los códigos maliciosos para agregar o cambiar funcionalidades. Estas alteraciones modifican los códigos maliciosos existentes de manera suficiente para que los sensores de los antivirus no puedan detectar la amenaza a partir de una firma preexistente. El mercado en general clasifica los códigos maliciosos por el tipo de acción que realizan. Symantec propone cuatro categorías básicas21: PUERTAS TRASERAS (BACKDOORS), TROYANOS, VIRUS y gusanos. 21 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 25/84 Panorama del ciberdelito en Latinoamérica • • • • Las puertas traseras permiten al atacante acceder de manera remota a las computadoras comprometidas. Los troyanos son códigos maliciosos que los usuarios instalan inadvertidamente en sus computadoras ya sea abriendo archivos adjuntos a sus correos electrónicos o bajándolos de Internet. También pueden ser instalados por otros códigos maliciosos. Difieren de los virus y gusanos en que no se autopropagan. Los virus se propagan infectando archivos existentes en las computadoras afectadas por código malicioso. Los gusanos son código malicioso que se puede replicar en computadoras infectadas o de una manera que facilita su copia a otras computadoras, tal como a través de dispositivos de almacenamiento para USB. Varias amenazas de código malicioso están conformadas por múltiples características. Por ejemplo, las puertas traseras siempre se categorizan en conjunto con otro código malicioso, típicamente son también troyanos. Sin embargo, muchos gusanos y virus también incorporan funcionalidades de puertas traseras. Adicionalmente, muchas muestras de código malicioso pueden ser catalogadas como virus o gusanos debido a la manera en que se propagan. Una razón para esta funcionalidad múltiple es que los desarrolladores de amenazas tratan de permitir que los códigos maliciosos combinen múltiples vectores de propagación para incrementar sus posibilidades de éxito en comprometer la computadora en ataque. ¿Para qué se usan los códigos maliciosos? La mayoría de los ataques comienzan con una infección a través de un código malicioso. El atacante lo introduce por técnicas de ingeniería social, utilizando archivos adjuntos en los correos electrónicos, creando sitios maliciosos o infectando los confiables o simplemente a través de algunos dispositivos. Cada tipo de código malicioso es utilizado con un objetivo diferente. Por ejemplo, los troyanos alcanzan el mayor porcentaje de los principales cincuenta (50) códigos maliciosos potenciales para el 2010, situación que se viene repitiendo desde años anteriores22. Continúan siendo una amenaza importante debido a que la mayoría de la actividad maliciosa está motivada por la obtención de ganancias. Muchos troyanos son diseñados para robar información y esta funcionalidad es de particular interés de los criminales en virtud de su potencial uso en actividades fraudulentas. Los operadores de la economía clandestina usan estas amenazas para ganar acceso a información bancaria y de tarjetas de crédito, credenciales de uso en línea y para dirigir los ataques a empresas específicas, muchas veces con la intención de robar propiedad intelectual, datos corporativos sensibles como los de carácter financiero, planes de negocio o tecnología propietaria. Siendo tan extendido el uso de las compras y operaciones bancarias en línea, los compromisos de este tipo pueden resultar en pérdidas financieras significativas, particularmente si se expone información contable y bancaria. Algunos códigos maliciosos son diseñados específicamente para extraer y exportar información confidencial o datos sensibles que están almacenados en una computadora infectada. Algunos ejemplos de datos sensibles o confidenciales son: información del sistema, documentos y archivos confidenciales, direcciones de correo electrónico o credenciales de identificación de usuario (logon credentials). 22 Idem 21 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 26/84 Panorama del ciberdelito en Latinoamérica Algunas amenazas tales como las puertas traseras pueden dar a un atacante remoto el control total sobre una computadora comprometida. Ataques de este tipo a las organizaciones puede llevar a importantes pérdidas de datos, con sus consiguientes costos, la pérdida de su reputación y de la confianza por parte de los clientes, así como el incumplimiento de reglamentaciones gubernamentales o de la industria. Situación global McAfee Inc. informa que durante el 2010 identificó más de 20 millones de piezas nuevas de código malicioso y a lo largo del tiempo ha identificado 55 millones de piezas, de las cuales el 36% fueron escritas en el 2010. Esto demuestra el crecimiento de este rubro en ese año.23 Panda Security coincide con los valores de McAfee Inc. en cuanto a la cantidad de piezas nuevas y las identificadas a lo largo del tiempo; e informa que procesó 134 millones de piezas.24. A continuación se presenta un gráfico de la evolución del software malicioso durante la primera década del siglo, siendo los códigos maliciosos una de las formas más habituales de software malicioso. Panda Security - Evolución del software malicioso 25 23 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 05/04/2011 – https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf 24 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 – http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 27/84 Panorama del ciberdelito en Latinoamérica A continuación se incluye un gráfico que denota el comportamiento de los diferentes tipos de código malicioso a través de los últimos años. Symantec Corporation -Proporción de potenciales infecciones por código malicioso 26 Para obtener el gráfico que se muestra a continuación, Symantec Corporation analiza muestras de los 50 códigos maliciosos más importantes (ordenados por el volumen de infecciones potenciales reportadas durante el año). Cada muestra es analizada según su habilidad para extraer y exportar información confidencial, y estos resultados son luego medidos como porcentaje de amenazas a la información confidencial. 25 Panda Security – El Mercado negro del cibercrimen al descubierto – Consultado el 05/05/2011 http://prensa.pandasecurity.com/wp-content/uploads/2011/01/Mercado-Negro-del-Cybercrimen.pdf 26 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 28/84 Panorama del ciberdelito en Latinoamérica Symantec Corporation - Amenazas a la confidencialidad de la información, por tipo 27 Situación en Latinoamérica Una muestra analizada por ESET durante abril de 2011 dio la siguiente distribución de troyanos bancarios en Latinoamérica. País Brasil Colombia México Ecuador Guatemala Chile Argentina Perú Porcentaje 5,99 2,30 1,73 1,72 1,50 1,35 1,13 0,62 La información respecto de códigos maliciosos no muestra porcentajes de actividad de cada uno de ellos sino que presenta un ranking de penetración indicando sus características. Ello permite analizar a cuál de las categorías previamente presentadas corresponden pudiendo así conocer su impacto. A continuación se muestra la información para Latinoamérica correspondiente a los años 2010 y 2009. 27 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 29/84 Panorama del ciberdelito en Latinoamérica Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica, informe de 2010 28 Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica, informe de 2009 29 28 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 30/84 Panorama del ciberdelito en Latinoamérica Sality.AE La principal muestra de códigos maliciosos por volumen de posibles infecciones en Latinoamérica en 2010 fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para que la familia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010. Descubierto en 2008, Sality.AE ha sido una parte importante del panorama de amenazas desde entonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en 2009. La simplicidad de propagación a través de dispositivos USB y otros medios de comunicación hace que códigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalar códigos maliciosos adicionales en los equipos. Conficker El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvo significativa atención en 2009 debido a sus sofisticados atributos y eficacia. A pesar de la liberación de un parche para la vulnerabilidad el 23 de octubre de 2008 (es decir, antes de que Downadup estuviera incluso activo), se estimó que el gusano todavía se encontraba en más de 6 millones de computadoras en todo el mundo a finales de 2009. Aunque este número disminuyó durante 2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs a finales de ese año. Este gusano fue la muestra de códigos malintencionados que ocupó el primer puesto en la región en 2009, mientras que ocupó el tercero en el 2010. Spam Situación global A continuación se muestra un cuadro que refleja del SPAM en el mundo. Symantec Corporation - Actividad global del SPAM, 2005-2010 30 29 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf 30 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 31/84 Panorama del ciberdelito en Latinoamérica Más del 95% de los correos es “no deseado (unwanted)”; conjunto conformado por SPAM y malicioso. Si bien el spam no es considerado un delito en sí mismo, su efecto sobre el desempeño de las organizaciones y el avance sobre la voluntad de cada usuario de recibir sólo aquellos mensajes de correo electrónico que desea, lo transforman en un fenómeno de alto impacto negativo, por lo que su análisis se incluye en este informe. En esta línea cabe destacar asimismo que su encadenamiento con otros tipos de ataques, contribuye sustancialmente a la comisión de delitos. Hacia el final del 2009, el 83,4% del spam era originado por la botnets o “redes robot”, en oposición al aproximadamente 90% de spam que fuera enviado por botnets (Ver Botnet – Pág. 40) en el 2008. La mayoría del resto de spam no enviado por botnets se origina en servidores de correo comprometidos y cuentas de webmails creadas usando herramientas que quiebran la rutina CAPTCHA (Completely Automated Public Turing test to tell Computer and Humans Apart). La fuerte caída del spam a fines de 2008 fue resultado de la desaparición del ISP con sede en California Mc Colo, después de que fuera reportada la actividad de una botnet criminal sobre su red. Como consecuencia del cierre de McColo, también desaparece Srizbi que fuera responsable por mucho tiempo de casi el 50% de todo el spam originado en botnets. Su lugar fue rápidamente ocupado por otras botnets rivales como Mega-D (aka Ozdok), Cutwail (aka Pandex) y Rustock. Para el final de 2010, el spam enviado desde las botnets llegaba al 77% del total. La proporción se mantuvo al 88,2% para la mayoría del año, hasta que cayó en el último trimestre debido a la desaparición de varias botnets: en diciembre 2009 ya había cerrado Mariposa, una de las mayores redes de bot de la historia con casi 13 millones de ordenadores comprometidos; Spamit, una notoria red responsable de enviar grandes volúmenes de correos sobre temas farmacéuticos cerró sus puertas en setiembre, mientras que en octubre cerró Bredolab con parte de Zeus (Ver pág. 36 – párrafo •). Las compañías coinciden en que el spam se mantuvo en 2009 y 2010 en un porcentaje de alrededor del 85%. Asimismo, Websense Inc. informa en su reporte de 2010 que aproximadamente el 90% de todo el correo no deseado contiene un link. Lo cual indica que el correo es una de las principales causas del ingreso a sitios web maliciosos que pueden infectar los equipos. Otros de los objetivos de este tipo de correos son la venta ilegal de productos y la distribución directa de software malicioso. Se ha detectado también que los distribuidores de spam realizan campañas utilizando noticias actuales e impactantes sean ciertas o no, como por ejemplo la crisis económica global, la elección de Barack Obama, la pandemia H1N1, la muerte de Michel Jackson, el accidente del vuelo 447 de Air France, entre otros. En Latinoamérica, por ejemplo, el Mundial de Fútbol del año 2010 en Sudáfrica fue un pretexto perfecto para su explotación con fines delictivos. El spam puede ser combinado con el scam (estafa). Éste es un tipo mensaje en el que se ofrece la posibilidad de ganar grandes sumas de dinero de forma sencilla. Uno de los más conocidos es el “419 scam”, que lleva su nombre por la sección del Código Criminal Nigeriano que trata el fraude. En general avisa al usuario que va a recibir una suma de dinero a través de la lotería, un nuevo trabajo o porque han sido nominados beneficiarios de una persona que posee una fortuna. A continuación se incluye información sobre la distribución global del spam durante los años 2010 y 2009 según los países de origen. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 32/84 Panorama del ciberdelito en Latinoamérica Symantec Corporation - Los 10 países que originan la mayor actividad de SPAM 2009 Mc Afee - Los 10 países que originan la mayor actividad de SPAM 2009 31 32 La siguiente tabla muestra la participación de Latinoamérica en el SPAM mundial en el año 2010. Mientras que en el 2009 reconoce aproximadamente un 20% de la actividad por parte de dicha 31 Symantec Corporation – Global Internet Security Threat Report Trends 2009 – Consultado el 20/04/2011 – http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RP T_ISTR15_Global_0410.pdf 32 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2009 – Consultado el 05/04/2011 – https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2009.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 33/84 Panorama del ciberdelito en Latinoamérica región33. Symantec Corporation - Origen del SPAM por continente 34 Como se puede observar en los gráficos anteriores, Latinoamérica ocupa el segundo lugar como región emisora de spam, representada por Brasil, mientras que Colombia se encuentra en el 10º lugar. Sin embargo, cabe señalar que Brasil ocupó el primer lugar en el mundo, como país origen de botnets emisoras de spam en el 2009, con el 13% del total. Mientras que en 2010 estuvo entre los 12 primeros. Situación en Latinoamérica A continuación se incluye los cuadros que publica Symantec respecto de la actividad de spam en Latinoamérica, por país. Symantec Corporation - Países que generan Spam en Latinoamérica - 2010 35 33 Symantec Corporation – Message Labs Intelligence 2009 Annual Security Report – Consultado el 02/05/2011 – http://www.messagelabs.com/mlireport/2009MLIAnnualReport_Final_PrintResolution.pdf 34 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report –Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 34/84 Panorama del ciberdelito en Latinoamérica Symantec Corporation - Países que generan Spam en Latinoamérica - 2009 36 Phishing En el caso de esta amenaza, se usará la información brindada por el AntiPhishing Working Group (AWPG)37. Este grupo es una asociación global, ampliamente reconocida y respetada, que contempla todas las industrias y fuerzas de la ley, focalizada en eliminar el fraude y el robo de identidad que resulta del phishing, PHARMING and MAIL SPOOFING de todo tipo y tiene como socios investigadores a los CERT de Brasil, Estados Unidos, Australia, Corea, SEI Carnegie Mellon, entre otros, así como organizaciones y empresas como Websense Inc., National Cyber Security Alliance, SRI Internacional, ESET, etc. A continuación se puede ver una tabla que resume los valores para los años 2010 y 2009 de los indicadores que utiliza el AWPG para mostrar la evolución del phishing a nivel global. 35 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf 36 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf 37 Antiphishing Working Group (AWPG) – Global phishing Survey: Domain Name use and Trend 2009 y 2010 – Consultado 10/05/2011 – http://www.antiphishing.org/resources.html#apwg Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 35/84 Panorama del ciberdelito en Latinoamérica Es importante aclarar algunos conceptos para entender la información presentada. AWPG utiliza unidades de medida que le permitan representar los hechos consistentemente a través del tiempo para lo cual obtienen números “únicos”, es decir sin duplicados, cuya consecuencia es la significativa reducción de las cifras resultantes. Sin embargo, se debe tener en cuenta que se reportan millones de URLs de phishing, las cuales pueden captar millones de incautos cibernautas. 