OPERACIÓN SAFETY NET

Anuncio
OPERACIÓNSAFETYNET
MEJORESPRÁCTICASRECOMENDADASPARAENFRENTAR
AMENAZASENLÍNEA,MÓVILESYTELEFÓNICAS
Preparado por
Messaging, Malware and Mobile
Anti-Abuse Working Group
y
LONDON ACTION
PLAN
1 DE JUNIO DE 2015
Enespañol
Este documento fue traducido por ICANN al español, a partir de su versión original en inglés, como un servicio a
la industria
Este trabajo está licenciado bajo una licencia Creative Commons Reconocimiento – SinObraDerivada (3.0)
Unported Licence
http://creativecommons.org/licenses/by-nd/3.0/deed.en_US
(c) 2015 LAP y M3AAWG
Este reporte es relativo a algunos productos comerciales como posibles soluciones a diferentes amenazas
electrónicas. La mención de estos productos no constituye endoso de las organizaciones que han apoyado o
contribuido a este reporte.
OperaciónSafetyNet
2
Preámbulo
Enoctubrede2011,losmiembrosdelLondonActionPlan(LAP)yelMessagingMalwareMobileAntiAbuseWorkingGroup(M3AAWG)realizaronunapresentaciónanteelComitésobrePolíticasde
Consumidores(CCP)delaOrganizaciónparalaCooperaciónyelDesarrolloEconómico(OCDE)sobre
lasperspectivasactualesdelasrecomendacionesantispamdelaOCDEconelfindeabordarlas
amenazasenlínea.
Duranteelencuentro,undelegadocanadiensedelLAPadvirtióque,mientrasqueelconjunto
existentederecomendacionessobrespamdelaOCDEteníaunaaltatasadeéxitoenlamovilización
deindustriasygobiernosparaqueaccionenenelabordajedelaproblemáticadelspam,seríadegran
ayudalograrunamejorcomprensiónsobrelanuevageneraciónmássofisticadadeamenazasen
línea.SobrelabasedelseguimientoinicialconeldelegadocanadiensedelCCPyelpresidentedel
CCP,elOrganismoNacionaldeCoordinaciónAntispamdelMinisteriodeIndustriadeCanadápreparó
elborradordeuninformequeseráredactadopormiembrosvoluntariosdelM3AAWGydelLAP.Este
borradorsepresentóyobtuvoelacuerdodelosmiembrosdelM3AAWGydelLAPyfuerevisadopor
laSecretaríadelCCP.
El6dejuniode2012,losmiembrosdelLAPydelM3AAWGsereunieronenBerlínparadarinicioal
desarrollodelinformequesepublicóenoctubredeesemismoaño.Enlaactualidad,tresañosmás
tarde,esteinformehasidoactualizadoparaquereflejeelcambiantepanoramaylosnuevosmedios
queutilizanlosciberdelincuentesparaserexitososyevitarseridentificados.
Elinformeoriginalsedividióencuatroseccionesclave:
i)Malwareybotnets;
ii)ISPyDNS;
iii)Phishingeingenieríasocial;y
iv)Amenazasmóviles.
Estasegundaversióndelinformehaactualizadolascuatroseccionesoriginalesycubrenuevasáreas,
comofraudeportelefoníadevozyporvozsobreIP(VoIP),suplantacióndeidentificadoresde
llamadas,cuestionesdeabusoencuantoaserviciosdehostingyenlanube,yacosoenlínea.
Laactualizacióndelinformesobrelasmejoresprácticasrecomendadasinvolucróunainvitaciónalos
miembrosdelM3AAWGydelLAPacolaborarconelinforme.Sedesignaronexpertosdelaindustria
comoguíasdecadasecciónqueasuvezbuscaronaportesycontribucionesdeexpertosquenoeran
miembrosdelM3AAWGnidelLAP.Alfinaldeesteinforme,seencuentraunalistadelos
colaboradores.
ElM3AAWG,elLAPylaCoalitionAgainstUnsolicitedCommercialEmail(CAUCE)lehanbrindadosu
respaldooficialaesteinforme.Además,loscolaboradoresagradeceránloscomentariossobreel
informedelaOCDE,elCCP,elGrupodeTrabajosobrePrivacidadySeguridaddelaInformación
(WPISP)ydelComitésobreInformación,ComunicacionesyPolíticaInformática(ICCP).Cuando
corresponda,loscolaboradorestambiénagradeceránelaportedeotrosforossobreestainiciativa.
OperaciónSafetyNet
3
ÍNDICE
OperaciónSafetyNet...............................................................................................................................................1
Mejoresprácticasrecomendadasparaenfrentaramenazasenlínea,móvilesytelefónicas...1
Resumenejecutivo...................................................................................................................................................7
Malwareybotnets.........................................................................................................................................................................................7
Phishingeingenieríasocial.......................................................................................................................................................................8
AtaquesalprotocolodeInternetyalSistemadeNombresdeDominio...............................................................................8
Amenazasmóviles,telefónicasydevozsobreIP(VoIP)..............................................................................................................9
Serviciosdehostingyenlanube.........................................................................................................................................................10
Conclusión......................................................................................................................................................................................................11
Introducción:Laevolucióndelasamenazasenlínea............................................................................12
Malwareybotnets.................................................................................................................................................14
ElPanoramaActualdelasAmenazasATravésdeBotnetsyMalware...............................................................................15
ElPanoramaFuturodelasAmenazasATravésdeBotnetsyMalware..............................................................................16
LasMejoresRecomendacionesParaAbordarelMalware........................................................................................................16
Lasmejoresprácticasparaeducadoresyusuarios.................................................................................................................17
A) Mejores prácticas: Prevención ............................................................................................................................................ 17
B)Mejoresprácticasrecomendadas:Detección.......................................................................................................................18
C)Mejoresprácticasrecomendadas:Remediación.................................................................................................................19
LasMejoresprácticasrecomendadasparaelgobiernoylaindustria............................................................................19
Phishingeingenieríasocial...............................................................................................................................26
Eldañoparalosconsumidoresylaindustria.................................................................................................................................26
Elpanoramadelphishing........................................................................................................................................................................27
Losobjetivosdelosataquesdephishing:Québuscan..........................................................................................................27
Líneadetiempodeunatípicacampañadephishing..............................................................................................................29
Evolucióndelosmétodosdeataque..............................................................................................................................................30
Elaumentoeneldesarrollodelosataquesdephishing.......................................................................................................31
Lasmejoresprácticasrecomendadascontraelphishingylaingenieríasocial..............................................................33
Referencias.....................................................................................................................................................................................................39
Estadísticas...............................................................................................................................................................................................39
Programasaniveldeusuario...........................................................................................................................................................40
PresentacóndeinformessobrePhishing:...................................................................................................................................40
Lasmejoresprácticasrecomendadas...........................................................................................................................................42
OperaciónSafetyNet
4
NombresdedominioydireccionesIP..........................................................................................................43
Descripcióngeneralsobretecnología................................................................................................................................................43
DireccionesIP...............................................................................................................................................................................................43
ElSistemadeNombresdeDominio....................................................................................................................................................44
AtaquesContraelDNS.........................................................................................................................................................................44
EnvenenamientodelaMemoriaCaché.........................................................................................................................................44
Mejoresprácticasrecomendadas:.......................................................................................................................................................45
MalwarequeAtacaalDNS......................................................................................................................................................................46
Mejoresprácticasrecomendadas:..................................................................................................................................................46
AtaquesContraLosServiciosdeRegistrodeNombresdeDominio...................................................................................47
Mejoresprácticasrecomendadas:..................................................................................................................................................48
AtaquesalawebyaotrosDNSdeservidores................................................................................................................................50
Mejoresprácticasrecomendadas:..................................................................................................................................................50
AtaquesadireccionesIP..........................................................................................................................................................................51
SuplantacióndedireccionesIP........................................................................................................................................................51
Mejoresprácticasrecomendadas:..................................................................................................................................................51
Anunciosdeshonestos..........................................................................................................................................................................52
Mejoresprácticasrecomendadas:..................................................................................................................................................52
Roboderangosdedirecciones.........................................................................................................................................................52
Mejoresprácticasrecomendadas:..................................................................................................................................................52
Referencias.....................................................................................................................................................................................................52
Amenazasmóvilesydevoz...............................................................................................................................54
Elentornomóvil..........................................................................................................................................................................................54
Mercadosdeaplicaciones........................................................................................................................................................................54
Amenazasespecíficasylasmejoresprácticasrecomendadas...........................................................................................54
SeguridaddelosMercadosdeAplicaciones..................................................................................................................................54
Lasmejoresprácticasrecomendadassobrelastiendasdeaplicacionesparaelgobiernoylaindustria:......56
Elmalwaremóvil.........................................................................................................................................................................................57
Lasmejoresprácticasrecomendadasparalaindustriayelgobiernoparaevitarelmalwaremóvil:..............58
Amenazasmixtas....................................................................................................................................................................................59
Modificacióndedispositivosmóviles............................................................................................................................................60
Jailbreakingdeundispositivo..........................................................................................................................................................60
Rootingdeundispositivo...................................................................................................................................................................60
Desbloqueodeundispositivo...........................................................................................................................................................60
OperaciónSafetyNet
5
Lasmejoresprácticasrecomendadasaunindividuosobrelamodificacióndedispositivosmóviles:............61
Las mejores prácticas recomendadas para la industria y el gobierno en relación con la modificación de
dispositivosmóviles:............................................................................................................................................................................61
Amenazasdebandabase.........................................................................................................................................................................61
Lasmejoresrecomendacionesparalaindustriayelgobiernoparaevitarlasamenazasdebandabase:.....62
Elmodelocomercialdetarifaelevada:..............................................................................................................................................62
Lasmejoresrecomendacionesparaaindustriayelgobiernoparaevitarlasestafasmediantelosservicios
detarifaelevada:....................................................................................................................................................................................64
Spammóvil....................................................................................................................................................................................................64
Lasmejoresrecomendacionesparalaindustriayelgobiernoparaevitarelspammóvil:...................................65
El aumento de los ataques internacionales .......................................................................................................................... 66
Consideracionesinternacionales...................................................................................................................................................67
Elcostodelasinvestigacionesinternacionales.......................................................................................................................68
Las mejoresrecomendacionespara elgobierno y la industria de acuerdo con cuestionesde colaboración
cruzada:.....................................................................................................................................................................................................68
Amenazastelefónicasdevoz.................................................................................................................................................................69
Elentornodelatelefoníadevoz....................................................................................................................................................69
AmenazasporVoIP...............................................................................................................................................................................70
Llamadasautomatizadas....................................................................................................................................................................70
Lasmejoresprácticasrecomendadasparacombatirlasllamadasautomatizadas:.................................................71
Ataquestelefónicospordenegacióndeservicio(TDoS).......................................................................................................73
LasmejoresprácticasrecomendadassobreTDoS:.................................................................................................................74
Suplantacióndellamadas...................................................................................................................................................................74
Lasmejoresprácticasrecomendadasparaprevenirlasuplantacióndellamadas:..................................................75
Serviciosdehostingyenlanube....................................................................................................................76
Tiposdehosting...........................................................................................................................................................................................76
FormatodelainfraestructuradeInternet:.................................................................................................................................76
CategoríasdeinfraestructuradeInternet...................................................................................................................................77
Elescenariodelasamenazas.................................................................................................................................................................79
Principalesáreasdeinterés...............................................................................................................................................................80
Lasmejoresrecomendaciones..............................................................................................................................................................82
Acosoenlínea..........................................................................................................................................................86
Conclusión.................................................................................................................................................................89
Glosario......................................................................................................................................................................90
Referencias................................................................................................................................................................................................92
End Notes ...............................................................................................................................................................................................93
Steering Committee/Contributors/Participants .....................................................................................................................96
OperaciónSafetyNet
6
RESUMENEJECUTIVO
Esteinformebrindaasuslectoresunadescripciónenlenguajesimpledelasamenazasqueenfrentan
losnegocios,losproveedoresderedesylosconsumidoresenelentornomóvilyenlínea.Como
muchosdenosotrossabemos,lastecnologíasmóvilesydeInternethansidoelimpulsoclavedela
economíaglobalenlosúltimosveinteaños.Estastecnologíastienenunimpactosobrecasitodoslos
aspectosdenuestravidadiariaysehanincorporadotambiénencasitodoslosmodeloscomercialesy
cadenasdesuministro.Debidoalaincorporacióndelosequiposportátiles,losteléfonosinteligentes
ylastabletasanuestravidapersonalylaboral,nuestradependenciadeestosdispositivostambiénse
haincrementado.Utilizamoslosdispositivosparaconectarnosconlafamiliaylosamigos,para
compraryrealizaroperacionesbancariasenlínea,relacionarnosconcolegasysocioscomerciales,
reestructurarcadenasdesuministroyofrecerproductosdirectamentedesdelafábricaaloslocales
deventaalpúblico.
Conlacrecientedependenciadelsectorcomercialydelconsumidor,ylarápidamigracióndelas
transaccionescomercialesalasplataformasmóvilesyenlínea,aparecenlasamenazasdelos
ciberdelincuentes.Losciberdelincuentessacanprovechodelenvíodespam,delphishing,dela
introduccióndemalwareensitiosweb,delapropagacióndebotnets,delredireccionamientode
tráficodeInternethaciasitioswebmaliciosos,delaapropiacióndeserviciosdehostingyenlanube,
ydelainsercióndespywareencomputadorasydispositivosmóviles.
Noesfácilcalcularelimpactoeconómicodeestosataquescontinuos,yaseaporpaísoenunaescala
mundial,dadoquelaspérdidasproducidasporlaciberdelincuenciaconfrecuencianoseinformano
seminimizanporpartedelasvíctimas,lasinstitucionesfinancierasquecubrenlosgastosderivados
delaspérdidasolasempresasqueafrontanloscostos,incluyendocostosdedefensayremediación
hastacostosporcaídasdeserviciosdebidoaataque.
Elobjetivoprincipaldeesteinformenoessóloestudiarlasamenazasfrentealosentornosenlínea,
móvilydeVoIPqueamenazaaconsumidores,empresasygobiernostodoslosdías,sino,loquees
másimportante,sugerirlasmejoresprácticasrecomendablesparaquelaindustriaylosgobiernos
puedanabordarestasamenazas.Elenfoquedelinformeapuntaacincoáreasprincipales:
MALWAREYBOTNETS
ElmalwareylasbotnetsseincluyenentrelasamenazasmásgravesalaeconomíadeInternet.El
softwaremaliciosoo"malware"escreadooutilizadoporlosdelincuentesparaafectaroperaciones
informáticas,recolectarinformaciónconfidencialoaccederasistemasinformáticosprivados.Las
botnetssongruposdeequiposinfectadosconmalwarequesecomunicanysecoordinanentresí(con
frecuenciamedianteunaredcomplejadeequiposinfectados)yquerecojeninformaciónsobrecada
dispositivoinfectadodemaneraindividual.Lasbotnetsmaximizanlaimpactantecapacidaddelancho
debandaypotenciainformáticaquesignificacontrolarmásdeunmillóndedispositivos.
Losdelincuentescontinuamentecambiano"transforman"elmalwareparaevitarqueseadescubierto
yeliminado.Enconsecuencia,lamayoríadelosantivirus(AV)enfrentanladificultaddetenerque
identificaramenazasnuevasyrecientes.Cadavezsonmáslasformasdemalwarequetienenla
habilidaddedetectarqueestánsiendomonitoreadosmientrasseejecutan,posiblementeporparte
deuninvestigadorquerealizaanálisisdecódigomalicioso,yalterarsuscaracterísticasparalograr
quelosexpertosenmalwarenologrendetectaroanalizarsusfunciones.Algunasclasesdemalware
OperaciónSafetyNet
7
inclusorealizaránuncontraataquealintentodevigilanciayanálisismedianteunataqueDdoS
(denegacióndistribuidadeservicios).
Enconsecuencia,cadavezsevuelvemásdifícilparaelentornodeseguridadenlíneaseguirleelritmo
alasamenazasdemalware.
PHISHINGEINGENIERÍASOCIAL
Elphishinginvolucratécnicasqueutilizanactoresmaliciososparahacerqueunavíctimarevele
informaciónfinanciera,comercialopersonalqueesconfidencial.
Elphishinghaavanzadoininterrumpidamenteencuantoafrecuencia,sofisticaciónyperjuicio
provocadodesdesusinicioscomoamenazaamediadosdeladécadadelosnoventaynomuestra
signosdereducción.Dehecho,elphishinghaestadoenalzadesde2011,ycasiel25%delos
destinatariosabrenloscorreoselectrónicosconphishingymásdel10%hacenclicenarchivos
adjuntosmaliciosos.Asimismo,eltipodeinformaciónquebuscaelphishingaumentasuvalorcada
vezmás:desdeunsimpleaccesoaunacuentadecorreoelectrónicooaunacuentabancariaque
provocanpérdidasindividualesenmilesdedólares,hastaobjetivosdegranvalor.
Losobjetivosdegranvalor,concretamentecuentascomercialesqueposeenunsecretocomercialo
brindanprivilegiosespecialesacuentasbancariasyfinancieras,hansidoatacadosenrepetidas
ocasionesycongranfrecuencia,situaciónqueproducepérdidascatastróficas,financierasyde
propiedadintelectual,enunmismoeventodecientosdemillonesdedólares;unnúmeroincalculable
deestoseventosocurretodoslosaños.
Aunqueelphishingnoesunanovedad,elaumentoenlacantidad,enlosobjetivosyenlasofisticación
delosataquesenlosúltimosañosrepresentaunaamenazamásfuerteparalascompañías,los
gobiernosylosconsumidoresytambiéndestruyelaconfianzageneralenlaeconomíadigital.Se
debencoordinardefensasparalograrsolucionestransparentesyabiertasconvariosgruposde
interésparamaximizarlaeficacia,minimizarloscostoseincrementarlaconfianza.
ATAQUESALPROTOCOLODEINTERNETYALSISTEMADENOMBRES
DEDOMINIO
DiferentesclasesdeactividadesilegalesatacanlasvulnerabilidadesasociadasalSistemadeNombres
deDominio(DNS)ylasdireccionesdeprotocolodeInternet(IP).LosataquesmásgravesalDNSson
elataquederesolutoresoelenvenenamientodelamemoriacaché,enlosquelosdelincuentes
introducendatosfalsospararedireccionareltráficoenInternethacialaversiónfalsadeunsitioweb
depopularidad.
TodoequipoconInternetposeeunadirecciónIP,queseutilizaparaidentificarlo,delamismamanera
queseidentificaaunaparatotelefónicomedianteunnúmerodeteléfono.LasdireccionesIP
tradicionales,llamadasdireccionesIPv4(ProtocolodeInternetversión4),soncifrasbinariasde32
bits,escritascomocuatronúmerosdecimales,porejemplo,64.57.183.103.Laprimeraporcióndela
dirección,enestecaso6457183,confrecuenciaidentificalared;elresto,enestecaso103,alequipo
("host")enlared.Ladivisiónentrelaredyelhostvaríasegúneltamañodelared,porloqueel
ejemploanterioressimplementetípico.Dadoqueelhombredifícilmenterecuerdela
OperaciónSafetyNet
8
direcciónIPyestáatadoaunaredfísica,elDNSesunabasededatosdistribuidadenombresquele
permitealosusuariosutilizarnombrescomowww.google.comenlugardesudirecciónIP
173.194.73.105.
Apesardesuenormetamaño,elDNSposeeunrendimientoexcelentemedianteladelegaciónylas
memoriascaché.LasmásseriasvulnerabilidadesenelDNSseencuentranalniveldelosresolutoresy
seconocencomoenvenenamientodelamemoriatemporal(cachepoisoning),enlaquelos
delincuentesalteranlainformaciónderesolucióndenombresdedominioconelfinderedirigirel
tráficodeInternethaciasitioswebfalsos-controladosporlosdelincuentesmismos-quecopiansitios
webpopulares.
CadacomputadorenInternettieneunadirecciónIP,queesutilizadaparaidentificaresedispositivo
deunaformasimilaracomolosteléfonossonidentificadosporlosnúmerostelefónicos.Las
direccionesIPtradicionales,conocidascomoIPv4(InternetProtocolversion4),sonnúmeros
compuestospor32bitsbinarios,representadosporcuatronúmerosdecimales,como64.57.183.103.
Laprimerapartedeladirección,enestecaso64.57.183,identificalaredyelresto,enestecaso103,
identificaeldispositivoenparticular(elhost)enlared.Esadivisiónentreredyhostvaría
dependiendodeltamañodelared,siendoesteejemplomencionadobastantetípico.Puestoquelas
direccionesIPsondifícilesderecordarparaloshumanos,ypuestoqueestánatadasaredesfísicas,el
DNSesunabasededatosdistribuidaqueincluyenombresyquepermitealaspersonasusar
nombrescomowww.google.comenlugardelarespectivadirecciónIP173.194.73.105.
Apesardesuenormetamaño,elDNSoperademaneramuyeficientepuestoqueutilizadelegaciones
ymemoriastemporales.Esdecir,diferentesorganizacionessonresponsablesdesupartedelDNSy
losdispositivosdelosusuariosrecuerdanlosresultadosdeDNSquehanrecibido.Puestoqueno
seríaprácticoalmacenartodoslosnombresenelDNSenunaúnicabasededatos,elsistemasedivide
enzonasquesonalmacenadasendiferentesservidores,lógicamentevinculadosentresíparacrear
unainmensabasededatosinter-operableydistribuida.
LasvulnerabilidladesenlasdireccionesIPyenelDNSincrementanelriesgoparalosconsumidores
porqueenmuchoscasosnosabenquehansidoredirigidosaunsitiofalso,noalsitioalqueellosde
verdadqueríanacceder.
AMENAZASMÓVILES,TELEFÓNICASYDEVOZSOBREIP(VOIP)
Coneladvenimientodelosteléfonosinteligentesyelmercadodeaplicacionesparadispositivosque
utilizanAndroid,Apple,WindowsyBlackberry,elentornodelcomercioelectrónicosehaampliadoy
ahoraincluyealosdispositivosmóviles.Dadoquelosconsumidoresmigransusactividadesde
comercioelectrónicoalasplataformasmóviles,losdelincuentesquebuscanaprovecharsey
defraudarrápidamenteseadaptan.Además,elentornomóvilcreaoportunidadesúnicasparalos
nuevostiposdeataquesyamenazasdirigidastantoaconsumidorescomoaempresas.
Losdispositivosmóvileslesproporcionanalosconsumidoresunamayorfuncionalidadyfacilidadde
uso.Losusanconfrecuenciausuariosindividuales,queporlogenerallosmantienenenunestado
activo,amenudoconelGPShabilitadoysonlocationaware(losdispositivosmismosconocensu
ubicación).Porlotanto,losdispositivosmóvilesposeenunmayoratractivoinherenteparaunataque
malicioso.
Enlosúltimosaños,elentornomóvilhasufridouncrecimientoeneldesarrollodemalware,las
primerasbotnetsmóviles,unaumentoenestafaspormensajedetexto(SMS)detarifaelevaday
OperaciónSafetyNet
9
ataquessofisticadosquesehanasociadoconeljailbreaking(modificacióndelsistemaoperativoque
permiteladescargadeaplicacionesdesdecualquierlugar,nosóloladesdelatiendadeaplicaciones
queofreceunniveldeseguridadyconfianza)dedispositivosmóviles.
Conelaumentoenlassuscripcionesalabandaanchamóvil,lasamenazastelefónicasdevozyde
VoIPtambiénregistranuncrecimiento.Lafrecuenciaylagravedaddelasestafasporllamadas
automatizadasaumentan,ylanuevatecnologíaquelespermitealosdelincuentesocultarseo
cambiarsusnúmerosdeteléfonosalientesparaengañaraobjetivosconfiadoshacequeelfraudesea
másefectivo.Amedidaqueunamayorcantidaddeserviciosdetelefoníasetransformanenservicios
enlínea,losataquespordenegacióndeserviciodetelefonía(TDoS)tambiénaumentanencantidady
frecuencia.Estetipodeataquespuedeserdevastadorcuandoelblancosonserviciosesenciales,
porquelograquelossistemastelefónicoscolapsenyquelasllamadasdeindividuoslegítimosque
intentancomunicarse,porejemploconelDepartamentodeBomberosoconunaambulancia,no
lleguenadestino.
Losciberdelincuentestienenunafuertepreferenciaparaoperarenunentornointernacional,loque
complicaaúnmáslaaplicacióndelaley.Porejemplo,unvendedorenlíneademedicamentosilegales
queviveenlosEstadosUnidospodríaenviarunspamconpublicidaddesusmedicamentosdesdeun
equipoafectadoenBrasil,quedirigeasuspotencialescompradoresaunsitiowebconunnombrede
dominioruso,mientrasquefísicamenteelservidordeesesitiowebestáubicadoenFrancia.Elpago
delacompracontarjetadecréditosepodríaprocesaratravésdeunbancoenAzerbaiyán,elpedido
podríaserenviadoenbarcodesdeunsitioenlaIndiayelingresopodríasercanalizadohaciaun
bancoenChipre.Losdelincuentessabenquealactuardeestamaneraexistenmuchosfactoresque
complicanlasinvestigacionesoficialesdesusdelitosenlíneayreducensuprobabilidaddecaptura.
Estosfactoressonlafaltadecolaboración,lasdiferenciasentrejurisdiccionesyelcostodelas
investigacionesinternacionales.
SERVICIOSDEHOSTINGYENLANUBE
"Hosting"serefiereaproveedoresdeserviciosquebrindanaccesocomercialasitiosweb,archivose
intranet,yaccesoaInternetatravésdemúltiplesservidoresconectadosenlugardeunservidor
únicoovirtual.Loshostssonempresasqueproporcionanespacioenunservidorpropioo
concesionadoparaquesusclienteslousen;tambiénpuedenproporcionarespaciodecentrodedatos
yconectividadaInternet.Losserviciosdehostingmásbásicossonelhostingwebydearchivosde
menortamaño.MuchosproveedoresdeserviciosInternet(ISP)ofrecenesteserviciogratisalos
suscriptores.EstoshostscontrolanlosprincipiosbásicosquehacenalfuncionamientodeInternety
puedenoperarcomoempresasunipersonalesointernacionalesdeInternet.
Lacomputaciónenlanubecomprendeelalmacenamientoyaccesoadatosyprogramasmediantela
Internetenlugardeutilizarundiscodurolocal.La"nube"essimplementeunametáforadela
Internet.Seremontaacuandoexistíanlosdiagramasdeflujoylaspresentacionesquerepresentarían
lagigantescainfraestructuradeInternettipo"granjadeservidores"comounanubeblancay
pomposa.
Las amenazas móviles y en línea que atacan servicios de hosting y en la nube están en aumento e
incluyen el spam, el spamvertising, el phishing, los sitios web pirateados, ataques por DDoS, la
exploración de puertos para localizar vulnerabilidades, páginas web desfiguradas, infracción de
derechosdeautor/marcasregistradasymalware.Estedocumentoclasificalostiposdehostingy
OperaciónSafetyNet
10
definelasáreasdeinterés.Proporcionaunanálisisdelpanoramaactualdelasamenazasenlanubey
en línea, y un breve recorrido por los métodos de corrección que se utilizan para abordar estas
cuestionescríticas.
CONCLUSIÓN
ConelfindeprotegerlaInternetygarantizarsupromesafrentealosciudadanosdelmundo,es
fundamentalqueidentifiquemosrespuestaseficientesyefectivasatodasestasamenazas.Este
informe,presentadoporungrupointernacionaldeexpertosdelaindustriaydelgobierno,resumelas
mejoresprácticasrecomendadasparaenfrentarestasnuevasymássofisticadasamenazasenlínea,
móvilesytelefónicas.Esperamosqueesteinformefacilitelacolaboraciónpermanenteyefectiva
entreestegrupoylacomunidadinternacionalparacombatirestasamenazas.
OperaciónSafetyNet
11
INTRODUCCIÓN:
LAEVOLUCIÓNDELASAMENAZASENLÍNEA
Desde2006,laeconomíamundialmóvilydeInternethasufridoeldesarrollodelasamenazasen
líneaylaaparicióndenuevosataques.Hoyendía,lasherramientasutilizadasparadefraudaryrobar
informaciónenelentornomóvilyenlíneasoncadavezmássofisticadas,ylesofrecenalos
delincuentesylosestafadoresunavariadacajadeherramientas.