38 Phishing domain names: Cantidad de nombres de dominios “únicos” utilizados para phishing. Un dominio puede contener varios sitios de phishing que lanzan sus ataques sobre entidades, por ejemplo bancos, o marcas determinadas. Los “nombres de dominio” están definidos como nombres de dominio de segundo nivel más los de tercer nivel, si las autoridades de registración lo ofrecen. Attacks (sitios de phishing): Cantidad de sitios de phishing “únicos”. Éstos se alojan en los “PHISHING HOSTS”. TLDs (Top level domain) used: Dominios de alto nivel usados. Por ej. org, com. IP-based IPs (unique IPs): En vez de utilizar nombres de dominio utilizan números de IP. Maliciously registered domains: Dominios registrados por los phishers para cometer los ataques. El resto son dominios legítimos que fueron comprometidos. IDN Domains: Nombres de dominio que incluyen uno o más caracteres no-ASCII, tales como los arábigos, chinos, etc. Hasta ahora estos dominios no presentan una tendencia creciente en su uso por parte de los phishers. Cabe señalar que en el segundo semestre de 2009 se ve incrementado el número de sitios de phishing como resultado de la actividad de Avalancha, una de las más dañinas entidades criminales que sobre el final del 2009 produjo los dos tercios del total de phishing. Esta red reduce su actividad en el primer semestre de 2010, y su infraestructura es utilizada por los criminales para originar los ataques del notorio troyano Zeus. Éste es una sofisticada pieza de software malicioso diseñada específicamente para automatizar el robo de identidad y facilitar transacciones no autorizadas sobre las cuentas bancarias de los consumidores. Avalancha usa todo tipo de truco de ingeniería social para dirigir a sus víctimas hacia la recepción del software malicioso Zeus. Envía falsos alertas y mensajes de actualización pretendiendo que llegan de sitios de redes sociales y atraen a la gente ofreciendo la actualización de populares softwares o engañándola para descarga formularios de las autoridades gubernamentales, con lo cual los criminales infectan las máquinas. Una vez que es infectada el criminal puede acceder remotamente, robar la información personal e interceptar contraseñas y transacciones en línea. Otra de las herramientas de las que los phishers están haciendo significativo uso son los servicios de registración de subdominios para crear sitios de phishing. Ésta es una tendencia inquietante, porque el phish en subdominios sólo puede ser efectivamente mitigado por el proveedor del subdominio (los registradores u operadores de registro no pueden mitigar este phishing suspendiendo el dominio 38 Se destaca esta frase en negrita a los efectos de que el lector perciba la magnitud de este ataque ya que, por las razones explicadas en el texto, las cifras expuestas no permiten avizorar el verdadero alcance. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 36/84 Panorama del ciberdelito en Latinoamérica principal - dado que si así lo hicieran neutralizarían todos los subdominios dependientes - lo cual afectaría a usuarios inocentes) y algunos de esos proveedores son indiferentes a las quejas. Definimos “servicio de registración de subdominios” como proveedores que entregan a sus clientes “subdomain hosting accounts”, debajo de un dominio del cual el proveedor es dueño. Estos servicios ofrecen al usuario la habilidad de definir un nombre en su propio espacio de DNS para una variedad de propósitos. Así un cliente obtendrá un HOSTNAME para usar para su propio sitio Web o correo electrónico de la forma: <customer_term>.<service_provider_sld>.TLD Se ha visto un rápido crecimiento de la tendencia de usar la funcionalidad de “shortening” URL (URL cortas) para esconder las URL de phishing. La popularidad del servicio en línea de Twitter y otras redes de sitios sociales han conducido una gran parte de esta demanda. Los usuarios de esos servicios pueden obtener una muy corta URL para usar en su limitado espacio que redireccionará automáticamente al visitante a una URL escondida mucho más larga. Éste es un espacio tan rico como el espacio de dominio regulado, con tanto dinero, más modelos de negocio y sin reglas verdaderas. En consecuencia, no es sorprendente ver a los criminales trabajando en este espacio a medida que en el gTLD (TLD genéricos) y ccTLD (TLD por código de país) se implementa mejores políticas y procedimientos anti-abuso. Una medida importante a tener en cuenta es el período de tiempo en el que los sitios de phishing permanecen “vivos” (up-time). Cuanto más tiempo un sitio permanece activo, mayor cantidad de dinero pierden las víctimas y las instituciones a las que toman como centro de su ataque. Se cree que los días más lucrativos para el atacante son los dos primeros. Es por ello que es tan importante bajarlos cuanto antes. Los programas anti-phishing implementados por los registros de nombre de dominio pueden reducir los up-times y las registraciones maliciosas que se realizan en esos sitios. Cabe señalar que en los reportes de Message Lab Intelligence de Symantec es posible encontrar cifras muy semejantes a las del AWPG. Como se dijo previamente, la cantidad de víctimas de fraude informático es muy superior a la cantidad de sitios. Pueden ser millones. El IC339 ha recibido entre 2009 y 2010 más de 600.000 quejas, que por otra parte se han incrementado un 33% en 2008, el 22% en 2009 y en 2010 bajó casi un 10%. Este descenso, si bien es un hecho positivo, no indica necesariamente una tendencia ya que ha sucedido en años anteriores y luego ha vuelto a crecer. En el mapa global de individuos que presentan quejas, se encuentra México en el octavo lugar con el 0,2%. Latinoamérica no se encuentra en el mapa global de individuos perpetradores. A continuación se presenta un trabajo realizado para países de Latinoamérica para los años 2009 y 2010, sobre los resultados publicados por el AWPG respecto de la situación global. 39 Internet Crime Complaint Center (IC3 – USA) – 2010 Internet Crime Report – Consultado el 15/04/2011 http://www.ic3.gov/media/annualreport/2010_IC3Report.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 37/84 Panorama del ciberdelito en Latinoamérica Como es posible observar en la tabla a continuación, la actividad de phishing en Latinoamérica ha crecido, si bien no representa un gran volumen en comparación al que se maneja a nivel mundial. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 38/84 Panorama del ciberdelito en Latinoamérica PRIMER SEMESTRE 2009 TLD TLD Ubicación ar Argentina bo Bolivia br # único Nombres de sitios de de Dominio Phishing únicos usados para phishing Dominios registrados al final de Marzo de 2009 SEGUNDO SEMESTRE 2010 Puntuación: Puntuación: # Total de # único Nombres Phish por attacks por dominios de sitios de 10000 10000 maliciosos de Dominio dominios dominios registrados Phishing únicos usados para phishing Dominios registrados al final de Octubre de 2010 CRECIMIENTO EN PORCENTAJE Puntuación: Puntuación: # Total Phish por attacks por de 10000 10000 domini dominios dominios os malicio sos registr ados # único de sitios de Phishing Nombres de Dominio únicos usados para phishing Dominio s registra dos # Total de dominio s malicios os registra dos 200,00 207 159 1.837.779 0,9 1,1 1 199 148 2.199.507 0,7 0,9 3 -3,86 -6,92 19,68 7 5 4.700 10,6 14,9 0 5 4 5.950 6,7 8,4 0 -28,57 -20,00 26,60 0,00 Brasil 654 381 1.675.918 2,3 3,9 1 2011 1030 2.275.031 4,5 8,8 21 207,49 170,34 35,75 2000,00 cl Chile 144 97 243.701 4 5,9 1 171 128 299.463 4,3 5,7 0 18,75 31,96 22,88 -100,00 co Colombia 31 22 25.750 8,5 12 0 86 43 527.428 0,8 1,6 4 177,42 95,45 1948,26 400,00 cr Costa Rica 1 1 11.739 0,9 0,9 0 15 8 12.300 6,5 12,2 0 1400,00 700,00 4,78 0,00 cu Cuba 2 1 1.500 6,7 13,3 0 1 1 2.175 4,6 4,6 0 -50,00 0,00 45,00 0,00 do Republica Dominicana 14 7 10.100 6,9 13,9 0 15 5 15.200 3,3 9,9 0 7,14 -28,57 50,50 0,00 ec Ecuador 12 10 17.900 5,6 6,7 0 31 26 22.729 11,4 13,4 1 158,33 160,00 26,98 100,00 gt Guatemala 8 3 6.809 4,4 11,7 0 10 9 8.630 10,4 11,6 0 25,00 200,00 26,74 0,00 hn Honduras 0 0 3.972 0 0 3 4 4.992 4 6 0 25,68 0,00 ht Haiti 0 0 1.110 0 0 7 1 jm Jamaica 1 1 4.600 2,2 2,2 0 5 5 5.064 9,9 9,9 0 400,00 400,00 10,09 0,00 mx México 213 93 290.101 3,2 7,3 30 253 114 450.453 2,5 5,6 0 18,78 22,58 55,27 -100,00 ni Nicaragua 0 0 23.000 0 0 5 3 5.905 5,1 8,5 0 pa Panama 5 3 4.800 6,3 10,4 0 0 0 6.250 0 -100,00 -100,00 30,21 0,00 pe Peru 86 64 32.000 20 26,9 24 27 19 45.180 4,2 6 0 -68,60 -70,31 41,19 -100,00 py Paraguay 3 2 8.834 2,3 3,4 0 6 6 11.200 5,4 5,4 0 100,00 200,00 26,78 0,00 sv El Salvador 2 2 0 2 2 4.725 4,2 4,2 0 uy Uruguay 15 13 18.622 7 8,1 0 13 9 27.925 3,2 4,7 0 -13,33 -30,77 49,96 0,00 ve Venezuela 24 15 130.000 1,2 1,8 1 32 26 150.000 1,7 2,1 1 33,33 73,33 15,38 0,00 Total LATAM 1.429 879 4.352.935 58 2.897 1.591 6.080.107 30 102,73 81,00 39,68 -48,28 TOTAL GLOBAL Representación LATAM 55.698 30.131 184.583.376 4.382 67.677 42.624 205.615.855 11.769 21,51 41,46 11,39 168,58 1,32 4,28 2,57 2,92 2,36 Patricia Prandini – Marcia L. Maggiore 3,73 0 2,96 0,00 0,00 Comentarios No existe información sobre Puerto Rico. La puntuación, tanto de dominios como de sitios de phishing tiene el mismo sentido que el crecimiento del resto de las variables. 0,00 0,25 Mayo 2011 – Pág. Nº 39/84 Panorama del ciberdelito en Latinoamérica A continuación se incorpora otro indicador, que es la posición que ocupan los países de Latinoamérica en el phishing global, obtenido también de la información brindad por AWPG: 1er. semestre 2009: Brasil, 7mo. 2do. semestre 2009: Honduras, 2do; México, 4to.; Brasil, 10mo. 1er. semestre 2010: Brasil, 5to. 2do. semestre 2010: Brasil, 3ro. Botnet El laboratorio de ESET Latinoamérica en su informe “Tendencias 2011: las botnet y el software malicioso dinámico”40 utiliza una idea novedosa respecto de la evolución del software malicioso. Expresa que años atrás, un desarrollador de este tipo de software decidía al momento de crear un código malicioso cuáles serían las tareas que realizaría el mismo luego de infectar un sistema. Por ejemplo, qué archivos serían modificados, qué información sería capturada o a qué dirección del atacante sería enviada la misma, entre otros. Al aparecer los troyanos del tipo puerta trasera (Ver pág 26 – párrafo •) aparecen los primeros indicios de código malicioso dinámico. Se entiende por código malicioso dinámico aquél que primero infecta el sistema y luego, a través de algún acceso remoto al equipo afectado, permite al atacante realizar diversas tareas mientras el equipo no sea desinfectado. Los troyanos del tipo puerta trasera han dejado el lugar en los últimos años a aquellos del tipo bot, diseñados para armar redes de computadoras infectadas: botnets (de “robot” y net, por redes). Las botnet conforman un modelo de negocio delictivo ya que son alquiladas por sus administradores en el mercado negro para producir todo tipo de ataques. Por ejemplo para distribuir spam y software malicioso y efectuar ataques de denegación de servicio. Una colección de computadoras es inútil sin algún mecanismo de control. El Comando de Control, o C&C, constituye la interface entre la botnet y su dueño. El dueño dirige el C&C y así comanda los bots. Situación global Un grupo de investigadores que trabajan sobre las botnets conforman la Fundación Shadowserver. Ésta es una asociación sin fines de lucro formada por profesionales de seguridad que voluntariamente recolectan, analizan y producen reportes sobre software malicioso, la actividad de las botnets y el fraude electrónico. Es su misión mejorar la seguridad sobre Internet concientizando sobre la presencia de servidores comprometidos, atacantes maliciosos y la distribución del mencionado software. También trabaja con otras agencias de seguridad para desarrollar estrategias contra las amenazas y planes de acción para ayudar a mitigar estas amenazas a medida que van apareciendo.41 Shadowserver informa que a noviembre de 2010 se habían detectado unas cinco mil quinientos botnets (habiendo llegado durante el año a seis mil en meses como mayo o julio), contra los pocos más de 40 ESET Latinoamérica - Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf 41 The Shadowserver Foundation – Consultado el 25/04/2011 - http://www.shadowserver.org Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 40/84 Panorama del ciberdelito en Latinoamérica cuatro mil a finales del año anterior. El crecimiento de las redes botnet activas detectadas por Shadow Server en los últimos dos años puede observarse en el siguiente gráfico: Tomando estos 24 meses, se estima un crecimiento de aproximadamente un 85% en la cantidad de botnet activas. Esto representa millones de usuarios afectados por esta amenaza. Este valor se sustenta tan solo si se toman simplemente tres de las botnets que han sido dadas de baja durante 2010: Waledac (80 mil usuarios afectados), Mariposa (13 millones) y Bredolab (30 millones).42 Cabe señalar que varios países de Latinoamérica se encontraron entre los TOP 20 de máquinas infectadas por la red Mariposa, compuesta por más de 13 millones de direcciones IP infectadas distribuidas en 190 países al rededor del mundo. Ellos son: México, con el 12,85% (2do. Puesto), Brasil, con el 7,74% (3er. Puesto), Colombia, con el 4,94% (5to. Puesto), Perú, con el 2,42% (11mo. Puesto), Chile, con el 1,74% (décimo 4to puesto) y Argentina, con el 1,10% (décimo 8vo puesto) del total.43 42 Se destaca esta frase en negrita para que el lector perciba la magnitud del ataque ya que, en el orden mundial, la cantidad de botnets (aproximadamente 6000) no aparece como un valor muy significativo. 43 Info Spyware – Artículo del 23/03/2010 por Marcelo Rivero “Latinoamérica dentro de los más afectados por la red Mariposa” – Consultado el 15/05//2011 - http://www.infospyware.com/blog/latinoamerica-dentro-de-losmas-afectados-por-la-botnet-mariposa/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 41/84 Panorama del ciberdelito en Latinoamérica Situación en Latinoamérica A continuación ofrecemos un panorama para los años 2010 y 2009 en Latinoamérica. 44 Symantec Corporation - Computadoras infectadas por bots en Latinoamérica - 2010 . 45 Symantec Corporation - Computadoras infectadas por bots en Latinoamérica - 2009 . Es importante agregar que la tendencia de crear botnets se ha trasladado a Latinoamérica. En el año 2009, ESET detecta el sistema SAPZ (Sistema de Administración de PCs Zombi) desarrollado por delincuentes latinos y que permite el control de una gran cantidad de usuarios infectados a través de 44 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf 45 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos América Latina – Consultado el 05/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 42/84 Panorama del ciberdelito en Latinoamérica troyanos como el que ESET NOD32 denomina Win32/Qhost.NMX.46 A la fecha del artículo, 17 de setiembre de 2009, la red contaba con más de 12.000 zombis. Otra prueba concreta es una nueva botnet cuyo origen y desarrollo se encuentra en México, destinada a cometer delitos dirigidos al público latino, y que fue descubierta por el equipo de ESET. Esta noticia se publicó el 4 de junio de 2010 y se refiere a la Mariachi Botnet.47 Cifras de Kaspersky Lab indican que Kido (también llamada Conficker o Downup Devian por otras empresas de antivirus) es la principal botnet de Latinoamérica. Todos los países de la región, incluyendo Chile, la tienen en el TOP 10 de las amenazas.48 Otras actividades maliciosas Hasta aquí han sido desarrollados los temas según la catalogación realizada por la mayoría de las compañías y organizaciones consultadas. A continuación se presentan varias amenazas en cuyo agrupamiento no se ha encontrado coincidencia entre las fuentes. De allí que se presenten desagregadas. En general, es adecuado decir que todas forman parte de los ataques a través de la Web. Código malicioso multiplataforma49 A lo largo de 2010 diversas plataformas se vieron afectadas por variantes de código malicioso. A pesar de que Windows sigue siendo la plataforma más explotada por éstos (se estima que un 84,3% de los usuarios se infectó durante el año), hubo otras que también sufrieron algunos incidentes, tales como Linux, los dispositivos móviles y sistemas operativos en crecimiento como fue el caso de Android, para el cual fue reportado su primer troyano SMS en agosto de 2010. Según investigaciones de ESET, el código para móviles ha aumentado un 95% entre 2009 y 2010. Como alternativa más rentable para los desarrolladores de código malicioso aparece la creación de códigos maliciosos multi-plataforma, archivos que pueden afectar a diversas plataformas con un mismo fin, o bajo un mismo modelo de infección. Un ejemplo de esta tendencia se observó a principio de año con un experimento realizado para crear botnet en plataformas móviles con iPhone y Android, obteniendo más de 8 mil dispositivos afectados. Esta tendencia fue ratificada a finales del año, con la aparición de una nueva variante del troyano Koobface, conocida como Boonana e identificada por ESET con la firma Java/Boonana.A. La misma implicó la primer versión multi-plataforma de este troyano que está en actividad desde finales de 2008, 46 ESET Latinoamérica – Artículo del 17/09/2009 por Cristian Borghello “Rateros: botnets latinoamericanas” – Consultado el 14/05/2011 - http://blogs.eset-la.com/laboratorio/2009/09/17/rateros-botnets-latinoamericanas/ 47 ESET Latinoamérica – Artículo del 04/06/2010 por Juan Sacco “Mariachi Botnet: Latinoamérica es atacada por ciberdelincuentes mejicanos” – Consultado el 30/04/2011 http://blogs.esetla.com/laboratorio/2010/06/04/mariachi-botnet-latinoamerica-atacada-ciberdelincuentes-mexicanos/ 48 Open Networks – Artículo del 10/05/2011 “Coreflood -que robó mas de U$100 millones- podría estar en su computador” – Consultado el 15/05/2011 - http://www.opennetla.com/portal/index.php/noticias-/210-corefloodque-robo-mas-de-u100-millones-podria-estar-en-su-computador 49 ESET Latinoamérica – Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 43/84 Panorama del ciberdelito en Latinoamérica y que dos años después de su creación ha comenzado su propagación más allá de sistemas Windows, infectando también sistemas Linux y Mac OS. Búsquedas en la web llevan a sitios maliciosos Actualmente los delincuentes dirigen sus ataques en tiempo real, por ejemplo utilizando las búsquedas en líneas. Los delincuentes utilizan técnicas de Blackhat SEO y suelen subir scripts PHP a las páginas atacadas. Estos scripts lanzan consultas al servicio de temas más populares de Google y a continuación generan archivos HTML correspondientes a los términos de búsqueda más utilizados. “El motor de búsqueda es engañado para que ‘vea’ el material correspondiente, mientras que el usuario es redireccionado a un sitio de distribución de malware en cuanto hace clic sobre el enlace del resultado que aparece en primer lugar. Los delincuentes que se