Enestecontexto,comoprobablementesuspadreslehandichomásdeunavez,mejorprevenirque
curar.Esteinformenosólodescribeelentornodelasamenazasenlínea,móvilesytelefónicasde
maneratalquecualquierpersonapuedaentenderlo,sinoqueproporcionaunalistadeherramientas
alaindustriaylosgobiernosparaquelasadoptencomolasmejoresprácticasrecomendadasyeviten
queestetipodeamenazasseconviertanenciberataquesexitosos.
Mientrasquegranpartedeestailícitaactividadenlíneaseneutralizaantesdequelleguealusuario
finaltípicograciasalastécnicasdebloqueoyfiltradoaplicadasenlaactualidad,elspamsiguesiendo
unvehículoimportante,queconfrecuenciatransportaunacargamalintencionadaasícomocorreos
electrónicosnodeseadosyamenudomaliciosos.Elspamnoessólounfenómenoasociadoalcorreo
electrónico.Seexpandeadiferentestiposdenuevosmedios.Porejemplo,elspampormensajería
móvilyVoIPenlaactualidadesfrecuente,asícomotambiénloscomentariosnodeseados(spam
comments)enredessociales,blogsysitiosweb,ylasentradasnodeseadasquecontaminany
degradanlacalidaddelosresultadosdelabúsquedaenmotoresdebúsquedaenlínea.
Laindustriadelosnombresdedominio(queconsisteprincipalmenteenICANN),losregistradoresy
losregistrospuedentenerunrolcríticoenlaesferaantiabuso,enparticulardadoquelosnuevos
protocolosdeInternet(porejemplo,IPv6)sevuelvenmásprevalentes,yselanzaunnúmero
considerabledenuevosdominiosdealtonivel(TLD).Tradicionalmente,existíanaproximadamente
24TLDs,porejemplo.com,.org,.net,.gov,ademásdelosTLDdedosletrasparapaís,porejemplo,.ca
paraCanadáo.jpparaJapón.Recientemente,ICANNlanzómásde500nuevosTLDgenéricos,que
incluyen.bike,.cityy.clothingyhaycientosmásenprocesodeserlanzados.
RecomendamosquelosparticipantesdelaOCDEyotrasorganizacionesinternacionalesfortalezcan
sucolaboraciónenlaprincipalentidadcoordinadoraenlaesferadelosdominios,elConsejoAsesor
Gubernamental(GAC)deICANN,trabajandoparaalentaraICANNaredoblarsusesfuerzosenelárea
decumplimientocontractualysupervisióndelosregistrosyregistradores.
Sehanrealizadomuchosesfuerzospararomperbarrerasyfacilitaraccionescolaborativasentre
empresas,ONG,gobiernos,entidadesreguladorasyorganismosdelordenpúblico.LaOCDE,elLAP,el
M3AAWGyotrasorganizacionesinternacionaleshantenidoéxitoeneldesarrollodeuna
coordinaciónpública-privadaexistenteymayorcolaboraciónentrelosdiferentessectores.Por
ejemplo,elGrupodeTrabajoparaDNSChangeriyelGrupodeTrabajoparaConfickeriison
amalgamasdeexpertosenlamateria,organismosdeordenpúblicoyrepresentantesdelaindustria
quehantenidounnotableéxitobasadoenunmodelodeconfianzamutuaquedejadeladolas
cuestionescompetitivas.Estacolaboraciónhasidounenormeaciertoyseguirásiendofundamentala
lahoraderealizaresfuerzosantiabuso.
OperaciónSafetyNet
12
Sinembargo,sigueexistiendolanecesidaddetenerunalegislaciónantiabusoyantispammássólida,
máscompletaeindependientedelatecnologíayregímenesregulatoriosquefacilitenlacolaboración
entrepaíses.Partedelasoluciónresideenelámbitodiplomático,enparticular,cuandosetratade
permitiraccionesinternacionalesdeordenpúblicomásefectivas.Unamejoraconsiderableenla
educaciónylaconcientizacióndelusuariofinalesunacuestiónimportanteenlatomademedidas
eficacesantiabuso.
OperaciónSafetyNet
13
MALWAREYBOTNETS
Elsoftwaremaliciosoo"malware"escreadooutilizadoporlosdelincuentesparaafectaroperaciones
computacionales,recolectarinformaciónconfidencialoaccederasistemasinformáticosprivados.Se
puedepresentarendistintosformatos,desdeprogramascompiladoshastasecuenciasofragmentos
decódigoinsertadosenunsoftwareporlodemáslegítimo."Malware"esuntérminogeneralutilizado
paradefinirunconjuntodeformatosdesoftwarehostil,invasivoofastidioso.Engeneral,elmalware
comprendevirus,gusanos,troyanos,instaladores,spyware,adware,rootkits,spamwareyotros
programasmaliciosos.Elmalwareestágeneralmentediseñadoparacumplirunaomásfunciones,
desdefacilitarlaintroduccióndeotrotipodemalware(porejemplo,instaladores/descargadoresde
troyanos)hastalarecopilarinformación(porejemplo,spyware).Otrasformasdemalwaresepueden
especializarenlainterrupcióndeequipos,usuariosyredes.
Lasbotnetssongruposdeequiposinfectadosconmalwarequesecomunicanparacoordinarentresí
yrecolectarinformaciónacercadelosdispositivoscomprometidos.Lasbotnetsconmayorfrecuencia
recibenelnombredelmalwareespecíficoutilizadoparainfectaryreclutardispositivos,porejemplo,
ZeusySpyEye.Sinembargo,todoslosequiposquecomponenunabotnetpuedencontenerdiferentes
componentesdeunmalware.Porejemplo,unnododebotnetZeuspuedecontenerelmalwareZeus
(quemanejalacomunicacióndelbotnet,robainformaciónydescargaotrasformasdemalware),así
comootrasamenazas,comoelspamware(porejemplo,Cutwail)ocomponentesde"ataque"(comoel
malwarePushdoDDoS).
Lasbotnetspuedenserdegrantamaño.Sehanobservadobotnetscompuestospormásdeunmillón
deequiposbajoelcontroldeunsolobotmaster.Sinembargo,noesnecesarioqueunabotnettenga
untamañosimilaraesteparaserextremadamenteperjudicial.Inclusounabotnetcompuestapor
1000o2000nodos(equipos)puedecausarunenormecaos.
Ensuscomienzos,elmalwareeradesarrolladoconfrecuenciapor"aficionados":entendidosen
computaciónquebuscabandesafíosodiversión.Desdeesemomento,losdelincuentes,yelcrimen
cadavezmásorganizado,sehandadocuentadequepuedenganarmuchodineroconelmalware.Un
ejemploeselcasodeWinFixer,enelquelosdelincuentesamedrentaronasusvíctimashaciendoque
realizaranpagosporregistrodesoftwareiii.Hoyendía,prácticamentetodaslasformasdemalwarese
creanyutilizanconfinesdelictivos.Enmenormedida,elmalwarepuedetambiénestarfinanciado
porelEstadoyserutilizadoporagenciasdeinteligenciaparallevaracaboaccionesencubiertas
contrasistemasinformáticosdeotrosestadosoparaespiaractivistas,periodistasydisidentes;
asímismo,puedeserutilizadoporhacktivistasyextremistasconfinesideológicos,políticososociales.
ElmalwareesunadelasprincipalesamenazasparalaeconomíadeInternetyseutilizaparallevara
cabolassiguientesactividades:
● Recopilarinformaciónpersonalycomercialmediante:
○
lacapturadelaspulsacionesdeteclas;
○
larecopilacióndeiniciosdesesiónycontraseñas;
○
lacopiadelibretasdedirecciones;
○
elrobodeinformación,documentacióny/osecretocomercialqueesconfidencial,o
inclusolacapturadeinformacióngubernamentalomilitarconfidencial;
○
larecopilacióndeinformaciónbancariaytransaccional.
OperaciónSafetyNet
14
●
FacilitargrandesataquesdeDDoSpatrocinadosporgobiernos,ocomoformadeactivismo
políticoocomounpreludioalaextorsión,entremuchosotrosfines.
●
Enviarspamporcorreoelectrónico,SMSyotrosmedios.
Losdelincuentesmodificanelmalwarecontinuamenteparaevitarladetecciónylaremediación.La
mayoríadelasherramientasdesoftwareantivirus(AV)tienepocacapacidaddeidentificaramenazas
actualesyrecientes.Cadavezsonmáslasformasdemalwarequetienenlahabilidaddedetectarque
estánsiendomonitoreados"vigilando"(posiblementeporpartedeunanalistademalware)yalterar
sucomportamientoparalograrquelosanalistasnopuedandeterminarsufuncionamiento.Algunas
clasesdemalwareinclusointentandesalentaresaslaboresdemonitoreomediantelarealizaciónde
ataquesdeDdoSdirigidoscontralosanalistasdeseguridad.Portodoesto,cadavezesmásdifícilpara
lacomunidaddeseguridadenlíneaseguirelritmoconelqueevolucionaelentornodelasamenazas
pormalware.
ELPANORAMAACTUALDELASAMENAZASATRAVÉSDEBOTNETSY
MALWARE
Elpanoramanohacambiadoyespocoprobablequelohaga.Lareticenciageneraldelosgobiernos,
losbancosylascorporacionesacompartirdatosprivadosoconfidenciales,obstaculizadapor
barreraslegalesyregulatoriasrealesopercibidasounmiedoalaresponsabilidad,significaquelos
creadoresdemalwareaúnconservanelcontrolcuandosetratadelacapacidaddebrindarcon
precisiónsuproducto.Noesposiblecalcularexactamentelamagnituddelacuestión,dadoqueno
existenindicadoresgeneralmenteaceptadosparalasinfeccionespormalware,botsobotnets.
Enelmalwaretransmitidoporcorreoelectrónico,elcorreoelectrónicopococonvincenteconerrores
deortografíahasidosustituidopornuevastécnicasdephishing,quesediscutenmásadelanteeneste
informe.Aunqueelvolumenglobaldespamhadisminuidoenlosúltimosaños,enlaactualidadlas
redessocialesutilizancadavezmástécnicascomo"clickjacking"o"likejacking"enlasqueelusuario
haceclicenunenlaceaunsitiowebparaverunvideotentadoryelatacanteutilizaeseclicpara
publicaruncomentariovisibleatodoslosamigosdeFacebookdelusuario,quelostientaahacerclic
enelmismoenlacemalicioso.Facebookhacontrarrestadoengranparteesteataquemedianteuna
solicitudalusuarioparaqueconfirmeun"Megusta"antesdesupublicaciónsielusuarioestá
haciendoclicenundominioquenoesconfiable.
EntérminosdemalwaretransmitidoporlaWeb,Symantecdescubrióqueen2013losataquesa
travésdelaWebhabíanaumentadoun23%másqueen2012yque1de8sitioswebmostrabauna
vulnerabilidadcrítica.ivEstoindicaquelosatacantesintentanevadirlasoperacionesafavordela
seguridadhaciendoquelossitioswebdispersenelmalware,enlugardeadjuntarloaloscorreos
electrónicoscomoformadeinfección.
LasamenazascontralossistemasoperativosiOSyAppleOSX,aunqueseanrelativamentepocasen
cantidad,representanlapropagacióndelmalwarehaciaplataformasquehastaahoracasinohabían
sufridoataquesdemalware.Losmediosdeataquesonsimilaresalosobservadosenlas
OperaciónSafetyNet
15
plataformasWindowsyAndroid.Elhechodequemuchasherramientasdeataquehancruzadoentre
diferentesplataformas,haciendousodelosataquesdeJava,porejemplo,esensímismounnuevo
métododepropagacióndemalware.
ELPANORAMAFUTURODELASAMENAZASATRAVÉSDEBOTNETSY
MALWARE
Deacuerdoconelinforme"PrediccionessobreAmenazas"deMcAfeev,elmalwaremóvilseráel
motordecrecimientodelainnovacióntécnicaydelvolumendeataquesenel"mercado"mundialdel
malwareen2015.Losataquesconransomwaremaliciosoocurrencadavezmás,impulsadosporel
aumentodelamonedavirtual.Asímismo,seesperaeldesplieguedeunnúmerocrecientede
aplicacionescorporativasbasadasenlanube,quetendráncomoconsecuencialaexpansióndelas
superficiesdeataquefrentealasquelosdelincuentesdirigiránsusactividades.
Porúltimo,esdifícilconcebirlagrancantidaddeotrasamenazasdemayorimportanciaenlos
próximosañosquelaqueplantealaInternetdelascosas.Comomilesdemillonesdedispositivosse
conectanaInternet,habráunnúmerocrecientedeamenazasalainfraestructurafundamentalque
representanlosdispositivossinparchesoconunavulnerabilidadinherente.Esprobablequemuchos
dispositivosconectadosnorecibanlosparchesdeseguridadregulares;algunosproveedoresno
consideraránlaseguridadcomopartedesuresponsabilidad,yaquepriorizanlapróximaversióndel
productoyseenfocanmásenlascaracterísticasestéticasoprácticas.
Esposiblequelosconsumidoresnoejerzanpresiónsobrelosproveedoresdeequiposparaobtener
losparchesdeseguridad.Si,porejemplo,undispositivofuncionasatisfactoriamentecomouna
nevera,unabombillaeléctricaoutermostato,perotieneunproblemadeseguridadconsu
ciberfuncionalidad,losconsumidorespuedennodemostrarunamotivaciónparareemplazarlosólo
pormotivosdeseguridad.Enconsecuencia,lalargacoladedispositivosinsegurosseguirácreciendo.
LASMEJORESRECOMENDACIONESPARAABORDARELMALWARE
AunquegranpartedeloquetrataestasecciónhacehincapiéeneducaralosindividuosyalosISPs,
sedebereconocerqueelabordajedelmalwareesunproblemadetodounecosistemaquerequerirá
unenfoquemultifacéticoyaccionesdediferentesgrupos,quenoselimitaalosISPsoaeducaralos
usuariosfinales.
Paragobiernosyeducadores,estasecciónsecentraenlaprevención,detecciónyremediaciónde
malware.ParalosISPs,estasecciónsecentraenbrindarasesoramientoenrelaciónconloqueunISP
puedehacerparacolaborarconunindividuoenladeteccióndemalware.Lasecciónconcluyeconun
análisisforensesobreelmalwareenlasáreaslegalesyregulatoriasdelosgobiernos,asícomo
prácticasusualesdelaindustria.
OperaciónSafetyNet
16
LASMEJORESPRÁCTICASPARAEDUCADORESYUSUARIOS
A)Mejoresprácticas:Prevención
Estasrecomendacionesapuntanacómounindividuopuedeprevenirunainfecciónconmalware.
1. Elegirunsistemaoperativoseguroyactual:Alelegirunsistemaoperativo(SO),busque
unoquehayademostradosercapazdereducirsuexposiciónalmalware.
Independientementedelsistemaoperativoqueelija,asegúresedeejecutarlaversiónmás
reciente.Lossistemasoperativosmodernostienendefensasintegradasqueayudana
combatirataquesdemalwarequecomprometenelsistema.
2. Manteneraldíalosparchesylasactualizaciones:Asegúresedequelossistemas
operativosytodaslasaplicaciones,porejemplolasaplicacionesdeasistencia(Acrobat
Reader,FlashPlayer,JavayQuickTime),contenganlosúltimosparchesdisponibles(esdecir,
quesehayandescargadotodaslasactualizacionesamedidaqueestuvierandisponibles).Enla
mayoríadelosataquescausadospormalware,losparchesdisponiblesteníanmásdeunaño.
EnlossistemasqueejecutanMicrosoftWindows,Microsoftponeasudisposiciónunaseriede
descargasrecomendadas.viSecuniaPSIviiestambiénunapopularherramientaquepuede
ayudarloamanteneractualizadaslasaplicacionesdeterceros.
3. Utilizarsólolonecesario:Engeneral,lomejoresdescargaroutilizarsolamenteelsoftware
necesariopararealizarsustareas.Evitedescargarsoftwareoarchivosquenoaportan
característicasofuncionesútilesonecesarias,yelimineelsoftwaresinuso.
4. Buscarayudadeexpertos:Consúltelesalosexpertoscuáleslamejoropciónparasus
necesidades.(Los"expertos"puedenresponderdediferentesmaneras,perosiustedconfíaen
ellosalahoradeobtenerasistencia,hacerloqueelloslediganserácasisiempremejorensus
circunstancias).
5. Ejecutarunprogramaantivirus:Aunquelosproductosantivirusnosonperfectos,lo
puedenayudardetodasformas,porloqueseleccioneuno,utilíceloymanténgaloaldía
medianteladescargadeactualizacionescuandoasíleseaindicado.Programeunanálisis
completodelsistemaunavezporsemanacomomínimo.Asegúresedeseleccionarun
antivirusrealyeviteserengañadoainstalarunantivirusfalsoquees¡elmismísimomalware!
(Ysisuantivirusnoprotegetambiéncontraelspyware,tambiéndeberáinstalarun
antispyware).
6. Utilizarunfirewall:Aunquenosoninfalibles,losfirewallparahardwareosoftwareal
menosañadiránpotencialmenteotracapadeprotección.
7. Utilizarcontraseñasseguras:Lascontraseñasdebentenerlasuficientecomplejidadpara
resistirserdescifradasovioladas.Algunaspersonaseligencontraseñasquetienencomo
mínimoochocaracteresdelongitudymezclanmayúsculas,minúsculas,númerosysímbolos
especiales.Otrosprefierenseleccionarentretresycincopalabrasnorelacionadasqueson
másfácilesderecordar,peroqueasuvezdificultaneltrabajodelasherramientasde
softwarequelasdescifran.Decualquiermanera,nuncautilicelamismacontraseñaen
diferentessitios.Lasaplicacionesdecontraseñasfacilitanesteproceso.viii
8. Realizarcopiasdeseguridaddeformaregular:Sielsistemaseinfecta,tenerunacopiade
seguridadlimpiapuedeserdegranutilidadalahoradedesinfectarseyvolveraestaren
línea.
OperaciónSafetyNet
17
9. Eliminararchivostemporalesinnecesarios:Algunasclasesdemalwarepuedenocultar
copiaspropiasentrelosarchivostemporales,einclusosinohayarchivostemporales
infectados,laeliminacióndelosarchivostemporalesacelerarálosanálisisdelsistemay
reduciráeltamañodelascopiasdeseguridad.Unaherramientamuyutilizadaparala
limpiezadearchivostemporalesenlasplataformasWindowsesCCleaner.
10. Noejecutarcomoadministradordeformarutinaria:Lascuentas"Administrador","raíz"y
otrasquetienenfuncionesespecialessólosedebenutilizarcuandoestéhaciendoalgoque
requieralosprivilegiosespecialesasociadosalascuentasdegrancapacidad(porejemplo,la
instalaciónintencionaldeunnuevosoftware).Cuandoestéhaciendotareashabituales,
ejecuteelsistemacomounusuarionormal.
11. DesactivarJavaScript(outilizarNoScript):JavaScript(unlenguajedeprogramaciónque
noestárelacionadoconJava,apesardelnombre)habilitamuchasaplicacionesinteractivas
llamativas.Sinembargo,tambiénsufremuchosataquesyseutilizaparaintroducirmalware
ensistemasvulnerables.SinosenecesitaJavascript,nolohabiliteenelnavegadorweb.
12. BloquearlosnombresdedominiomaliciososconocidosenelDNS:Algunasclasesde
malwarecuentanconlacapacidaddetraducirconéxitonombresdedominioanúmeros.Si
ustedbloquealaresolucióndeesosdominiosatravésdesuservidordeDNS,esposiblequeel
malwarenoselogreejecutar.Comoejemplo,OpenDNSesunaempresaqueofreceDNScon
filtrosparaeltráficomalicioso.
13. Filtrar/removerelcontenidomaliciosdeloscorreoselectrónicospotencialmente
peligrosos:Suadministradordecorreoelectrónicodebeejecutarunexamenparadetectar
adjuntos,enlacesocontenidospotencialmentepeligrososqueustedpuederecibirporcorreo
electrónico.UnprogramaquepuedeayudarconestoesMIMEDefang.
14. LosarchivosdescargadosmedianteaplicacionesP2Pconfrecuenciaestáninfectados:
Sepaquemuchosdelosarchivoscompartidosenredesdepuntoapunto(P2P)para
compartirarchivospuedenestarinfectadosconmalwaredemaneraintencionaloaccidental.
15. AsumaquetodaslasunidadesUSBesconden"trampascazabobos":Sirecibeunaunidad
USB,oencuentraunaunidadUSB"perdida",nuncalaconecteensuequipo.Puedehabersido
infectadaenformaintencionalconmalware,yluegocolocadaenunlugardondelaencuentre
conelfindeintroducirmalwareensusistema.
16. EviteelusodepuntosdeaccesodeWi-Fidesconocidos:AlgunospuntosdeaccesoWi-Fi
abiertospuedeninterceptartráficonocifradoy,deestemodo,puedenviolarsuprivacidad.El
usodeunaredprivadavirtual(VPN)lepuedebrindarciertaprotección.Asegúresedeque
cualquierpuntodeaccesoinalámbricoqueutiliceestéprotegidoconWPA2(unprogramade
protocoloycertificacióndeseguridaddesarrolladoporWi-FiAllianceparaprotegerlasredes
informáticasinalámbricas)pararestringirelacceso.
B)MEJORESPRÁCTICASRECOMENDADAS:DETECCIÓN
Estasrecomendacionesponenelacentoencómosedetectaelmalwarecuandofallalaprevención.
1. Tomarconscienciacuandounaexploraciónlocaldetectaalgo:Unadelasformasmás
comunesdedetectarunmalwareesmedianteelanálisisdeunantivirus.Otraopciónsimilar
seríarealizarunanálisismedianteunaexclusivaherramientaantimalwareespecialmente
diseñadacomo"sólolimpieza"ix.
2. Advertircuandoelsistemacomienzaafuncionardeformaextraña:Otroindicador
importantedequealgonoandabienescuandoelsistemacomienzaafuncionar"demanera
OperaciónSafetyNet
18
extraña".Elfuncionamientoextrañopuedeincluir:ejecuciónlentaobloqueos,ventanas
emergentesnodeseadas(porejemplo,notificacionesfalsasdelantivirus),solicitarunapágina
webyterminarenotra,nolograriradeterminadossitios(sobretodosisonsitiosde
actualizaciónositiosrelacionadosconlaseguridad),etc.
3. TomarmedidassisuISPleindicaquesusistemanofuncionacorrectamente:Por
ejemplo,suISPlenotificaquesehaobservadoquesusistemahaenviadospamoatacadoa
otrosistemaenInternet.
C)MEJORESPRÁCTICASRECOMENDADAS:REMEDIACIÓN
Estasrecomendacionesapuntanacómotratarsistemasinfectadosconmalware.
1. Limpiezaenellugar:Esteenfoquesebasaenqueelusuario(oalguienennombredel
usuario)ejecuteunoomásantivirusenelsistemainfectado,conelfindelimpiarlo(en
algunoscasos,losexpertostambiénpuedeneliminararchivosinfectadosdeformamanual).
Esteprocesopuedellevarmuchotiempoybásicamentepuedefuncionarono.Incluso
despuésdehaberrealizadoungranesfuerzoparalimpiarunsistemainfectado,esposibleque
lainfeccióncontinúeoqueelsistemaseainestableoinutilizable.
2. Reversión:Sielusuariotieneunacopiadeseguridadlimpia,otraopciónesrevertirelestado
deeseequipoaesacopiadeseguridadlimpia.Estaopciónpuedeprovocarlapérdidade
trabajodesdequerealizólaúltimacopiadeseguridad,amenosqueesosarchivosrecientesse
conservenporseparadoysepuedanrestaurar(sihaceesto,esnecesariohacerloconmucho
cuidadoparagarantizarquelarestauracióndelosarchivosnoprovoqueunanueva
infección).Entérminosgenerales,unaestrategiadereversiónfuncionamejorcuandolas
copiasdeseguridadsonfrecuentesyesposibleseleccionardetodaslasgeneracionesde
copiasdeseguridaddisponibles.
3. Completarlanuevainstalación:Enestaopción,elsistemasevuelveaformatear,yel
sistemaoperativoylasaplicacionessereinstalandesdecero.Estopuedellevarmucho
tiempo,yconfrecuenciaseráfrustranteporlafaltademediosoriginales(muchos
proveedoresyanoincluyenunacopiadelsistemaoperativoenunmediofísicocuando
vendenunhardwarenuevo).
4. Reemplazarelsistema:Porúltimo,almenosunafraccióndelosusuariospuededecidirque
simplementedeseanreemplazarsusistemainfectado,enlugardeintentarlimpiarlo.O
también,estapuedeserlaúnicamaneradedesinfectardeformaseguraunequipo.Esta
opciónpuedesermásaceptablesielsistemainfectadoesviejoonoeramuypotente,en
principio,osielusuariodeseacambiarelsistemaoperativooelequipodeescritorioauno
portátil,porejemplo.Lajergadelaindustriaparaestetipodeacciónes"dinamitary
pavimentar"(nukeandpave).
LASMEJORESPRÁCTICASRECOMENDADASPARAELGOBIERNOYLAINDUSTRIA
A)Lasmejoresprácticasrecomendadasparaladetecciónynotificación(ISPausuario)
Enlaactualidad,muchosISPlesnotificanasusclientessiestáninfectadosconmalware.LosISP
puedenutilizardiferentestécnicasparanotificarlainfecciónalosindividuos.Estasecciónenumera
diferentesaccionesquelosISPdebenrealizarparanotificaralosusuariosfinales;sinembargo,nose
OperaciónSafetyNet
19
debeentenderquecualquiertécnicahayasidoidentificadacomolamejorpráctica.Existendiferentes
ventajasydesventajasasociadasacadatipodenotificación.Algunosejemplosincluyenlossiguientes:
1. Correoelectrónico:Cuandosedetectaunsistemainfectado,elISPpuedenotificaralusuario
porcorreoelectrónico.Lamentablemente,muchasveceslosusuariosnuncaleenladirección
decorreoqueelISPproporcionaparasuuso,yesposiblequeelusuarionuncalebrindeal
ISPladireccióndecorreoelectrónicoqueutilizahabitualmente.Tambiénesposiblequelos
usuariostambiénseanmáscautelososalconfiarenlasnotificacionesdecorreoelectrónico
comoresultadodelacantidaddeataquesdephishingyestafasporsoportetécnicoque
confundenalosconsumidoresantelapresenciademalwareensuscomputadoras.
2. Teléfono:ElISPtambiénpuedenotificaralusuarioporteléfono.Alcontactaralosclientes,es
importanteconsiderarque,sibienlallamadaautomatizadapuedesereficiente,losusuarios
puedensospechardelasnotificacionesporteléfono,comoresultadodelosataquesde
phishingporvoz.Porotrolado,lanotificacióntelefónicarealizadaporunapersonapuedeser
tediosayllevarmuchotiemposiesnecesarionotificaraunagrancantidaddeusuarios
infectados.
3. Mensajedetexto:EnloscasosenlosqueelISPconoceelnúmerodeteléfonomóvildel
cliente,otraopciónseríaenviarlealusuariolanotificaciónpormensajedetexto.
4. Correotradicional(enpapel):UnISPpuedeconsiderarlanotificacióndelosusuarios
mediantecorreopostaltradicional,posiblementeadjuntándolaalafacturamensual.Sin
embargo,sielISPnoaprovechauncorreoqueyaleestáenviandoalcliente,elenvíode
notificacionesdecorreoadhocpuederesultarcostosoybastanteinefectivo,sobretodosiel
usuariodescartacomunicacionesdecorreosinabrircreyendoquesonprobablemente
publicidad.
5. Serviciodesoporteadomicilio:Ensituacionesenlasqueelusuariohacompradoun
contratodesoporteenellugar,esposibleutilizarotrotipodenotificaciónmedianteuna
"visitaaldomicilio"delcliente.Porsupuesto,eltécnicodelISPdeberámostrarlealclientesu
credencialytambiénsedebeconsiderarqueestapuedeserunaopcióndenotificaciónmuy
costosa.
6. Notificaciónenbanda(web):Enesteenfoque,unISPnotificaalusuariomediantela
interposicióndeunmensajeintersticialcuandoelusuariointentevisitarunsitiowebnormal.
Esteenfoquepuedeseralgodesconcertanteparalosusuarios,peroesmenosperjudicialque
otrosenfoques,talescomoel"jardínamurallado"(vermásadelante).