aprovechan de las técnicas de Blackhat SEO para distribuir malware han explotado tanto los motores de búsqueda que los usuarios ya no saben si confiar o no en los resultados de sus búsquedas – Lo que no son buenas noticias ni para los usuarios ni para las empresas de los motores de búsqueda. Este año hemos sido testigos de múltiples campañas de Blackhat SEO que explotaban los temas más populares del día, viendo como muchas de ellas conseguían colar páginas maliciosas entre los primeros lugares de los resultados de las búsquedas.”50 Websense Inc. informa que en el año 2010 el 22,4 % de de las búsquedas en tiempo real sobre entretenimientos dirige a un link malicioso, ya que los autores de software malicioso se focalizan en los rumores de la farándula y las noticias de último momento. Otras compañías dan porcentajes más altos, probablemente usando métodos de conteo diferentes. Pero lo cierto es que esta actividad maliciosa existe. Muchos de los ataques SEO en el 2010 son combinados con un segundo componente que consiste en un ROGUE ANTIVIRUS (ROGUEWARE). (Ver Falsos antivirus (rogueware) – Pág. 45). Las amenazas de las redes sociales 2010 ha sido el año de las redes sociales. Éstas presentan grandes oportunidades para los negocios, pero también para los delincuentes ya que muchos de estos sitios no fueron diseñados con seguridad. Los atacantes usan técnicas de phishing para luego solicitar acceso, a través de la aplicación maliciosa, a toda su información personal, con lo cual puede dirigirse a todos los contactos de la víctima. Panda Security informa que en mayo de 2010 descubrió una página de venta de bots para redes sociales. Según informa dicha página “el bot recoge información de las identidades y nombres de los amigos y envía, de forma automática, solicitudes de amistad, mensajes con el contenido que se quiera o comentarios”.51 “Se ha visto en los últimos años que los atacantes combinan una gran variedad de tácticas para maximizar el potencial de éxito. Esta situación se conoce como una “convergencia de amenazas”. Esta convergencia a través de múltiples protocolos hace mucho más difícil la securización de aplicaciones en 50 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf 51 Idem 43 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 44/84 – Panorama del ciberdelito en Latinoamérica línea. Los atacantes se están dirigiendo hacia los medios sociales, teniendo en cuenta el uso de las redes de esta naturaleza y el acceso a datos del negocio por parte de los empleados mientras están en tránsito, en la casa o realmente en cualquier lugar fuera de los confines de la red corporativa.”52 Ya en un artículo de abril de 2008, informa Internacional Data Corporation (IDC) que de acuerdo con un estudio reciente, “hoy día dos tercios de las empresas usan mínimo una aplicación Web 2.0; sin embargo, utilizar estas tecnologías emergentes sin una seguridad efectiva puede ser desastroso. El Vicepresidente de programa, Chris Christiansen, escribió en el reporte de IDC de enero de 2008 que las comunidades y aplicaciones Web 2.0 y Business 2.0 se convertirán en una fuente principal de fraude de identidad, violaciones a la privacidad y pérdida de información de las organizaciones.” 53 Como es posible observar a través del informe, la predicción se ha cumplido. Falsos antivirus (rogueware) Se trata de aplicaciones que se hacen pasar por soluciones antivirus que ofrecen explorar gratuitamente las computadoras de los desprevenidos internautas y que al hacerlo detectan numerosas amenazas inexistentes. Sin embargo, cuando los usuarios tratan de eliminar dichas amenazas a través de la aplicación, se les pide que compren la correspondiente licencia. Estos productos no sólo no son antivirus, sino que además infectan las máquinas. También se venden productos como utilitarios de sistema y discos. Conseguir una víctima más de un falso antivirus significa para el delincuente varias ventajas: no sólo le permite embolsarse el importe de la compra de la supuesta licencia del programa de seguridad, que nunca envía, sino que se queda con los datos de la tarjeta de crédito del incauto, que posteriormente puede vender en el mercado negro o utilizar para extraer dinero, hacer compras online, etc. En 2010 ha aparecido el 40% del total de ejemplares de falsos antivirus. O lo que es lo mismo, desde que apareció este nuevo tipo de amenazas, hace cuatro años, Panda Security ha clasificado 5.651.786 ejemplares únicos y diferentes de falsos antivirus: de este total, 2.285.629 han aparecido desde enero a noviembre de 2010.54 Violación de datos El robo de identidad continúa siendo un problema de seguridad de alto perfil particularmente para organizaciones que almacenan grandes cantidades de información personal. No sólo pueden terminar en la pérdida de datos personales dañando la confidencialidad de clientes e instituciones, sino que pueden dañar la reputación de la organización y puede ser costoso para los individuos recuperarse del resultado del robo de identidad. Un gran número de violaciones de datos no necesariamente iguala la cantidad de identidades expuestas. Por ejemplo, los tres sectores que mayor cantidad de violaciones de datos sufrieron en el 52 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf 53 CDS Comunicaciones – Artículo del 11/04/2008 “Websense revela la primera red de seguridad HoneyGrid” Consultado el 25/04/2011 http://www.cds11.com/magazine/index.php?option=com_content&task=view&id=467&Itemid=92 54 Panda Security – Informe Anual PandaLabs 2010 – Consultad0 27/04/2011 – http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 45/84 Panorama del ciberdelito en Latinoamérica 2010 sólo contabilizaron un cuarto de las identidades expuestas en el período en estudio. El promedio de identidades expuestas por violación de datos para cada uno de estos sectores fue menor a 38.000, mientras que para el sector financiero fue de 236.000.55 En muchos casos uno de los aliados técnicos de la fuga de información es el software malicioso, que en sus distintas formas y tipos permite acceder a equipos, explotar vulnerabilidades y afectar la privacidad de forma directa. De hecho, como caso particular, el SPYWARE está diseñado para espiar los sistemas en los cuales se logra alojar, haciendo que, por ejemplo, las contraseñas de un usuario sean capturadas, o su información estadística de navegación sea tomada sin su consentimiento para fines económicos. En el mismo sentido, dentro del software malicioso que produce este tipo de resultados, existen los denominados KEYLOGGERS, que son dispositivos de software o hardware que capturan silenciosamente lo tecleado por el usuario. Si bien este aspecto técnico debe resolverse principalmente con un software antivirus adecuado, también es indispensable que el usuario conozca los peligros a los que se expone, dado que en muchos casos la falta de concientización es la que promueve la exposición directa a las amenazas.56 Un artículo de elmundo.es publicado el 19/08/2009, da cuenta de lo que constituye el mayor caso de robo informático de datos llevado a juicio en Estados Unidos, según las autoridades de ese país. Más de 130 millones de números de tarjetas de crédito y débito fueron robados por un 'cracker' de Miami y dos compinches rusos, mediante un sofisticado ataque de 'SQL INJECTION' para penetrar en sus redes.57 McAfee Inc. informa que Brasil ocupa el noveno lugar como fuente de ataque de SQL Injection.58 Explotación de vulnerabilidades • La mención de honor del año 2009 en cuanto a vulnerabilidades se trata es para Adobe, por ser la empresa que durante más tiempo ha dejado expuestos a sus clientes, así como por ser el fabricante de los productos más explotados del año. En total fueron reportadas 45 vulnerabilidades en software de dicha empresa. Comparando con otros paquetes de software, como por ejemplo Microsoft Windows (todo el sistema operativo y aplicaciones base), han sido corregidas 41 vulnerabilidades. Así pues, este año se han encontrado más vulnerabilidades en software Adobe (Acrobat Reader y Flash Player) que en un único sistema operativo a lo largo del tiempo. Por si esto 55 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf 56 ESET – Fuga de información. Una amenaza pasajera? – Consultado el 24/04/2011 - http://www.esetla.com/pdf/prensa/informe/fuga_de_informacion.pdf 57 elmundo.es – Artículo del 17/08/2009 “Un 'cracker' de 28 años, acusado de robar datos de 130 millones de tarjetas de crédito” – Consultado el 27/04/2011 http://www.elmundo.es/elmundo/2009/08/17/navegante/1250535175.html 58 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 5/04/2011 – https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 46/84 Panorama del ciberdelito en Latinoamérica fuera poco, lo más preocupante de este triste récord es que la ventana de tiempo en la que los usuarios de sus productos han sido vulnerables ha superado los 30 días en la mayoría de los casos.59 También Apple ha crecido en cantidad de vulnerabilidades a medida que crece su presencia en el mercado. • A comienzos del año 2010 sorprendió la noticia de que un sofisticado y coordinado ataque bautizado “Operación Aurora” había afectado a más de 30 grandes compañías multinacionales. Los hackers aprovechaban una vulnerabilidad de Internet explorer para instalar un troyano de manera silenciosa en los ordenadores de los usuarios y conseguir, de esta manera, tener acceso remoto a toda su información personal. Dicha vulnerabilidad ZERO DAY afectaba a las tres versiones del navegador Internet Explorer (6, 7 y 8) en sistemas operativos Windows 2000 SP4, WXP, 2003, Vista y Windows 7. Existen dos hipótesis sobre el objetivo final que querían lograr los hackers: una versa sobre la intencionalidad de robar información de propiedad intelectual a grandes compañías y la otra apunta al robo de información de cuentas de Gmail de supuestos y conocidos activistas de derechos humanos en China. Algunas fuentes de información indican que las personas que recibieron el e-mail, o sea las “víctimas” no eran aleatorias, sino que se trataba de directivos y altos cargos que supuestamente tenían permisos de acceso a diferentes aplicaciones con privilegios. Este tipo de ataque es conocido como “dirigido”, en contraposición a los ataques masivos o indiscriminados, donde no se selecciona el potencial receptor.60 • Stuxnet fue la estrella del año 2010. Aprovechando varias vulnerabilidades Zero Day de Windows tuvo la habilidad de tomar como blanco a infraestructuras industriales específicas y dañar sistemas físicos. Una de las vulnerabilidades que pudo explotar le permitió infectar “SIMATIC”, sistema tipo Supervisory Control and Data Acquisition (SCADA) de Siemens, el cual es usado para monitorear y controlar sistemas industriales. El sistema infectado podría alterar por ejemplo, la frecuencia de motores, y potencialmente dañarlos o interferir con su operación. La mayoría de las infecciones de Stuxnet fue sufrida por sistemas ubicados en Irán. En el mes de noviembre el gobierno iraní reveló que algunas de esas infecciones habían dañado los centrifugadores usados en el programa de enriquecimiento de uranio de ese país, lo cual llevó a los investigadores a especular sobre la posibilidad de que el software malicioso fuera diseñado y distribuido específicamente para interrumpir el programa.61 • El 2011 sorprendió con un ataque a la compañía Sony, la cual lo explicó de la siguiente manera: “El ataque a la base de datos de clientes se realizó desde un servidor de aplicaciones conectado con ella, y que está tras un servidor web y dos cortafuegos o firewalls. Según los responsables de la compañía, el modo en que se realizó el hackeo “es un técnica muy sofisticada”. Los autores del ataque lo encubrieron como una compra en la plataforma online de Sony, por lo que los sistemas de seguridad no detectaron nada raro, y tras pasar del servidor web, lograron explotar 59 Panda Security – Informe Anual PandaLabs 2009 – Consultado el 27/04/2011 – http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf 60 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 – http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf 61 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 47/84 Panorama del ciberdelito en Latinoamérica una vulnerabilidad del servidor de aplicaciones para instalar software que más tarde fue usado para acceder al servidor de la base de datos, protegido por un tercer firewall. La vulnerabilidad del servidor de aplicaciones donde se instaló el software para acceder a la base de datos era desconocida por Sony, que ya se ha apresurado a crear un puesto de jefe de seguridad de la información para supervisar la seguridad de los datos de ahora en adelante, además de haber rehecho la seguridad de la plataforma PlayStation Network para evitar que esto vuelva a pasar.”62 En el link al pie de la página puede verse un gráfico representativo. En otro artículo publicado por ESET Latinoamérica en su blog de laboratorio se puede leer: El presidente de la compañía, Kaz Hirai, confirmó que 10 millones de tarjetas de crédito de los 77 millones de usuarios han sido obtenidas por los atacantes, y la empresa ya informó a estos usuarios de los hechos. De la misma rueda de prensa, fue posible obtener los datos de los usuarios afectados en Latinoamérica, y se trata nada más y nada menos que de más de un millón setecientos mil usuarios. Un periodista que asistió a la conferencia, Mark MacDonald, publicó desde su cuenta de Twitter (@markmacd) una foto del documento presentado el día de ayer, con el número de cuentas afectadas por país, y de allí se derivan que los usuarios afectados en Latinoamérica, sólo tomando los países que se indican en las planillas (los más grandes en usuarios afectados), son los siguientes (de mayor a menor): México: 957,543 cuentas. Brasil: 448,839 cuentas. Argentina: 101,269 cuentas. Colombia: 93,246 cuentas. Chile: 80,357 cuentas. Perú: 35,517 Si se tienen en cuenta otros países en números menores, el número asciende por encima de los 1.716.771 afectados.63 En el link al pie de la página puede verse la foto enviada por el periodista. Si bien se cataloga estas situaciones como la explotación de vulnerabilidades, la resultante es siempre alguna de los ciberamenazas ya mencionadas. Una encuesta que combina los resultados sobre diferentes tipos de ataques en Latinoamérica, entre otros tópicos que la conforman, es la que presenta la Asociación Colombiana de Ingenieros de Sistemas (ACIS), en la que recaba información de los participantes respecto de las fallas de seguridad de las que han sido objeto. 62 1080b bloggresivo – Artículo del 04/05/2011 “Sony explica como fue hackeada Playstation Network” – Consultado el 20/05/2011 - http://www.1080b.com/tecnologia/sony-explica-como-fue-hackeada-playstationnetwork/13526/ 63 ESET Latinoamérica - Artículo del 05/05/2011 “SonyPlayStation: más de un millón de afectados en Latinoamérica” – Consultado el 20/05/2011 - http://blogs.eset-la.com/laboratorio/2011/05/05/sonyplaystationmas-de-un-millon-de-afectados-en-latinoamerica/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 48/84 Panorama del ciberdelito en Latinoamérica En la efectuada durante el año 2010, participaron además de ACIS, el Centro de Atención de incidentes de Seguridad Informática y Telecomunicaciones, (ANTEL) de Uruguay: la Red Latinoamericana de Expertos en Derecho Informático (Alfa-Redi de Perú); la Superintendencia de Servicios de Certificación, SUSCERTE de la República Bolivariana de Venezuela: la Universidad del Valle de Atemajac, Campus Guadalajara; el Colegio de Profesionistas en Computación del Estado de Hidalgo, México; el Capítulo Buenos Aires de ISACA y la organización USUARIA de Argentina e ISACA, Capítulo Asunción, Paraguay. Cabe señalar que son diferentes los participantes de cada año, por lo cual podrían no ser comparables las cifras aunque mantienen consistencia dentro del mismo año.64 Tipo de falla de seguridad Ninguna Manipulación de aplicaciones de software Instalación de software no autorizado Accesos no autorizados a la Web Fraude Virus Robo de datos Caballos de troya Monitoreo no autorizado del tráfico Negación del servicio Pérdida de integridad Pérdida de información Suplantación de identidad Phishing Pharming Fuga de información Otras 2009% 8,1 22,2 60,7 30,9 10,8 70,9 9,9 33 11,4 15 4,8 19;5 13,5 16,8 3 21 - 2010% 4,44 4,44 18,65 9,43 2,49 20,7 2,06 7,04 2,60 4,33 1,4 5,42 1,84 4,55 0,54 7,37 1,3 Ataque distribuido de denegación de servicio (DDoS – DoS) Los ataques de denegación de servicio tienen como objetivo interrumpir la prestación del servicio web de las organizaciones atacadas. Dado que estos ataques siempre resultan en una gran exposición de las organizaciones víctima suelen producir un gran daño a su reputación y acrecientan el grado de desconfianza por parte de sus usuarios. Si bien este tipo de ataque puede ser dirigido a cualquier tipo de organización, el DoS ha sido durante el año 2010, la mayor amenaza de las infraestructuras gubernamentales y de servicios críticos como el biofarmaceútico, financiero y transporte alcanzando el 52% del total de ataques.65 64 ACIS – Seguridad de la Información en Latinoamérica Tendencias 2010 – Fecha de consulta: 20/05/2011 http://www.acis.org.co/fileadmin/Revista_115/Informe_Latinoamerica.pdf 65 Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el 20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 49/84 Panorama del ciberdelito en Latinoamérica Tendencias 2011 Se expresa aquí lo recogido en los informes de las diferentes compañías respecto de las tendencias en materia de amenazas para el corriente año. Websense Inc. opina que el continuo uso de los smartphones y la creciente cantidad de datos financieros que llegan a estos dispositivos los transforman en futuros blancos de ataque. Algunas plataformas móviles incluyendo iPhone ya han sido atacadas. Además, hay una importante cantidad de aplicaciones móviles disponibles, las cuales abrirán la puerta a vulnerabilidades de seguridad dependiendo de la calidad de su construcción.66 Con la adopción de tantas nuevas plataformas móviles, McAfee espera que estos dispositivos estén sujetos a la distribución e infección por botnets. La falta de concientización en seguridad entre los usuarios de estos dispositivos, la potencial masividad de su utilización en múltiples aplicaciones y la inmadurez de las salvaguardas móviles ofrecen a los ciberdelincuentes muy buenas oportunidades.67 Por otro lado, Symantec Corporation señala que ya en 2010 existían todos los requerimientos para un panorama de amenazas activas para estos dispositivos. El parque instalado de smartphones y otros dispositivos móviles ha crecido lo suficiente como para tener un atractivo tamaño. Los dispositivos corren sistemas operativos sofisticados que vienen inevitablemente con vulnerabilidades, con un total de 163 en 2010. Además, los troyanos escondidos en legítimas aplicaciones vendidas en los almacenes de aplicaciones proveen un simple y efectivo método de propagación.68 Continuando con la visión de Websense Inc. en otros temas, la compañía opina que continuarán los ataques combinados, por ejemplo SEO combinado con rogue AV, así como los correos electrónicos conteniendo componentes para el robo de datos. También las campañas de Spam continuarán teniendo como blanco los muros de Facebook y otros sitios de redes sociales y las botnets crecerán ya que generan una buena ganancia a bajo costo para los ciberdelincuentes y tienen suficiente amplitud para llegar a cualquier lugar que se propongan. Según Symantec Corporation, las botnets también mejorarán la técnica empleando esteganografía para esconder sus comandos.69 AWPG opina que seguirá creciendo el uso de URls cortas y de subdominios por parte de los phishers. Panda Security coincide con las tendencias ya enunciadas y enfatiza la consolidación de las redes sociales como herramienta para los delincuentes y su crecimiento en ataques distribuidos. 66 Websense Inc - 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 – https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf 67 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 5/04/2011 – https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf 68 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16Datasheet-LAM-SP.pdf 69 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 50/84 Panorama del ciberdelito en Latinoamérica Por su parte, Symantec Corporation incluye el crecimiento de los ataques dirigidos a industrias e individuos específicos, así como los ataques de denegación de servicio sobre los sectores de infraestructura crítica. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 51/84 Panorama del ciberdelito en Latinoamérica Capítulo IV - Impacto Económico Introducción La utilización de Internet se ha acrecentado notoriamente en las últimas décadas, pasando de un uso exclusivamente académico y militar a conformar hoy, una parte esencial de la infraestructura crítica que sostiene a las sociedades modernas. En este contexto, Latinoamérica no ha sido ajena a este fenómeno. Sin embargo, y como fuera señalando precedentemente, junto a los múltiples beneficios que han surgido de la mano de las tecnologías de la información, aparece un sin número de amenazas a partir de la explotación de sus debilidades, complejidades y escala global. Así nuestras sociedades son hoy dependientes de la disponibilidad, precisión y confidencialidad de sus tecnologías de la información y las comunicaciones, dejando muy pocas áreas de nuestras vidas al margen de la revolución digital. En efecto, esas mismas tecnologías han reeditado viejos delitos a través de nuevas y más imperceptibles formas de concretarlos. Diversos pronunciamientos de gobiernos, empresas líderes y organizaciones internacionales llevan a asegurar que la magnitud del ciberdelito es realmente preocupante y a plantear escenarios de ataques cibernéticos, con consecuencias gravosas para la población. El Gobierno del Reino Unido, por ejemplo, reconoció al delito cibernético como uno de los cuatro mayores riesgos para la seguridad de la Nación.70 En el caso particular de la región Latinoamericana, diversas publicaciones, como se muestra en el capítulo III, la señalan como origen y blanco de numerosos tipos de incidentes, como las botnets, el SPAM, el phishing, el robo de identidad, etc. Para dimensionar la magnitud del problema, un ejercicio imprescindible es estimar el impacto económico de estos ataques, que efectiva o potencialmente podrían afectar tanto a organizaciones como a individuos en la región. Sin embargo, intentar determinar este impacto es una labor compleja por diversos motivos y cualquier afirmación, como se planteará más adelante, se basará necesariamente en una serie de supuestos justificados, ante la imposibilidad de acceder a datos concretos sobre la ocurrencia del incidente y sus características. Porqué medir el impacto económico Estimar el impacto económico de los ataques cibernéticos habilita la posibilidad de establecer la real dimensión del problema y facilita la asignación de recursos suficientes bajo una ecuación equilibrada de costo/beneficio. En este sentido, puede afirmarse que contar con estimaciones precisas del impacto, ya sea real o potencial, de un ataque cibernético constituye uno de los pilares fundamentales para la adopción de medidas de protección para los datos y los recursos de información a todo nivel. Como contracara, puede deducirse que una incorrecta asignación de recursos expone a la entidad o a la persona a mayores riesgos e incrementa las posibilidades de sufrir otro ataque, con lo que aumenta el impacto potencial y el problema tiende a retroalimentarse. 70 HMGovernment - A Strong Britain in an age of uncertainty. National Security Strategy October 2010 – Consultado el 25/04/2011 http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents/digitalasset/dg_1916 39.pdf?CID=PDF&PLA=furl&CRE=nationalsecuritystrategy Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 52/84 Panorama del ciberdelito en Latinoamérica Por otra parte y ya a nivel de una organización, al justificar la incorporación de una nueva herramienta de seguridad o cualquier iniciativa para su fortalecimiento, se hace inevitable que deban responderse preguntas vinculadas a los beneficios esperados. En otras palabras, se deberá tener en claro cuáles serían las consecuencias de no realizar esa acción y específicamente, cuánto se podría perder en caso de no avanzar en su instrumentación. A nivel de un país, contar con estimaciones de impacto económico permitiría orientar las acciones de los organismos reguladores hacia aquellas áreas más susceptibles a pérdidas por ataques cibernéticos o a aquéllas cuyo impacto tenga un efecto negativo sobre toda o parte de la sociedad. Por otro lado, estas estimaciones pueden ser también expresadas como valor agregado de los efectos sobre las personas (clientes, ciudadanos, etc.) o de las empresas (Bancos, Hospitales, Compañías de aviación, Organismos estatales, Servicios Públicos, etc.). Desde el punto de vista de las Fuerzas Policiales y de la Justicia, una estimación lo más precisa posible de las pérdidas económicas ocurridas o eventuales es importante a la hora de priorizar la respuesta al ciberdelito y constituye la base para asegurar una sanción o penalidad acorde con el daño producido. Los ejemplos citados dan cuenta de la importancia de contar con estimaciones del impacto del ciberdelito en términos económicos. Sin embargo, existen pocos estudios y escasa bibliografía que avance en el análisis desde esta perspectiva, tanto a nivel global o regional como de los países en particular. Más aún, los informes que existen muestra los datos sin detallar la manera en que fueron calculados. Dificultades para la estimación Estimar el impacto económico de un ciberdelito no es una tarea sencilla. La ausencia de datos sobre la cantidad real de casos registrados, las dificultades para establecer los costos indirectos y dimensionar la población afectada son parte del problema. Influye asimismo el bajo nivel de seguimiento y registro del tiempo y los recursos asignados al momento enfrentar un ataque. Mayores complicaciones provienen de los problemas para determinar sus consecuencias en el tiempo, todo lo cual dificulta la posibilidad de conocer el gasto total de remediación y compensación por las pérdidas registradas. Como fuera mencionado anteriormente, un factor crucial es el escaso volumen de datos de casos de ataques o fallas que se reportan. En el caso de los usuarios, generalmente desconocen dónde y cómo plantear una queja o reclamo ante un posible fraude informático, o bien cuando deciden hacerlo, no son debidamente escuchados o entendidos. Otro factor a tener en cuenta es que no siempre es posible encontrar a los culpables, lo cual resulta desalentador a la hora de decidir formular la denuncia, y que las respuestas de las entidades, sean bancarias, empresas de seguro, etc. muchas veces son insuficientes, dejando sólo al usuario frente al posible delito. A diferencia de la estimación de la cantidad de casos de ataques registrados cuyo análisis se desarrolló en el Capítulo III, que puede basarse en herramientas automatizadas de recolección, en el caso de la ponderación económica, se hace necesaria la denuncia o reporte de al menos un número significativo de entidades o usuarios afectados, a fin de aproximar la cuantificación económica del daño producido, sea en costos directos o indirectos. Hacia fines del siglo pasado, varias universidades de los EEUU se propusieron examinar en forma sistemática los costos reales asociados a los incidentes de seguridad. A partir de sus estudios, Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 53/84 Panorama del ciberdelito en Latinoamérica planteados bajo la denominación de ICAMP (Incident Analysis Modeling Project), se elaboró un modelo para la determinación de los costos de atención de incidentes y una serie de ejemplos de los ataques más comunes71. Este estudio demostró que es posible realizar estimaciones, siempre que se mantenga un nivel razonable de disciplina y diligencia entre quienes desarrollan las tareas vinculadas, llevando registro de los tiempos y recursos asignados como parte del proceso. Esta afirmación que en el contexto de trabajo citado es aplicable al proceso de atención y remediación de un incidente, puede ser extendida a los costos de los ataques en general y no solo a aquéllos asociados a su gestión. Puede afirmarse también que muchas entidades cuentan con datos parciales o totales respecto a los incidentes registrados, pero son reticentes a compartirlos con otros o a divulgarlos por cualquier otro medio, ante la posibilidad de que se afecte la confianza de los usuarios o clientes, se genere publicidad negativa para la organización, los accionistas se enteren, las entidades regulatorias o de seguridad impongan sanciones o bien, que otras empresas del ramo obtengan ventajas competitivas, entre otras posibles razones. Al respecto, cabe acotar que es un error grave suponer que la falta de estimaciones sobre la real dimensión del impacto económico pueda ser leída como su ausencia. Si bien es dable reconocer que establecer la dimensión completa del incidente es posiblemente una tarea casi imposible en la mayoría de los casos, contar con valores estimados permitirá dimensionarlo y como ya fuera expresado, realizar las previsiones necesarias priorizando los escenarios de mayor riesgo. Algunas preguntas que podrían darse frente a un ataque real o potencial son las siguientes: • ¿Cuántas personas/entidades denunciaron haber sido afectadas? • ¿Cuál es la estimación del número de personas/entidades que pudo verse afectado pero no detectó aún el fraude o prefirió no denunciarlo? • ¿Cuál es la pérdida promedio por persona y/o entidad afectada? • ¿Cuál fue el efecto sobre el trabajo cotidiano de las personas, es decir cuántas no pudieron trabajar o efectuar algún tipo de transacción? • ¿Cuál es el salario de estas personas o bien la pérdida promedio por esta imposibilidad de llevar adelante sus actividades? • ¿Cuántas personas trabajaron en atender el incidente? • ¿Cuántas horas destinaron al proceso de gestión del incidente? • ¿Cuánto ganan estas personas? • ¿Cuál será la previsión que se registrará para la atención de los costos posteriores en términos de posibles demandas legales? 71 Symantec Corporation – Artículo del 02/11/2010 por David Ditrich “Developing an Effective Incident Cost Analysis Mechanism” – Consultado el 23/04/2011 - http://symantec.com/connect/articles/developing-effectiveincident-cost-analysis-mechanism Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 54/84 Panorama del ciberdelito en Latinoamérica Con esta información disponible, luego es cuestión de mero cálculo arribar a un valor estimado que si bien posiblemente no refleje el incidente en su total dimensión, fija un piso para la estimación del impacto económico. Al respecto, las pérdidas totales asociadas a un ataque cibernético exceden los costos directos que podrían llegar a estimarse, alcanzando aspectos ligados a la pérdida de credibilidad o reputación de las entidades afectadas e inclusive de otras del mismo mercado o actividad. Así, un robo masivo de datos personales vinculados a las tarjetas de crédito cometido a través de Internet, podría impactar en la voluntad de los usuarios para utilizar sus tarjetas en otros puntos de compra de bienes o servicios en Internet. Costos asociados a los incidentes informáticos La bibliografía indica que los costos asociados a la ocurrencia de un incidente pueden catalogarse de la siguiente manera: • Costos preventivos, que incluyen el costeo de las medidas de seguridad física, lógica y organizacionales y de las implementaciones, que dando cumplimiento al marco regulatorio y legal, deben ser efectuadas por las entidades y las personas con el fin de evitar la ocurrencia de los incidentes de seguridad, sobre la base del cumplimiento de estándares y buenas prácticas en materia de seguridad. • Costos de remediación, incurridos como consecuencia inmediata de los incidentes de seguridad, que abarcan las pérdidas directas que sufren las personas y las entidades, incluyendo aquéllas asociadas a las pérdidas de imagen, competitividad, etc. • Costos de respuesta posteriores, como por ejemplo, las indemnizaciones a las víctimas, las sanciones y penalidades impuestas por los organismos reguladores y aquellos asociados a las investigaciones forenses y gastos judiciales. • Costos indirectos, vinculados por ejemplo, a la pérdida de confianza en las transacciones electrónicas y su impacto en el gobierno y el comercio electrónicos. Objetivo y alcance del capítulo El objetivo principal de este capítulo es proveer un marco para la medición del impacto económico del ciberdelito en Latinoamérica, que pueda ser actualizado y mejorado cuando se disponga de información más precisa y de análisis más profundos, facilitando estimaciones futuras. Se propone asimismo, realizar algunas estimaciones y proyecciones globales respecto a la dimensión que podría estar teniendo el ciberdelito en la región. Estas proyecciones son realizadas en base a una serie de supuestos y especulaciones, ante la ausencia de datos concretos y representativos sobre incidentes ocurridos. En otras palabras, los valores que se indican en este capítulo son el resultado de estimaciones, más que de datos específicos de casos de ataques, frente al panorama de ausencia de información agregada y precisa de los casos registrados. Se basan en datos obtenidos de fuentes públicas y en modelos utilizados mayormente en informes producidos en otros países o regiones, tanto por organizaciones públicas como por entidades privadas, calculados usando factores locales, cuando fue posible. Tal como ya fuera indicado, se han tenido también en cuenta las opiniones de expertos locales e internacionales, cuyo aporte ha sido invaluable para la realización de este trabajo. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 55/84 Panorama del ciberdelito en Latinoamérica El término ciberdelito se utilizará para definir cualquier actividad maliciosa realizada con el fin de comprometer la confidencialidad, integridad y disponibilidad de la información, aprovechando las vulnerabilidades que presentan Internet y otros sistemas. Las actividades cubiertas son aquéllas que llevan a cabo los delincuentes para acceder en forma no autorizada a la información y los servicios que utilizan las personas y organizaciones de Latinoamérica. Sólo se incluirá aquéllos que tengan un impacto financiero, no contemplándose por ejemplo, daños a la reputación debido a las dificultades para su determinación. Esta decisión se adopta para evitar la inclusión de mayores complejidades en los modelos utilizados para realizar las proyecciones, al aumentar la cantidad de supuestos y especulaciones que es necesario realizar. Los únicos ciberdelitos cubiertos son: • Fraudes bancarios y phishing y sus consecuencias para las personas • Fraudes bancarios y phishing y sus consecuencias para los bancos • Fraude en comercio electrónico • Robo de identidad Otros ciberdelitos tales como la distribución de pornografía por Internet, la extorsión, el robo de propiedad intelectual en soporte electrónico, la venta de productos falsificados por Internet, la piratería de software o el ciberterrorismo, entre otros, no son abarcados en el presente capítulo debido a que o se obtuvo información suficiente para estimar su impacto económico. En cada caso analizado, se citan datos provenientes de publicaciones de los países de la Región que detallan estimaciones del impacto económico de los ciberdelitos dentro de sus fronteras. Demás está decir que la amplitud del impacto económico del ciberdelito excede el listado anterior. Sin embargo, ante la ausencia de datos concretos para ponderar otro tipo de incidentes, se ha visto imposibilitada la realización de otro tipo de análisis. Al final del capítulo se agrega una serie de valores y estimaciones referidas a otros ciberdelitos, que fueron encontrados durante la revisión bibliográfica, con la idea de que puedan ser utilizados cuando se disponga de información más completa. Informes internacionales Existen pocos estudios completos sobre el impacto económico-financiero del ciberdelito a excepción de algunos países como los EEUU, el Reino Unido y Australia. En los EEUU por ejemplo, la Federal Trade Commission72, un organismo del Estado Federal que tiene como objetivo la protección de los consumidores, mantiene una base de datos de reclamos muy completa sobre fraude en Internet y robo de identidad, a partir de la cual se obtienen estadísticas sobre la cantidad de casos de ciberdelitos registrados y se estiman las pérdidas sufridas en forma individual y agregada. En sus publicaciones, este organismo indica recibir habitualmente entre 15.000 y 20.000 llamados por semana de ciudadanos preocupados ante la posibilidad de haber sido víctimas de un robo de identidad, siendo éste el rubro donde más quejas se reciben anualmente desde hace más de 10 años. Otras estadísticas muestran que durante el año 2010 este tipo de delitos le costó 50.000 millones de 72 Informes publicados en el sitio de Internet de la Federal Trade Commission – http://www.ftc.gov/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 56/84 Panorama del ciberdelito en Latinoamérica dólares a las empresas y que el conjunto de los usuarios afectados pagó 5.000 millones para reparar los problemas causados por este tipo de delitos. En cuanto al Reino Unido, un informe73 elaborado por la Oficina de Ciber Seguridad y Aseguramiento de la Información (OSCIA, por sus siglas en inglés) y la Empresa DETICA, analiza en detalle el costo del ciberdelito en ese país, haciendo foco en la apropiación indebida de los datos de identidad que sufren los ciudadanos, el robo de propiedad intelectual, la extorsión a las empresas y el fraude fiscal cometido contra el gobierno. Este informe concluye que el costo para la economía fue en el año 2010 de 27.000 millones de libras esterlinas y que la tendencia de este impacto es creciente. El estudio avanza indicando que la facilidad de acceso a la información de las personas y las organizaciones y el anonimato contribuyen a disminuir los riesgos de ser atrapado mientras se cometen estos delitos, lo cual hace esta actividad más atractiva para los delincuentes. Concluye además que los ciberdelitos no se distribuyen en forma homogénea en todos los sectores de la industria y que este problema no debería ser solo atendido por el Gobierno. Indica que es esperable que el costo de ciberdelito a escala nacional se incremente, si no se adoptan medidas adecuadas para prevenir la “hemorragia” (sic.) de información valiosa relativa a propiedad intelectual. El informe alienta a todas las empresas a invertir en mejoras a la seguridad de su información sobre la base de evaluaciones de riesgo. Sólo de esta manera, afirma el estudio, se podría disminuir el impacto económico del ciberdelito en el Reino Unido. Resalta también que uno de los problemas más graves es la falta de mecanismos de reporte y la percepción de que aún cuando se denuncien, poco se puede hacer para prevenirlos. Por ello, llama al Sector Privado y al Gobierno a realizar esfuerzos para concientizar, compartir esfuerzos y medir el ciberdelito, con el fin de que las respuestas puedan ser más certeras. En el caso de Australia, un informe al Parlamento74 publicado indica que si bien es difícil cuantificar el impacto negativo causado por la pérdida de confianza en los servicios en línea, éste podía estimarse en miles de millones de dólares. Existen también informes de empresas dedicadas a la seguridad que intentan cuantificar a nivel internacional el impacto económico producido por distintos tipos de ataques. Sin embargo, muy pocos se refieren específicamente a la región Latinoamericana y los datos se basan en su mayor parte, en supuestos y estimaciones. Fuentes de datos y metodología Como en los anteriores, para la formulación de este capítulo se ha obtenido información de fuentes de dominio público, complementada por las opiniones de especialistas en ciberseguridad de organizaciones públicas y privadas, de Latinoamérica y de algunos centros de investigación en el mundo. La lista de los informes y profesionales consultados puede ser accedida en los anexos de este informe. 73 Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime 74 Parliament of Australia House of Representatives - Hackers, Fraudsters and Botnets: Tackling the Problem of Cyber Crime Junio 2010 – Consultado el 17/04/2011 http://www.aph.gov.au/house/committee/coms/cybercrime/report.htm Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 57/84 Panorama del ciberdelito en Latinoamérica La mayoría de los cálculos realizados son adaptaciones de proyecciones similares efectuadas para otros trabajos de similar propósito para otras regiones o países. En todos los casos en que fue posible, se utilizaron valores de la región o bien se tomaron indicadores de otras áreas, corregidos por la realidad local. Estas perspectivas fueron revisadas con los especialistas. Las fuentes fueron verificadas y sopesadas, privilegiando siempre las más reconocidas por tratarse de entidades internacionales, organismos nacionales o bien empresas de trayectoria del sector. Ante más de una fuente posible de similar nivel de confianza, se utilizó la más conservadora. De igual forma, se privilegiaron los datos más recientes ya que se ha comprobado que los ataques cibernéticos van cambiando y reinventándose a medida que aparecen medidas para neutralizarlos. Calcular el impacto del ciberdelito en un país o región es una tarea compleja. Las estimaciones que siguen se basan en supuestos y evaluaciones fundamentadas más que en datos reales dado que como fuera ya consignado, no se encuentran accesibles bases completas de incidencia del ciberdelito. En consiguiente, los valores que se exponen deben ser interpretados como guías ilustrativas del efecto del ciberdelito, más que como datos concretos del impacto económico del ciberdelito en la región. Fraudes financieros Un informe de la Federación Brasileña de Bancos FEBRABAN75 da a conocer que el fraude bancario durante el primer semestre de 2010 habría alcanzado los 450 millones de reales, aproximadamente unos 245 millones de dólares estadounidenses. El mismo informe señala que proporcionalmente, no había aumentado ya que durante el año 2009, las pérdidas estimadas habían alcanzado los 900 millones de reales, es decir unos 490 millones de dólares estadounidenses. El artículo no aclara si estos valores representan el costo para los clientes bancarios o para los bancos o el valor agregado para todo el sistema en general. Un informe de la Empresa Gemalto76 por su parte, cuenta que en el año 2010 en Colombia, el 42% de los bancos reportó algún tipo de fraude y que las pérdidas por fraudes bancarios electrónicos cometidos en el año 2010 en Chile superaron los 5 millones de dólares estadounidenses. En este último país, y según informes de la Brigada Investigadora del Cibercrimen de la Policía de Investigaciones de Chile77, los fraudes financieros realizados por Internet crecieron 40% en dicho año. Esta fuente considera que este país es uno de los que presenta una de las mayores tasas de ciberdelincuencia en la región. 75 NOW!DIGITAL BUSINESS – Artículo del 31/08/2010 por Renato Rodrigues “Fraudes em internet banking deram prejuízo de R$ 900 milhões em 2009” – Consultado el 20/05/2011 http://idgnow.uol.com.br/seguranca/2010/08/31/fraudes-online-deram-prejuizo-de-r-900-milhoes-em-2009-dizfebraban/ 76 Radio Fe y Alegría Noticias - Artículo del 01/04/2011 por Samuel Hourdin, Director de la División en Latino América de eBanking, Gemalto “Latinoamérica fina para el fraude electrónico” – Consultado el 26/04/2011 http://www.radiofeyalegrianoticias.net/index.php?option=com_content&view=article&id=6534:latinoamericafina-para-el-fraude-electronico&catid=10:lo-actual&Itemid=47 77 Ebanking News – Artículo del 27/04/2011 por Cludio Wipe “Los fraudes más comunes en el comercio electrónico” - Consultado el 15/05/2011 – http://www.ebanking.cl/seguridad/los-fraudes-mas-comunes-en-elcomercio-electronico-006116 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 58/84 Panorama del ciberdelito en Latinoamérica Por otra parte, la firma Frost and Sullivan78 analizó el fraude informático en los Bancos e Instituciones Bancarias y Financieras de Latinoamérica. Como parte de su estudio presenta el monto promedio de fondos robados por incidente de fraude en la región. El cuadro que sigue muestra sus conclusiones: Como puede apreciarse del gráfico, un 60% de los casos relevados no alcanzó los 500 dólares estadounidenses, seguido de un 5% entre 501 y 1.000 dólares y un 35% superando ese valor. El estudio avanza que el promedio por incidente fue de 941 dólares estadounidenses. En cuanto a México, en el año 2010 la Comisión Nacional Bancaria79 estimaba que la cifra total atribuible a fraudes bancarios podía rondar los 60 millones de dólares estadounidenses. El informe agrega que la cantidad real de fraudes ocurridos efectivamente no está reflejada en los reportes debido a que no hay denuncias ya sea porque los bancos optaron por devolver el dinero a los afectados y/o directamente no reportaron los ilícitos para no dañar su reputación. Estimaciones Costo para los clientes Un estudio de la Firma Trusteer80 realizado sobre la base de datos recolectados en el transcurso de tres meses, sobre clientes bancarios ubicados en Europa y los EEUU, concluye que un 0.47% son víctimas de ataques de phishing cada año. Para determinar la cantidad de clientes bancarios en la región, se tomó en consideración un estudio publicado en el sitio de la Federación Latinoamericana de Bancos81 que indica que aproximadamente un 43% de la población adulta de Latinoamérica se encuentra bancarizada. Se entiende por bancarización 78 Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de Latinoamérica 2010 – Consultado el 29/04/2011 - http://www.frost.com/prod/servlet/market-insighttop.pag?docid=213433779 79 MasPorMas - Artículo del 12/05/2011 por Oscar C. González “Comercio Electrónico es origen de e-fraudes” – Consultado el 26/05/2011 – http://www.maspormas.com.mx/2011/05/comercio-electronico-es-origen-de-efraudes/ 80 Trusteer Inc - Measuring the Effectiveness of In-the-Wild Phishing Attacks 2009 – Consultado 3l 15/04/2011 www.trusteer.com/sites/default/files/Phishing-Statistics-Dec-2009-FIN.pdf 81 Felaban - Promoviendo el Acceso a los Servicios Financieros: ¿Qué nos Dicen los Datos sobre Bancarización en América Latina? – Consultado el 19/04/2011 - www.felaban.com/pdf/servicios_financieros.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 59/84 Panorama del ciberdelito en Latinoamérica el porcentaje de personas mayores de 18 años que tienen una o más cuentas en instituciones bancarias y financieras. Por otra parte, diversos estudios señalan que la pérdida promedio por cuenta comprometida se encuentra alrededor de los 1.000 dólares estadounidenses.82 83 84 85 Tomando entonces la cantidad de clientes bancarios en Latinoamérica corregido por el factor que señala la proporción de quienes finalmente resultan engañados y proveen sus datos, multiplicado por la pérdida promedio, puede concluirse que las pérdidas anuales por phishing rondarían los 761 millones de dólares estadounidenses como valor agregado de las pérdidas de cada cliente engañado. Este valor puede ser considerado conservador ya que no computa la cantidad de cuentas sino la cantidad de clientes, considerando en este sentido que cada uno de ellos podría ser titular de más de una cuenta. Las pérdidas anuales por phishing en Latinoamérica rondarían los 761 millones de dólares estadounidenses como valor agregado de las pérdidas de cada cliente engañado. Costo para los bancos Otra perspectiva del phishing es el costo que representa para los bancos. Al respecto, el estudio de la firma Trusteer citado más arriba señala que los bancos son atacados en promedio a través de 16 sitios web maliciosos por semana. Por otro lado Dawn Hicks86 , quien citando el trabajo realizado por Frederick W. Stakelbeck, Jr. del Philadelphia’s Federal Reserve Bank, estima que el costo total para un banco de un ataque de phishing rondaría los 50.000 dólares americanos o entre 50 y 60 dólares por cada cuenta afectada. Considerando que de acuerdo a estudios87 del Foro de Liquidación de Pagos y Valores del Hemisferio Occidental, existen en la Región cerca de 2.500 bancos, puede estimarse que el costo total para los bancos sería de 93.000 millones de dólares. Las pérdidas totales agregadas para los bancos de Latinoamérica al afrontar los costos del phishing serían de 93.000 millones de dólares estadounidenses por año. 82 Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de Latinoamérica 2010 – Consultado el 29/04/2011 - http://www.frost.com/prod/servlet/market-insighttop.pag?docid=213433779 83 Idem 74. 84 Homeland Security Newswire - Artículo del 28/02/2008 “More than $3 billion lost in 2007 in phishing attacks” Consultado el 26/04/2011 - http://www.homelandsecuritynewswire.com/more-3-billion-lost-2007-phishingattacks 85 The Bismark Tribune - Artículo del 02/05/2011 por Keith Darnay “Avoiding email phishing scams” – Cita datos del APWG – Consultado el 15/05/2011 http://www.bismarcktribune.com/news/columnists/keithdarnay/article_75ba7068-6fff-11e0-9a81-001cc4c002e0.html 86 Federal Reserve Bank of Boston - Phishing and Pharming - Helping consumers avoid internet fraud – Consultado el 19/04/2011 - www.bos.frb.org/commdev/c&b/2005/fall/phishpharm.pdf 87 Foro de Liquidación de Pagos y Valores del Hemisferio Occidental - Estadísticas Comparativas sobre Sistemas de Pago y Liquidación de Valores en los países del Foro de Pagos - Estadísticas para 1999 – 2009 – Consultado el 20/04/2011 - http://www.forodepagos.org/Estadisticas1999-2009.htm Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 60/84 Panorama del ciberdelito en Latinoamérica Otros valores de interés Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del impacto económico de este tipo de ciberdelito, en la medida en que sea posible acceder a otros datos confiables para el cálculo: • Según el informe de Trusteer cada año se registran entre 2,4 y 9,4 millones de dólares estadounidenses en pérdidas para los clientes bancarios por millón de clientes de e-banking. Los dos valores citados surgen de tomar como base una pérdida individual por cliente de 500 y 2.000 dólares estadounidenses, respectivamente. • De acuerdo a los estudios del APWG para el primer y segundo semestre del año 201088, el tiempo promedio de permanencia de un sitio web malicioso de phishing en los países de Latinoamérica fue de 48 y 91 horas respectivamente. Este cálculo fue realizado sobre la base del detalle de países que figura al final de cada informe. • En los mismos informes, aparecen para el primero y segundo semestre del año 2010, 1.665 y 2.880 sitios web maliciosos detectados en Latinoamérica. El trabajo aclara que se entiende por tales aquellos sitios únicos que tienen por objetivo una entidad bancaria específica. • En el año 2010, el phishing fue el tercer tipo de fraude de mayor impacto económico en las instituciones financieras, luego de los fraudes vinculados a tarjetas de crédito/débito y a cheques.89 • De acuerdo a un informe de la empresa RSA90, en el año 2010 un 31% de los latinoamericanos afirmaba haber sido objeto de un ataque de phishing. De los países relevados, Brasil informó el porcentaje más alto (41%) de consumidores afectados, seguido por Perú (31%), México (30%), Chile (29%) y finalmente, Colombia (24%). El informe se basó en una encuesta realizada a casi 1.000 participantes ubicados en los países antes citados, que presentaban la condición de ser usuarios en línea. • Un estudio de Tyler Moore y Richard Clayton91 realiza un análisis empírico sobre datos de tiempos de remoción de sitios web de phishing, vinculado al número de visitas que recibe cada sitio, concluyendo que la cantidad de personas que divulgan sus datos es de 18 el primer día y 8, en los días subsiguientes. 