7. Jardínamurallado:SiunISPnecesitarestringirdeinmediatoeldañoqueunusuario
infectadopuedecausar,unaopciónescolocarloenloqueseconocecomoun"jardín
amurallado".Cuandoestoocurre,selepermitealusuarioaccederasitiosseleccionadoscon
finesderemediaciónyprotección,yposiblementeselepermitacontinuarconelaccesoa
serviciosdeVoIP,porejemplo,paraelaccesoaserviciosdeemergencia,peroporlogeneral
nopodráaccederalamayoríadelosrecursosdeInternet.Sedebehacerhincapiéenqueesta
estrategianoseráunapenalidad.Losjardinesamuralladoshantenidounagraneficaciaenla
disminucióndelacantidaddeinfeccionesaniveldelISP,delconsumidory,dehecho,
impulsenunmovimientodemalwareybotnetshaciaserviciosdehosting.
Paraobtenermayorinformación,consultetambiénlasrecomendacionesparalacorreccióndebots
enredesdeISPdelGrupodeTrabajoenIngenieríadeInternetRFC6561.x
OperaciónSafetyNet
20
LanotificaciónalosusuariosfinalesnoselimitaalosISP.OtrasporcionesdelecosistemadeInternet
quetienenunarelaciónconlosusuariosfinalespueden,ydeben,realizarlasnotificaciones.Por
ejemplo,sehadifundidoampliamentequetantoGooglecomoFacebookintentaronalertaralos
usuariosfinalessobrelasposiblesinfeccionesasociadasconelmalwareDNSChanger.
B)Lasmejoresprácticasrecomendadasparalaconcientización
1. Momentosadecuadosparalaenseñanzacaraacara:Eneldesafortunadocasoenelqueel
sistemadeunclienteseinfecte,esepuedeserunexcelente"momentodeenseñanza"cuando
lastécnicasseleccionadasparaevitarunanuevainfecciónpuedenserparticularmente
destacadas.
2. Sitiowebparalaseguridaddelcliente:Elejemplomásbásicoparaofrecereducacióny
concientizaciónalclientees,probablemente,lacreacióndeunsitiowebsobreseguridadque
leofrecealclienteasesoramientoyaccesoaherramientas.
3. Adjuntosconlafacturación:SilosISP,enformarutinaria,envíaninformaciónalosclientes
mediantecorreotradicional,estapuedeserotraoportunidadmásparacompartir
recomendacionesconelfindeprotegerelsistemadelcliente,yesalgoquesepuededistribuir
atodoslosclientes,inclusoaaquellosquenohanmostradohastaesemomentosignoalguno
deinfección.
4. Anunciosdeserviciopúblico(PSA):Otraoportunidadparaeducaralosusuariosfinales
sobreelmalwareseríaatravésdeanunciosdeserviciopúblicoatravésdelatelevisiónyla
radio.Porejemplo,enlosEstadosUnidos,laCampañaNacionaldeConcientizaciónsobre
Ciberseguridad"PARA.PIENSA.CONÉCTATE"hadesarrolladonumerososanunciosdeservicio
públicoquecomenzaronacircularenformaanualdesde2010.
5. Materialpromocional:Tambiénhayunavariedaddematerialespromocionalescomomouse
pads,tazas,camisetas,destapadoresdebotellas,bolígrafosolápices,uotrosobsequiosque
puedenayudaracrearconcienciasobrelasamenazasrelacionadasconmalwareybotnets.
6. Concursos:Otraoportunidadparacompartirunmensajedeciberseguridadpuedeestar
asociadaconconcursos,enespecial,concursosdeensayosdestinadosausuariosenedad
escolar.
7. Educaciónformal:Otrapartefundamentaldelaeducaciónylaconcientizaciónesincorporar
enlasescuelasunplandeestudiosquetratetemasdeciberseguridadociudadaníadigital.
Apuntaralaciberseguridadengeneral,yalmalwareylasbotnetsenparticular,esuna
cuestióndeseguridadpúblicaalargoplazo;yaligualqueotrascuestionesdeseguridad
pública,esposibleunmejorabordajemedianteelestablecimientodenormassocialesqueen
muchoscasossepuedeninculcarmejorsiespartedelaeducaciónformaldeunindividuo.
Debidoalrápidocambioenelpanoramayenlacomplejidaddelasamenazasconmalwareybotnets,
educaryconcientizarsólopuedeserefectivoenpartealahoradeprotegeralosusuariosfinales.Los
esfuerzosdelámbitolegal,regulador,técnicoeindustrialsemantendránalavanguardiaencuantoal
abordajedelproblemaconmalwareybotnets.Sinembargo,laeducaciónbásicaylaconcientización
sobrelasamenazasenlíneasiguensiendoingredientesnecesariosparaprotegeralosusuarios
finales.
Lasindustrias,lasasociacionesylosgobiernosdebendesarrollarypromoverprogramasde
comunicaciónquebrindenalusuariofinalunconocimientobásicosobrelasamenazasylastécnicas
fácilesdeentenderconelfindeaprenderaprotegerse.
OperaciónSafetyNet
21
Muchasdeestasiniciativasyaexistenypuedenserutilizadascomomodeloosimplementecomouna
fuentedematerialeducativo(véasemásadelante).Variosdeestosrecursossebasanenlas
cuestionesgeneralesrelacionadasconmalwareybotnetsenlugardehacerunestrictohincapiéen
ellos.Sinembargo,porlogeneral,esmejorproporcionaralusuariofinalunmensajecombinado
sobreseguridadenInternetenlugarderealizarnumerosassugerenciassincoordinación.Enotras
palabras,lainformacióndebeserbreveycoherentesiemprequeseaposible.
● AlianzaNacionalparalaCiberseguridad-Mantengalimpiasucomputadora-
http://www.stopthinkconnect.org/campaigns/keep-a-clean-machine(partedelaCampaña
NacionaldeConcientizaciónenCiberseguridadPARA.PIENSA.CONÉCTATE.queapuntaa
botnetsymalware)
●
OficinaFederaldeInvestigación(FBI):
http://www.fbi.gov/scams-safety
●
RealPolicíaMontadadeCanadá(RCMP):
http://www.rcmp-grc.gc.ca/is-si/index-eng.htm
●
IniciativaNacionaldelosEstadosUnidosparalaEducaciónenCiberseguridad:
http://csrc.nist.gov/nice/
●
ComisiónFederaldeComerciodelosEstadosUnidos(FTC):
https://www.onguardonline.govand
http://www.consumer.ftc.gov/media/video-0103-hijacked-computer-what-do
http://csrc.nist.gov/nice/
C)Lasmejoresprácticasrecomendadasenelámbitolegalyregulatorio
Enelcontextodelanálisisforensesobreelmalware,MalwareForensics:InvestigatingandAnalyzing
MaliciousCodexisugierealgunasprácticasrecomendadasparalainvestigaciónsobremalware,que
incluyen:
● Enmarcaryreenmarcarobjetivosymetasdeinvestigaciónenformatempranayfrecuente.
●
Desdeelprincipio,comprenderlaimportanciadeidentificarpruebasinculpatorias,pruebas
exculpatoriasylafaltadeprueba.
●
Diseñarunametodologíaqueasegurequelasfasesdelainvestigaciónnoalterarán,
eliminaránocrearánpruebas,nialertenalossospechososocomprometandeotramanerala
investigación.
●
Crearymantenerunmeticulosoanálisispasoapasoyunacadenadedocumentaciónen
custodia.
●
Nuncaperderelcontrolsobrelaspruebas.
●
Definir,redefiniryadaptarestosprincipiosduranteelcursodeunainvestigaciónconelfinde
clarificarylograrobjetivosdeinvestigaciónmásalcanzables.
OperaciónSafetyNet
22
●
Considerarlassiguientescuestionesdeimportanciadesdeelprincipio:
○ ¿Lajurisdiccióndeunainvestigaciónrequiereunacertificaciónolicenciaespecial
parallevaracaboelanálisisforensedigital?
○ ¿Quéautoridadinvestigayquélímitesposeedichaautoridad?
○ ¿Cuáleselalcancedelainvestigaciónautorizada?
○ ¿Cómoseevitarálaintromisiónenlosderechosdeprivacidaddeloscustodiosde
datosrelevantes?
D)Lasmejoresprácticasrecomendadasparaobtenercolaboracióndelosgobiernosyla
industria
Lasprácticasrecomendadasparaeldesarrollodesoftwaresegurorepresentanlamejorpráctica
recomendadapararestringirlapropagacióndemalware.ElForodeGarantíadeSoftwareparala
ExcelenciaenelCódigoxii(SAFECode)esunainiciativamundiallideradaporlaindustriapara
identificarypromoverlasmejoresprácticasrecomendadaseneldesarrolloylaprovisiónde
software,hardwareyserviciosmássegurosyconfiables.
ElGrupodeTrabajon.°7delConsejodeSeguridad,ConfiabilidadeInteroperabilidadenlas
Comunicaciones (CSRIC)delaComisiónFederaldeComunicacionesdelosEstadosUnidos(FCC)
presentódeformavoluntariaunCódigodeConductaAntibotparaISPyoperadoresderedel22de
marzode2012,comounainiciativadecolaboraciónentrelaindustriayelgobiernoxiii.ElCódigopone
elacentoenlosusuariosdeInternetresidencialeseincluyecincoáreasdeinterésparalosISP:
educación,detección,notificación,correcciónycolaboración.ParaparticiparenesteCódigo,se
requierequelosISPsparticipenenalmenosunaactividad(esdecir,adoptarunamedida
significativa)encadaunadelassiguientesáreasgenerales:
● Educación:ayudaramaximizarlaeducaciónylaconcientizacióndelusuariofinalsobre
problemasconbotnetsysobrecómoayudaraprevenirlasinfeccionesdeporbots;
●
Detección:identificarlaactividaddelbotnetenlareddelISP,obtenerinformaciónsobrela
actividaddelbotnetenlareddelISPopermitirquelosusuariosfinalespuedandeterminar
porsímismosposiblesinfeccionesporbotsenlosdispositivosqueutilizancomousuario
final;
●
Notificación:daravisoalosclientesdelasospechadeinfeccionesporbotsohabilitarquelos
clientesdeterminensitienenunainfecciónporbot;
●
Corrección:proporcionarinformaciónalusuariofinalsobrecómopuedecorregirinfecciones
porbotsoayudaralusuariofinalenlacorreccióndelasinfeccionesporbot;
●
Colaboración:compartirlaexperienciaadquiridaycomentariosconotrosISPapartirdela
participacióndelISPenlasactividadesdeSAFECode.
Lossistemasoperativosylasaplicacionesconunacorrectaconfiguración(protegida)también
puedenreducirlatasadeinfecciónpormalware.LaAgenciaNacionaldeSeguridaddelosEstados
Unidos(NSA)proporcionapautassobrelaproteccióndeequiposcontratodaslasamenazas,incluso
elmalwarexiv.Existeinformaciónadicionalpararouters,conmutadoresinalámbricos,VoIP,
servidoresdebasesdedatosyaplicacionesenelmismolugar.Además,esposibleencontrarrecursos
paraprotegerelsistemaoperativoylasaplicacionescontramalwareenlaslistasdeverificacióndel
InstitutoNacionaldeEstándaresyTecnología(NIST)xv(seincluyenlosdispositivosAndroid).
OperaciónSafetyNet
23
LaAgenciadeSeguridadeInternetyCorea(KISA)ofreceunserviciode"RefugioContraDDoS"de
formagratuitaalaspequeñasempresasquenocuentanconlasherramientasadecuadaspara
protegersecontraunataqueDDoS.El"RefugioContraDDoS"filtraeltráficomaliciosodelataque
DDoSydejapasareltráficonormal.Asimismo,laKISAdetectalapresuntaIPzombienunatrampade
spamylesolicitaalosISPnacionalesquetomenlasmedidasnecesariascontraestasdireccionesIP
ensusredes.
Esposibleencontrarotrosesfuerzosespecíficosporpaísenlossiguientessitiosweb:
● Internacional:https://code.google.com/p/evidenceontology
● Botfrei:https://www.botfrei.de/
● Melani(Suiza):http://www.melani.admin.ch
● Ficora(Finlandia):http://www.ficora.fi/en
● ProyectoACDCdelaUE:http://www.acdc-project.eu/
● Canadá:http://fightspam.gc.ca
● Australia:http://www.acma.gov.au/Citizen/Stay-protected/My-mobile-world/Dealing-withmobile-spam/dealing-with-spam-i-acma
E)LasmejoresprácticasrecomendadasparalosISP
Esposibleminimizarlaamenazademalwarereduciendooeliminandolosvectoresdeinfección.El
correoelectrónicoestodavíaunmétodomuyeficazparapropagarunmalware.Paramitigareste
vector,lamayoríadelosISP,loshotelesylospuntosdeaccesogratuitossiguenlasmejoresprácticas
recomendadasdebloqueodecorreosaliente(puerto25)desdecualquierequipodelaredexcepto
desdesuspropiosservidoresdecorreo.Estoimpidequelosequiposinfectadospropaguenel
malwareatravésdeuncorreodirecto.
EnEuropa,algunosproveedoresdeInternetdieronunpasomásallá.Losusuariosdeestasredes,en
formapredeterminada,sólotienenaccesoaInternet.Eltráficoparaelrestodelospuertoses
denegado.Paraofrecerlesalosusuariossofisticadosunamayorflexibilidad,estosISPproporcionan
herramientasqueautorizanaciertosusuariosautilizarotrospuertos/protocolosyservicios.
Enamboscasos,lasupervisióndelosintentosdeconexiónbloqueadossepuedeutilizarcomoun
indicadordealertatempranadeequiposinfectadosconmalware,asícomotambiénunobstáculo
paralapropagacióndemalwareylascomunicacionesdecontrolesycomandos.
F)Lasmejoresrecomendacionesparaservidoresyproveedoresdehosting
Enlaactualidad,unodelosreservoriosmásprevalentesdemalwaresonlosservidoresweb
afectados.Estosservidoresseinfectancuandonoseaplicanlosparchesdeseguridadactualesparael
sistemaoperativoyparalasaplicacionesdesoporteeinfraestructuraweb,odebidoacontraseñasde
usuarioinseguras.Lasinfeccionesseexacerbanenlamedianaypequeñaempresayenmuchos
proveedoresdehostingdebidoaataquemenoresdeempleados/personal.Algunos
OperaciónSafetyNet
24
utilizanlaautomatizaciónparaaliviarestascuestiones;estaprácticadeberíaserunapráctica
recomendadaanivelmundial.
1. Requisitosdelascondicionesdeservicioparaactualizacionesoportunasdeseguridad:
Todoslosclientesdeberíanacordaractualizarlosparchesdeseguridadactualesopermitir
queelproveedordehostingactualicelainfraestructuraensusdirectorios.
2. Mantenerlosparchesdeseguridadactualizados:Todoslosparchesdeseguridaddeben
estaractualizados.Esteprocesopuedesermanual,enelcasodesistemasmuypequeños,o
programado,enelcasodelosproveedoresdehostingmásimportantes.
3. Utilizarherramientasdeauditoríaparaidentificarunhost:Lasherramientaspara
realizarunaauditoríaaniveldeservidorenelcasodeversionesdesoftwareinsegurasse
deberíanejecutarcomomínimosemanapormedio,yelsoftwareidentificadosedeberíaser
parchear.
4. UtilizarsoftwaredeseguridaddeIT:Lasherramientas(comoTripwire)sedeberían
utilizarparasupervisarlaintegridaddecadaservidor.
5. Ejecutarunantivirus:Ejecuteunantivirusconfrecuencia(siesposibledosantivirus
diferentes)parasupervisararchivosvariablesdelhostparacontagio.
6. Considerarelusodeservidoresenlanube:Puestoquelosservidoresenlanubeson
mantenidosyutilizadospormotivosprofesionalespormuchosclientes,tiendenasermás
seguros;porotraparte,puedenserunobjetivomásinteresanteparaelataque(porejemplo,
unDDoS).Sinembargo,losservidoresenlanubesedeberíanconsiderarunaalternativa
posibleparaunamejorseguridad,teniendoencuentalareputacióndelproveedorenlanube,
lasmedidasdeseguridaddefinidas,ysilosservidoreshansidoatacadosalgunavez.Más
adelanteenesteinforme,encontrarámásinformaciónsobreamenazasalserviciodehosting
yalaNubeylasmejoresprácticasrecomendadas.
OperaciónSafetyNet
25
PHISHINGEINGENIERÍASOCIAL
Elphishingserefiereatécnicasutilizadasporactoresmaliciososparaengañaraunavíctimaparaque
realiceunaacciónquedelocontrarionotomaríaenlínea,confrecuenciarevelandoinformación
confidencial,comodatospersonalesofinancieros.Losestafadoressepresentancomoentidades
conocidas(amigosoempresas)yaprovechanrelacionesdeconfianzaexistentesparaafectarasu
víctima.
Elphishinghaavanzadoininterrumpidamenteencuantoafrecuencia,sofisticaciónyperjuicioprovocadodesde
susinicioscomoamenazaamediadosdeladécadadelosnoventaynomuestrasignosdeagonía.Eltipode
datosquesebuscamedianteelphishingtambiénsehavueltocadavezmásvalioso,desdeelsimple
accesoauncorreoelectrónicoycuentasbancariasdeunconsumidorqueocasionabanpérdidas
individualesdemilesdedólareshastalosobjetivosactualescomocuentascorporativascon
privilegiosespeciales("súperusuario")e
informaciónbancariadeempresas.
¿Porquéla"ph"?
Estosataquespuedenconduciraunaviolación
Eltérmino"phishing"provienedelapalabra
masivadedatosmediantelaqueserobanenmasa
"fish"("pescar"),dadoquelosestafadoresde
datospersonalesdelosclientes,seexfiltrala
Internetusan"señuelos"para"pescar"la
propiedadintelectualdeunaempresaose
informaciónfinancieradeunusuarioylos
destruyendatoseinclusosistemasfísicos.Un
datosdelacontraseña.Lospiratasinformáticos
eventopuedeinvolucrarpropiedadintelectualde
tienenunaadorabletendenciaacambiarla
unaempresayproducirpérdidasfinancierasde
letraefepor"ph",y"phishing"esunodeestos
hastadecenasoinclusocientosdemillonesde
ejemplos.Latransformacióndelaefeala"ph"
dólares,yexisteunacantidadincalculablede
noesunaestrategianuevaentrelospiratas
eventosqueseproducentodoslosaños.
informáticos;estefenómenoapareciópor
primeravezafinalesdeladécadadelos
Enlaactualidad,elsuplantadordeidentidad
sesentaentrelospiratastelefónicos,quese
falsificamensajesysitioswebquedifícilesde
autodenominaban"phonephreaks".
distinguirdelosauténticos,medianteejércitosde
equiposlegítimosafectados(botnets)ysoftware
infectado(malware)conelmismofinquepreviamenterequeríaunainteracciónmáspúblicaconel
usuariofinal.Elsuplantadordeidentidadtambiénhadesarrolladounmalwaremóvilquepuede
inutilizaralgunasmedidasdeprotección.
ELDAÑOPARALOSCONSUMIDORESYLAINDUSTRIA
Esdifícilcalcularelimpactodelphishingenlosconsumidoresylaeconomía,ylosresultadossonmuy
diferentes.Unpuntoenelquesehallegadoaunacuerdogeneralesquelosataquesdephishingestán
aumentando.ElinformeanualdeInvestigacionessobreViolacióndeDatosdeVerizonmuestraque
despuésdeunabrevecaídaen2010,elphishinghaaumentadodurantevariosañosconsecutivos.En
2014,seinformóqueelphishingeralaterceracausadeviolacióndedatosxviyquehabíaaumentado
enun23%,de253a312,en2013.Tambiénen2014,losatacantescontinuaronconlaviolaciónde
redes,conataquespuntualesaobjetivosimportantes,queaumentaronsun8%delosataquesen
general.Estosataqueseranmássofisticadosyespecíficos,conun14%menosdecorreoelectrónico
enviadohaciaun20%menosdeobjetivos.xvii
OperaciónSafetyNet
26
ElGrupodeTrabajoAntiphishing(APWG)presentainformestrimestralessobrelastendenciasdel
phishing.Elinformepresentadoen2014observóelmayornúmerodeataquesdephishingdesde
2009.Elmismoinformedocumentóelmayornúmerodemarcasutilizadasconfinesdephishingenla
historia,con756durantelaprimeramitadde2014.xviii,xixElInformeMensualsobreFraudedelaRSA
publicadoendiciembrede2014informópérdidasporphishingdeUSD453millonesenunúnicomes
anivelmundialopérdidasanualesporaproximadamenteUSD5000millones,conun75%delos
ataquesapuntandoalosEstadosUnidosyCanadá.xxSinembargo,mientrasqueelphishingesuna
pequeñapartedelaspérdidasmundialesestimadasporciberdelincuencia,queseestimanenUSD
445000millonesxxi,USD5000millonesrepresentanunapérdidaimportanteyevitable.
Asimismo,laprevenciónsehaconvertidoenunatareaimportante,conuntiempoparahacerclic
promediodeunminutoyveintidóssegundos,ylosdatosdelAPWGquesugierenquela
infraestructurautilizadapararealizarestascampañasesbastanteextensaconmásde9000dominios
ycasi50000URLsuplantadasquesedescubrenpormesentrelosmiembrosdelGrupo.
ELPANORAMADELPHISHING
Elphishingseclasificasegúnlostiposdeinformaciónbuscados,lostiposdeblancoatacadosylos
canalesmedianteslosquesellevanacabolosataques.Elphishingseidentificageneralmente
mediantecorreoelectrónico,SMSuotromensajequecontieneunenlacequeredirigealdestinatario
aunsitiowebfalsoquesolicitalainformacióndelacuentadelusuario,porejemplonombrede
usuarioycontraseña,númerodetarjetadecréditouotrainformaciónpersonal.
LOSOBJETIVOSDELOSATAQUESDEPHISHING:QUÉBUSCAN
Lainformaciónobtenidaporelphishingseutilizageneralmenteparaalgúntipoderobofinanciero,
directamentecontralavíctima,ocontraotrodestinocomoelempleadordelavíctima.Dadoque
monetizarlainformacióndeunatarjetadecréditoyelnúmerodelSeguroSocialescadavezmás
difícil,"lospiratasinformáticosirándetrás
decualquierpersonaqueposea
Lasestafasdel419:Setratódelasformas
informaciónparalaatencióndelasalud",
tempranasypocosofisticadasdephishing,que
dijoJohnPescatore,directordenuevas
recibeelnombreporelCapítulo38,Sección419del
tendenciasdeseguridaddelInstitutoSANS,
CódigoPenalnigerianoquepenalizaestetipode
yagregóqueenlosúltimosañoslospiratas
fraude."Cualquierpersonaquemedianteunpretexto
informáticoshanfijadosuobjetivocadavez
másenlosregistroselectrónicosdelasalud
falso,yconintencióndedefraudar,obtengadeotra
(EHR)quefácilmenteseconviertenen
personacualquiercosapasibledeserrobado,o
dineroenefectivo.xxiiAdemás,elphishing
induzcaaotrapersonaaentregarauntercero
hasidoempleadocomoprimerpasoenla
cualquiercosapasibledeserrobado,esculpablede
violaciónderedescorporativasy
delitoyserácastigadoconprisióndetresaños".Estas
gubernamentalesmediantelaobtenciónde
fueronlosfamososcorreoselectrónicosoesquemas
credencialesquepermitenelaccesoalos
sistemas.
depagoporadelantadodelpríncipenigerianoenlos
quelavíctimaesengañadaparagastardineroa
Elphishing,ensímismo,esgeneralmente
cambiodeobtenerriquezasincalculablesafinaldel
sólounprimerpasoynonecesariamente
régimen.
resultadeinmediatoenunrobofinanciero
directo.Lacrecientetendenciaarobarregistrosdesaludgeneralmentecomienzaconataquesde
phishingparaobteneraccesoalossistemas.Unavezobtenidoelacceso,losladronesutilizanotras
herramientas,comomalwareyspyware,pararobarinformaciónconfidencial:enelprimertrimestre
OperaciónSafetyNet
27
de2015,másde120millonespacientesenlosEstadosUnidoshansufridoelrobodesusregistros.xxiii
Además,elspearphishingparaelrobodecredencialesdeempleadoscorporativossueleserunode
losprimerospasosenlaviolacióndedatosagranescalay,porlotanto,eselprimerpasodeuna
partesignificativadepérdidasimpactantesatribuidasalaviolacióndedatos.
● Lastécnicasenlíneayfueradelíneaqueengañanalosusuariosparaquedivulguen
informaciónconfrecuenciasedenominan"ingenieríasocial"yprecedenalaInternet.Cuando
seinicióelphishingporcorreoelectrónico,losatacantesnoeranmuyexigentes.Enviaban
correoselectrónicosgeneralesatodaslaspersonasposiblesyesperabanqueunporcentaje
fueraengañado.Amedidaquelasdefensascontraestosataquessefortalecieron,losatacantes
refinaronsusestrategias.Existencuatrotiposreconocidosdephishing:
i) unaredirecciónmedianteunenlacecontenidoenunmensajehaciaunaubicaciónen
Internetquepuedecontenerunsitiofalsodeunbanco,comercioositiodecorreo
electrónico;
ii) correoselectrónicosconunadjuntohtmlquecontienelaformadephishing;
iii)unenlace/unaenumeracióndeunnúmerotelefónicosobreelqueunavíctimadebehacer
clicollamar;o
iv) unphishingsimpleconunarespuesta,dondeelmensajecontieneunasolicituddelas
credencialesdeseadasyselesolicitaalusuarioquerespondaconlainformación.
Enlasdosprimerasformas,eldestinatariodelmensajeproporcionainformaciónpersonalcon
frecuenciamedianteelenvíodeuncorreoelectrónicoaldelincuentequecontienelascredenciales
robadas.Elphishingbasadoenunnúmerotelefónicopuedeinvolucrarunsistemaautomatizadode
contestadortelefónicolesolicitaalavíctimasuscredencialesounapersonaqueintentaaplicarla
ingenieríasocial.Lasestafasdel419,conlapromesadeobtenciónderiquezasincalculables,yotros
fraudesporpagoadelantadoeranlasformastempranasdeingenieríasocialmediantecorreo
electrónico.Apesardelosavancesenlastécnicasdephishing,estasestafasaúnpersisten.
● Spearphishing/Phishingdirigido:Mientrasquelosintentosdephishingtradicionalcon
frecuenciaseenvíanenformaindiscriminadaacasitodoslosusuarios,losataquesde
phishingdirigidoserealizancontraciertaspersonasuorganizaciones.Estetipodephishing
generalmenteimplicaunaextensainvestigaciónporpartedelosestafadores,porejemplo,
conocerpasatiempos,donacionesdecaridad,exempleadoresyredessocialesfavoritas,conel
findequeelataqueseamuchomásverosímilycreíble.Esposiblepersonalizarelataquepara
engañaralasvíctimasquesontradicionalmentemásvaliosas(ysospechosas)queelusuario
promedio.Sepodríatratardeempleadosdeunacompañíablancoqueunatacanteintenta
penetrar.Unavariantedelspearphishingqueesparticularmenteefectivaimplicaenviarala
víctimaunmensajefalsoquepareceserdeunproveedor,acreedoruorganizaciónconocidos
coninstruccionesdepagofraudulentasparatransaccionesquelavíctimaesperaoreconoce
comonormales.
●
VoIP/Vishing:Amedidaquelasactividadestelefónicasysimilaresmigranamecanismos
basadosenlaInternet,queseconocenampliamentecomo"VozsobreIP"oVoIP,losfraudes
tambiénseadaptanalamigración.Laintegracióndeequiposconsistemasdeteléfonohace
posibleengañaralasvíctimasparaquehaganclicenenlacesfraudulentosque
automáticamenterealizanunallamadatelefónica,enlugardeiraunsitioweb.Lallamadaen
OperaciónSafetyNet
28
símismapuedegenerardirectamenteuningresoparaelatacante,opuededirigiralavíctima
auningenierosocialquelaconvencepararevelarinformación.Losteléfonosinteligentes
maximizanlaamenazaalsimplificarestaintegracióntelefonía/Internetparaelusuario.Para
obtenermayorinformación,véaselasecciónAmenazastelefónicasymóvilesdeesteinforme.
●
Fax:Elfaxfueunodelosprimerosmétodosdephishingelectrónicoyhasidoreemplazado
principalmenteporlosotrosmétodosdeataquequeaquíseanalizan.Sinembargo,conel
advenimientodelfaxbasadoenInternetquedisminuíaloscostos,estemétodoexperimenta
unresurgimiento.Dadoquesuusonoesfrecuente,nosiempresedetecta.
●
Redessociales:Creanunaexperienciadegrupoqueconduceaunsentidodeconfianzaque,a
suvez,esbeneficiosoparalaingenieríasocialqueatacalasrelacionesenlíneadelavíctima.
Estopuedefuncionarmuybiencuandoelatacanteimitaelmensajedeunamigoenlíneade
confianzaohaafectadolacuentadeunamigo.
LÍNEADETIEMPODEUNATÍPICACAMPAÑADEPHISHING
Unacampañadephishingposeecuatroelementos:
1. Mensajeinicial(spam):Elusuariofinalrecibeyleeelmensaje.Parecesergenuinoy,porlo
tanto,tieneunaltogradodecredibilidad;porlogeneral,contienecomponentesdeun
mensajelegítimoperofalsificado,ypareceprocederdeunafuentelegítima,comoelbancode
lavíctima.
2. Llamadoalaacción(clicdelusuario):Sealientaalavíctimaahacerclicenunenlaceo
responderelmensajeconinformaciónconfidencial.Lasllamadasalaacciónmáseficacesse
aprovechandelmiedoydelacodicia,yaseapersonalmenteoenrelaciónconlaorganización
paralaquetrabajaeldestinatario.Unmensajebasadoenelmiedopuedeindicarquela
víctimayasehavistoafectadaopuedeperderaccesoaunrecursosinoadoptaunamedida,o
quelaempresaestásujetaaunademandaosancióneconómica.Unmensajebasadoenla
codiciapuedeprometerundescuentoounarecompensafinancieraconlaparticipaciónen
unaencuestaoelenvíodeinformación.
3. Contenidomalicioso:Estecontenidohacequelavíctimadivulguesuinformación
confidencial.Puedeestarenelmensajeinicialoenunsitiowebblanco,denominado"página
dellegada".Elsitiowebpuedeestarafectado,opuedetenerunnombrededominiode
aspectosimilarparaconfundiralusuariofinal.Lacarga,porlogeneral,poseeunaformaque
requierequelavíctimaintroduzcainformaciónconfidencial.Algunossitiosdephishing
tambiéncontienenunmecanismode"descargaoculta"enelquelavisitadeldestinatarioal
sitiowebiniciaunprocesoautomatizadodeataqueeinventariodelsistemaquesetraduceen
laintroducciónsilenciosadeunmalwareenelequipodelavíctima,quelepermitealos
delincuentesobtenerdatosconfidenciales,paraposteriormenteredirigiralavíctimaalsitio
legítimo.
4. Ataque/Exfiltración/Obtenerinformación:Eljuegofinaldecualquiercampañadephishing
esconvertirlascredencialesrecolectadasenvalorparalosdelincuentes.Sehaobservadouna
ampliagamadeesquemas:elmássimpleesiniciarsesiónenlacuentayutilizarlapara
transferirfondosohacercompras,mientrasqueotrosataquesmuchomás
OperaciónSafetyNet
29
sofisticadosutilizanenprimerlugarelphishingparaobteneraccesoaunacuentadecorreo
electrónicoyluegolautilizancomobaseparalaingenieríasocialadicionaly/opropagación
demalwareconlaposibilidaddeinfiltrarseafondoenlaorganizacióndeldestinatario.
Tambiénsehanobservadointentosdeextorsión.
Existeunaseriedepuntosenlosqueesposibleprevenirointerrumpirelflujodetrabajodeuna
campañadephishing,comoseindicaeneldiagramaacontinuación:
EVOLUCIÓNDELOSMÉTODOSDEATAQUE
Laformamásconocidayoriginaldephishinginvolucróadelincuentesqueiniciabansesión
directamenteenunainstituciónfinancieraeintentabantransferirfondosdelacuentadelavíctimaa
otracuentacontroladaporlosdelincuentes.Cuandolasinstitucionesfinancierascomenzarona
detectarybloquearlastransferenciasdedinerointernacionalesyfraudulentasconmayorfacilidad,
losdelincuentesseadaptaronalascircunstancias.Transferíaneldineroaunacuentanacionalodel
mismobanco,yelfraudeconfrecuencianosedetectabatanfácilmente.Avecesestoselograba
medianteelpagodefacturasenlíneaosimplestransferenciascuentaacuenta.Enestassituaciones,
eldelincuente,queconfrecuenciaestabaenelextranjero,necesitabalosserviciosdedelincuentes
nacionalesqueactuabancomomulasdedinero.
Enotroscasos,lallamadaalaaccióncontenidaenelcorreoelectrónicodephishingpretende
obtenerladivulgacióndedatosdeunatarjetadecrédito.Conelnúmerodeunatarjetadecrédito,la
fechadevencimientoyelcódigoCVV,latarjetasepuedevenderenelmercadonegrooseutilizapara
todoslostiposdefraudecontarjetanopresente.Conelnúmerodelatarjetadecrédito,lafechade
vencimientoyelCVV,elsuplantadordeidentidadvisitacasiacualquierminoristaenlíneayhace
compras.Paraevitarsudetección,seutilizanmercadosilegalessecundariosparaelreenvíoy
serviciosdeterminalesremotos.Paraderrotaralossistemasdedeteccióndefraudeminorista,los
suplantadoresdeidentidadcompraránelusodeunadirecciónIPdeserviciosdeterminalesremotos
enunáreageográficaquecoincidaconlageografíadeldueñodelatarjetadecrédito.Asimismo,sise
OperaciónSafetyNet
30
debenrealizarenvíos,tambiénseutilizaráunlugarpararecibirlospaquetesquecoincidaconla
geografíadelavíctima.
Asimismo,elataqueporreutilizacióndecontraseñasesotraamenazaalconsumidorenlíneaque
puedeserresultadodeunataquedephishing.Debidoaquelaspersonasconfrecuenciautilizanla
mismacontraseñaenmuchossistemas,losdelincuentessoncapacesdeutilizarlamisma
identificacióndeusuarioycontraseñaendiferenteslugares,porejemplounainstituciónfinanciera,
minoristasenlínea,einclusosistemasconunVPNcorporativo(véaselasecciónMalwareybotnets
paraobtenermayorinformaciónsobrelacreaciónyelalmacenamientodecontraseñasseguras).
Laviolacióndedatosagranescalaquehasidonoticiaenlosúltimosañosconfrecuenciacomienza
conalgúntipodephishingdirigidoospearphishingquetieneporvíctimaaejecutivosopersonascon
accesoaloscontrolesdeunaredcorporativa.Estetipodeataqueshanllevadoadirigirlosdelitos
financieros,comoelrobodeinformaciónpersonalycredencialesdeusuario,ysureventaenel
submundodeldelito.Unnúmerograndeycrecientedelascampañasdespearphishingtambién
promuevenelespionajeindustrial,losesquemasdeextorsión,lainfiltraciónpatrocinadaporel
estadoyotrosdelitosnofinancieros.
ELAUMENTOENELDESARROLLODELOSATAQUESDEPHISHING
AmedidaquemásorganizacionesmigranasistemasdecorreoelectrónicosbasadosenlaWeb,los
ataquesdephishingsehanvueltomásfrecuentespordosrazonesprincipales.Enprimerlugar,y
lamentablemente,muchasorganizacionesutilizanentornosdeiniciodesesiónúnico,conlamisma
contraseñatantoparacuentasdecorreoelectrónicocomoparalastareasderecursoshumanos,como
lacuentabancariadondesetransfiereeldineroeneldíadepago.Ensegundolugar,unavezquese
accedeaunacuentadecorreoelectrónicocorporativo,eldelincuentetieneunaplataformadesdela
quepuedenestudiarlaorganización,saberquiénpuedeteneraccesoalosmásvaliososactivos
digitalesdelacompañía,porejemplolascuentasfinancierasylapropiedadintelectual,yapuntara
esosempleados.Estetipodeataquessepondránenmarchaapartirdeunacuentadecorreo
electrónicodeunempleadoquelaempresaconoceyenquiénconfía,yaseamedianteingeniería
socialolatransferenciademalwaremedianteadjuntosdecorreoelectrónicoqueimitanelmodelode
losdocumentoscomercialesnormalesqueseencuentranenlacuentaafectada.
Inclusoparaelcorreoelectróniconocorporativo,elataquedephishingcontralosproveedoresde
correoelectrónico,comoGmail,Yahoo,OutlookyAOLescadavezmásfrecuentepormuchasdelas
mismasrazones.Estascuentaspuedenparecer"objetivosdepocovalor"ynoestánvigiladoscon
tantoesmerocomoelresto;sinembargo,controlanlacapacidadderestablecercontraseñasodirigir
elaccesoaotrascuentaspararealizarunaampliavariedaddeataques.Estascuentasdecorreo
electrónicoafectadashandadolugaraunvolumenimportantededelitosfinancieros(porejemplo,la
cuentadeadquisición,transferenciaselectrónicasfraudulentas)queestánbiendocumentadasporlas
entidadesfinancieras.
Otrosservicios,comolasredessocialesbrindanun"iniciodesesiónúnico"paraunaampliagamade
serviciosalconsumidor.Estohacequeestetipodecuentasseanblancosparalossuplantadoresde
identidad,yaquepuedenmonetizardirectamentedichosservicios,redirigirenvíosdeproductoso,
engeneral,tomarelcontroldemuchosaspectosdelaidentidadenlíneadeunapersona.Elsiguiente
diagramamuestraquesilospiratasinformáticospuedeningresarenunacuentadeGoogle,con
frecuenciatienenaccesoaunaenormecantidaddeotrosdatos.Sepuededecirlomismodecuentas
deAppleyiTunes.
OperaciónSafetyNet
31
Lacrecientesofisticacióndelosdelincuentesloshallevadoorientarseaelementosdela
infraestructuraquelesproporcionanunmayorpotencial.Porejemplo,lossuplantadoresde
identidadahoratienenaccesoalosproveedoresdeserviciosdecorreoelectrónico(ESP)deterceros,
queenvíancorreoelectrónicomasivoennombredelasmarcasmásimportantesdelmundo.Los
delincuentesaccedenalainfraestructuradeunESPmediantecuentasafectadas,robanlistasde
clientesyenvíanspamomalwaredephishingalosdestinatariosinconscientes,quecreenqueel
mensajeperteneceaunalistadecorreodeunaempresalegítima.
OtratendenciarecienteeselaumentodelosataquesdeelementosdeinfraestructuradeInternet,
comocuentasdehostingocredencialesderegistrodedominios.Unavezquelossuplantadoresde
identidadobtienenaccesoaloscontrolesfundamentalesdelainfraestructuracomoestos,pueden
establecersitiosweb,lanzarnuevosataquesycrearnuevoselementosdeinfraestructura,como
nombresdedominiopararotarsusesquemas(véaselasecciónServiciosdehostingyenlanube).
Unatácticaenparticularperjudicialesañadirnombresdehostmaliciososaunnombrededominio
sólidoconunabuenareputación,sinmodificareldominiooriginal.Estopermitealosdelincuentes
atacarlabuenareputacióndeundominiomediantesuscampañasparaevitarfiltrosybloqueoso
cierres(véaselasecciónNombrededominioydireccionesIP).
OperaciónSafetyNet
32
LASMEJORESPRÁCTICASRECOMENDADASCONTRAELPHISHINGYLA
INGENIERÍASOCIAL
Existeunaampliagamademejoresprácticasrecomendadasantiphishingadisposicióndelas
organizacionesparaprotegersumarcaysusclientes.Dichoesto,nohayun"santoremedio"paralos
desafíosqueplanteaelphishing,yesnecesarioabordarloentodoelciclodelproceso:cualquierfase
quesepuedaimpedirpuedeprotegeradocenasdemillonesdevíctimasenfuncióndelaescaladel
ataqueyelalcancedevariassoluciones.Lasempresasdebenabordaresteproblemaconunenfoque
de"defensaenprofundidad",asumiendoquealgunasmedidasseránefectivasparaevitarquelleguen
losprimeroscorreoselectrónicos,peroquealgunasnoservirányseráprecisodefinirotrasdefensas.
Enestasecciónseresaltaránalgunasdelasprincipalestécnicasymejoresprácticasrecomendadas,
peroseobtendrámuchomásdetalleyasesoramientoespecíficoapartirdediversasorganizaciones
delaindustria,publicacionesgubernamentalesyproveedoresdesolucionesantiphishing.
1. Prevenirelataquedephishingdemaneraexitosa
Elprimerpuntoparaabordarlosataquesdephishingesimpedirquealcancenalasvíctimasy/o
manteneralasvíctimasalejadasdelossitiosdephishingenprimerlugar.Haytrespuntosde
contactoprimarioparalograresteobjetivo:detenerelflujodecorreoselectrónicosdeseñuelo,evitar
quelosseñueloslleguenalosusuariosybloquearelaccesoalossitioswebdephishingyaotros
activos.
a. Prevenirelenvíodeemailcomoseñuelo
Losmecanismosdeautenticaciónbasadosencorreoelectrónicoquesonrelativamente
recientesfacilitanalgunasproteccionesutilizadasconfacilidadcontraalgunasformasde
phishingysuplantación.Estastécnicassebasanenlacreacióndeunainfraestructurade
autenticacióndecorreoelectrónico.Losmecanismosdeautenticacióndecorreoelectrónico
másfrecuentessonelconvenioderemitentes(SPF)xxivyelcorreoelectrónicoidentificadopor
clavededominio(DKIM)xxv,queempleannombresdedominioxxvicomoidentificadores
validados.Estoslepermitenalpropietariodeunnombrededominiocontrolarelusodesu
dominioenelcorreoelectrónicoyreducirloscasosdesuplantacióndeidentidad.
Conelfindeabordardeformaexitosalosproblemasdephishingysuplantacióndedominios,
lospropietariosdemarcaseISPnecesitancompartirinformaciónentresísobresuactividad
decorreoelectrónico,porejemplo,laspolíticasdeautenticaciónylosinformessobre
problemas.Históricamente,estosarreglosfueronbilateralesyprivados,entrelos
propietariosdemarcasylosISPindividuales.Sinembargo,unconsorciodelaindustriaad
hocdesarrollóunaespecificacióntécnicallamadaAutenticación,InformeyConformidadde
MensajesBasadosenDominios(DMARC)xxvii.
LaDMARC,introducidaaprincipiosde2012,haceusodeSPFyDKIMparaproporcionarlos
propietariosdemarcasconunmedioparacomunicarfácilmentealosISPcómodesean
Asimismo,laDMARCles
manejarlosmensajesautenticadosdemaneraincorrecta.
proporcionaalosISPyaotrosdestinatariosdecorreoelectrónicounmecanismoparael
envíoalospropietariosdelasmarcadecomentariosacercadelfuncionamientodela
herramientadeautenticacióndecorreoelectrónico,asícomotambiéndelainteligenciaa
nivelforense.
OperaciónSafetyNet
33
Paralasoperacionesdeenvíodecorreoelectrónico,elabordajerecomendadoeselsiguiente:
● Auditar:medianteelinventariodetodoslosequiposysistemasqueenvíancorreo
electrónicoennombredelaorganización,inclusosistemasexternos,comoESP,u
otrostercerosautorizados
●
Publicar:losregistrosdepolíticasyautenticaciónenelDNS
●
Modificar:softwareparaelenvíodecorreoelectrónicoconelfindeutilizarla
autenticaciónycumplirlapolítica
●
Establecer:relacionesdeinformesobreactividadqueutilizaelnombrededominio
●
Supervisar:todoslosinformesdisponiblesparalospatronesquerequierenatención
●
Mantener:lasoperacionesparalaconformidadencurso
Paralasoperacionesderecepcióndecorreoelectrónico,elrespaldodeestosnuevos
mecanismosimplicaprincipalmenteañadirmódulosalossistemasdefiltradodecorreo
electrónicoexistentes.
b. Filtrodespamentrante
Unodelosmétodosmásimportantesparadetenereldañodeunataquedephishingeslograr
unfiltradoefectivodespam.Habilitarelfiltradodespamesimportante,peroelfiltrado
efectivoimplicaalgomásquetenerunproductocomercialinstaladoenlapuertadeenlacede
correoelectrónico.Lasempresasyagenciasgubernamentalestambiéndebenmejorarsu
filtrodespammediantelaincorporacióndedatossobreamenazasqueayudanamejorarel
filtrodespam.
Estainformaciónsepuedeobtenerapartirdelistasnegrasgeneradaspororganizaciones
especializadas,comoSpamhaus,SURBLyotras(véaselasreferenciasalfinaldeestasección).
Elfiltradodespamestáestrechamenteasociadoalapresentacióndeinformes,yaquelos
correoselectrónicosdephishingquetraspasanconéxitounfiltrodespamsonlosquehay
queinformarconmayorurgencia.Muchosserviciosdecorreoelectrónicoofrecenunbotón
"Marcarcomospam"o"Marcarcomophishing",quelosusuariosdebenutilizar.
Lastécnicasparaelfiltradodespamincluyen:
● Autenticación:losremitentesdecorreoelectrónicotienenlaposibilidaddeinscribirse
enlosmétodosdeautenticación,porejemploDKIM,SPFyDMARC.Cuandoserecibe
elcorreoelectrónico,secompruebalapresenciadeuntokendeautenticación.Según
DMARC,eldominiodeenvíosecompruebaparaversiserequiereautenticación.Siel
tokennoesválidoonoestápresente,elcorreoelectrónicopuedeserfraudulento.
●
ReputacióndedireccionesIP:ladirecciónIPqueenvíaelcorreoelectrónicopuedeya
estarasociadaconelenvíodespam.Alrechazarcorreoselectrónicosdedirecciones
IPconunamalareputación,esposiblebloquearunagrancantidaddespam.
●
Filtrodecontenido:elfiltradobasadoenreglas,lacomprobacióndecorreoelectrónico
paradetectarlapresenciadepalabrasofrasesprohibidasoelanálisisestadísticodela
direccióndecorreoelectrónico(filtrodespambayesiano)puedeidentificarlos
correoselectrónicosqueposiblementeseanspam.Informaralcontenidodelosfiltros
OperaciónSafetyNet
34
losdatosdelosserviciosdereputaciónparalosnombresdehosty/oURL(por
ejemplo,SpamhauscomoDNSBL/SURBL)mejoraengranmedidaestatécnica.
●
Trampasdespam:mediantelarecopilacióndecorreoelectrónicoenviadoalas
direccionesquenodebenrecibirningúncorreoelectrónico(usuariosquenoexisten),
esposibleidentificarpatronesyaplicarlosparabloquearelcorreoelectrónico
enviadoadireccioneslegítimas.
c. Bloqueodelnavegadoryotros
Laproteccióncontraataquesdephishingestáintegradaenmuchosproductosyserviciosque
losconsumidores,lasempresasyotrasorganizacionespuedenaprovechar.Conla
informacióngeneralizadadelosataquesdephishingrealizadapormarcasyelpúblicoen
general,estosdatosingresanalosproductosqueseexponenalphishing,comonavegadores
web,servidoresdecorreoelectrónicoyclientes,dispositivosdeseguridad(firewalls,sistemas
IDS/IPS,proxydetráficoweb,DNSdefirewalls),yproveedoresdeserviciosdecorreo
electrónicoenlínea.Estasherramientas/Estosdispositivospuedenproporcionaruna
protecciónaúnmejorsiseañadendatosdeinteligenciasobreamenazas.Porejemplo,datos
sobrereputacióndedireccionesIP,nombresdehost/dominio,URL,direccionesdecorreo
electrónicoyotros"indicadores"decomportamientopocofiable.
Estosseenvíanenvariasformas,porejemplo,DNSBL,RBL,listasdebloqueodeURLyuna
tecnologíarelativamentenuevallamadaZonasdePolíticadeRespuestadeDNS(RPZ).Dichas
tecnologíasysusdatossepuedenimplementarparacortartodacomunicaciónaubicaciones
deInternetbloqueadas.Lasempresasdebenelaborarnormasoperativasypolíticaspara
garantizarquehabilitanestetipodeserviciosensusentornos.Estotieneparticular
importanciaparalosproductosdepuertadeenlacedecorreoelectrónicoyherramientas
generalesdeseguridadderedparacrearunadefensa"encapas".Estaposturadeseguridad
debeestarbienplanificadayactualizadadeformaregular.
Losusuariosindividualestambiénsepuedenprotegerdemuchosataquessimplemente
habilitandoestetipodeserviciosensusnavegadores(porejemplo,navegaciónsegurade
Google,filtrodephishingdeMicrosoft),laincorporacióndeuna"barradeherramientas"asu
navegador,quepermitelaconfiguraciónantiphishingyantispamenlacuentadecorreoweb
cuentadecorreoylaactivacióndelasproteccionesantiphishingenelantivirus.
2. Detección
Ladeteccióndeataquesdephishingevitaelataqueensí,perotambiénayudaadetectarataques
futuros.Además,sinosedetecta,lossitiosnopuedenserbuscadosparaelanálisisforense,
bloqueadosenlosnavegadoresyfiltrosdespam,cerradosoinvestigados.Ladeteccióntomavarias
formas,segúnelpuntodeobservacióndesdeelqueseestáproduciendoladetección.Cuando
hablamosdedetección,elobjetivoprincipalesdetectarlanuevacampañadesitiodephishingo
correoelectrónico,peroconfrecuencialosmediosparaladetecciónestaránenelanálisisdelflujode
mensajesentrelosdelincuentesylasposiblesvíctimas.
● Consumidor/Empleado:dadoquelosconsumidoressonlosdestinatariosmás
probablesdelmensaje,esimportantequelasmarcasquesonposiblesblancose
comuniquedemaneraefectivaconsusclientessobrecómoprocedersiobservanun
correoelectrónicosospechoso.Losataquesdespearphishingestarándirigidosalos
empleados.Ladetecciónserealizaráconfrecuenciamedianteuncorreoelectrónico
vistoporunclienteoempleadodelamarcablanco,porloqueproporcionareducación
OperaciónSafetyNet
35
delusuarioylaposibilidaddepresentarinformessonpasosimportantesparala
deteccióndeataques(véasemásadelante).
●
Correoelectrónicorechazado:durantemuchosaños,unodelosmétodosmás
efectivosparaconvenceraunaposiblevíctimadequeunmensajedephishinges
legítimohasidoutilizareldominiodeenvíodelamarcaimitada.Loscorreos
electrónicosdesde"@paypal.com"o"@bankofamerica.com"probablementesean
tomadosalpiedelaletraporlasposiblesvíctimasquenosonconscientesdecómoes
posibleimitarfácilmenteelcampo"De:".Afortunadamente,cuandodichosmensajes
noseentregan,confrecuenciaporqueelspammerselosenvíaaunacuentaqueestá
desactivada,cerrada,oqueyanorecibemensajes,elservidordecorreoenelextremo
receptor"rebotará"estosmensajes.Comosedescribióanteriormente,enelcasodela
autenticacióndecorreoelectrónico,laDMARCproporcionaunprotocoloparadirigir
dóndeenviarestosmensajesrechazados.Elanálisisdeestosmensajesrechazadosa
menudopuedeconduciraladeteccióndenuevasfuentesysitioswebdephishing.
●
URLdereferencia:cuandounkitdephishingutilizaungráfico,unarchivode
JavaScript,hojasdeestilouotracaracterísticadelamarcaimitada,losarchivosde
registrodelamarcaimitadamostraránqueelarchivohasidomencionadoporunsitio
webdeterceros.Si"hackedsite.com/yourbank/verify.php"esunapáginadephishing
yutilizaungráficode"yourbank.com/graphics/logo.gif"elregistromostraráquese
hahechoreferenciaa"logo.gif"desde"hackedsite.com".Elanálisisdeestas
direccionesURLdereferenciaesunaexcelentemaneradedetectarnuevossitiosweb
dephishing.Estosepuedelograrenlaempresaconunpersonalbiencapacitadoo
tercerizadoaunodelostantosproveedores.
●
Spamdesalida:desdeelpuntodevistadeunaempresa,unproveedordehostingoun
ISP,existenvariasmanerasdedetectarcorreoselectrónicosdephishingsalientesque
seestángenerandodesdelared.SegúnlasCondicionesdeservicioparaelservicio
quesepresta,laredpuedesercapazdeobservarelcorreoelectrónicosalientea
partirdelapresenciadecaracterísticassospechosas,comopicosinusualesenel
volumen,desajusteseneldominiodelremitente,intentosdeutilizarpuertosde
correoelectrónicodeespacioderednopermitidoolainclusióndedireccionesIP
pertenecientesalaredenvariaslistasdereputación.
●
Reutilizacióndecredenciales:unatécnicarecienteparaladeteccióndesitiosde
phishinghasidoexigiralosconsumidoresutilizarunparúnicoidentificadorde
usuario-contraseñaparaaccederaunamarcadedestino.Unplug-inenelnavegador
delconsumidordetectacualquierintentodeutilizareseparidentificadordeusuariocontraseñaenotraubicación,einformaladirecciónURLalamarcadedestinocomo
unaURLsospechosaquedebeserinvestigada.
●
Productosdeseguridadysoftwaredefuenteabiertacalibradosparaphishing:los
servidoresdecorreoelectrónico,dispositivosmodernosdeseguridadyserviciosenla
nubeempleaningresosasitiosconocidosdephishing,direccionesIP,nombresde
dominioypatronesdeataquesdephishing.Segúnlascoincidenciasdirectasyel
análisisheurísticodelasURLincluidasenelcorreoelectrónicooquetransitanporla
redcorporativa,esposibledetectarlosseñuelosdephishingylos"clics"mediante
bloqueos,alertasyacciones.
OperaciónSafetyNet
36
3. Presentacióndeinformes
Lapresentacióndeinformesdeataquesdephishingtienedosobjetivos.Colaboraconlasmarcasque
estánsiendoimitadasaresponderalaamenazayproporcionarunrastro,quelepuedeserútilalas
fuerzasdeordenpúblico.Unavezquesedetectaunataquedephishing,existenvarioscaminospara
informarloconelfindeevitarquelacomunidadengeneralrecibaseñuelosovisitesitiosdephishing.
Lasmarcasyorganizacionesquesufrensuplantaciónenlossitioswebyseñuelosdephishingpueden
alertarasusclientes,empleadosycomponentes,quesonlasvíctimasmásposibles.Laspersonasque
setopanconsitiosdephishingtambiénpuedeninformarlos,ylasmarcasvictimizadaspueden
proporcionarypromoverunametodologíafácilparaquesusclientesytercerosinvolucrados
informenlosactosdephishing.
Unavezqueunaorganizaciónsabequeesblancodeunacampañadephishingesimportantealertar
alecosistemaantiphishingquecomprendeorganizacionesdelaindustria,proveedoresypersonalde
respuestadeincidentes.Estosepuedehacerparaelataquedephishingocasionalconelinformedel
ataqueatravésdeunodelossitiosqueseenumeranalfinaldeestasección.
Lamayoríadelosobjetivosprincipalesdelphishingempleanserviciosdetercerosquese
especializaneneltratamientodecontenidosenlíneailegales/nodeseadoscomounacompetencia
básica,yaquetienenprocesosyrelacionesestablecidosconlosprincipalesproveedores,lacapacidad
detraduciridiomaseinvestigadoresdeinteligenciasobreamenazasentreelpersonal.
Independientementedelmétododeenvío
utilizado,reconoceryreportarlosataquesde
phishingrápidamentepuedeconducirala
Parafacilitaraúnmáslaaccióndeinformar,
identificacióndeldelincuente.
muchasmarcashancreadodireccionesde
correoelectrónicofácilesderecordar,como
Muchosservidoresafectadoscontendránlas
"reportphishing@targetedbrand.tld".Para
entradasdelregistroquedejanunrastroque
fomentarelinforme,lasmarcasdebenredactar
muestracómosepirateóysecolocóelcontenido
pautassobrecómoinformarunataquede
ilegalenelservidor.Además,cadasitiowebde
phishingobservadoensusitiowebydistribuir
phishingdebebrindarunamaneraparaqueel
dichainformaciónenlasinteraccionesque
delincuenterecibalascredencialesrobadas.En
incluyenalcliente.
general,estoserealizamediantecorreo
electrónico,perotambiénesposibleinvolucrar
archivossecretosenelservidorwebdedondeserobanlascredenciales.Elanálisisdelossitiosde
phishingidentificadospuedeayudaraidentificar,desactivarosupervisarestospuntosdeexfiltración
dedatosyconduciralaidentificacióndelosdelincuentes.
4. Investigacionescorporativasydeordenpúblico
Lamayoríadelasinvestigacionessobrephishinglasrealizalaempresacuyamarcaestásiendo
suplantada,olosproveedoresdeinteligenciasobreamenazasuorganismosdeordenpúblicoen
representacióndeesta.xxviiiMedianteelusodemuchasdelastécnicasdescritasenelpunto"Análisis
eInteligencia"mencionadoanteriormente,losinvestigadorespuedenidentificarycalcularlas
víctimasysuspérdidas,comoasítambiénrelacionarlostantossitiosdephishingcreadosoque
beneficianeconómicamentealmismodelincuente.