88 AntiPhishing Working Group - Global Phishing Survey: Domain Name Use and Trends in 2H2010 y Global Phishing Survey: Domain Name Use and Trends in 2H2010 – Consultado el 05/05/2011 http://www.apwg.org/resources.html#apwg 89 AllSpammedUp – Artículo del 20/01/2011 por John P Mello Jr “Phishing in Top 3 Fraud Threats for 2010”Consultado el 16/05/2011 – http://www.allspammedup.com/2011/01/phishing-in-top-3-fraud-threats-for-2010/ 90 Deferencia.com - Citado en el artículo “Un 31% de los latinoamericanos asegura haber sido víctima de phishing” - Consultado el 23/04/2011 - http://www.degerencia.com/noticia/33228/un-31-de-los-latinoamericanos-asegurahaber-sido-victima-de-phishing 91 Computer Laboratory, University of Cambridge - APWG eCrime Researchers Summit - Examining the Impact of Website Take-down on Phishing 2007 Consultado el 21/04/2011 http://citeseer.ist.psu.edu/viewdoc/summary?doi=10.1.1.105.7569 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 61/84 Panorama del ciberdelito en Latinoamérica Fraude en el comercio electrónico Un estudio de VISA92 sobre el crecimiento del comercio electrónico en Latinoamérica asegura que durante el año 2009, éste alcanzó un volumen de 21.800 millones de dólares estadounidenses. Este crecimiento se debe a diversos motivos, entre los que se encuentran el uso cada vez mayor de Internet, conexiones más veloces de banda ancha, una creciente confianza del consumidor, una mayor cantidad de comerciantes que utilizan este canal de venta y una mayor difusión de uso de los medios de pago electrónicos. Otro informe93 de la empresa antes citada precisa que en valores monetarios, Brasil representa un 61% del comercio electrónico en Latinoamérica, alcanzando un volumen de más de 13.000 millones de dólares en el 2009. Este crecimiento se sustenta en el crecimiento de la cantidad usuarios de Internet, los bajos costos de la banda ancha y un uso importante de las tarjetas de crédito y débito en dicho país. Le siguen México con un 12% de consumo total seguido de Chile con un 5% y luego Colombia y Perú. Estimaciones Un artículo de la Firma McAfee Inc.94 señala que el fraude como porcentaje del volumen del comercio electrónico se ha estabilizado en Canadá y los EEUU en alrededor del 1.4%. Otro estudio95 similar de la firma CyberSource Corporation, realizado en el 2008 para la comercialización de bienes digitales (películas, música, juegos, servicios de VoIP, etc), señala que en esta área del comercio electrónico, el fraude, entendido como los créditos y la anulación de cargos generada por reclamos de los clientes, puede estimarse en un 1.8% del ingreso total de las operaciones en línea. El informe señala que este valor es 38% más alto que el fraude en otras áreas no virtuales del comercio electrónico (entendiéndose por tales aquellas que comercializan bienes que no pueden ser descargados directamente de Internet), obteniéndose entonces para estos últimos, un valor similar al 1.4% señalado más arriba. Un estudio96 más reciente de la firma CyberSource Corporation, referido a datos del año 2010 obtenidos también de relevamientos en Canadá y los EEUU, concluye que por segundo año consecutivo, los comerciantes en línea mejoraron sus porcentajes frente al fraude, llegando a un valor estimado de 0.9% promedio de sus ganancias, luego de un pico de 1.4% en 2008 y un 1.2% en el 2009. Esta evolución puede apreciarse en el siguiente cuadro que muestra el porcentaje de las pérdidas atribuido a los fraudes en los pagos en línea, entre los años 2000 y 2010: 92 Ecommerce Journal - Artículo del 06/08/2010 - “Visa: e-commerce in Latin America and Caribbean has spiked nearing 40% in 2009” - Consultado el 13/04/2011 - http://ecommerce-journal.com/news/29219_visa-ecommerce-latin-america-and-caribbean-has-spiked-nearing-40-2009 93 PC World - Informe de VISA citado en el artículo “VISA y el comercio electrónico en la región de América Latina 2010” – Consultado el 18/04/2011 www.pcwla.com/pcwla2.nsf/articulos/1DE63C5D9690E5ED852577F700743D65?opendocument&page=2 94 McAfee Inc - Financial Fraud and Internet Banking: Threats and Countermeasures 2009 – Consultado el 06/05/2011 - http://www.mcafee.com/us/resources/reports/rp-financial-fraud-int-banking.pdf 95 Cybersourse - Fraud Benchmarks and best practices: digital merchants 2008” – Consultado el 04/05/2011 http://www.cybersource.com/cgi-bin/pages/prep.cgi?page=/promo/digitalmerchantfraudwp/index.html 96 Cybersource - 12th On line Fraud Report 2011 – Consultado el 22/04/2011 http://forms.cybersource.com/forms/FraudReport2011NACYBSwww2011 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 62/84 Panorama del ciberdelito en Latinoamérica Para realizar una estimación en este caso y siendo que no se cuenta con un valor del porcentaje estimado de fraude para la región, se tomará entonces el 0.9% sobre el monto total que generó el comercio electrónico en Latinoamérica en el 2009, siendo éste el valor más conservador. Aplicando este porcentaje, podría proyectarse en consecuencia, un fraude estimado en 196 millones de dólares estadounidenses para toda la región. El fraude en el comercio electrónico en Latinoamérica podría estar alcanzando los 196 millones de dólares estadounidenses. Otros valores de interés Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del impacto económico del fraude en el comercio electrónico, en la medida en que sea posible acceder a otros modelos y datos confiables para su cálculo: • En el siguiente cuadro97 puede observarse la situación de México, Argentina y Brasil y de otros países no pertenecientes a la región, en materia de fraudes de cliente no presente (CNP, por sus siglas en inglés) que tiene lugar por teléfono o por Internet, con respecto a las ventas del comercio electrónico en cada país. 97 Global Collect International Payment Service - Comercio electrónico global: ¿Cómo incrementar las ventas en línea sin caer en manos de estafadores? – Consultado el 10/05/2011 http://www.globalcollect.com/Whitepapers/Comercio-electronico-global/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 63/84 Panorama del ciberdelito en Latinoamérica • El informe “12th On line Fraud Report” de la firma Cybersource referido precedentemente señala que históricamente las órdenes fraudulentas de mercaderías tienden a mostrar precios totales promedio mayores que las válidas. Señala que el valor medio en el año 2010 fue de 245 dólares estadounidenses, comparado con los 120 dólares de las órdenes válidas. Afirma también que existe una mayor tendencia al rechazo en las órdenes de países extranjeros y que algunos comerciantes han optado por bloquear directamente órdenes provenientes de países que han mostrado un elevado nivel de fraude. El siguiente cuadro, obtenido del informe antes citado, muestra la relación entre el porcentaje de órdenes rechazadas de los EEUU y Canadá y el de otros países, entre los años 2006 y 2010. Como puede apreciarse, es mucho mayor en el caso de las órdenes provenientes de países no ubicados en América del Norte. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 64/84 Panorama del ciberdelito en Latinoamérica Fraudes vinculados a la identidad Bajo este tipo de fraudes se incluye el uso de identidades falsas o robadas para obtener servicios o bienes mediante distintos tipos de engaño o ardid. En su versión tradicional, tienen lugar a partir del robo o la falsificación de documentos de identidad, tales como los documentos nacionales identificatorios, los pasaportes, las licencias de conducir, etc. A partir del advenimiento del uso de las tecnologías de información y particularmente de Internet, este delito toma nuevas formas y se encadena de alguna manera a otros ciberdelitos tales como el phishing, el pharming, el spam, código malicioso, las botnets, etc. En consiguiente, el fraude en el comercio electrónico y el bancario, tratados precedentemente, tienen en su mayor parte componentes vinculados al robo de identidad, como pasos del proceso de comisión de los ciberdelitos. Se los presenta en forma separada debido a la magnitud que representa el robo de identidad entre los actos ilícitos cibernéticos, crecimiento que surge a partir del incremento de la disponibilidad de datos personales en línea que se viene registrando en los últimos años. En efecto, diversos estudios coinciden en afirmar que el robo de identidad es el delito de mayor crecimiento en el mundo, amparado además en el volumen creciente de datos disponibles, en la facilidad con que se pueden obtener información de usuarios desprevenidos, las insuficientes campañas de prevención, el crecimiento de las redes sociales y sus múltiples usos que exceden lo meramente “social”, y un mercado delictivo cada vez más atractivo para el tráfico de este tipo de información. En línea con lo anterior, un informe98 del organismo del Gobierno de los Estados Unidos responsable de proteger a los consumidores, la Federal Trade Commission, afirma que hace ya más de una década, el robo de identidad es la queja más frecuente, alcanzando un 19% del total de denuncias recibidas en el año 2010. En consecuencia, es dable esperar que el impacto económico de este tipo de delitos sea también alto, mostrando además una tendencia creciente. En este caso, deben tenerse en cuenta diversos factores: la pérdida económica directa para la persona afectada, el valor asociado al tiempo que le lleva realizar las gestiones para solucionarlo, el costo de reparación y resarcimiento para la entidad en donde el usuario tenía sus datos, las posibles sanciones a las que dicha entidad podría verse expuesta, etc. En una entrevista al Jefe del Grupo de Investigaciones Tecnológicas del Gobierno de Colombia99, puede leerse que el robo de información bancaria genera en promedio 189 denuncias mensuales, lo que significan 6,3 al día y que al momento de realización de la nota, dicha unidad investigaba fraudes por 20 mil millones de pesos (unos once millones de dólares estadounidenses a valores de hoy). Según un informe de ESET100 en Ecuador, la Policía Judicial informó que en el año 2009 se realizaron 891 denuncias asociadas al robo de identidad, mientras que en México, este tipo de delito ha demostrado 98 Federal Trade Comission - Consumer Sentinel Network Data Book for January to December 2010 – Consultado el 25/04/2011 - www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf 99 Diario La República – Artículo del 14/10/2010 por Mauricio Jaramillo “Investigan fraudes financieros por 20.000 millones de pesos” – Consultado el 03/05/2011 - http://www.larepublica.com.co/archivos/FINANZAS/2010-1014/investigan-fraudes-financieros-por-20-mil-millones-de-pesos_112832.php 100 ESET Latinoamérica – Artículo del 08/04/2011 por Rápale Labaca Castro “El robo de identidad y sus cifras en Latino América” – Consultado el 30/04/2011 - http://blogs.eset-la.com/laboratorio/2011/04/08/robo-identidadcifras-america-latina/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 65/84 Panorama del ciberdelito en Latinoamérica una tendencia creciente en estos últimos años, llegando a generar pérdidas de hasta 9 millones de dólares anuales. Estimaciones El informe “The Cost of Cybercrime” citado más arriba, que analiza la evolución del delito informático en el Reino Unido, presenta dos maneras de estimar el impacto del robo de identidad, una de las cuales parte de la cantidad de ciudadanos con acceso a Internet. Este valor es luego multiplicado por la probabilidad de que cada uno de ellos sea blanco de un robo de esta naturaleza, corregida por un factor que pondera que ese delito sea cometido en línea. El total obtenido es luego multiplicado por un monto estimado de pérdida por caso. De acuerdo a lo informado por Internet World Stats101, en marzo de 2011 había en Latinoamérica aproximadamente 216.000.000 de personas conectadas a Internet. Por otra parte, información publicada102 por el Federal Trade Commission, organismo del Gobierno de los EEUU referida anteriormente, indica que en el año 2010 un 3% de los estadounidenses sufrió un robo de identidad. Este valor coincide con estimaciones publicadas por la Oficina Estadística de la UE – EuroStat, en cuanto a la cantidad de personas que Europa había sufrido algún tipo de pérdida financiera por robo de identidad. En cuanto a la proporción de los casos de robo de identidad que se realizan a través de Internet, el informe del Reino Unido referido lo estima en un 25%. Este coincide con la publicación de la firma Edgar, Dunn & Company, que analizando las estimaciones de varias agencias globales de prevención del delito, observan que la mayoría coincide en estimar que un 25% de todos los reclamos por fraude por parte de consumidores estaban relacionados con el uso de Internet. Tomando los factores antes citados y como base, un valor promedio para el robo de identidad de 572 dólares estadounidenses por víctima103, se estima que el monto total de la pérdida para Latinoamérica sería de 920 millones de dólares estadounidenses. Se estima que el monto total de la pérdida para Latinoamérica por robo de identidad sería de 920 millones de dólares estadounidenses. Otros valores de interés Se citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras del impacto económico del robo de identidad, en la medida en que sea posible acceder a otros datos y modelos confiables para su cálculo. 101 Internet World Stats - Internet Usage Statistics for the Americas – Consultado el 28/04/2011 http://www.internetworldstats.com/stats2.htm 102 Federal Trade Commission – About Identity Theft – Consultado el 03/05/2011 http://www.ftc.gov/bcp/edu/microsites/idtheft/consumers/about-identity-theft.html 103 University of Cambridge – Sixth Workshop on the Economics of Information Security – Citado por Tyler Moore and Richard Clyton en su trabajo: “An empirical analysis of the current state of Phishing Attack and Defense 2007” – Consultado el 10/05/2011 - http://people.seas.harvard.edu/~tmoore/weis07-pres.pdf Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 66/84 Panorama del ciberdelito en Latinoamérica • Un informe del Servicio de Prevención de Fraudes del Reino Unido104 (CIFAS, por su sigla en inglés) indica que más de 40.000 piezas de información privada financiera y sensible de las personas se comercializa en el mercado negro, totalizando 13,2 millones por año. • En una entrevista periodística105, Daniel Monastersky, Director Ejecutivo del Portal argentino “Identidad Robada” aseguraba que en el 2009 las estadísticas internacionales señalaban 10 usurpaciones de identidad por hora. • Datos obtenidos a partir de relevamientos realizados en Canadá, EEUU y el Reino Unido106 dan cuenta de que entre el 38% y el 48% de las víctimas se enteró de que su identidad había sido robada dentro de los 3 meses posteriores a su inicio, siendo el monto promedio del fraude de 4.841 dólares estadounidenses y el gasto en el que incurren las víctimas para solucionarlo, de entre 851 y 1.378 dólares estadounidenses. Otros tipos de incidentes La falta de información referida a otros tipos de incidentes ha hecho imposible presentar valores de impacto económico para los países o para la región. Sin embargo, en el decurso de esta investigación se ha encontrado algunos datos que pueden tener valor para investigaciones futuras a la hora de dimensionar la magnitud del ciberdelito en la región y entender sus causas y consecuencias, cuando exista mayor información disponible. Siguen a continuación las estimaciones y proyecciones encontradas: • De acuerdo a un estudio realizado por la consultora Forrester Research107, las exposiciones y fugas de información accidentales o intencionales tienen un costo de 90 a 350 dólares estadounidenses por registro perdido, entre notificaciones al cliente, multas por incumplimiento de regulaciones, pérdida de prestigio y devaluación de acciones. • Un estudio de la empresa Symantec108 realizado en el 2010 sobre 7000 usuarios de Internet localizados en 14 países, indica que el 65% ha experimentado algún tipo de ciberdelito. • El informe señala que el tiempo promedio que le lleva a cada persona resolver un ciberdelito es de 28 días, con un costo promedio de 334 dólares estadounidenses. En el caso de Brasil, uno de los 14 104 CIFAS – The UK’s Prevention Service - The Digital Thieves: a special report on on-line fraud 2010 – Consultado el 29/04/2011 http://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/Digital_Thieves_October201 0.pdf 105 YouTube Videos – Consultado el 28/04/2011 - http://www.youtube.com/watch?v=ulYv3Y2d94&feature=player_embedded 106 Identidad Robada - Artículo con infografía del 04/04/2011 “Estadísticas sobre Robo de identidad” – Consultado el 20/04/2011 - http://www.identidadrobada.com/estadisticas-sobre-robo-de-identidad-infografia/ 107 b:secure - Citado en el Artículo del 11/04/2011 por David Schekaiban “Lo que todo CEO debe saber sobre seguridad informática” – Consultado el 09/05/2011 – http://www.bsecure.com.mx/opinion/lo-que-todo-ceodebe-saber-sobre-seguridad-informatica/ 108 InformationWeek - Citado en el Artículo del 08/09/2010 por Mathew J. Schwartz “Symantec Finds 65% Have Been Hit By Cybercrime” – Consultado el 15/05/2011 http://www.informationweek.com/news/security/attacks/227300362?cid=RSSfeed_IWK_All Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 67/84 Panorama del ciberdelito en Latinoamérica países que participó en el estudio, el tiempo promedio fue de 43 días y el costo promedio de 1.408 dólares estadounidenses. • El mismo informe señala que solo un 44% de los participantes hicieron la denuncia en las instancias policiales o judiciales correspondientes. Entre los motivos aducidos para no efectuar el reporte, se encuentran: » La falta de confianza en estas áreas y la creencia de que nada pasará si se hace la denuncia » El deseo de no hacer mayores trámites, completando formularios o hablando con personal policial o judicial » La idea de que el delito no es lo suficientemente serio o significativo o las pérdidas lo suficientemente importantes, como para merecer que se ocupen del tema. » La negación de lo acontecido para no sentirse victimizadas » La posibilidad del ridículo frente a otros por haber caído en el engaño y haber sido víctimas del fraude » La auto-incriminación por no haber adoptado las medidas técnicas necesarias para protegerse, como la instalación y actualización del antivirus, el debido cuidado antes de acceder a sitios