Enlugarderesolvercadacasoporseparado,sefomentaquelasempresasdesarrollenrelacionescon
lasagenciasdeinvestigaciónconelfindecomprenderlosmejoresmétodosparaintercambiardicha
información.EnlosEstadosUnidos,elprogramaInfraGarddelFBIylosGruposdeTrabajosobre
DelitosElectrónicosdelServicioSecretodelosEstadosUnidossonprogramasqueayudana
desarrollarestetipoderelaciones.LoscentrosnacionalescomolaNationalCyberForensicsand
OperaciónSafetyNet
37
TrainingAlliance(NCFTA)tambiénofrecenoportunidadesparalaalianzaspúblico-privadascon
enfoqueenlainvestigacióndedelitosinformáticos.Eltrabajoconestasorganizacionespuedeayudar
alascompañiasdueñasdemarcasaserparticipantesactivasenelprocesodeaplicacióndelaley.A
menudotenermúltiplesmarcascomovíctimasenunsolocasoconduceaunarespuestadeaplicación
delaleymásactivo,altiempoqueproveelallamada"seguridaddelosnúmeros"paralasmarcasde
lasvíctimas,quepuedensentirseincómodasalsernombradascomovíctimas.
5. Educacióndelusuario/delavíctima
McAfeeLabsinformóafinalesde2014queelphishingsiguesiendounatácticaeficazparainfiltrarse
enlasredesempresariales.Suestudioencontróqueel80%delosusuarioscorporativosnoson
capacesdedetectarfraudes:losempleadosdelDepartamentodeFinanzasydeRecursosHumanos
tienenpeorestadísticaqueelempleadopromedio.Susempleadospuedenrealizarlaencuestasobre
phishingaquí:https://phishingquiz.mcafee.com.xxixCifrascomoestasdemuestranloimportancia
paralasempresasylosprogramasdegobiernodecontinuarcapacitandoenformapermanenteasus
empleados.EstafueunadelasrecomendacionesdelConsejoFederaldeExaminaciónde
InstitucionesFinancieras(FFIEC).SANS(www.sans.org)tambiénposeeinformaciónsobrecómo
ejecutarunprogramadephishingensupáginawebSecuringTheHuman.xxx
Sibienesmásdifícilproporcionarunacapacitaciónalosconsumidores,lasempresasque
experimentanaltastasasdephishingrecibenlarecomendaciónderealizarlacapacitacióncuando
tenganlaoportunidaddeinteractuarconsusclientes,yaseamedianteunadjuntoqueacompañeala
facturación,unaadvertenciaespecialcuandoelclienteiniciasesiónenelsistemaenlínea,omediante
unmensajegrabadomientrasexistaunainteraccióntelefónicaconelconsumidor.Lasempresasque
sepreocupanporlaasociaciónsesumarcacondelitoscibernéticospuedenincorporarunmensaje
proactivo,comolacampaña"Para.Piensa.Conéctate"odeclararquerespaldancampañasde
ciberconcientizaciónlanzadasporelgobierno,comolasemanaoelmesdeconcientizaciónsobre
ciberseguridadqueserealizatodoslosañosenlospaísesmásdesarrollados.xxxi,xxxiiExistenmuchos
recursosdisponiblesenelmarcodeestascampañasdedivulgaciónpúblicaquepuedenadoptarlas
empresas.
ElAPWGfomentaquelasempresascolaborenenbrindarunacapacitación"justoatiempo"mediante
laadopcióndelapáginadeiniciodeEducaciónsobrePhishingdelAPWGcomosupáginadeinicio.
Tambiénsefomentaaquelosadministradoreswebquedandebajaunsitiowebdephishingpor
habersidopirateadosustituyanlapáginaconlapáginadeiniciodelAPWG.xxxiiiVariasorganizaciones
handesarrolladosuspropiaspáginasdecapacitaciónexcelentesparacolaborarenlacapacitaciónde
losusuarios.SeincluyenVisayStaySafeOnline:
http://www.visasecuritysense.com/en_US/phishing-attack.jsp
https://www.staysafeonline.org/
LaComisiónFederaldeComercio(FTC)delosEstadosUnidosutilizaunagenerosidadunpocoliviana
paraalertaralosconsumidoressobrelosriesgosasociadosconelphishingrepresentando
estratagemasdephishingestándarparaalertaralosconsumidoressobreesteproblemaatravésde
losjuegosenlíneayvideosdeYouTube
• Juegosenlínea:http://www.onguardonline.gov/media/game-0011-phishing-scams,and
• VideosdeYouTube:https://www.consumer.ftc.gov/media/video-0006-phishy-home.
OperaciónSafetyNet
38
6. Participacióndelaindustria
Lasorganizacionesparacompartirinformación,comoelCentrodeAnálisiseIntercambiode
InformacióndelosServiciosFinancieros(FS-ISAC)yelEquipodeRespuestaanteIncidentes
CibernéticosdelasInstitucionesFinancierasdeCanadá(TPI-CIRT)tambiénsonorganizacionesmuy
importantesqueayudanaabordardelitosdephishing"entremarcas".
Laparticipaciónengruposdedefensadelaindustria,comoelAPWGxxxiv,elM3AAWGxxxv,laAsociación
deConfianzaenLínea(OTA)xxxvi,elConsejodecomerciantedeRiesgos(MRC)xxxvii,ylosEquiposdel
ForodeSeguridadyRespuestaanteIncidentes(FIRST)xxxviiisonalgunasdelastantasorganizaciones
conmembresíaparaabordarlosfraudesenlíneaylosdelitosinformáticos.Lasreunionesdelos
miembros,laspublicacionesylosgruposdeinterésespecialofrecenmuchosbeneficiosalasmarcas
queestánsufriendoataquesdephishing.ElAPWG,porejemplo,ofreceampliascapacidadesde
intercambiodeinformaciónypresentacióndeinformesdegranescalasobrelossitiosdephishinga
lasorganizacionesmiembros,convirtiéndoseenunrecursoprimordialparalasinstituciones
afectadasporataquesdephishing.
REFERENCIAS
ESTADÍSTICAS
●
Informedetendenciassobreactividadesdephishing/Informesobreusodedominiosdel
GrupodeTrabajoAntiphishing
http://www.antiphishing.org/resources/apwg-reports/
[N.B.:ElAPWGpuedebrindarhojasdecálculocondatosdeorigensobrelosinformes
presentadosen2006,segúnsolicitudporescrito.Contacto:
secretarygeneral@apwg.org]http://www.apwg.org/reports/APWG_CrimewareReport.pdf
●
EncuestaglobalsobrephishingdelGrupodeTrabajoAnti-Phishing:
http://docs.apwg.org/reports/APWG_Global_Phishing_Report_1H_2014.pdf
●
EncuestasobrevulnerabilidadenlaWebdelGrupodeTrabajoAnti-Phishing
http://www.apwg.org/reports/apwg_web_vulberabilities_survey_june_2011.pdf
●
Phishing:¿Cuántosmuerdenelanzuelo?GobiernodeCanadá
http://www.getcybersafe.gc.ca/cnt/rsrcs/nfgrphcs/nfgrphcs-2012-10-11-eng.aspx
OperaciónSafetyNet
39
PROGRAMASANIVELDEUSUARIO
●
ElCódigodeConductaAnti-BotparaProveedoresdeServiciosdeInternet:
http://www.m3aawg.org/abcs-for-ISP-code
●
iCode.org-AsociacióndelaIndustriadeInternet:https://icode.org
●
CentrodeAsesoramientoAntibotnet-ECO(Alemania):https://www.botfrei.de/en/
●
PARA.PIENSA.CONÉCTATE.:http://www.stopthinkconnect.org
●
ConsejoalconsumidordelAPWG:http://www.antiphishing.org/resources/overview/
●
EducaciónparaelconsumidordelAPWG:
http://www.antiphishing.org/resources/Educate-Your-Customers/
PRESENTACÓNDEINFORMESSOBREPHISHING:
GrupodeTrabajoAnti-Phishing:
http://www.antiphishing.org/report-phishing/
Correoelectrónico:reportphishing@apwg.org
Principalesproveedoresdewebmail/navegadores:
Google:
https://www.google.com/safebrowsing/report_phish/
Microsoft:
www.microsoft.com/security/online-privacy/phishing-scams.aspx#Report
Yahoo:
https://safety.yahoo.com/Security/IVE-BEEN-PHISHED.html
Recursosenlíneaparaproveedoresdeseguridad:
http://www.phishtank.orghttp://www.phishtank.org
https://submit.symantec.com/antifraud/phish.cgi
http://phishing.eset.com/report
http://toolbar.netcraft.com/report_url
EstadosUnidos:
ElCentrodeReclamossobreDelitosenInternetbrindaunserviciocentralizadodeinformesobre
casosdecyberdelincuenciaquehayancausadopérdidas:
www.ic3.gov/default.aspx
ElEquipodeRespuestaanteEmergenciasInformáticas(US-CERT,eninglés)tambiéntienedónde
enviarinformessobrephishing:
https://www.us-cert.gov/report-phishing
Correoelectrónico:phishing-report@us-cert.gov
ElsistemadeinformesobrespamdelaComisiónFederaldeComercioenvíainformaciónalaBasede
DatosCentineladelConsumidor,unaherramientadeordenpúblicoparacontactosinvestigativos:
UCE@ftc.gov
OperaciónSafetyNet
40
Canadá:
Centrodeinformesobrespam:fightspam.gc.ca
Correoelectrónico:spam@fightspam.gc.ca
CentroCanadienseAnti-Fraude:
www.antifraudcentre.ca/english/reportit-howtoreportfraud.html
AsociaciónBancariadeCanadáenumeralalistade“InformesobrePhishing”paralamayoríadelos
bancoscanadienses:www.cba.ca/en/consumer-information/42-safeguarding-your-money/91email-fraud-phishing
ReinoUnido:
ElCentroNacionaldeInformesobreCiberdelincuenciayFraudemanejalosreclamossobrefraude,
intentodefraudeyvirusoestafasenlíneaParainformeuncasodefraude,losconsumidoresdeben
utilizarelsiguienteenlace.
www.actionfraud.police.uk/report_fraud
LaHerramientaparaInformarAccionesdeFraudeComercialestádirigidaaexpertosenseguridad
quenecesitaninformarmuchasaccionesdefraudepordía:
https://app03.actionfraud.police.uk/report/Account
Irlanda:
https://www.botfrei.de/ie/ueber.html
Australia:
http://www.acma.gov.au/Citizen/Stay-protected/My-online-world/Spam/reporting-spam-i-acma
https://www.scamwatch.gov.au/content/index.phtml/tag/reportascam
https://report.acorn.gov.au/
Correoelectrónico:report@submit.spam.acma.gov.au
NuevaZelanda:
http://complaints.antispam.govt.nz/
Francia:
https://www.signal-spam.fr
ELCERT-LEXSIfrancés,EuropolylosgobiernosdelosPaísesBajosyLuxemburgotambiénofrecen
unsitioparainformarcasosdephishing:
https://phishing-initiative.eu
OperaciónSafetyNet
41
LASMEJORESPRÁCTICASRECOMENDADAS
●
●
●
●
●
●
●
Quéhacersisusitiowebhasidopirateado
http://www.apwg.org/reports/APWG_WTD_HackedWebsite.pdf
Advertenciasobreregistrosdesubdominios
http://www.apwg.org/reports/APWG_Advisory_on_Subdomain_Registries.pdf
Lasmejoresrecomendacionessobreprácticasantiphishingpararegistradores
http://www.apwg.org/reports/APWG_RegistrarBestPractices.pdf
Medidasparaprotegerlosserviciosderegistrodedominiocontraelabusooelmaluso
http://www.icann.org/committees/security/sac040.pdf
LasmejoresprácticasdecomunicaciónpararemitentesdelM3AAWG
https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf
Laconfianzaenuncorreoelectrónicocomienzaconlaautenticación(Papelblancode
autenticacióndecorreoelectrónicodelM3AAWG)
https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Email_Authentication_Update2015.pdf
LasmejoresprácticasantiphishingdelM3AAWG/APWGparaISPyproveedoresdecasillasdecorreo
electrónico
https://www.m3aawg.org/sites/default/files/M3AAWG_AWPG_Anti_Phishing_Best_Practices-2015-06.pdf
OperaciónSafetyNet
42
NOMBRESDEDOMINIOYDIRECCIONESIP
UnavariedaddeactividadesilegalesymalintencionadasseaprovechandevulnerabilidadesenelDNS
comoresultadodemalasprácticascomercialesydeseguridadentreoperadoresdeInternetpara
manejarlainfraestructuraylosregistrosdenombresdedominio,registradores,revendedoresy
proveedoresdeserviciosproxyydeprivacidad.Esposiblemitigarestasamenazasmedianteun
mejormanejoporpartedelosoperadoresderedymejoresprácticasdesarrolladasporlas
organizacionesquegestionandireccionesIPynombresdedominio,uorganizacionesqueproveen
serviciosderegistrodenombresdedominio.
DESCRIPCIÓNGENERALSOBRETECNOLOGÍA
DIRECCIONESIP
CadaequipodeInternettieneunadirecciónIP,queseutilizaparadirigireltráficodesdeyhaciaese
equipo.LasdireccionesIPtradicionales,conocidascomoIPv4,sonnúmerosbinariosde32bits,
invariablemente,porescritocomocuatronúmerosdecimales,talescomo64.57.183.103.Laprimera
partedeladirección,queenesteejemplopodríaser64.57.183,identificalared,yelrestodela
dirección,103enesteejemplo,elequipoenparticular("host")enlared.Ladivisiónentrelaredyel
hostvaríasegúneltamañodelared,porloqueelejemploanterioressimplementetípico.Una
versiónmásreciente,IPv6,utilizanúmerosde128bitsmuchomásgrandes,escritoscomobloquesde
dígitosseparadospordospuntos,porejemplo2001:500:2f::f.CasitodaslasdireccionesIPv4yahan
sidoasignadas,porloqueahoraseencuentranenmediodeunatransicióngradualaIPv6.
Paraqueeltráficoderedfluyadesdeunequipoaotro,porejemplo,desdeelequipodeunusuarioa
losservidoreswebdeGoogleoviceversa,eltráficodesdeelequipoemisorfluyeatravésdeequipos
intermedios,llamadosenrutadores,haciasudestino.
Existenalrededorde500.000rutasderedvisiblesalosenrutadoresmásgrandesdeInternet,
conocidoscomoenrutadorestroncales.(Elnúmerototalderedesesmuchomayor,yaqueunaúnica
rutatroncalnormalmentecubredocenasdemilesderedesdeclientes).Paramantenerlastablasde
500.000rutas,losenrutadorestroncalesutilizanunsistemallamadoprotocolodepuertadeenlace
deborde(BGP)paraintercambiarinformación,porloquelosenrutadorespuedenajustar
automáticamentelastablascuandollegannuevasredesenlíneaounenlaceentreredesfallaose
repara.
Comounnúmerodeteléfono,cadadirecciónIPvisiblealmundodebeserúnica.Losproveedoresde
InternetylasgrandesempresasobtienenbloquesdedireccionesdirectamentedelosRegistros
RegionalesdeInternet,comoARIN,queasignaespacioIPparalosEstadosUnidos,Canadáypartes
delCaribe,mientrasquelasempresasmáspequeñasylosindividuosutilizanpartesdebloques
asignadosasusproveedoresdeInternet.AlgunasdireccionesIPnosonvisiblesalmundo,por
ejemplo192.168.1.1o10.0.0.51;estassonanálogasalasextensionesdelacentraldeconmutación
(PBX)delsistematelefónicodeunaempresa,quesólosepuedenaccederdesdedentrodelapropia
reddelaorganización.
OperaciónSafetyNet
43
ELSISTEMADENOMBRESDEDOMINIO
DadoquealossereshumanoslesresultadifícilrecordarlasdireccionesIPyestasseatanaredes
físicas,elDNSesunabasededatosdistribuidadenombresquelespermitealaspersonasusar
nombrescomowww.google.comenlugardeladirecciónIPcorrespondiente173.194.73.105(para
IPv4)o2607:f8b0:4000:807::1012(paraIPv6).Apesardesuenormetamaño,elDNSposeeun
rendimientoexcelentemedianteladelegaciónylasmemoriascaché.Dadoquenoseríapráctico
almacenartodoslosnombresdelDNSenunasolabasededatos,quesedivideenzonasqueestán
almacenadosendiferentesservidores,perológicamenteunidasentresí.
Enprincipio,paraencontrarladireccióndewww.google.comdeGoogle,elsoftwaredeconsultasal
DNSenelequipodelusuario,llamadoresolutor,contactaprimeroaunodelosservidores"raíz",que
respondeenviandolainformacióndelosservidoresderesolucióndelTLD.com.Luegoelresolutor
envíalaconsultaalosservidoresderesoluciónde.com,querespondeenviandolainformacióndelos
servidoresderesolucióndegoogle.com.Enelsiguientepaso,elresolutordelusuarioenvíala
consultaaesosservidoresdegoogle.com,querespondenfinalmenteconladirecciónIPasociadaal
dominiowww.google.com.
DadoquelosusuariosdeInternettiendenabuscarlosmismosnombresenvariasocasiones,los
dispositivosdelosusuariosindividuales,juntoconlosservidoresderesolucióndeDNS,tienenuna
memoriacachéquerecuerdalasúltimasconsultasyrespuestasdelDNS,permitiendoquelas
consultasposteriorespuedenserrespondidasdesdeesamemoriatemporalenlugardeviajarde
nuevoatravésdetodoelDNS,reduciendolacantidaddeconsultasquellegahastalosservidoresraíz
yacelerandolostiemposderespuestaparalosusuarios.
DadoqueexistendiferentesmanerasenlasqueactoreshostilespuedeninyectardatosdelDNS
falsificadosenlamemoriatemporaldelosservidoresderesoluciónydelosdispositivosdelos
usuarios(algunassediscutenacontinuación),DNSSECañadefirmascriptográficassegurasalos
datosdevueltosporlosservidoresdelDNS,porloqueelequipodelusuariopuedecomprobarla
validezdelasfirmasyasegurarquelosdatosdelDNSqueutilizasonlegítimosyqueenrealidad
procedendeunactorigualmentelegítimo.DNSSEChaestadoendesarrollodurante17años,pero
sólosehautilizadodemanerasignificativaenlosúltimosaños.Laadministracióndelasllavesde
cifradodeDNSSECescomplejaypuedepresentarundesafíoparalosadministradoresdelos
servidoresderesolución.
ATAQUESCONTRAELDNS
LosataquesmásgravesalDNSsonataquesqueafectanalosservidoresderesolución,enlosquelos
ciberdelincuentesintroducendatosfalsospararedirigireltráficowebyotrotráficoaversionesfalsas
delossitioswebmáspopulares.
ENVENENAMIENTODELAMEMORIACACHÉ
Unacategoríadetalesataqueseselenvenenamientodelamemoriacaché,esdecir,lautilizaciónde
losagujerosdeseguridadparaintroducirdatosfalsosenlamemoriacachédelosservidoresdeDNS,
queluegosonenviadosalosequiposdelasvíctimas.Pocosusuariostendránalgunacapacidadpara
detectarlainformaciónfalsadelDNSalutilizarsusequipos.Mediantelacombinacióndemúltiples
ataquesenconjunto,undelincuentepuedepresentarunaréplicaperfectadeunsitioweb,
OperaciónSafetyNet
44
unsellodeconfianza,unlogotipoymostrarelnombrededominiocorrectoenlabarradedirecciones
delnavegador.Elresultadopuedeserelrobodecredenciales,elaccesoalosrecursosfinancieros,la
afectacióndelainteligenciacorporativaodelEstadoolaNación,oelredireccionamientodeingresos
porpublicidad.
Losataquesencontradelosservidoresderesoluciónseproducencompletamentedentrodel
proveedordeserviciosderesolucióndedominios(NSP,porejemplo,unservidorderesolución
corporativoounserviciopúblicodeDNScomoOpenDNSoGoogleDNS)ylossistemasdelos
operadoresdered,sinqueseanecesariocomprometerlosdispositivosdelosusuarios.
CuandotodoslosinvolucradoshanimplementadoDNSSECcorrectamente,incluyendoalregistrante
deldominio,elregistrador,elregistroyelproveedordeserviciosderesolución,seevitael
envenenamientodelamemoriacachéyotrasusosincorrectosdelDNS.Enestemomento,DNSSECno
estáampliamenteimplementadoyporestarazónaúnnoseconsideraunadefensacontundente
contralosataquesdeenvenenamientodelamemoriacaché.Ladefensaimplementadaactualmente
contraelenvenenamientodelamemoriacachésellamaSourcePortRandomization(UDP),peroesta
defensarequería,en2008,quetodaslasherramientasdesoftwaredelDNSseactualizaranalaúltima
versión.
ElsoftwaredelDNS,aligualquetodoelsoftwaredeinfraestructuradeInternet,sedebeactualizar
periódicamenteparacorregirlosdefectosconocidosamedidaqueelproveedordesoftwarelos
descubreycorrige.Serecomiendarealizarunasupervisióncuidadosaentodomomentopara
detectarcondicionesanómalasenlainfraestructuraenlínea.Estasupervisiónesdesuma
importanciadespuésdelaactualizacióndeunsoftware,yaqueunaactualizaciónpodríacorregir
algunosdefectos,eintroducirotros.
Laseguridadcontextualtambiénrequiereunamención.AúnsielsoftwaredelDNSestuviera
completamentelibredeerrores,seríanecesarioactualizar,protegerysupervisarelsistemaoperativo
ylossistemasdevirtualización,ademásdeloscomoenrutadores,conmutadores,firewallsylos
sistemasdedetecciónyprevencióndeintrusiones.EldocumentoRFC2196,ManualdeSeguridaddel
Sitio,ofreceunavisióngeneraldeestascuestiones.
MEJORESPRÁCTICASRECOMENDADAS:
1. RespaldelaimplementaciónmundialdeDNSSECparagarantizarladistribucióndedatosdel
DNS.EstoincluyelafirmadetodaslaszonasdeautoridadconDNSSECylahabilitacióndela
validacióndeDNSSECentodoslosservidoresrecursivosdelDNS.
2. UtiliceTSIGparatodaslasactualizacionesdeDNSenlíneayparalasoperacionesde
"transferenciadezona"entreservidores,paragarantizarlaautenticidadyqueprovengande
servidoresconautoridad(authoritative).
3. Instalelosparchesdelaúltimasversionesrecomendadasporlosproveedoresenelsoftware
delDNSysuperviselainfraestructuradeDNSenbuscadeanomalíasentodomomento,pero
enespecialdespuésdeinstalarunparchedelproveedor.
4. Elaboreundocumentosobremejoresprácticasrecomendadasrespectdeunapolíticade
seguridadparalosresolutoresdelDNS,conelfindeeducaralosadministradoresdesistema
ydered.
OperaciónSafetyNet
45
MALWAREQUEATACAALDNS
Elmétodo"DNSChanger"esotramaneradefalsificarrespuestasdelDNS.Estemalwaremodificael
equipodelavíctimaparacambiarlosresolutoresqueutilizaelDNS,sustituyendolosresolutoresdel
DNSdelISPdelusuarioporservidorescontroladospordelincuentes.Deestaforma,eldelincuente
proporcionarespuestasfalsificadasenformaselectivacadavezquehacerlolebrindeuningreso
adicional.
ElmalwareDNSChangerfuncionanosóloenelequipodelosusuarios,sinotambiénenlos
enrutadoresdehogarodepequeñasempresas.Laventajadeldelincuentealalterarlaconfiguración
delenrutadoresqueelcambioesprobablementemásduraderoycubretodoslosequipos,teléfonos,
iPadsyotrosdispositivosdelhogarodelaoficina,queincluyenposiblementedispositivosdecontrol
delhogarhabilitadosparaInternet,comotermostatos,cámaras,marcosdefotos,redesconectadaso
inalámbricas,etc.Elenrutadorpuedeestardentrodelmódemproporcionadoporelserviciode
bandaanchaopuedeserundispositivoadicionaladquiridoeinstaladoporelusuario.
ElFBItrabajóconlaindustriaprivadaparaquitaralosciberdelincuentesresponsablesdelDNS
Changersusrecursos(ysulibertad).xxxixLasdireccionesIPutilizadasporlosresolutores
comprometidosfueronre-enrutadashaciaservidoresespecíficosqueestuvieronenoperación
duranteunosmesesmientrasgruposdevoluntariosnotificabanalosISPsyalosusuariosafectados.
Nota:laestrategiabásicautilizadaporlosdelincuentesresponsablesdelDNSChangerfuncionaríade
igualmaneraanteunnuevointento:todaslasvulnerabilidadessubyacentesnecesariasestánaún
presentesenequiposmuypopularesquelosproveedoresnopuedenactualizar.
LadeteccióndetráficoDNSmaldirigidosepuederealizaraniveldelISPmediantelasupervisióndel
tráficodelDNSsalientedelclientequesedirigehaciaunresolutordiferentealproporcionadoporel
mismoISP.Tengaencuentaqueesmuycomúnquelosusuariosqueposeenconocimientostécnicos
avanzados,oquienessesuscribenintencionadamenteaunserviciodeDNSdiferente,envíensu
tráficodeDNShaciaotrolugar.Eldiseñocuidadosodelossistemasdedetecciónesnecesariopara
evitarfalsospositivos.
Enelfuturo,losusuariospuedenserengañadosparacambiaraunresolutordeDNSdeun
delincuentemedianteingenieríasocialoalgúnincentivo.Porejemplo,siserequierenresolutoresdel
ISPparadenegarelaccesoaalgunosnombresdelDNS(comocontenidopirataoilegal),losusuarios
puedenresponderalasofertasdeaccesoaservidoresdeDNSnocensurados.Existenmuchasrazones
legítimasparapermitiralosusuarioselegirsuservicioderesolucióndeDNSsincensurao
interferencia.
MEJORESPRÁCTICASRECOMENDADAS:
1. EduquealpúblicosobrelospeligrosdeloscambiosderesolutoresdeDNS,paralimitarlos
ataquesdeingenieríasocial.
2. Fomenteelquelosoperadoresderedescompartaninformaciónanonimizadaatravésde
feedsdelasmemoriaslocales(cache)dealtoniveldesusservidoresdeDNS,relativaa
consultasenviadasatravésdesusredes,conelfindedetecarposiblesservidoresdeDNS
maliciosos.
OperaciónSafetyNet
46
3. Permitaaccesoaesosfeedsainvestigadoresanti-abusoparaayudarenladetecciónde
serviciosqueengañanalosusuariosofalsificanrespuestasdeDNS,adicionalmenteconelfin
dediferenciarlosdelosservicioslegítimosderesolucióndeDNS.
4. Desarrolleestadísticasbasadasenlosdatosagregadosparaayudaraidentificaralos
delincuentesconelfindetomaraccioneslegales,actualizarlistasnegrasderesolutores
ilegítimosycrearoperacionescoordinadasdemitigación,comoocurrióenelcasodeDNS
Changer.
5. Establezcalasmejoresprácticasrecomendadasparalograrunadecuadoniveldeanonimidad,
conelfinddeevitarqueseasocieacadausuario,suISPylaactividadquedesarrollaenel
DNS.Asísepuedenevitarrepresaliascontralosusuariosqueeludenformasdecensurayse
evitatambiénqueestosusuariosdecidanutilizarservidoresdeDNSdemásdifícildetección,
queposiblementeestáncomprometidos.
ATAQUESCONTRALOSSERVICIOSDEREGISTRODE
NOMBRESDEDOMINIO
Lafacilidadconlaquelosciberdelincuentespuedenregistraryutilizarnuevosdominioslesayudaa
llevaracabosusfraudes.Elusodeinformacióndeidentidadfalsay,amenudo,decredenciales
financierasrobadasdificultaladeteccióndelosverdaderospropietariosdelosdominiosquese
utilizanparacometerfraude.Lacargadedetectarelusomaliciosodelosnombresdedominio
descansasobreloshombrosdelosinvestigadoresanti-abuso,confrecuenciamuchodespuésdeque
laactividadmalintencionadahayacomenzadoo,enocasiones,finalizado.Lacargadereducirla
cantidaddedominiosmaliciososestáenlasempresasqueproporcionanaccesoaInternetalos
usuarios,yaseamediantesolicitudesdesuspensiónocancelacióndeactividadmaliciosaoatravésde
lafrecuentementelentapropagacióndelaslistasdebloqueodedominios.Laslistasdebloqueoson
necesariasyaquelassolicitudespararedirigir,suspenderoeliminarnombresdedominioamenudo
seignoran.
Losciberdelincuentesexplotanlosserviciosderegistrodenombresdedominiomedianteelusode
tarjetasdecréditorobadas,medianteelregistroautomatizadodemuchosdominiosaaltavelocidad,
medianteelregistrodedominiosatravésdedistribuidoresoproveedoresdeserviciosdeprivacidad
odeproxiesquefrecuentementenorespondenoparecenpermitirlaactividadmaliciosa,ymediante
elusodedominiosquepuedenutilizarencuestióndeminutosoinclusosegundosdespuésdel
registro.Losinvestigadoresdeataquesporlogeneralsólopuedenmonitorearlainformaciónde
registroenelDNScada24horas.Losoperadoresdelistasdebloqueosetardanenreconocerlos
dominiosmaliciososypropagarlainformaciónsobrereputación,unavezlosdelincuenteshan
llevadohandesarrolladosuactividadmaliciosa.
Losciberdelincuentespuedencrearcualquiersubdominiobajolosdominiosquehayanregistrado,
porejemplonombredebacno.ssl-cgi.delincuente.com.Noexistenrestriccionesencuantoalacantidad
deestetipodenombresquesepuedencrearsincosto.Elengañoalosusuariosnorequiereun
nombredemarca;simplementecualquiercosaqueparezcalegítima.Losnombrescomosecureorder.verified.example.comsonaceptadosporlamayoríadelosusuariosyaqueseparecenaotros
quevenamenudo.
Algunasentidadesypersonasinclusoayudanaabusardemarcasalcreardominiosquepuedencrear
confusiónenlosusuarios.Estosservicioscreannombresdedominioquevoluntariamenteimitan
OperaciónSafetyNet
47
marcasmedianteelusodeerrorestipográficos,comoSEARZconlaletra"Z"enlugardelaletra"S",o
PAYPA1conundígito"1"enlugardeunaletra"L".Mientrasqueestosdominiosnosepuedenutilizar
enunacampañadephishing,haymillonesdeestetipodedominiosquedificultanlatareadelos
investigadoresdeataquesparadistinguirtyposquattersrelativamenteinofensivos,frenteala
actividadmaliciosacomotal,antesdequeéstasuceda.
Además,losatacantesserobanlosnombresdedominioatravésdeotrastécnicas,porejemplo:
● Comprometerlascredencialesdeaccesodelregistrantealpaneldecontroldelregistrador
(robarlacontraseñaquelosclientesutilizanparainiciarsesiónensusitiodeadministración
deldominio);
●
Comprometerlossistemaspropiosdelregistradorconelfinderobartodasoalgunasdelas
contraseñas(conocidoscomocódigosEPPocódigosdeautenticación)queserequierenpara
transferirlosnombresdedominiodeunregistradoraotro;y
●
ComprometerlosservidoresdeDNSdelmismoregistranteosubasededatosdeDNSconel
findealterarlosdatosdeldominiodelavíctimainsitu,sinningúncambiode
redireccionamientoascendente(noupstreamredirection).
MEJORESPRÁCTICASRECOMENDADAS:
1. Losregistrosdenombresdedominio,tantodedominiosgenéricosdealtonivel(gTLD)como
decódigodepaís(ccTLD),asícomoalosregistradoresconquieneshacennegocios,deben
implementarysupervisardecercalosprogramas"Conozcaasucliente"(KnowYourCliento
KYC)paraprevenirelabusoenelregistrodelosdominios.Estolespermitirádeterminarsi
debenevitarhacernegociosconunregistro,unregistrador,undistribuidorounproveedor
deserviciosdeprivacidad/proxyycuándodebenhacerlo.
2. Todoslosregistrosdenombresdedominio,losregistradores,revendedoresyproveedoresde
privacidad/proxydeberíanimplementarautenticacióndemúltiplefactorvíaHTTPS
obligatoria,parareducirelriesgoderobodecredencialesdeaccesoalascuentasdesus
clientesyparaprotegerdeunamaneramásapropiadalassesionestransaccionalesdesus
clientes.
3. Losregistrosdenombresdedominioylosregistradoresdeberíanconsideraracuerdosde
cooperaciónomemorandosdeentendimientoconlasorganizacionesqueayudanaprotegera
losconsumidores,porejemploLegitScriptyAPWG.Medianteelestablecimientodeniveles
predefinidosdeconfianza,losreportesdeabusoquesonenviadosporestasentidades
puedenserabordadosdeunamaneramuchomásrápidayefectiva,siendounadeestasvíasel
ProgramadeSuspensióndeDominiosMaliciososdelAPWG(MaliciousDomainSuspension
ProgramoAMDoS).
4. Losregistrosylosregistradoresdenombresdedominiodeberíanverificarelusodetarjetas
decréditorobadas,paraevitarelregistrodedominiosmaliciosos.
5. Hacercumplirlasobligacioneslegales(ensuspropiasjurisdicciones)ycontractualesquelos
proveedoresdeserviciosderegistrodedominio,incluyendolosregistros,registradores,
revendedoresyproveedoresdeserviciosdeprivacidad/proxydebencumplir,enloque
respectaalarespuestafrenteareportesdeabuso.
OperaciónSafetyNet
48
6. Respectodelosserviciosdeprivacidadyproxy,hayunanecesidadurgentedeimplementary
hacercumplirprogramasdeacreditación.Estosaclararánlasnormasyprocedimientos
respectodelassolicitudesderetransmisión(relay),esdecir,cuandodebenreenviar
comunicacionesasusclientes,yrevelar(reveal),esdecir,cuandodebenrevelarlaidentidad
desucliente.Estoaplicaparatodoslosserviciosdeproxyyprivacidad,independientemente
desioperanenelespaciodelosgTLDsolosccTLDs,eindependientementedesiunregistroo
unregistradorespropietario,administradoruoperadordeestosservicios.
7. LosregistrosyregistradoresparalosespaciosgTLDyccTLDdeberíanevitarhacernegocios
conproveedoresdeserviciosdeproxy/privacidadquenoestáncubiertosporunprogramade
acreditación.
8. Antesdeprocesarlassolicitudesderegistrodenuevosnombresdedominiooaceptar
transferenciasentrantesdedominios,losregistradoresylosoperadoresdeccTLDsque
ofrecenserviciosderegistrodirectamentealpúblicodeberíanvalidarlareputacióndeciertos
elementosdedatosderegistro,como:
a. direccionesdecorreoelectrónicoutilizadasporlossolicitantes,eltitulardelacuenta
ocualquieradelosotroscontactosdeWhois;
b. ladirecciónIPdesdelaquesesolicitanlastransacciones;
c.
losservidoresdenombresquelosclientesdeseanasociarasusnombresdedominio;
d. ladirecciónpostaldeltitular;y
e. unamuestraestadísticamenteválidadenombresdedominioyaregistradosporel
mismocliente.
Amododeejemplo,unserviciodevalidacióndereputaciónloproporcionasincosto
algunolaSecureDomainFoundation,quelepermitealosregistradoresyalos
registrosdecidirsideseannegarlacreacióndeunnuevonombrededominio,o
aceptartransferenciasentrantes,sialgunodeestosdatostienemalareputación,que
indicaactividadmalintencionadarecienteeimportante.
9. MejorarlosalgoritmosusadosparadefinirlareputacióndedominiosydireccionesIP,conel
findeincluirenelloslaantigüedaddecadadominiocomofactorreputacional:losdominios
quetienenmásdeunañosonmenospropensosaserdominiosdesechables;algunos
organismosdeacreditacióndecorreoevitanquelosclientesutilicendominiosdemenosde
unmesy,usualmente,examinardominiosdemenosdeundíaesunamaneraeficazde
detectaractividadmaliciosa.
10. PuestoquelosdelincuentesquerobandominiosutilizandireccionesIPquesongeneralmente
diferentesdelasutilizadasporlossolicitantes,losregistradoresylosrevendedoresdeberían
habilitarlaverificacióndelasdireccionesIPdesdelaqueseoriginalaactividaddelascuentas
desusclientes.SilacuentadeunclienteesaccedidadesdeunanuevadirecciónIP,el
registradoroelrevendedordeberìaninformaralregistranteyalcontactoadministrativodel
nombrededominioencuestión.
11. ContinuarlasmejorasalosnavegadoresdeInternetyalaeducacióndelosusuariosconelfin
dequeéstospuedanreconocerlasseñalesdelnavegadordeloscertificadosdevalidación
extendida("barraverde"),yparaevitarlaconfusiónenlossitiosqueutilizantérminoscomo
"seguro"o"ssl".
12. Capacitaciónalasempresasparaqueenvíennotificacionesalosusuariosqueseandifícilesde
imitar,paradisminuirelphishingylaingenieríasocial.
OperaciónSafetyNet
49
13. Paraelsoftwareylossitiosqueutilizanlistasdebloqueodedominios,fomenteunenfoque
multi-layercondiversostiposdelistasdebloqueoqueincluyanmétodosdebloqueo
preventivoylistasdenaturalezareactiva,conelfindemejorarlaeficaciadelbloqueo.
14. RespaldeproyectosdeDNSpasivo,comoelSecureInformationExchange(SIE)deFarsight
SecurityInc(FSI)queproporcionanalertastempranasalosinvestigadoresacadémicosy
comercialessobrelossubdominiosmaliciososactivamenteenuso.
15. ConsideretecnologíasdefirewalldeDNScomolasResponsePolicyZonesoRPZs,quesonun
mercadoabiertoconmúltiplesproveedoresyconsumidoresqueofrecenpolíticassobre
recomendacionesderesoluciónaservidoresdeDNSrecursivos.(Véasehttp://dnsrpz.info/).
ATAQUESALAWEBYAOTROSDNSDESERVIDORES
Losciberdelincuentesatacanlareputacióndedominioslegítimosmedianteelingresoensus
servidoreswebylainyeccióndearchivosmaliciososqueluegoinfectanaldominiolegítimoenla
direcciónURL.(Estatécnicaesinmunealaslistasdebloqueodedominioamenosquelaslistasestén
dispuestasaincluirdominioslegítimosquedistribuyencontenidomalicioso,tambiénbloqueandode
estamaneraalgúncontenidolegítimo).
Losciberdelincuentesutilizanredireccionamientoswebparapresentarinicilalmentedominioscon
buenareputaciónyluegoredirigiralusuarioalsitiomalicioso.Estosindividuosutilizanmúltiples
nivelesderedireccionamientoyrecientementeinclusohanredireccionadotráficohaciadirecciones
URLcondireccionesIPnuméricasenlugardenombresdedominio.
Eléxitodeestastécnicasdependedemétodosinadecuadosdedetecciónquesólosoncapacesde
reconocerestetipodeataquessilosusuariosno"actúancomounavíctima"siguiendolos
redireccionamientos.Lamentablemente,algunosactorescomplicanaúnmáslascosasalusar
múltiplesnivelesderedireccionamientopararastrearlareaccióndelosconsumidoresfrentealos
correoselectrónicosdemarketing.LosserviciosdeacortamientodeURLsonamenudoatacadosy
utilizadospararedirigirtráficodesdedominiosconocidoscomobit.lyhacialossitiowebdelos
ciberdelincuentes.EsdifícilparalosusuariosdistinguirentremillonesdeURLslegítimasdebit.ly,
quesonutilizadasparaacortarunadirecciónwebextensaparaunapublicacióndeTwitter,delasque
seutilizanparainsertarunmalwareo,porejemplo,unanuncioparalaventailegaldeproductos
farmacéuticos.
HaceuntiempolamismaICANNfuevíctimadeungrupodeatacantesquelogróaccederalacuenta
deadministracióndelosdominiosdeICANNenregister.com.Enestecaso,losatacantesalteraronla
configuracióndelDNSdevariosdominios(icann.netiana-servers.com,icann.comyiana.com)y
redireccionaroneltráficodelosvisitantesaunsitiowebmodificado.
MEJORESPRÁCTICASRECOMENDADAS:
1. Establezcaymantengaunsistemadebloqueodedominioslegítimoscomprometidoscon
contenidomalicioso,juntoconprácticasdenotificaciónrápida,unsegundoniveldetesteo
quepermitadesbloqueardominiosnomaliciososyasistenciaparamejorarlaseguridaden
todoslosservidoreswebasociadosaldominiocomprometido.
2. FomentequelosserviciosdeacortamientodeURLverifiquenyreverifiquentodoslos
redireccionamientosdelacadenaparatodaredirecciónquebrindenyquetrabajenconvarios
proveedoresdeserviciosdeproteccióncontraabusoparaidentificarnuevosatacantes.
OperaciónSafetyNet
50
3. Educaralaindustriayalosusuariosfinalesydarlesrecursosquelespermitanidentificary
evitarURLsacortadasquenocuentenconsuficientesmedidasanti-abuso.
4. MejorarlaeficaciadelaspruebasrelativasalaverificacióndelareputacióndelasURLs
mediante,entreotros,larealizacióndepruebasalasredirecciones,elusodepruebasque
simulenusuariosrealesquesiguenlosredireccionamientosymedianteeldesarrollode
políticasrelacionadasconlacantidadmáximaderedireccionamientos,todoconelfinde
reducirelabusodelosserviciosdeacortamientodeURLs.
ATAQUESADIRECCIONESIP
LosataquesadireccionesIPseclasificanendoscategoríasgenerales:correoselectrónicoscuya
direcciónIPnoesreal(spoofing)yredesqueutilizanrangosdedireccionesIPquenoestán
autorizados(rogueannouncements).
SUPLANTACIÓNDEDIRECCIONESIP
CadapaquetededatosenviadoatravésdeInternetincluyelasdireccionesIP"fuente"delequipo
desdedondefueenviadoydelequipohaciadóndeestádestinado.Esposiblequeunequipohostil
pongaunadireccióndeorigen(suplantada)falsaeneltráficosaliente.Paralastransaccionesenlas
queeldestinoenvíaunpaquetederetornoaladireccióndeorigen,enparticularelDNS,estopuede
creartráficonodeseadoaladireccióndeorigenfalsificada.EsfácilenviarsolicitudesalDNSde
tamañospequeñosquegeneranrespuestasdegrantamaño,causandodenegacionesdeservicioen
contradeladirecciónquehayasidofalsificada.
MEJORESPRÁCTICASRECOMENDADAS:
1. LosISPylasredesdetráficodeberíanfiltrarelcorreoelectrónicoentrante,realizarel
seguimientodelrangodedireccionesasignadoacadaclientederedydescartareltráficocon
direccionesdeorigenfueradelrangoasignado,paraevitarquesusclientesenvíentráficocon
direccionesdeorigenfalsificadas.EstoseconocegeneralmentecomoBCP38xl,undocumento
delaIETFconlasmejoresprácticasactuales.ElBCP84,otrodocumentodelaIETFconlas
mejoresprácticasactuales,recomiendaquelosproveedoresdeconectividaddeIPque
precedenenlacadenafiltrenlospaquetesqueingresanensusredesdeclientesquesiguenen
lacadenaydesechenlospaquetesquetienenunadireccióndeorigenquenoestáasignadaa
esosclientes.xli
2. Fomenteunaprácticauniversaldeingressfilteringparatodoslosclientesconectadosaredes
vecinas(peernetworks).
OperaciónSafetyNet
51
ANUNCIOSDESHONESTOS
TodaredpuedeanunciarvíaBGPsuspropiosrangosdedireccionesIP.Lasredeshostilespueden
anunciarrangosderedquenoestánautorizadosautilizar.Estopuederesultarenun
redireccionamientoydesvíodetráficodestinadoalaredreal,opuedepermitiruntráfico"sigiloso"
queanunciaunrangodedireccionesespecífico;elataqueseproduceyluegoelanuncioseretira.A
menosdequelasvíctimasseanconscientesdelrogueannouncement,seculparáalpropietario
legítimodelasdirecciones.
MEJORESPRÁCTICASRECOMENDADAS:
1. LosoperadoresdereddeberíanimplementarunfiltrodeingressfilteringBCP84xlii(sediscute
másarriba),enelquelosanunciosdeBCPentrantesdesdelosclientesyusuariosdelmismo
nivelselimitanaunalistaexplícitaderedesconocidasyasignadasaeseclienteousuariodel
mismonivel.
2. LosISPdebenprocurar,enlamedidadeloposible,aplicarBGPSEC(seguridadBGP)para
protegercriptográficamentelosanunciosderutayevitarlapublicacióndedatosdeshonestos.
ROBODERANGOSDEDIRECCIONES
EnlosprimerosdíasdeInternet,laasignacióndedireccionesamenudosehacíaconbastante
informalidad,conregistrosincompletos.Comoresultadodeello,sehaheredadounespacio
considerablededireccionesasignadasquepuedeserobsoleto,yaseaporquelasempresasyano
recuerdanlosrangosdedireccionesquelesfueronasignadosoporquelasempresasquelos
recibieronyanoexisten.Losciberdelincuenteshanaprovechadoestasdireccionesabandonadas
mediantelafalsificacióndedocumentosoelnuevoregistrodedominiosabandonadosusadosen
correoelectrónicoparaobtenerelcontroldelespacioobsoletodedireccionesIP.
MEJORESPRÁCTICASRECOMENDADAS:
1. LosregistrosregionalesdeInternetdeberíanimplementarycumplirconlosprocedimientos
paraverificarlaidentidaddelossupuestosdueñosdelespacioheredado,paraevitarquelos
ciberdelincuentesobtenganelcontroldelespaciodedirecciones.ARIN,elRIRdeAméricadel
Norte,hadetalladolosprocedimientosparaello.xliii
REFERENCIAS
●
Wikipedia,DiscusióndelDNSSEC:
http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
●
RFC2196,SiteSecurityHandbook,B.Fraser,Ed.,September1997,
http://www.rfc-editor.org/info/rfc2196
●
RFC4034ResourceRecordsfortheDNSSecurityExtensions.R.Arends,R.Austein,M.Larson,D.
Massey,S.Rose.March2005,http://www.rfc-editor.org/info/rfc4034
●
RFC4035ProtocolModificationsfortheDNSSecurityExtensions.R.Arends,R.Austein,M.
Larson,D.Massey,S.Rose.March2005,http://www.rfc-editor.org/info/rfc4035
●
AdvertenciadevulnerabilidadVU#800113delCERTdelosEstadosUnidos,“Múltiples
implementacionesdeDNSvulnerablesalenvenenamientodelacaché”,
http://www.kb.cert.org/vuls/id/800113/
●
GrupodeTrabajoparaDNSChanger,http://www.dcwg.org/
OperaciónSafetyNet
52
●
●
●
●
BrianKrebs,“ACaseofNetworkIdentityTheft”,
http://voices.washingtonpost.com/securityfix/2008/04/a_case_of_network_identity_the_1.html
Proyectoderesolutoresabiertos,http://openresolverproject.org/
LasmejoresprácticasrecomendadasdeenviadosdelM3AAWG,
https://m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf
FCCCuatroinformesdelIIIGrupodeTrabajodelaFCCCSRICsobrelasmejoresprácticas
recomendadassobreseguridaddelBGP:
http://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC_III_WG4_Report_March_%20
2013.pdf
OperaciónSafetyNet
53
AMENAZASMÓVILESYDEVOZ
ELENTORNOMÓVIL
ConlallegadadelosteléfonosinteligentesylosmercadosdeaplicacionesparadispositivosAndroid,
Apple,WindowsyBlackberry,losconsumidoresutilizancadavezmássusdispositivosmóvilespara
accederalascuentasenlínea,realizarcomprasyrealizarotrastransaccionesfinancieras.Los
teléfonosinteligentesrepresentanel70%deloscasi1850millonesdeteléfonosmóvilesvendidosen
todoelmundoen2014xliv,conAndroidyiPhonedominandolaesferadelosdispositivosque
actualmenteseutilizan.Lastabletas,queconfundenellímiteentreelteléfonoycomputadora
tradicional,sehanconvertidotambiénenunactorsignificativoenesteámbito.Lasventasminoristas
dedispositivosmóviles,queincluyenlastabletas,aumentódel11%delmercadoelectrónicomundial
en2011xlval13%en2014xlvi
Enelmundo,existenaproximadamente3700millonesdeusuariosactivosdetelefoníamóvilxlvii,que
superael50%delapoblaciónmundialde7300millonesdehabitantes,xlviiiylosteléfonosmóviles
sonelprincipalpuntodeaccesoaInternetparamuchaspartesdelmundo.Enelúltimotrimestrede
2014,losproveedoresenviaronmásde500millonesdeunidadesmóvilesatodoelmundo.xlix
MERCADOSDEAPLICACIONES
Adiferenciadelmercadodelsoftware,dondelasprincipalesaplicacionessondesarrolladaspor
proveedoresconocidosyconfiablesylosusuariossonmenospropensosainstalaraplicacionesde
fuentesmenosconfiables,elecosistemadelasaplicacionesmóvilesfomentaquelosusuariosfinales
descarguenunagrancantidaddeaplicacionesdebajocostodesdepequeñosproveedoresquecon
frecuenciasonmenosconfiablescomo,enalgunoscasos,empresasunipersonales.Enmuchospaíses,
lamayoríadelasaplicacionesseobtienedelosmercadosdeaplicacionesqueposeenunnivelde
seguridadinadecuada,yquebrindanaplicacionesconmalwareincluido.Enotrospaíses,losusuarios
sepuedenlimitarinicialmentealacargadeaplicacionesqueprovienensólodeproveedoresdelOS
delteléfonoodemercadosdeaplicaciónaprobadosporeloperador;sinembargo,losusuarios
puedenomitirconfiguraciones,permitiendoasíelaccesoacualquieraplicacióndelmercado.Los
principalesproveedoresdeOSparateléfonos,porejemploGoogle,Apple,MicrosoftyRIMoperan
mercadosdeaplicacionesdealtovolumenconmayorseguridad.Apple,porejemplo,tiene1,4
millonesdeaplicacionesensutiendadeaplicacionesygenerauntotalacumuladodeUSD25000
millonesenventasdeaplicacionesydesarrolladoresdejuegoshastalafecha.Sinembargo,laescala
deinclusolosmercadosmássegurosdeaplicacionesdificultalaprevencióndelaofertaocasionalde
malware.Comoelcomercioelectrónicohamigradoalentornomóvil,losactoresmaliciososy
estafadoressehanadaptadorápidamente.
AMENAZASESPECÍFICASYLASMEJORESPRÁCTICASRECOMENDADAS
SEGURIDADDELOSMERCADOSDEAPLICACIONES
Losteléfonosinteligentespuedenserafectadosporlainstalacióndenuevosoftware,amenudo
obtenidodemercadoscontroladosporelfabricantedelOSdelteléfono.En2014,Symantechallóque
el17%(másde160000)detodaslasaplicacionesAndroideranrealmentemalwareocultol.Enuna
revisióndelas100aplicacionesdesaluddisponiblesenlatiendadeaplicaciones,el20%transmitían
lascredencialesdelusuariosincifrarlas,másdelamitad(el52%)noteníaningunapolíticade
privacidadvisibley,enpromedio,cadaaplicacióncontactócincodedominiosdeInternet
(típicamenteunamezcladepublicidadyserviciosdeseguridad)li.
OperaciónSafetyNet
54
Algunosproveedoresdesistemasoperativosymercadosdeaplicacionestienenlacapacidadde
eliminaraplicacionesmaliciosasdelosteléfonossilasaplicacionesfueronoriginalmentedescargadas
desdelosmercadosdeaplicaciones.Antesdeentrarenesosmercados,lasaplicacionesson
rechazadassiviolanlaspolíticasdeseguridadcorrespondientes.
Applehacolocadomásrestriccionesenlasaplicacionesantesdepermitirlesingresarenelmercado
(elllamadoAppStore).LatiendaGooglePlaytieneunapolíticadeaceptaciónmásabiertaydepende
másdelaeliminacióndeaplicacionesaceptadasquesonmalintencionadasoviolanlaspolíticasdela
tiendadeaplicaciones.
Cuandounconsumidorcompraunteléfonointeligente,elaccesoalatiendadeaplicacionesno
oficialesporlogeneralestádesactivado;elteléfonosólopuedeingresarenunpequeñogrupode
tiendasdeaplicaciones"oficiales"(porejemplo,elfabricantedelOSyeloperadordetelefoníamóvil).
LosdispositivosmóvilesqueutilizanelsistemaoperativoAndroidtienenunaconfiguración
denominada"orígenesdesconocidos"conunacasilladeverificaciónparaautorizarlainstalaciónde
aplicacionesfueradelmercado.ElusuariopuedeconfigurarlosteléfonosAndroidparapermitirla
conexiónatiendasdeaplicacionesnooficialesoalternativas.LosdispositivosdeApplerequierenun
procesotécnicamentemásdifícilde"jailbreaking";sinembargo,paralosusuariosmenos
experimentados,eljailbreakingseofrececomounserviciodebajocostoenmuchosquioscosy
puntosdeventa.Inclusoparaaccederalastiendasdeaplicacionesalternativasylegítimas,comola
tiendadeaplicacionesdeAmazon,estacasilladeverificaciónpuedesernecesaria.Lamentablemente,
luegoelteléfonoquedaabiertoalainstalacióndefuentesdesconocidas.Entonces,esmásfácilquelos
usuariosinstalenmalware.Elcreadordelmalwareconsigueunpaselibresinsupervisiónporparte
decualquiertiendadeaplicacionesmóvilesyoficialunavezhabilitadoelaccesoatiendasde
aplicacionesnooficiales.
Tambiénexistennuevasformasdequelosestafadoresevadanlasrestriccionesdelatiendade
aplicacionesinclusosielteléfonoestáconfiguradoparautilizarsólolatiendadeaplicacionesoficial.
LosnavegadoresdedispositivosmóvilespuedenutilizarseparainstalaraplicacionesHTML5,que
colocauníconoenlapantallaprincipaldeldispositivoqueseasemejaaunaaplicacióninstaladaen
unatiendadeaplicaciones.Losdelincuentesluegopuedenatacarvulnerabilidadesenelnavegadorde
stockquevieneconeldispositivomóvilolosnavegadoresalternativosqueelusuariopuedeelegir
parainstalar.Losvínculosdesdeelnavegadorconlasfuncionesnativasdeldispositivocomocámara,
micrófono,marcadoresdeteléfonoyubicacióngeográficapuedenserutilizadosporundelincuente
paraobtenerdatosdecarácterpersonalylasactividadesactualesdelusuariodeldispositivomóvil.
Eliniciodesesióndeusuarioylacontraseñaqueutilizacadadispositivomóvilparaaccederala
tiendadeaplicacionesyautorizarlascomprasesunpuntoimportantedevulnerabilidad.Unavezque
obtienenestascredenciales,losdelincuentespuedencausarpérdidasfinancieraseinstalarspyware.
LossistemasoperativosparamóvilesdeAppleyGoogleenlaactualidadrequierenelmismousuario
ylamismacontraseñacomoclaveparaingresaralatiendadeaplicacionesyalrestodelosservicios
queincluyenequiposportátiles,almacenamientodearchivosenlanube,contactos,calendarioy
correoelectrónico.Mientrassólounnombredeusuarioyunacontraseñaenelpasadolepermitirían
aundelincuenteaccederalacuentadecorreoelectrónicodelsuscriptor,lasmismascredenciales
ahorabrindanelaccesoalatiendadeaplicaciones.Envarioscasos,losusuarioshansufridola
eliminacióndedatosdeequiposportátilesyteléfonosdespuésdequelosdelincuentesobtienenesta
informaciónclave.Diferentesproveedoresofrecenunaprotecciónantivirusparaalgunosteléfonose
intentanprobartodaslasaplicacionesnuevasenlastiendasdeaplicacionesparadescartaractividad
ointentosmaliciosos.
OperaciónSafetyNet
55
LASMEJORESPRÁCTICASRECOMENDADASSOBRELASTIENDASDEAPLICACIONESPARAELGOBIERNO
YLAINDUSTRIA :
1. “Neutralidaddelaaplicación”:Lepermitealosusuarios,alosoperadoresderedesoterceros
confiadosparaespecificardemaneraexplícitaotrastiendasdeaplicaciones"confiables",ytal
vezelniveldeconfianzaasociadoacadauno.Estolepermitealosconsumidoreselegirotras
tiendasdeaplicacionesdeconfianzasinexponerlosaunriesgodedescargasdesdefuentes
desconocidas.
2. Identifiqueaplicacionesconpotencialmaliciosomedianteexámenesdeseguridadrigurosos
antesdepermitirleselaccesoalastiendasdeaplicacionesparaevitarreclamosfuturos.