desconocidos, etc. » El hecho de que no resulte necesaria la presentación de documentación ante compañías de seguro o similar y la sensación de que la denuncia no contribuirá a la prevención. Los valores de la ciberdelincuencia Este capítulo se centró en las pérdidas a las que se exponen los usuarios y las organizaciones cuando son afectados por el ciberdelito. Pero cabe preguntarse cuán lucrativo es este negocio ilícito y en cuanto se beneficia como consecuencia de la inacción de las organizaciones. Siguen algunos valores obtenidos de fuentes públicas: • Es posible obtener todas las herramientas para iniciar una campaña de phishing por unos 200 dólares estadounidenses.109 • Las tarjetas de crédito y la información de cuentas bancarias constituían en el año 2009 el 51% de los bienes promocionados en los canales de la economía clandestina. Las tarjetas en particular se venden en el mercado negro a un valor promedio de 98 centavos de dólar estadounidense, cuando se las entrega en cantidad. Una identidad completa puede valer unos 10 dólares estadounidenses.110 • El costo de alquiler de una botnet por hora se cotiza en los foros del mercado negro en aproximadamente 9 dólares estadounidenses. El alquiler diario rondaría los 67 dólares.111 109 Computerworld – Artículo del 11/01/2006 por Martin McKeay “Phishing statistics” – Consultado el 06/05/2011 http://blogs.computerworld.com/node/1561 110 CNN – Artículo del 22/09/2009 por David Goldman “Cibercrimen: una economía clandestina” – Consultado el 23/04/2011 - http://www.cnnexpansion.com/tecnologia/2009/09/21/cibercrimen-una-economia-clandestina 111 CIFAS – The UK’s Prevention Service - Informe de VeriSign iDefense, citado en el estudio “The Digital Thieves: a special report on on-line fraud” – Consultado el 29/04/2011 - Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 68/84 Panorama del ciberdelito en Latinoamérica • Se ha encontrado evidencia sobre la práctica del phishing que indica que quienes se inician en esta actividad ilícita suelen vender el acceso a las cuentas a otros delincuentes mientras que “phishers” más experimentados obtienen fondos directamente de las cuentas que victimizan.112 • Un estudio sobre la seguridad de las economías de la información, realizado por McAfee Inc. y Science Applications International Corporation113, citado por varios fuentes en Internet, señala que un 25% de las organizaciones relevadas han sufrido la paralización o atraso de una fusión o adquisición, o bien de la implementación de un nuevo producto o solución, a causa de una filtración de datos o por una amenaza creíble de filtración de datos. Sólo la mitad de estas organizaciones adoptaron medidas para solucionar el problema y para prevenir intrusiones futuras. • El informe asegura también que entre las organizaciones encuestadas, una gran cantidad no realiza evaluaciones de riesgo frecuentes, creando un ambiente propicio para eventuales ataques, mientras que un cuarto de ellas evalúa hasta dos veces al año las amenazas o riesgos que pueden afectar sus datos. Indica también que sólo tres de cada diez organizaciones informan todas las filtraciones de datos que sufren y seis de cada diez, seleccionan las filtraciones que informan. El mismo informe asegura que 8 de cada 10 entidades almacenan datos en el extranjero y que en algunos países, como Estados Unidos, China e India, las organizaciones gastan más de 1 millón de dólares estadounidenses por semana solo en proteger información confidencial almacenada en el extranjero. • Haciendo un análisis sobre corporaciones, PWC informa que en el año 2010 realizó su 13º encuesta “Global State of Information Security Survey” entre más de 12.840 profesionales (desde CEOs a CSOs) procedentes de 135 países.114 La distribución fue la siguiente: Continente Asia Europa América del Norte América del Sur y Central Medio Oriente y África del Sur Porcentaje 36,9% 30,3% 16,8% 14,2% 1,8% Los resultados de la misma dieron los siguientes valores en porcentaje, respecto de los tres impactos evaluados. http://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/Digital_Thieves_October201 0.pdf 112 ZDNET – Atículo 08/01/2009 por Dancho Danchev “Microsoft study debunks phishing profitability” – Consultado el 12/04/2011 - http://www.zdnet.com/blog/security/microsoft-study-debunks-phishingprofitability/2366?tag=mantle_skin;content 113 Tendencia Digital - “Economías informales: el capital intelectual y los datos corporativos privados son ahora la moneda de cambio para el cibercrimen”, citado en el artículo del 07/04/2011 “Estudio de mcafee y saic indica que el capital intelectual corporativo es la nueva moneda de cambio del cibercrimen” – Consultado el 05/05/2011 http://www.tendenciadigital.com.ar/seguridad/noticias/estudio-de-mcafee-y-saic-indica-que-el-capitalintelectual-corporativo-es-la-nueva-moneda-de-cambio-del-cibercrimen.html 114 PWC – Resultados de la encuesta global sobre seguridad de la información – marzo/2011 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 69/84 Panorama del ciberdelito en Latinoamérica Global América del Sur y Central Pérdidas Robo de propiedad Compromiso de la financieras intelectual marca o reputación 42 31 29 45 29 22 Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 70/84 Panorama del ciberdelito en Latinoamérica Capítulo V – Conclusiones El uso cada vez más intensivo de las tecnologías para el sostenimiento de la actividad económica y del bienestar de la población trae aparejado inexorablemente, el crecimiento de las ciberamenazas y los ciberataques. El software malicioso, en conjunto con diversas técnicas de ingeniería social y otras actividades maliciosas de distinta naturaleza, en un escenario de expansión del uso de la tecnología informática, son utilizados como una fuente de actividades delictivas que en algunos casos ya se ha transformado en un modelo de negocio. Internet continúa evolucionando hacia la interactividad con y entre los usuarios, apareciendo como una red de contenidos sociales y servicios cada vez más dinámica. En consecuencia, los delincuentes adaptan sus estrategias para alcanzar esta nueva Web utilizando ataques cada vez más sofisticados, combinados y dirigidos, y van cambiando el foco de aplicación. Antes eran los equipos y las redes de computadoras, ahora lo son los dispositivos USB y las redes sociales. Por otro lado, por la naturaleza de Internet es posible el cambio permanente de localización geográfica, además del hecho de que al utilizar comandos remotos, el lugar donde se origina un ataque no necesariamente es donde se encuentra el delincuente, razón por la cual se torna más difícil su detección y posterior remediación. Cada modalidad delictiva tiene sus propias técnicas y en consecuencia, evoluciona de diferentes maneras. Los delincuentes cuentan con “toolkits” o conjuntos de herramientas que se venden en el mercado a precios accesibles, los cuales les permiten crear código malicioso en pocos segundos. Asimismo es más difícil detectar el software malicioso debido a que se actualiza varias veces por día o varios días por mes, al igual que los sitios de phishing, que renuevan en tiempo real el contenido de las páginas falsas, lo cual les permite evitar ser detectadas. Por otro lado, si bien es necesario contar con un antivirus, éste ya no es suficiente dado que provee una protección estática mientras que hoy son necesarias otras previsiones como la detección de contexto y contenido del dato, la reputación en tiempo real, múltiples fuentes de firmas de antivirus incluyendo heurística, etc. Las botnets crecen raudamente, si son detectadas pueden ser reutilizadas y además son una fuente de ganancias muy importantes ya que los costos de desarrollo son mínimos. El año 2010 vio no solo una mayor sofisticación por parte de los ciberdelincuentes, sino también mayor fortaleza en las estructuras organizacionales en las que operan. La lucha por el control entre las organizaciones del ciberdelito continuará para desarrollar lo que se ha literalmente transformado en una verdadera operación de la economía marginal/delictiva, como el crimen organizado. La actividad maliciosa generalmente afecta a los equipos que están conectados a Internet de banda ancha de alta velocidad, ya que estas conexiones ofrecen más capacidades que otras, velocidades más rápidas, el potencial de sistemas constantemente conectados y normalmente mayor estabilidad. En consecuencia, dicha actividad tiende a aumentar en relación con el crecimiento de la infraestructura de banda ancha. A ello se agrega la amenaza de que los nuevos usuarios pueden no estar habituados o desconocen el mayor riesgo de exposición a ataques maliciosos de estas conexiones sólidas. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 71/84 Panorama del ciberdelito en Latinoamérica Como se puede deducir de todo lo antedicho, la actividad del ciberdelito es totalmente fluctuante y dependerá de las medidas que adopten los usuarios, las organizaciones y los países para enfrentarlo y del accionar de las fuerzas de seguridad y de los equipos especializados. Estará condicionada también a la conveniencia de los delincuentes y a las herramientas disponibles en cada momento, así como a las oportunidades del mercado. Influye también la generación de marcos normativos adecuados a la realidad del ciberdelito y el grado de cooperación que se desarrolle entre organizaciones y entre países. La extensión de este fenómeno hace hoy del mundo un posible campo de batalla, donde cualquier ciberataque o falla en los sistemas puede ser inesperado y mostrar un impacto no previsto. Latinoamérica es parte de este escenario, mostrando en muchos casos un dinamismo superior al promedio en la incorporación de la tecnología a sus sociedades, pero también su condición de origen y blanco de una activa ciberdelincuencia. Países como Brasil, México y Argentina aparecen en los primeros puestos en las listas internacionales de cantidad de computadoras infectadas, casos de phishing o número de sitios web maliciosos. Esto necesariamente se traduce en pérdidas económicas que afectan a los ciudadanos, los negocios y a los países de la región como a usuarios de otros países ajenos a ella. A lo largo de este trabajo se ha mostrado el comportamiento de los ciberamenazas más comunes y se han proyectado valores económicos estimados para algunos de los ciberdelitos más frecuentes. Una de las premisas que le dan fundamento al informe es la certeza de que cualquier incremento en el conocimiento del impacto que este tipo de actividad maliciosa tiene sobre las personas, las organizaciones y los países de la región, contribuye a dimensionar adecuadamente el problema, asignar prioridades y comprometer recursos. Su desconocimiento en cambio, parece invitar a una toma de decisiones en la penumbra, sin comprender realmente a qué nos estamos enfrentando y en qué medida son acertadas las acciones que se emprenden. Aparece inmediatamente una primera conclusión y es que la escasez de datos concretos sobre la cantidad de ataques, sean estos potenciales o reales, y de sus costos asociados, hace difícil o casi imposible conocer su frecuencia, su verdadera magnitud y la profundidad de su impacto. Si bien para algunos tipos de incidentes, obtener estas cifras es sumamente complejo, para otros es probable que existan y se puedan obtener con relativa facilidad. Sin embargo, las organizaciones que los han sufrido son reticentes a denunciarlos por temor a que se vea afectada su reputación. En el caso de las personas, persiste el desconocimiento sobre instancias de reporte o la creencia de que poco o nada sucederá en caso de hacerlo. En este sentido, parece encontrarse ausente una estrategia que implemente mecanismos de reporte, genere confianza entre los usuarios y en las organizaciones en cuanto a la voluntad de combatirlo, establezca instancias de franca colaboración entre el sector público y el privado y recree una cultura de la ciberseguridad. Nuevamente, una recorrida por la bibliografía y los artículos publicados muestra que esta situación afecta a todos los países y regiones, con solo tímidos e insuficientes avances en los países más desarrollados. La escasa utilización de métricas para medir el impacto de un ciberataque es un factor desalentador, al igual que la creencia de que no reportar o denunciar un incidente supone su inexistencia. Ante este panorama, el trabajo realizado debe ser interpretado como un primer paso hacia un mayor conocimiento de la incidencia del ciberdelito en Latinoamérica, con la intención de generar un marco Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 72/84 Panorama del ciberdelito en Latinoamérica para futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado cuando se disponga de información más precisa. La vertiginosidad del desarrollo tecnológico en los países de la región y el consiguiente crecimiento inexorable del ciberdelito, hace necesaria la generación de planes de acción que recogiendo sus características culturales y de desarrollo, muestren desde la perspectiva de las personas, las organizaciones y las naciones, que es factible generar un entorno seguro que garantice la maximización del aprovechamiento de los múltiples beneficios de las tecnologías de la información y las comunicaciones, minimizando los riesgos que las acompañan. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 73/84 Panorama del ciberdelito en Latinoamérica Capítulo VI – Recomendaciones Para los Gobiernos • • • • • • • • • Desarrollar estrategias nacionales sobre ciberseguridad que contemplen la protección de sus infraestructura críticas, un aumento de la capacidad de respuesta a incidentes, campañas de concientización para la ciudadanía, mecanismos de coordinación con el sector privado y con otros países y la generación de un marco normativo adecuado para la penalización de delitos de esta naturaleza Mejorar la coordinación y el trabajo conjunto entre los organismos involucrados en la adopción de medidas de seguridad de la información (Policías, Organismos Judiciales, Centros de Respuesta a Incidentes, etc.) y generar organismos o agencias que se dediquen exclusivamente a la ciberseguridad Coordinar la definición e implementación de procedimientos para la recolección de datos sobre ciberataques Generar instancias de cooperación con todos los sectores clave involucrados, incluyendo el sector bancario, los proveedores de servicios de internet y la principales empresas tecnológicas, para asistir a los ciudadanos y a las PyMES Considerar la generación de un portal de acceso libre y gratuito para usuarios comunes disponible 7x24, que provea información de fácil comprensión para proteger la seguridad de la información y permita el reporte de cualquier tipo de ciberdelito, facilitando la agregación de datos. Entre otros servicios, este portal debe brindar alertas y recomendaciones para la protección de los servicios y la información en línea, el acceso gratuito a sistemas de detección de código malicioso, etc. Proveer fondos para la investigación en la materia Establecer en coordinación con los proveedores de servicios de Internet, administradores y registros de dominios, así como con empresas clave del sector, mecanismos ágiles de remoción de sitios maliciosos que minimicen los tiempos de permanencia en línea Incluir aspectos de seguridad, especialmente aquellos vinculados a las redes sociales, en los programas de estudio de alumnos secundarios y primarios. Generar programas a través de las universidades y las escuelas, que den respuesta y soporte a los problemas de seguridad de los equipos domésticos Para la Academia Desarrollar contenidos y programas de formación de profesionales especialistas en seguridad de la información, que la aborden desde distintas visiones: técnica, legal, de educación, etc. Desarrollar líneas de investigación que analicen las distintas perspectivas de los ciberataques Trabajar en conjunto con entidades nacionales e internacionales de investigación, con el fin de intercambiar información, recolectar datos, crear marcos conceptuales de análisis y métricas y ayudar a gobiernos y al sector privado en la lucha contra este flagelo. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 74/84 Panorama del ciberdelito en Latinoamérica Para el Sector Privado Generar equipos de trabajo dentro de las organizaciones que aborden la seguridad informática con un enfoque múltiple, que permita comprender y resolver los problemas relacionados con la protección de la información desde diversas perspectivas Colaborar con los organismos del Gobierno y proponer acciones conjuntas para mejorar la ciberseguridad a nivel nacional, facilitando la remoción de sitios fraudulentos o que contengan código malicioso, la elevación de los parámetros de seguridad de los sistemas, la concientización de los usuarios, el combate al spam, etc. Conocer el valor de la información que administran e invertir en su seguridad, sobre la base de un análisis de riesgo que permita una adecuada asignación de recursos, de acuerdo al nivel de criticidad Desarrollar, gestionar y monitorear adecuadamente sus políticas y procedimientos de seguridad, favoreciendo que sean conocidas y entendidas por empleados, clientes y demás entidades vinculadas Generar mecanismos de protección y aseguramiento de la información que contemplen tanto su generación como su transmisión, procesamiento, resguardo y destrucción. Emplear estrategias de defensa en profundidad, que enfaticen sistemas de protección múltiples, superpuestos y mutuamente complementarios para protegerse de fallas específicas en cualquier tecnología, teniendo en cuenta especialmente las amenazas que existen en Internet. Precisamente debido a ellas, es imprescindible adoptar una metodología de desarrollo seguro de aplicaciones de comercio electrónico, en sus distintas facetas. Diseñar una estrategia de concientización entre empleados, clientes y demás entidades con las que interactúan, sobre la responsabilidad que les compete en el manejo de la información y sus posibles consecuencias laborales y legales Colaborar y notificar a las fuerzas policiales, a los equipos de respuesta a incidentes, a los proveedores de Internet o a toda otra entidad que corresponda, sobre cualquier indicio de un posible incidente de seguridad Adherir a estándares internacionales y mantener una constante actualización de recursos y capacitación del personal Monitorear y evaluar la seguridad regularmente para garantizar que se implementen controles adecuados Para los Usuarios Adoptar un actitud responsable frente al uso de las tecnologías de información, capacitándose para minimizar los riesgos que las acompañan Cuidar la información propia y la de otras personas, cualquiera sea el soporte Denunciar los incidentes de seguridad ante las instancias que correspondan, permitiendo su seguimiento y contribuyendo así a su resolución Enseñar a los menores los peligros de las redes sociales y entrenarlos en una adecuada utilización de las tecnologías de la información. Revisar de manera regular las liquidaciones de los bancos y compañías emisoras de tarjetas de crédito y contactar inmediatamente a dichas organizaciones ante movimientos sospechosos No navegar en sitios desconocidos, no abrir archivos origen dudoso y ser precavido en el uso de las redes sociales Elegir cuidadosamente las contraseñas, utilizándolas en forma exclusiva, y realizar resguardos periódicos de la información Instalar software antivirus y antispyware, así como de protección frente a Internet y mantenerlos permanentemente actualizados, al igual que a los sistemas operativos. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 75/84 Panorama del ciberdelito en Latinoamérica Destruir toda información personal, sensible y/o confidencial antes de desecharla, cualquiera sea el soporte en el que se encuentre, de manera que no sea posible su reconstrucción. Finalmente, una de las mayores dificultades que acompañaron la realización de este informe fue la escasez de información sobre la ocurrencia de los ciberdelitos, sus características y reales consecuencias. Sin datos es imposible dimensionar la magnitud del problema, estimar el riesgo para asignar prioridades y recursos y adoptar así, decisiones certeras para proteger la confidencialidad, integridad y disponibilidad de la información. La base de este problema, si bien atribuible a diversos motivos, es que no se comparten datos. Esta responsabilidad recae tanto en los gobiernos como en las empresas dedicadas a las tecnologías de la información y su aseguramiento, en las organizaciones de todo tipo y en todos nosotros, como usuarios de información y servicios en línea. Sea entonces la recomendación con la que se cierra este informe, un llamado a crear mecanismos confiables de reporte y a colaborar compartiendo información, contribuyendo así a un mayor conocimiento colectivo que permita contrarrestar los peligros de las tecnologías de la información y aprovechar a pleno todos de sus beneficios. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 76/84 Panorama del ciberdelito en Latinoamérica Especialistas y Fuentes Consultados Se agradece a los siguientes especialistas por su desinteresada colaboración, la cual permitió mejorar y ratificar los conceptos vertidos. • Antonio E. Cerezo - Director Cyber Crime Investigations - American Express • Cristian Borghello – CISSP-MVP - Director Segu-Info • Cristine Hoepers – CERT.br - Brasil • Diego Taich • Federico Pacheco – Gerente de Educación e Investigación de ESET Latinoamérica • Fernando Cibeira • Gastón Franco • Iris Cidale • José Luis Chávez • Julio Ardita – Cybsec • Mariano Quesada • Peter Cassidy – APWG • Ronnie Manning- APWG • Rubén Aquino Luna – UNAM Cert – México A continuación se incluye una lista de las fuentes de las cuales se extrajo información: • 1080b bloggresivo – www.1080b.com • AllSpammedUp – www.allspammedup.com • Asociación Colombiana de Ingenieros de Sistemas (ACIS) – www.acis.org.co • Antiphishing Working Group (AWPG) – www.antiphishing.org • Australian Crime Comisión - www.crimecommission.gov.au • b:secure - www.bsecure.com.mx • BBC Mundo - www.bbc.co.uk • Cabinet Office of United Kingdom - www.cabinetoffice.gov.uk • CDS Comunicaciones – www.cds11.com • CIFAS – www.cifas.org.uk • CISCO - www.cisco.com Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 77/84 Panorama del ciberdelito en Latinoamérica • CNN – www.cnnexpansion.com • Computer Laboratory, University of Cambridge - citeseer.ist.psu.edu • Computerworld – blogs.computerworld.com • Cybersourse - www.cybersource.com • Deferencia.com - www.degerencia.com • Diario La República – www.larepublica.com.co • Ebanking News – www.ebanking.cl • Ecommerce Journal - ecommerce-journal.com • elmundo.es – www.elmundo.es • El país.com - www.elpais.com • ESET Latinoamérica – www.eset-la.com • Federal Trade Commission – www.ftc.gov • Global Collect International Payment Service - www.globalcollect.com • HMGovernment - www.direct.gov.uk • Homeland Security Newswire - www.homelandsecuritynewswire.com • Identidad Robada - www.identidadrobada.com • Info Spyware – www.infospyware.com • InformationWeek - www.informationweek.com • Internet Crime Complaint Center (IC3 – USA) – www.ic3.gov • Internet World Stats - www.internetworldstats.com • iProfesional.com – www.negocios.iprofesional.com • Federal Reserve Bank of Boston - www.bos.frb.org • Felaban - www.felaban.com • Foro de Liquidación de Pagos y Valores del Hemisferio Occidental - www.forodepagos.org • Frost and Sullivan - www.frost.com • MasPorMas - www.maspormas.com.mx • McAfee, Inc. – http://www.mcafee.com • NOW!DIGITAL BUSINESS – www.idgnow.uol.com.br • Open Networks – www.opennetla.com • Panda Security – http://www.pandasecurity.com/ • Parliament of Australia House of Representatives - www.aph.gov.au Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 78/84 Panorama del ciberdelito en Latinoamérica • PC World - www.pcwla.com • Pingdom – www.royal.pingdom.com • PWC – www.pwc.com/ar/es • Radio Fe y Alegría Noticias - www.radiofeyalegrianoticias.net • Symantec Corporation - www.symantec.com • Tendencia Digital - www.tendenciadigital.com.ar • The Bismark Tribune - www.bismarcktribune.com • The Shadowserver Foundation – www.shadowserver.org • Trusteer Inc - www.trusteer.com • University of Cambridge – www.cam.ac.uk • Websense Inc – www.websense.com • YouTube Videos – www.youtube.com • ZDNET – www.zdnet.com A continuación se incluye una lista de las páginas consultadas a modo referencial, existiendo la posibilidad de que algunas fueran descartadas por haber considerado que su contenido no era útil para los propósitos del informe. • Antifraude - www.antifraude.org • CERT – Software Engineering Institute – Carnegie Mellon - www.cert.org • Cnet News - www.news.cnet.com • Comisión Económica para América Latina (CEPAL) - www.cepal.org • Credit Repair - www.creditrepair.org • Defending the Kingdom - www.defendingthekingdom.com • Estrategia para la sociedad de la información en América Latina y el Caribe (eLAC) www.eclac.org/socinfo/elac • Infobae Profesional - www.iprofesional.com • Ingeniería Comercial - www.ingenieriacomercial.com • Internet Storm Center - www.isc.sans.edu • Javelin Strategy & Research - www.javelinstrategy.com • National Institute of Standards and Technology – www.nist.gov • Population Reference Bureau - www.prb.org • PWC - www.pwc.com/ar/es Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 79/84 Panorama del ciberdelito en Latinoamérica • Seguridad Informática - www.seguinfo.wordpress.com • Team CYMRU Community Services - www.team-cymru.org • United Nations Conference on Trade and Development (UNCTAD)- www.unctad.org • United Nations Statistics Division - http://unstats.un.org/ Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 80/84 Panorama del ciberdelito en Latinoamérica Glosario Blackhat SEO - Este término hace referencia a una técnica de optimización de los motores de búsqueda con fines maliciosos que se aprovecha de las funcionalidades de dichos motores para situar páginas maliciosas en los primeros lugares de los resultados de las búsquedas. Botnet - Es un conjunto de computadoras conectadas a Internet, que interactúan para realizar una tarea distribuida, controladas por una computadora de “comando y control” (C&C) que las dirigirán para ejecutar lo que necesiten. Estos sistemas son usados para propósitos ilegales y están compuestos por máquinas comprometidas que son utilizadas sin que sus dueños lo sepan. Esas máquinas son denominadas “zombis” y el software malicioso que corre en ellas “bot”. Bot – Software malicioso que corre en una máquina comprometida que forma parte de una botnet. También se utiliza este término para identificar a la computadora comprometida. Exploit – Código malicioso que toma ventaja de las vulnerabilidades del software para infectar una computadora. Firma – Conjunto de características de los códigos maliciosos que pueden ser usadas para identificarlos usando productos antivirus. Gateway – Interfase que provee compatibilidad entre redes convirtiendo velocidades de transmisión, protocolos, códigos o medidas de seguridad. Honeypot – Sistema (por ej. un servidor Web) o recurso de sistema (por ej. un archivo en un servidor) que es diseñado de manera tal que resulte atractivo a potenciales intrusos y que no tiene otros usuarios autorizados que no sean los administradores. Honeycliente – Dispositivos activos de seguridad en búsqueda de servidores maliciosos que atacan clientes. El honeycliente se posiciona como un cliente e interactúa con el servidor para examinar si ha ocurrido un ataque. Habitualmente el foco de un honeycliente se sitúa en los navegadores web, pero cualquier cliente que interactúa con los servidores puede ser parte de un honeycliente (ftp, ssh, email, etc.). Ingeniería social – Una técnica que derrota las precauciones de seguridad tomadas, explotando las vulnerabilidades humanas. Las estafas a través de la ingeniería social pueden suceder en línea (tal como recibir correos electrónicos que solicitan abrir un adjunto, el cual es realmente un software malicioso) o fuera de línea (como recibir una llamada telefónica de alguien que se hace pasar por un representante de una compañía de tarjetas de crédito). Independientemente del método seleccionado, el propósito de un ataque de ingeniería social es siempre el mismo: hacer que el usuario realice la acción que el atacante desea. Grid computing - Forma de computación distribuida, a través de la cual se genera una “super computadora virtual” compuesta por muchas computadoras en red que actuán en conjunto para hacer tareas de envergadura. Además este tipo de sistema es un tipo especial de computación paralela que se monta sobre computadoras conectadas a una red a través de una interface estándar como por ej. Ethernet. Esto es es contraste con la noción tradicional de supercomputadora, la cual tiene múltiples procesadores conectados por un “bus” local de alta velocidad. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 81/84 Panorama del ciberdelito en Latinoamérica Gusano – Código malicioso que se distribuye espontáneamente enviando copias de si mismo a través del correo electrónico o usando otros mecanismos de comunicación tales como la mensajería instantánea o las aplicaciones peer-to-peer (P2P). Keylogger - Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de Internet. Suele usarse como software malicioso permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener. Machine learning – Es un tipo de inteligencia artificial que prove a las computadoras la habilidad de aprender sin que sean explícitamente programadas. Se focalize en el desarrollo de programas de computadoraas que pueden enseñarse a si mismos a crecer y cambiar cuando se exponent a nuevos datos. Este proceso de aprendizaje es similar al de data mining. Ambos sistemas buscan patrones a través de los datos. Sin embargo, en vez de extraer datos que sean comprendidos por los humanos, como en el caso de las aplicaciones de data mining, este sistema usa los datos para mejorar su propia comprensión; detecta patrones en los datos y ajusta las acciones del programa de acuerdo con ellos. Mail Spoofing – Suplantación, en el correo electrónico, de la dirección de correo electrónico de otras personas o entidades. Malware – Software malicioso o potencialmente no deseado, instalado sin el consentimiento del usuario, con la intención de comprometer la seguridad de la información y/o los recursos del sistema. Malicious code - Software or firmware que intenta ejecutar un proceso no autorizado que va a tener un impacto adverso sobre la confidencialidad, integridad o disponibilidad de un sistema de información. Virus, troyanos, gusanos u otras entidades basadas en código que infecte una computadora. También el spyware y algunas formas de adware son ejemplos de código malicioso. Malicious code intelligence – Conocimiento de la conformación del código: a qué familia pertenece, la estrategia de ataque, qué objetivo persigue, técnicas de desarrollo, etc. Pharming - Es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio. Phishing - Acrónimo de “password harvesting fishing”, o "cosechar y pescar contraseñas". Es una técnica que se usa con el propósito de recolectar ilegalmente información personal y financiera, tal como nombres de usuarios, contraseñas, números de tarjeta de crédito, identificación bancaria, etc. Phishing host: Es una computadora que provee servicios de sitio web, donde se copian los sitios de conocidas y confiables organizaciones y/o marcas, para ser utilizados como sitios de phishing. Reputation systems - La seguridad basada en la reputación es una estrategia de identificación de amenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego, Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 82/84 Panorama del ciberdelito en Latinoamérica se combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificaciones de reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles. Rogue antivirus (Rogueware) – Es un software que aparece como beneficioso desde una perspective de seguridad pero que provee limitada o ninguna capacidad de seguridad, generando un significativo número de erróneas o engañosas alertas, o intenta convencer al usuario de participar en transacciones fraudulentas a través de técnicas de ingeniería social. Rootkit - Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows. Spam – Correos electrónicos enviados de forma masiva. Los autores de software malicioso pueden usar spam para distribuirlo, ya sea adjuntándolo al mensaje o bien enviando un mensaje que contenga un link al software. También éste puede recolectar direcciones de correo para usar computadoras comprometidas para enviar spam. Spyware – Un tipo de código malicioso que es subrepticiamente en un sistema de inforamación para juntar información sobre individuos u organizaciones sin su conocimiento. SQL injection - Es una técnica de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos. Troyano - Códigos maliciosos que no se autopropagan pero toman acciones maliciosas sobre el computador. Trojan downloader/dropper – Una forma de troyano que instala otros archivos maliciosos en el sistema infectado ya sea descargándolos desde ona computadora remota o bien bajándolos directamente de una copia contenida en su propio código. Virus – Código malicioso que se replica, comúnmente infectando otros archivos en el sistema, permitiendo así la ejecución de código malicioso y su propagación cuando esos archivos son activados. Vulnerability – Una debilidad, error o una técnica pobre de codificación que puede permitir a un atacante explotarla con un código malicioso. Web hosting service – es un tipo de servicio que provee la infraestructura que permite a individuos y organizaciones crear su propio sitio web accesible a través de la World Wide Web. Las compañías que proveen estos servicios, brindan espacio en servidores que les pertenecen o alquilan para uso de sus clientes, agregando también conectividad a Internet, generalmente en un centro de procesamiento de datos. También pueden proveer espacio en un centro de procesamiento de datos y conectividad a Internet para que los clientes coloquen sus servidores. Este servicio es comúnmente denominado “Housing” en Latinoamérica o Francia. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 83/84 Panorama del ciberdelito en Latinoamérica Zero-day (o zero-hour o day zero) ataque o amenaza – Es una amenaza que trata de explotar las vulnerabilidades de aplicaciones que son desconocidas para otros o para el desarrollador del software. El software que explota los Zero-day es usado o compartido por los atacantes antes que el desarrollador del software receptor conozca la vulnerabilidad. El término deriva de la antigüedad de la amenaza de explotación. Un ataque de “zero day” ocurre en o antes del primer día en que el desarrollador conoce la vulnerabilidad, lo cual implica que el desarrollador no tuvo ninguna oportunidad de distribuir una actualización de seguridad para los usuarios del software. Zombi/Zombie - Máquinas comprometidas que componen las botnets (Ver botnet y bot en este mismo Glosario) y que son utilizadas sin que sus dueños lo sepan para propósitos ilegales. Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 84/84