3. Proporcioneadvertencias,controlesyeducaciónalosusuariosparareducirlosincidentesde
usuariosquesonengañadosmedianteinstruccionesmalintencionadasparaevadirlas
medidasdeseguridad.
4. Mejorelaspolíticasdeseguridadparaelrestablecimientodecontraseñasparalastiendasde
aplicacionesyevitarquelosdelincuentesobtengancredencialesquenolespertenecen.
5. Esposiblebloquearauricularesparaaccederúnicamentealastiendasdeaplicaciones
oficiales,comounamedidaanticompetitiva.Mientrasquelosconsumidorespuedenestar
bienprotegidosporestemodelo,invitaalosconsumidoresaemplearsolucionesque
presentanvulnerabilidadesenlaseguridad(porejemplo,dispositivosparajailbreaking,
rootingodesbloqueo).Laspolíticasquepermitenoasistenenelbloqueodelatiendade
aplicacionessedebencompararconelimpactodelasvulnerabilidadesdeseguridadcreadas
poreldesbloqueo.
6. Fomentelamembresíadelastiendasdeaplicacionesencentrosdeanálisisdeamenazasen
línea/debotnet,demodoquesepuedenbeneficiardeanálisis,alertaseinformesprocedentes
deestoscentros.Esposibledetectar,marcaryeliminarlasaplicacionesmalintencionadasde
lamaneramásrápidaposible.
7. Proporcionemecanismosquelepermitanalosusuariosrealizaruninformesobre
aplicacionespotencialmentemalintencionadas.
OperaciónSafetyNet
56
ELMALWAREMÓVIL
Existenaplicacionesmaliciosas,llamadasmalwaremóvil,paradispositivosAndroid,iOS,Windows
Phone,Symbian(Nokia)yBlackberry.Actualmentelamayoríademalwaremóvilapuntaala
plataformaAndroidenáreasconabundanteusodelosmercadosnooficialesdelaaplicación.
Lamayoríadelmalwareesopareceserunaaplicaciónútilysedistribuyeensitiosweboatravésde
tiendasdeaplicacionesnooficiales.Confrecuencia,lospromotoresdemalwarecorromperán
aplicacioneslegítimasmediantelainsercióndelcódigo"troyano".Así,losusuariospuedeninstalar
estasaplicacionesmodificadas,sinsaberquecontienencódigomalicioso.Losdelincuentesutilizan
cadavezmáslapublicidaddigitalcomovehículoparapropagarmalware;estoseconocecomo
malvertising.También,elaño2014violaapariciónde"SMSWorm"liiquesepropagaatravésdeSMS
entrelaslistasdecontactosdeteléfonosmóvilesinfectados.Losdestinatariossonengañadospara
hacerclicenelenlacemaliciosoquevieneenelSMSyqueconducealataqueensí.Siinstalanel
ataqueentoncessuscontactosrecibiránelmismoSMSmaliciosoquehacequeestevectordeataque
seamuyviral.
Engeneral,elmalwarerealizaaccionesquegeneraningresosparalosatacantes.Losesquemasde
monetizacióndirectacausanpérdidasfinancierasdirectasalavíctimaeincluyenaplicaciones
malintencionadasquepuedenrealizarunagranvariedaddefunciones,porejemploelenvíode
mensajesSMSpremiumauncódigocortoregistradoporlosatacantes,ladescargadecontenidos
pagospordescarga;clicenvínculosdepagoporclic;larealizacióndellamadassalientesanúmeros
deteléfono;interceptacióndecredencialesdehomebanking;lasolicituddeunpagoporrescatepara
desbloqueardispositivosdelasvíctimas.Losatacantestambiénpuedengeneraringresos
indirectamenteporlarecoleccióndenúmerosdeteléfonoparaenvíodespamporSMS,recolección
dedispositivosydatosdeusuarioparamarketing,desplieguedeanuncios,ventadeaplicaciones
comercialesdespywareyusodeldispositivoinfectadoparaatacarmonedaencriptada.Además,las
aplicacionescomercialesdespywarelepermitenauntercerosupervisaraunapersonayrecopilar
datosdedispositivoyusuariocomomensajesSMS,correoselectrónicos,ubicaciónyregistrosde
llamadas.
AcontinuaciónsemuestranejemplosdestacadosdemalwareparaAndroid,BlackberryeiOS.
AtaquedeOlegPliss(2014):ElataquedeOlegPlissutilizaunataquequeafectaa
iCloudparabloqueareliPhonedeusuarios.
Slocker.A(2014):Aparentemente,Slocker.aeslaprimerainstanciaderansomware
móvildecifradodearchivos.Encriptaarchivosdedatosdelusuarioendispositivos
Androidyluegoexigeunpagoparaobtenerlaclave.
SMScapers(2013–actualidad):Estemalwarepareceunaaplicaciónparaadultosy
sedifundeatravésdelapublicidadmóvil.Realizacargosocultosmedianteelenvíode
unSMSauncódigocortodetipopremiumysuprimelanotificacióndeSMSentrante
deimportancia.LacampañasedirigíaprincipalmentealReinoUnido;sinembargola
aplicacióndelareglamentaciónhacontribuidoaunabruscadisminucióndedicha
actividad.Lacampañasedividióenmásdeveinteentidadesjurídicasdiferentespor
loañadiócomplejidadalprocesodeejecución.Lacampañatodavíaexisteenotros15
paísesliii,liv.
OperaciónSafetyNet
57
Worm.Koler(2014–actualidad):Elaño2014sufrióelataquedeAndroid
Ransomwaredondesurgieronnumerosasmuestras,comoScareMeNot,ScarePackage
yColdBrother.LosEstadosUnidosobservaronqueWorm.Kolerseextendíaatravés
deSMSaloscontactosalmacenadosenlosteléfonosinfectados.Eltaquetambién
bloqueaeldispositivodelasvíctimasconunaadvertenciadelFBIfalsaqueindicael
contenidoilegalencontradoenelauricular.Luegoselessolicitaalasvíctimasluego
pagarunamultaparaevitarcargosdelictivosyparaliberarsusteléfonos.
DeathRing(2014–actualidad):DeathRingapuntaprincipalmenteaAsiaysetrata
deunmalwarequeintentasuplantardatosconfidencialesdelasvíctimasmedianteel
envíodeSMSfalsos.Elvectordeataqueesúnicodadoqueelmalwareparecesugerir
quelosdelincuentesseinfiltrabanenlacadenadesuministroenalgúnmomento.
LASMEJORESPRÁCTICASRECOMENDADASPARALAINDUSTRIAYELGOBIERNOPARAEVITAREL
MALWAREMÓVIL :
1) Eduquealosconsumidores,medianteanunciosdeserviciopúblico,páginasweb,folletosyotros
mediosparahacerlosiguiente:
a) Obteneraplicacionessóloenmercadosdeaplicacionesdeproveedoresconbuenareputación
queverificanlasaplicacionesolosdesarrolladoresodirectamentedelosproveedoresde
aplicacionesreconocidos.
b) Revisaryentenderlaspantallasdeautorización,losacuerdosdelicenciadeusuariofinal,las
políticasdeprivacidadylostérminosdelacuerdoalinstalarlasnuevasaplicaciones.
c) Mantenerlasrestriccionesdeseguridadpredeterminadaseneldispositivoynohacer
jailbreakeneldispositivo(eljailbreaksediscuteacontinuación).
d) Instalarlocalizadorremotoysistemadebloqueodesoftwareparaasistirenlarecuperacióny
proteccióndedatosenteléfonosrobadosyperdidos.Porejemplo,laidentidadinternacional
delequipomóvil(IMEI)esuncódigode15o17dígitosqueidentificadeformaexclusivaun
teléfonomóvil.ElcódigoIMEIlepermiteaunaredGSMoUMTS(ServicioUniversalde
TelecomunicacionesMóviles)bloquearunteléfonoextraviadoorobadoparaquenopueda
realizarllamadas.
e) Instalaryejecutarsoftwaredeseguridadmóvilentodoslosdispositivos.
2) Desarrollarinstalacionesyanimaralosconsumidoresarealizarlanotificacióndeaplicaciones
sospechosas.
3) Alentar,automatizaryfacilitarlarealizacióndelacopiadeseguridaddedatosdelteléfonoauna
nubeoamediodealmacenamientopersonal(porejemplo,unequipo).
4) Evaluarelusodesolucionesdeseguridadmóvil,comounnavegadorseguro,solucionesde
gestióndeldispositivomóvil(MDM),espaciosaisladosmóvilesyaplicacionesqueprevienenla
pérdidadedatosconelfindeminimizarelriesgodeinfecciónyelimpactoresultante.
Unexcelenteejemplodelaeducacióndelconsumidorconlasmejoresprácticasrecomendadas
fuecreadoporOfcomypuedeencontrarseaquí:
http://consumers.ofcom.org.uk/files/2014/1394750/using-apps-safely-and-securely.pdf
OperaciónSafetyNet
58
AMENAZASMIXTAS
Losdispositivosmóvilesahoraseutilizanenelprocesodeautenticacióndemúltiplesfactorespara
iniciosdesesióndecuentadealtovalor.Unejemplodelaamenazamixtadeautenticaciónbifactorial
esunusuarioquevisitaunsitiowebfinancieroensuequipodeescritorioeiniciasesiónconun
nombredeusuarioyunacontraseñacomoenelpasado.Peroahora,elbancoexigeunpasomáspara
queelusuarioaccedaasucuenta:recibirunallamadaounmensajedetextoensuteléfonomóvilcon
uncódigoqueelusuarioluegoescribeenelnavegadorwebdelequipodeescritorio.Estepaso
adicionalseañadiódebidoaexistenmuchosequiposdeescritorioinfectadosconmalwarequehan
enviadolacontraseñadelbancoalosdelincuentes.Losdelincuenteshandemostradoserpersistentes
enelataqueacadanuevométododeprotección.Ahoradebenobtenerambascontraseñasfinancieras
delusuarioyluegollamarsuteléfonomóvil,ysercapacesderelacionarlas.
Estohacequelosteléfonosseanunblancoaúnmásvaliosoparaquelosdelincuenteslosataqueny
tomenelcontrol.Estecontrolpuedeserfísicoenelcasodelrobodelteléfonodelusuarioorealizado
remotamenteconunsoftwareespíaqueatacaeldispositivomóvil.Decualquiermanera,las
amenazasmixtasrequierenmásesfuerzodepartedelosdelincuentesyprobablementeapuntena
cuentasosistemasdemayorvalor.
Lasaplicacionesdeundispositivomóviltambiénseutilizancomogeneradoresdetoken,comolos
códigosdeseisdígitosquesolíamosversolamenteenlosdispositivosdeautenticaciónfísicos
bifactoriales,comoGoogleAuthenticatoryAmazonAWSVirtualMFA.
Segúnelpuntodeventajadelosdelincuentes,puedensercapacesdeobservarelcontenidodel
tráficoentranteysalientedealgunosdispositivosmóvilesyrecopilarloscódigosdeautenticación.
Esteeselcasoconloscódigosenviadosporcorreoelectrónico,quealgunosbancosofrecencomo
opción.EltráficodeSMS(mensajesdetextomóvil)noestácifrado.
Lafaltadeunainfraestructuraparacompartirinformaciónsobreamenazasmixtassepuede
convertirenunaamenaza;permiteunagrancantidaddeataquesquedelocontrarionoexistirían.Lo
quesenecesitaesdiseñareimplementarestrategiasdedefensaeinfraestructurasqueinvolucren
entidadestécnicas,políticas,policialesyjurídicasenvariospaíses.
OperaciónSafetyNet
59
MODIFICACIÓNDEDISPOSITIVOSMÓVILES
Muchosfabricantesdeequiposoriginales(OEM)ylosoperadoresderedmóvil(MNO)establecen
entornosmóvilesysegurosparamantenerlaestabilidadyseguridaddeldispositivo,ylograruna
experienciadeusuariopositiva.Enmuchoscasos,lamodificacióndeestosentornoscrea
vulnerabilidadesdeseguridadquepuedenexponerlainformacióndeusuario,habilitaelrobode
servicioenlaformadellamadastelefónicasomensajesdetextosinautorización,habilitaelcontrol
remotodelosrecursosdeldispositivo,comomicrófonosocámarasquepermitenescucharoversin
consentimientodelusuarioohabilitaaunenemigopararealizarunalargalistadeotrasactividades
noautorizadas.
Existennumerosastécnicasparamodificarelhardwareysoftwaredeundispositivo,perotresdelas
modificacionesmásconocidassonel"jailbreaking",el"rooting"yel"desbloqueo".
JAILBREAKINGDEUNDISPOSITIVO
"Jailbreak"escuandounapersonareemplazaloscontrolesincrustadosenundispositivo.El
fabricantepuedeutilizarcontrolesOEMparaaplicarpermisosdelaaplicación,protegeráreascríticas
delsistemadearchivosenundispositivo,forzarlaautenticacióndeaplicacioneseneldispositivo,
hacercumplirlacomplejidaddelacontraseña,entremuchasotrasfuncionesadministrativas.
¿Porquésehacejailbreakingenundispositivo?Unarazónesque,inclusoconcientosdemilesde
aplicacionesdisponibles,algunaspersonasquierenunaversiónpersonalizadaomodificadadelas
aplicacionesmóviles.Enalgunoscasos,unaaplicaciónmodificadapuedecostarmenosquela
aplicaciónoficial(peropuedeviolarlosderechosdeautor);sinembargo,laaplicaciónmenoscostosa
puedetambiéncontenercontenidomalicioso.
ROOTINGDEUNDISPOSITIVO
Eljailbreakinglepermiteaunusuariosuplantarcontrolesyelevarelaccesodelusuarioparaobtener
losprivilegiosderaízdeundispositivo,queenúltimainstanciaconcedealusuariotodoslos
privilegiosdelsistemaoperativo.El"rooting"deundispositivolepermitealusuariolosmásaltos
privilegiosdeunsistemaoperativo.
¿Porquésehacerootingaundispositivo?Ademásdecargaraplicacionespersonalizadasono
autorizadasyevitandocontroles,elaccesoalaraízhabilitaqueunusuariomodifiquelos
componentesylafuncionalidaddelOS,oloreemplaceporcompleto,enundispositivo.Algunos
sistemasoperativosinstaladosendispositivosmóvilessebasanenunaformaUNIXconungrupo
limitadodecomandos;mediantelamodificacióndelsistemaoperativo,losusuariospuedenliberar
almacenamientoeliminandofuncionesinnecesariasparalamayoríadelosusuariosdedispositivos
móviles.Elrootingdeundispositivotambiénlepuedepermitiraunusuariocargarcomandos
adicionalessegúnlodesee.
DESBLOQUEODEUNDISPOSITIVO
Losoperadoresderedesmóviles(MNO)puedensubvencionarlasventasdeteléfonosmóvilesbajo
uncontratoquerequiereelusodelareddelMNOduranteunperíododetiempo.Paraayudara
prevenirelfraudeyelrobo,losMNOutilizanconfrecuenciaunmediotécnicoconocidocomo
"bloqueo"querestringeelusodelteléfonoensupropiared.Undispositivosepuededesbloquear
normalmenteintroduciendounúnico"códigodedesbloqueo"proporcionadoporunMNOsegúnsea
solicitadooporcumplimientodeuncompromisocontractual.Losconsumidorestambiénpueden
OperaciónSafetyNet
60
encontrarocompraruncódigodedesbloqueoenlínea.Asimismo,siseobtieneelcódigodefuentes
deterceros,losusuarioscorrenelriesgodeperderdatosotenermalwareinstaladoporunvendedor
deconfianza.
LASMEJORESPRÁCTICASRECOMENDADASAUNINDIVIDUOSOBRELAMODIFICACIÓNDEDISPOSITIVOS
MÓVILES :
1. Eljailbreaking,elrootingyeldesbloqueodedispositivosnoserecomiendaacualquier
personaquebuscaundispositivoestándar,estableconelsoportedelOEMalargoplazo,ya
quepuedenintroducirvulnerabilidadesdesconocidasparaelusuario.
2. Noutiliceserviciosnooficialesde
desbloqueoofrecidospor
"terceros".
LASMEJORESPRÁCTICASRECOMENDADAS
PARALAINDUSTRIAYELGOBIERNOEN
RELACIÓNCONLAMODIFICACIÓNDE
DISPOSITIVOSMÓVILES :
1. Desarrolleypromuevala
educaciónyconcientizacióndel
consumidorsobrelosriesgosdela
modificacióndedispositivos
móviles.
2. Creefuertesproteccionescontrala
modificacióndelosOEM.
3. Hagacumplirlaleycontra
aquellosquepromuevenataquesa
lasplataformasmóviles.
AMENAZASDEBANDA
BASE
Existenvariostiposdeamenazasdebanda
base.Algunaspuedenimplicarlacreación
deunaredGSM(sistemaGlobalpara
comunicacionesmóviles)ilícitaqueatrae
alosdispositivosconectarseaella.Otros
puedenimplicarataquesqueinvolucran
mensajesespecialmentediseñadospara
atacarvulnerabilidadesdeseguridaden
dispositivosmóviles.Conelcrecimiento
delainvestigacióndebajocostoylas
instalacionesGSMdelictivas,estas
amenazashanproliferado.
OperaciónSafetyNet
Ejemplo:ZeusMitmo(Hombreenelmedio/móvil)
Zeusesuntroyanoqueseatacaaequiposqueutilizan
Windowseintentarobarinformaciónbancariamediante
lapulsacióndeliniciodesesiónenelnavegadorjuntocon
larecuperacióndeformularios.Losmecanismostípicosde
laproliferacióndeZeuseranmedianteactividadesde
descargaocultaeintentosdephishingqueengañanal
usuarioanavegarhaciaunsitiomalicioso.Seidentificó
porprimeravezallápor2007yharecibidomuchas
actualizacionesquehanincrementadosusofisticación;
másrecientemente,seobservóelataqueenlaesfera
móvil.EstaactualizaciónbeneficiaalmalwareZeusyaque
muchasempresas,inclusolasinstitucionesfinancieras,
estánusandoSMScomounsegundovectorde
autenticación,porloquetenerelnombredeusuarioen
líneaylacontraseñayanoessuficienteparaelrobode
identidad.Laevolucióndeestevectordeamenaza
estableceunaalternativaplaneadaporunapandillade
Zeus:infectareldispositivomóvily"olfatear"todoslos
mensajesSMSqueseentregan.Elescenariosedescribea
continuación.
● Elatacanterobaelnombredeusuarioenlíneayla
contraseñamedianteunmalware(ZeuS2.x).
● Elatacanteinfectaeldispositivomóvildelusuario
porqueloobligaainstalarunaaplicación
malintencionadamedianteunSMSounmalwareque
imitaunaaplicaciónproductivaobancarialegítima.
● Elatacanteiniciasesiónconlascredencialesrobadas
medianteelequipodelusuariocomoproxy/socksy
realizaunaoperaciónespecíficaquerequiere
autenticaciónmedianteSMS.
● SeenvíaunSMSaldispositivomóvildelusuariocon
elcódigodeautenticación.Elmalwareinstaladoenel
dispositivoreenvíaelSMSaotraterminalcontrolada
porelatacante.
● Elatacanteescribeelcódigodeautenticacióny
completalaoperación.
Lospiratasinformáticosluegoutilizanestainformación
paracontrolarcuentasbancariasdelasvíctimasyrealizar
transferenciasnoautorizadasaotrascuentas,típicamente
dirigidasacuentascontroladasporredesdemulasde
61
dinero.
Tradicionalmente,laoperacióndeunaredGSMrequiereunainversiónconsiderable,que
prácticamentenopermitiólainvestigaciónfueradelasgrandesinstituciones,yrestringióel
descubrimientoylaexplotacióndelosataquesbasadosenlared.Porejemplo,parasuplantarauna
redGSM,unatacantetendríaqueoperarunaBTS.CuandoseimplementólatecnologíaGSM,los
ataquesbasadosenlaredcontradispositivosfinalesnoocasionabanmayorpreocupación,porloque
losteléfonosnosolicitabanautenticacióndelasredesalaqueconectaban.Sinembargo,
recientementeelsoftwarelibredecódigoabierto,comoOpenBTS,hapermitidoquecualquier
personacreesupropiaredGSMaunafraccióndelcostodelosequiposaniveldeloperador,yse
iniciaronestudiosdeseguridadGSMalalcancedelosinvestigadoresdeseguridadydelincuentes.
LASMEJORESRECOMENDACIONESPARALAINDUSTRIAYELGOBIERNOPARAEVITARLASAMENAZAS
DEBANDABASE :
Comoportadoresdeadoptannuevastecnologías(porejemplo,3Gy4G/LTE),losteléfonosmóviles
deberíansolicitarlaautenticacióndelainfraestructuradeloperadoralaqueseconecta.
1. Losproveedoresdeserviciospuedentrabajarconfabricantesdeteléfonosparanotificaralos
usuarioscuandoelauricularabreunasesiónquenoutilizaautenticaciónmutua.Esto
alertaríaalusuariodeesteposiblevectordeamenaza.
A TAQUEMEDIANTEELSERVICIODETARIFAELEVADA Normalmente,estosserviciosseofrecencomoserviciosparaaplicacionesdevozytextofacturadasa
lacuentamóvilprepagaopostpagadeunsuscriptor;losserviciosdetarifaelevadacomprenden
horóscopospagosporúnicavezyrecurrentes,donacionesdedineroantedesastres,créditospara
juegos,asesoramientoyserviciosdechat,consejosamorososmensualesporSMSyunaampliagama
deotrosesquemas.
ELMODELOCOMERCIALDETARIFAELEVADA:
Eldeseodecrearunecosistemadeaplicaciónamigableyampliamenteutilizadohaconducidoa
desarrollarentornosdefacturacióncomplejosylargosconvariosmodelosdeparticipaciónenlos
ingresos,comolatípicasuscripciónmensualaSMSporUSD9,99/mes,quesonampliamenteatacable
(serepresentamásabajo).
Enesteejemplo,unoperadorderedmóvilpermiteque"agregadoresdeSMS"independientes
obtenganlarutadeunbloquede"códigosbreves"(normalmente,setratadenúmerostelefónicosde
4-7dígitosenrutablesdentrodealgunaporcióndelareddetelefoníamundial).ElagregadordeSMS
luegovendeconectividadbidireccionalymóvildeSMSaunpropietarioconocidodeaplicaciónde
horóscopo,llamadoproveedordecontenidos.Elproveedordecontenidospagaunacomisiónpor
cadasuscripcióndeunafiliadoalapublicidad.Laspartesadyacentessólopuedenestarrelacionadas
enformalibre.
OperaciónSafetyNet
62
Laspartesylasrelacionessevuelvencadavezmásproblemáticashacialaderechadeestediagrama.
Enalgunoscasos,losproveedoresdecontenidopermitenrelacionessóloporInternetconuna
autenticacióndeficienteyconafiliadosalapublicidadque
Malwaredetarifaelevada
facilitanunaposibledenegacióndelspamy/ofraude
propioodesusafiliados.Losmecanismosdepagocasi
PhonepayPlus,elreguladorde
anónimos,comotransferenciasabancosextranjeros,las
serviciosdetarifaelevadadelReino
transaccionesenefectivovirtualnoreglamentadaen
Unidoemitiómultaspor£330000
Internetolosmecanismosdepagoenlíneareducenlas
entresempresasdiferentesen
barrerasyfacilitanelfraudealspam.
diciembrede2014trasdescubrir
queestabanusandomalwaremóvil
Lasestafasmedianteelserviciodetarifaelevadahan
paragenerarcargosapropietarios
estadoocurriendodurantemuchosaños,perolamayor
deteléfonosAndroid.Elmalware
penetracióndelosserviciosmóviles,laevolucióndedatos
residíaenaplicacionesquese
móvilesyelestablecimientodeunecosistemade
descargabanautomáticamentesin
ciberdelincuenciamundialhanllevadounaumentoenla
elconsentimientodelusuario
cantidadyvariedaddelosataques.Elfraudepuede
cuandovisitabanciertossitiosweb
ocurrirencasicualquierpasodelprocesodelservicioo
paraadultos.Unavezinstaladas,los
delpago,desdeengañaralusuarioparaquedeforma
consumidoresiniciabandemanera
involuntariauseosesubscribaaunservicio,unafiliado
involuntariaunasuscripción
quereclamaunasubscripciónfalsa,hastaunmalware
medianteunclicencualquierlugar
móvilquesigilosamenteenvíamensajesalosserviciosde
enlapantalla.Laaplicación
tarifaelevadasinelconocimientodelabonado.
entoncesenviabamensajesdetexto
detarifaelevadaocultosparaqueel
Unataquefrecuenteinvolucraaestafadorqueestableceunnúmerodeserviciodetarifaelevaday
realizaunallamadadevozde"unring"oenvíaunmensajedetextoaunavíctima,conlaesperanza
dequerespondan.Estoconduceaquelapersonaquellamalohaceaunserviciodepagoporllamada
sinsuconocimientooconsentimiento.Tambiénsehaobservadolasuscripciónnoautorizada,
"forzada"alos"consejosamorosos"detarifaelevadaoaotrosserviciosdemensajesdetextode
afiliadosy/oproveedoresdecontenidos.
EstohacausadoquemuchosagregadoresdeSMSimplementenunaverificaciónsecundaria,
normalmentemedianteunmensajedeconfirmaciónounintercambiodepinesentrelossuscriptores
alSMSyelagregadordeSMS.Peroinclusoestoshansidoatacados;porejemplo,elmalwarepara
AndroidGGTrackerenvíaunmensajeSMSdesuscripciónyconfirmaciónsinconocimientodelos
suscriptores.lv
Lasuplantacióndeidentidaddelsuscriptor,atravésdelaccesonoautorizadoaredesoataques
criptográficosesotrométodoparacometerfraudecontarifaelevada.
OperaciónSafetyNet
63
LASMEJORESRECOMENDACIONESPARAAINDUSTRIAYELGOBIERNOPARAEVITARLASESTAFAS
MEDIANTELOSSERVICIOSDETARIFAELEVADA :
Elfraudemedianteserviciosdetarifaelevadaessimilaramuchosotrostiposdedelitoscibernéticos;
seaborda,porlotanto,demaneraapropiadaporunaseriedetécnicasfrecuentes,comola
autoprotección,lacapacitacióndelconsumidorylaproteccióndelconsumidorymedidas
antimalware.
Muchosoperadoresmóvileshanestablecidounserviciodenotificaciónparapermitirquelos
suscriptoresinformenspamporSMSmedianteelreenvíodemensajesauncódigobreve(por
ejemplo,7726quedeletrealapalabra"spam").Muchosgobiernosyagenciasdeordenpúblico
responsablesdelspamporSMSspamenalgunospaíseshandefinidosuspropiosnúmerospara
enviarinformes,como1909enIndia,33700enFrancia,y0429999888enAustralia.
Lasmedidasespecíficasparaevitarlosfraudesdetarifaelevadasonladefensatemprana,lasacciones
socialesylaconfirmaciónadicional.
1. ReclamosaTSPoreguladores:Fomentelapresentacióndereclamosdeconsumidores.
EstosreclamospermitenquelosTSPidentifiquenlafuentedelaamenazaeimplementarlos
mecanismosdedefensaquepermitanladeteccióntemprana,antesdequesehayatransferido
dinero.Lainclusiónyelcumplimientodelascláusulassobrelaluchacontraataquesensus
términosycondiciones,losTSPylasplataformasdeserviciodetarifaelevadapuedebloquear
lospagosrealizadosalosdelincuentesantesdequeocurran.SeadviertealTSPenunaetapa
tempranaatravésdedenunciashacecumplirsustérminosycondiciones,desautorizandoel
casodeldelincuente.Demanerasimilar,losreclamosantelosreguladoresylasagenciasde
ordenpúblicoproporcionanunainteligenciaabundantequepuedellevaralaaplicacióndela
leycontralosestafadores.
2. Accionesdelossociosrespectodelasrelacionesylospagos:Elfraudedependedela
extraccióndedinerohaciaunaubicaciónocultaoirrecuperable.Laspartessepueden
protegerasímismosalexigirunaidentificación,calificacionesyautenticaciónválidasde
terceros,medianteelusodemecanismosdepagodebuenareputaciónopordemorarelpago
duranteunperíodosuficiente.
3. Otrasconfirmaciones:Comomuchosdelosataquesimplicanunacomunicaciónfalsificadao
forzadaentrepartesadyacentesdelacadenadepago,lasnotificacionesyconfirmaciones
entrepartesmásrespetadaspuedenpreveniroidentificarrápidamenteelfraude.Ejemplos
deestocomprendenunMNOounagregadordeSMSqueconfirmalasuscripciónconel
suscriptorenlugardeconfiarexclusivamenteenlasafirmacionesdelelementoqueprecede
enelflujodepago.
SPAMMÓVIL
Elsiguienteescenariodescribelarecienteactividadspaminternacionalydemuestraelpapel
fundamentalquejuegalacolaboracióninternacional,enparticularentreempresas,como
fundamentalparaladefensaredesysuscriptores.
EloperadorAyeloperadorBestánendiferentespaíses;ambospaísestienenmuchoshablantesdel
mismoidioma.ElspamqueseoriginaenlareddeloperadorArepresentalamayoríadelspamque
ingresaenlareddeloperadorB.EloperadorArastreaelspamensuredmedianteelinformedel
spambasadoencódigobreveyelanálisisdelosregistrosdelservidordemensajería.EloperadorB
OperaciónSafetyNet
64
tambiéntieneinformesdespambasadoenelcódigo,peronorecopilalosnúmerosdeorigendelos
mensajesquesonreportadoscomospam.Sinembargo,eloperadorBrealizaunaexploración
antispamautomatizadaeneltráficodemensajería.Comoresultado,lareddeloperadorBrecopila
informaciónacercadefuentesyelcontenidodespam.
EloperadorAyeloperadorBdescubrieronporseparadoelspamprocedentedelareddeloperador
AydestinadoaloperadorB.EloperadorAeliminaalosspammersqueidentificaensured,perosólo
siharecibidounciertovolumendelosinformesdespamcontraunnúmerodadodeorigen.Porlo
tanto,siemprequeunspammerenlareddeloperadorAenvíespamsolamenteanúmeroseternosde
lareddeloperadorA,estepuedeenviarspamsinlímitesalossuscriptoresdeloperadorB,porque:
a) EloperadorAnuncarecibiráinformesdespamdesuspropiosabonados,surequisito
paralaactivacióndeunainterrupción;y
b)
Noexisteinformaciónalgunasobrecompartirprácticasparafrustraralosspammers
internacionales.
Enausenciadedatoscompartidosentrelosoperadores,losspammerspuedenfuncionarlibremente
dentrodeundeterminadopaíssiellosenvíansuspamsóloparalossuscriptoresdelosoperadores
quenopertenezcanalaredenlaquetienensuscuentas.
LASMEJORESRECOMENDACIONESPARALAINDUSTRIAYELGOBIERNOPARAEVITARELSPAMMÓVIL:
Diálogoeintercambiodeinformación:Losspammersaprovechanlasvulnerabilidadesentre
proveedoresdeserviciosenlaspolíticascontraelabuso,lasdefensasyelconocimiento.Unadelas
leccionescentralesaprendidasapartirdelaproliferacióndelspamdeInternetdesdesusiniciosen
1993hastalaactualidad,cuandoelspamyarepresentaaproximadamenteel90%deltráficode
correoelectrónicodeInternet,esquecuandolosparticipantesdelecosistemacomparten
información,cambiaeljuegoparalosspammers.Eldiálogoentreempresasyelintercambiodedatos
contercerosfacilitadores,comodesarrolladoresdetecnologíayorganismosindustrialesesvitalpara
protegerelecosistemamóvildelamigracióndeherramientasylastécnicasperfeccionadasdespamy
delosspammersenInternetdurantemásdeunadécadaomáshaciaelmundomóvilinterconectado
mundialmentecadavezmásbasadoenIP.
Mientrasquelossiguientespuntosdedatosnosoncríticosparalacolaboraciónentrelos
proveedoresdeservicios,sonútilesparafrustraralosspammers,ypuedensercapturadosatravés
deinformesdespam:
Elementosde
Notas
datos
Númeromóvildel
MSISDN(elnúmeroúnicoasociadoconelmicroteléfono
originadorspam
deunabonado)oIMSI(elnúmeroúnicodeunatarjeta
SIM)
Cantidadrecibida
Requierelarecopilaciónylacorrelacióndeinformes
deinformessobre
spam
Cantidadde
Útilperonocrítico
informantesúnicos
despam
Reddeloriginador Derivadodeoperacionesdebúsqueda
despam
OperaciónSafetyNet
65
Tengaencuentaqueningunodeloselementosdedatosidentificadosanteriormentebrindan
informacióndeidentificaciónpersonaldelinformantedespam.Lainformaciónsóloserecogeenel
númeroqueseinformócomospamdeorigen.
ComoenelejemploanteriordeloperadorAyeloperadorB,elintercambiodedatosdeloselementos
anteriormenteayudaacombatirelcorreonodeseadodentrodeunpaísdeterminado,tantocomolo
haceatravésdelasfronterasdelpaís.
Haybeneficiosyriesgosparaelintercambiointernacionalentreoperadoresdelosdatos
seleccionadosapartirdeinformesdespam.Losbeneficiosincluyenactivandosolucionesdequejas
desuscriptoresvoluntarios.Elintercambiodedatosyeldiálogoantispamentreoperadorestambién
facilitalasaccionesdevigilancia,refinamientoycumplimientodesuspropiaspolíticasdeuso
aceptable.Porúltimo,elintercambiodedatospuedeproporcionarevidenciaquecorroboralas
decisionesdeinterrupcióndeloperador,asícomoparalaaplicacióndelaley,ylosagentes
reguladores.Lacolaboracióninternacional,entreoperadoreshaciaestasmetasharáqueseamás
difícilparalosspammersmóvilesparaocultar.
Porotrolado,sedebenestudiarcuestioneslegales,deprivacidadydeseguridaddurantela
implementacióndetodacolaboracióninternacionalenestaesfera.Enlaactualidad,estascuestiones
actúancomounimpedimentoparalacolaboraciónentrepaíses.Algunoshanseñalado,sinembargo,
queestosproblemasdeprivacidadsoninjustificadosporque1)losinformessobrespamson
enviadosvoluntariamenteporlossuscriptores;2)noesnecesarioincluirningunainformaciónde
identificaciónpersonal(PII)cuandoseintercambiandatosdelreclamo;y3)noescríticoincluirel
contenidodelmensajeenelintercambiodedatosdelreclamo.(Compartirelcontenidodelmensaje
puedeaumentarelriesgodeintercambioaccidentaldePIIdelosinformantesolaspersonasqueno
seanelspammer.Sinembargo,elcontenidodelosmensajesinformadoscomospamtambiénpuede
serútilparaidentificarybloquearelspam).
Enresumen,elintercambiointernacionaldeciertoselementosdedatosentreoperadorescambiael
juegoparalosspammers,yaquelesdejamenoslugaresdondeesconderse.Elintercambiodedatos
requeriráeldiálogoyelconsensosobrelosdatosquesepuedencompartir,asícomolosformatosde
intercambiodedatosentrelosparticipantesdelecosistema.
Laindustriatambiénsedebeesforzarparainformaralasagenciasdeordenpúblicocuandose
adviertanuncomportamientoilegaldesusredesysistemas.Lacoordinaciónconlasagenciasde
ordenpúblico,enlaesferapenalyregulatoria,amenudo,puedellegaralorigendelaamenaza,y
eliminalasganasdetercerosdeparticiparendichaconducta.
ELAUMENTODELOSATAQUESINTERNACIONALES
Amedidaquelasnacionescombatenataquesyamenazasinternos,losatacantesdirigensuatencióna
otraparteparaidentificaryatacarvulnerabilidadesinternacionales.Porejemplo,lacampañade
luchacontraelspam"LiberenaiPad/iPhone"realizadaenAméricadelNorteestabadirigida
inicialmentealosEstadosUnidos.LosoperadoresdeCanadáylosEE.UU.implementarondefensas
técnicasparabloquearelspamenviadoasussuscriptores.Losatacantesrápidamenteidentificaron
estoycomenzaronaenviarelspamdeSMSalosabonadoscanadiensesdeteléfonosbasadosenlos
EstadosUnidos,evitandoasílasdefensas.Existencasossimilaresentérminosdefraude,phishing,
malwareyspyware.Enlamayoríadeloscasos(porejemplo,elspamyelmalwarededefensa),seha
encontradoqueesnecesariodetenerelataqueenelorigen,yaquelasnacionesreceptoraspuedenno
OperaciónSafetyNet
66
sercapacesdeidentificarelataqueocultoenlosflujosdecomunicacionesdealtovolumen.Aligual
quelaInternet,lasredesdecomunicacionesmóvilessonglobalesyrequierenunenfoquededefensa
ycolaboracióninternacional.
CONSIDERACIONESINTERNACIONALES
Losciberdelincuentestienenunafuertepreferenciaporoperarenunentornointernacional.Por
ejemplo,unvendedorenlíneademedicamentosilegalesqueviveenlosEstadosUnidospodríaenviar
correoelectróniconodeseadopublicitandosusmedicamentosdeunequipoafectadosenBrasil,
dirigiendoapotencialescompradoresaunsitiowebconunnombrededominioruso,mientrasque
físicamenteelservidordeesesitiowebestáubicadoenFranciaElpagodelacompracontarjetade
créditosepodríaprocesaratravésdeunbancoenAzerbaiyán,elpedidopodríaserenviadoenbarco
desdeunsitioenlaIndiayelingresopodríasercanalizadohaciaunbancoenChipre.Los
delincuentessabenquealactuardeestamaneraexistenmuchosfactoresquecomplicanlas
investigacionesoficialesdesusdelitosenlíneayreducensuprobabilidaddecaptura.Estosfactores
sonlafaltadecolaboración,lasdiferenciasentrejurisdiccionesyelcostodelasinvestigaciones
internacionales.
Víctimas(el
colorrepresenta
laconcentración)
Programador
Distribuidore
s
Piratas
informáti
Servicios
de
Casasdecambioymulasde
dinero
C OOPERACIÓNINTERNACIONALYJURISDICCIÓN
Losagentesdelordenpúbliconoposeenunpoderilimitado.Enparticular,unoficialdepolicíadeuna
ciudadopaís,normalmentenocompetenteparacitardocumentosodetenerauncriminalmásalláde
supropiajurisdicción.Lasinvestigacionestransfronterizasrequierenlacooperacióninternacional
entrelosorganismospolicialesnacionaleseinternacionales,unprocesoquepuedeimplicarprocesos
formalesenormementecomplejos,pornomencionareltiempoylosrecursosnecesarios.Las
complicacionesasociadasconestosprocesospuedendemorarlasinvestigaciones,ohacerque
algunasinvestigacionesseanimposibles.
OperaciónSafetyNet
67
C OBERTURALEGALYJURISPRUDENCIA Unaactividadqueesilegalenunpaíspuedenoserilegalenotro.Porejemplo,algunospaísesno
tienenleyesrelativasaspamporcorreoelectrónico,nihanpenalizadoladifusióndemalware.En
otrasjurisdicciones,elsistemalegalnopuedeser
capazdemantenersealdíaconunflujoconstantede
Ejemplo:EstafaenuncallcenterenIndia
nuevosfármacos,químicamentediferentespero
Aproximadamente60000personasenel
equivalentes.Enotroscasos,unaleypuedeestaren
ReinoUnidofueronrecientementevíctimas
loslibros,peroelpaíspuedenotenerantecedentes
deunaestafamultimillonariaenlibras
deprocesarconéxitoaaquellosquehanvioladoese
esterlinas.Losinvestigadorescreenqueel
estatuto.Cadaunadeestascondicionessonun
grannúmerodevíctimasporlaestafade
desafíoparalasagenciasdeordenpúblicoyla
préstamosconvierteaestehechoenunode
colaboración.
losfraudesmásgrandesjamásvistosenel
ReinoUnido.Ensuapogeo,másde1000
personaspordíaquehabíansolicitado
ELCOSTODELASINVESTIGACIONES
legítimamentepréstamossingarantíacon
INTERNACIONALES bancosycompañíasfinancierasrecibíanla
Elcostodeoperacióninternacionalocasionaquelas
"llamadafría"deloscallcenterenNueva
agenciasdeordenpúblicosóloseocupendelos
Delhi;aproximadamente100personaspor
casosestrictamentelocales.Siuninvestigadortiene
díafueronengañadasparafirmarypagar
queviajaraunpaísextranjero,elcostodelos
losgastosdeprocesamientodeunpréstamo
pasajesaéreosyotrosgastosdeviajepuedenser
inexistente.SegúnlapolicíadeIndiase
considerables.Porlotanto,lasagenciascon
robaronalmenos£10millones.
problemasdeliquidezsimplementepuedennoser
capacesdedarseellujodetrabajarencasosinternacionales.
Irónicamente,almismotiempoqueescaroparaeloficialdepolicíatrabajarenundelitodeaspecto
internacional,losdelincuentescibernéticossonamenudocapacesdeadquirirbienesoservicios
ilegalesenelextranjeroatravésdeInternetapreciosirrisorios.Porejemplo,untalentosoautorde
malwaredeunanacióneconómicamentedevastadapodríaestardispuestoacrearunmalwareque
provocarámillonesdedólaresendañosyperjuiciosporunospocoscientosdedólares.Estas
condicionesgeneranenlosciberdelincuentesungranincentivoparatrabajarinternacionalmente,y
muchos,dehecho,lohacen.
LASMEJORESRECOMENDACIONESPARAELGOBIERNOYLAINDUSTRIADEACUERDOCONCUESTIONES
DECOLABORACIÓNCRUZADA :
1. Colaboración:Laclavedeunadefensainternacionalefectivaeslacolaboración.Enprimer
lugar,losorganismosgubernamentalesynogubernamentalesenlasnacionesafectadas
debentomarconcienciadelacuestión.Luego,serequierelacolaboraciónparadiseñare
implementarestrategiasyunainfraestructuradedefensaqueimplicanentidadestécnicas,
políticas,policialesyjurídicasenvariospaíses.Losprincipalesdesafíosparalograrla
colaboraciónnecesariasonidentificarelconjuntoadecuadodeforosyobtenerlaasistencia
adecuada.
OperaciónSafetyNet
68
2. Intercambiodeinformaciónsobreamenazas/ataques:Elintercambiodeinformación
sobreamenazasyataquesesesencialparaafrontarlosdesafíosqueexcedenlasfronteras.Si
biensenecesitancomunicacionesdehumanoahumano,laamplitudymagnituddelos
ataques(porejemplo,losmilesdemillonesdemensajesdespamydephishingrecibidos
diariamente)dictanlanecesidaddeenfoquesmecanizados.Tambiénenestecaso,parauna
infraestructurainternacionalmecanizadaqueseaimplementadaconéxito,sedeben
considerarlosobstáculosparaunaimplementaciónylaadopcióngeneralizada,queincluyela
fragmentaciónentremuchossistemasdispares,diferentesnecesidadesfuncionalesdelos
diferentespaíses(inclusolosimpedimentoslegalesycuestionestécnicas/tecnológicas)ylas
diferentesnecesidadesdelosdiferentesoperadores.Unainfraestructurageneralparael
intercambiodeinformaciónsobreataquestambiéndeberárespaldarmodelosdeservidores
centralizadosypuntoapuntoeidentificarlosprotocolosdeformatoytransferencia.
3. Capacitación:Conelfindereconoceryresponderalasamenazasmóviles,losprofesionales
ylasagenciasdeordenpúblicotienenqueestaraldíaconlasnuevastendenciasyamenazas.
AMENAZASTELEFÓNICASDEVOZ
ELENTORNODELATELEFONÍADEVOZ
Losconsumidorestienenmuchasopcionesconrespectoalasllamadastelefónicasdevoz:conectados,
inalámbricos,fuentesalternativas(porejemplo,equipos).Estasllamadaspuedenatravesarlared
telefónicapúblicaconmutada(PSTN)medianteunserviciodemultiplexaciónpordivisióndetiempo
(TDM),vozsobreprotocolodeInternet(VoIP),ounacombinacióndeTDMyVoIP.Latelefoníapor
Internetserefierealaintegracióndelosserviciosdetelefoníaenlasredesinformáticas.
Básicamente,elprocesoconviertelasseñalesdevozanalógicasquefueronenviadas
tradicionalmenteatravésdeunteléfonofijoenseñalesdigitales.Estasseñalessetransmitenatravés
deInternetyluegoseconviertendenuevoenseñalesanalógicasdevoz.
Elnúmerodesuscripcionesdetelefoníafijaentodoelmundoalcanzósupuntomáximoen2006yha
disminuidoenformaanualdesdeentonces.Porejemplo,lassuscripcionesdetelefoníafijaeranpoco
menosde1110millonesdesuscripcionesen2014,frentealosmásde1,14millonesdedólaresen
2013.Almismotiempo,elnúmerodeabonadosmóvilesycelularesestáaumentandoentodoel
mundo,yseacercarápidamenteelnúmerode
personasenlatierra.Losabonadosalatelefonía
Elprotocolodeiniciodesesión(SIP)es
móvilalcanzaronloscasi7000millonesafinalesde
unprotocolodecomunicacionesparala
2014,quecorrespondeaunatasadepenetracióndel
señalizaciónyelcontroldelassesiones
96%,perolastasasdecrecimientoestuvieronenel
decomunicaciónmultimediayse
nivelmásbajodelahistoria(del2,6%anivel
encuentramásfrecuentementeen
mundial),loqueindicaqueelmercadoseestá
aplicacionesdetelefoníaporVoIPo
acercandorápidamenteanivelesdesaturación.
Internet.
Afinalesde2014,elnúmerodesuscripcionesde
bandaanchamóvilalcanzólos2,3millonesanivel
LaTDMesunmétododetransmisióny
mundial,casi5vecesmásquetansóloseisaños
recepcióndeseñalesindependientesen
antes(en2008).Lassuscripcionesdebandaancha
unarutadeseñalescomunespormedio
móvilfueronde2,1millonesen2013.La
deconmutadoressincronizadosencada
penetracióndelabandaanchafijasiguecreciendo,
extremodelalíneadetransmisión.
aunquelentamente(enun4,4%anivelmundialen
elaño2014).Dadoquelosserviciossoncadavez
OperaciónSafetyNet
69
másaccesibles,laadopcióndelabandaanchafijahamostradounfuertecrecimiento,yparaelaño
2013habíacasi700millonesdesuscripcionesdebandaanchafija,quecorrespondeaunatasade
penetraciónglobaldel9,8%.
ElnúmerodeusuariosdeInternetanivelmundialhabráalcanzadoloscasi3000millonesafinales
delaño2014,encomparaciónconlos2700millonesdepersonasen2013lvi.
ConelcrecimientogeneralizadodelatelefoníaporInternet,esvitalquelainfraestructuraque
soportaestatecnologíasigasiendosegurayestédisponible.Unapequeñacantidadde"inactividad"
tieneelpotencialdecostaralasempresasmillonesdedólareseningresosperdidosyproblemasde
soportealcliente.
AMENAZASPORVOIP
Estasecciónofreceunataxonomíadeamenazadetelefoníadevozsimple,cubriendolosproblemas
queafectanlavozylossistemasdecomunicacionesunificadas(UC)ymejoresprácticas
recomendadasparapreveniryremediarestas
amenazas.Estasecciónsecentraenlavoz,perolas
Estafasconunring:Losconsumidores
amenazaspuedenafectarotrasformasde
inalámbricosrecibenllamadastelefónicas
comunicación,inclusoelvideoylamensajería.Estas
automatizadasdenúmerosdeteléfono
amenazasseaplicanprincipalmenteaempresas,pero
quetienencódigosdeáreaqueimitan
tambiénpuedenafectaralosproveedoresde
númeroslocales,peroenrealidadestán
servicios,pequeñasempresasylosconsumidores.
asociadosconnúmerosinternacionales
porpagar.Estasllamadasautomatizadas
LLAMADASAUTOMATIZADAS
porlogeneralsedesconectanluegode
hacerunring,ynoledatiempoal
Lasllamadasautomatizadas,queutilizansistemasde
marcaciónautomáticapararealizarllamadasdevoz,
consumidorpararesponderylotientana
esunaformacadavezmásproblemáticadeabusode
devolverlallamada.Losconsumidores
serviciodevoz.Seutilizannormalmentepara
quedevuelvenlasllamadasdirigenun
llamadasrelacionadasconventas,marketingo
tráficoadicionalaesosoperadores
encuestas.Porejemplo,cuandounaopiniónoalgún
internacionalesyelscammerpuede
otrotipodeencuestasellevaacabo,elmensaje
recibirunaporcióndeloscargosfinales(o
pregrabadolepuedesolicitaralapersonaquepulse
posiblementeporcargospremium)queel
undígitocorrespondientealarespuesta
operadorinternacionaldelserviciocobra
preestablecidadesuelección.Otrousocomúnespara
deloperadorinalámbricodelcliente.
notificacionesdeemergencia,avisosorecordatorios.
Estoseutilizaconfrecuenciaporfuncionariosde
seguridadpúblicamedianteunsistemallamadounsistemadenotificacióndeemergencia(SNE).Sin
embargo,lasllamadasautomatizadassontambiénutilizadasgeneralmenteparaestafar
consumidoresoparaotrosfinesilícitos.
EnlosEstadosUnidos,porejemplo,lasllamadasautomatizadasafectanespecialmentealosclientes
fijos,quesondirigidosamenudoporvendedoressinescrúpulosylosestafadores.lviiLasllamadas
automatizadasrepresentaronelreclamomásfrecuentedeconsumidoressegúnlaFTCen2014.
Recientemente,lasempresastambiénhancomenzadoapresentarunnúmerocrecientedereclamos
declientesinalámbricos.Porejemplo,laestafade"unring"apuntórecientementeainduciraclientes
inalámbricosamarcardeformainvoluntarianúmerosdepagoporllamadainternacionalessinsu
consentimiento.lviiiLasllamadasdephishingespecíficamentedirigidasaobtenerelaccesoa
informaciónconfidencial,personalyfinanciera,conocidocomovishing,tambiénsonfrecuentes.
OperaciónSafetyNet
70
Seutilizantambiénconfrecuencialasllamadasautomatizadasparaabrumaraclientesconectadose
inalámbricosmedianteataquesTDoS:secreanllamadasenmasaqueevitanlarealizaciónde
llamadaslegítimas.
LASMEJORESPRÁCTICASRECOMENDADASPARACOMBATIRLASLLAMADASAUTOMATIZADAS:
Losoperadoresoproveedorespuedenofrecerherramientasysolucionesparacombatirlasllamadas
automatizadas.Sinembargo,noexisteunaúnicasoluciónparaeliminartodaslasllamadas
automatizadasilegalesonodeseadas.
Anzuelos:Unanzueloesunatrampaparadetectar,desviarocontrarrestarintentosdeusono
autorizadodeunaredosistema.Engeneral,losanzuelosimitanunequipo,datosounsitiodelared,
perorealmentesonaislados,protegidosysupervisados.Estánconstruidosespecíficamentepara
atraparalosatacantes.Unavezquemuerdenelanzuelo,esposiblerastrearyvigilaralos
delincuentes.
Recopilacióndedatosyherramientasdeanálisis:Lainformaciónesunapotenteherramientaen
laprevencióndelasllamadasautomatizadas.Recogiendoinformaciónsobreflujosdetráficoenuna
redparticularycombinandodatosconanálisisparaidentificarpatronessospechososdellamadas
segúnelvolumen,elenrutamiento,eldestinoyladuracióndellamadaylastasasderealización,los
proveedorespuedenidentificareinvestigarpatronessospechososparaidentificarllamadas
automatizadasilegales.Esposibleutilizarestainformaciónparaestablecerlistasnegrasybloquear
llamadasdeciertosnúmeros,olistasblancas,quedefinenlasllamadasquesepuedenrecibir.Unavez
queseidentificaunpatróndellamadasautomatizadas,losoperadorasylasagenciasdeorden
públicopuedenutilizartécnicasderastreoparaidentificaryperseguiralosresponsables.
OperaciónSafetyNet
71
Equipolocaldelcliente(CPE):Sedisponendeherramientasdecompañíasyproveedorespara
gestionarlasllamadasenlosteléfonos:Lostiposfrecuentesdeequiposon:
● Identificadordellamadas:Elidentificadordellamadasmuestraelnúmeroqueestá
llamando.Losclientespuedenutilizarestatecnologíabienconocidaparafiltrarllamadas
desdefuentesdesconocidas.Losserviciosydispositivosdebloqueodellamadassebasanen
lainformacióndelidentificadordellamadasyenlasllamadasentrantesconelfindecolocar
losnúmerosenunalistanegra.
● DispositivosCAPTCHAlix:hacerqueciertasllamadasatraviesenmenúsdiseñadospara
eliminarlosllamadoresnohumanos.lx
● Aplicaciones:Losclientesinalámbricospuedendescargarunavariedaddeaplicacionesque
utilizanlafuncionalidaddeidentificadordellamadaspararechazarosupervisenllamadas
desdenúmerosdeteléfonoquelasaplicacionesidentificancomosospechosossegúnlas
diversastécnicas,comoelcrowdsourcing,algoritmosolistasnegras.lxiLosusuariostambién
puedenaprovecharlascaracterísticasintegradasdesusteléfonosinteligentesquepermiten
configurarquéllamadassuenanensusteléfonosycuálesno.
● Identificacióndeclavepública/privada:estesistemaestásiendodesarrolladopara
autenticarladireccióndelaredolapersonaquellamaasociadaconeloriginadordela
llamada.
Regímenesregulatorios:Muchoscomercializadoreshanutilizadolatelefoníaparapromover
campañasdemarketing.Lamayoríadelosregímenesnoprohíbenlasllamadasautomatizadasa
menosqueelconsumidorhayadadosuconsentimientopararecibirestetipodellamadasdesdela
entidadquellama.Porotraparte,lamolestiageneradaenelconsumidorporlassolicitudesno
deseadashallevadoamuchospaísespararegulartodaslasllamadascomerciales:algunas
jurisdiccionesoperanregímenesqueseleccionanlaopción"nollamar"(porejemploAlemania,
AustriaeIsrael)yotrosoperanregímenesquenoseleccionanlaopción"nollamar"(obligatorioso
voluntarios).EnpaísescomoAustralia,losEstadosUnidosyCanadá,losregistrosnacionales"no
llamar"secomplementanconleyesqueregulanalostelemarketersencuantoalasnormassobre
tiemposdellamada,identificacióndelaempresaquellama(CLI)ydeclaracionesobligatorias.
Lassancionespuedenserimportantesy,juntoconelaltoriesgodedañosalareputación,hansido
fundamentalesparaasegurarquelosbuenosciudadanoscorporativoscumplanpolíticasy
procedimientos.
LaRedInternacionalNoLlamar,partedelLAP,establecióunforoanualyllamadasdeconferencia
periódicasparaladiscusióndetemascomunesyemergentesenlagestióndellamadasnosolicitadas
detelemarketinganivelmundialylasoportunidadesdeaplicacióndelaleydecolaboración.
Estándaresdelaindustria:Losproveedoresdeservicios,organismosdeestándaresdelaindustria
yagenciashanestadotrabajandoconjuntamenteydemaneraindependienteparamitigarestetipode
llamadasilegales.Losproveedoresdeserviciosylasentidadesprivadasestándesarrollandoo
actualmentetienenservicioseinstalacionesdisponiblesparaquelosconsumidoresabordenlas
llamadasautomatizadasilegaleslxiiydeberánseguirdesarrollandoeimplementandoestos
estándares.
Losproveedoresdeserviciostambiéndebenconsiderarunamejoraenlaatencióndeprimeralíneau
otroscallcenterdellamadasentrantes,enelaccesoenlíneaparalosclientes,asícomoenla
correcciónycentrosdesoportetécnicoydebecapacitarasupersonalsobrelascaracterísticasdel
identificadordellamadas,losusoslegítimosdesuplantacióndellamadasysuplantaciones
malintencionadasyreconocidasactualmente.
OperaciónSafetyNet
72
Algunosproveedorespuedenconsiderarelestablecimientooficinasdellamadasmolestasoequipos
deseguridadparatratartemascomoestos.Losclientesquecontinúanconproblemasdespuésdesu
contactoconempleadosdeatenciónalclienteorecursosenlíneasepuedenderivaraesegrupopara
unaasistenciaadicionalsegúnlosprocesosespecíficosdelosproveedores.Sepuedesolicitaralos
clientesquecompartaninformaciónrelevantecomolasfechasyépocasenlasquehanrecibido
llamadasdeestetipoyotrascaracterísticasapropiadasparalainvestigacióndelasllamadas.La
oficinadellamadasmolestasolosequiposdeseguridadpuedenproporcionarvaliososesfuerzospara
abordarestascuestiones,como:
● Aprovisionamientoycontroldeequipodeseguimientodellamadaenserviciostelefónicosde
losclientes;
●
Seguimiento,traduccióneidentificacióndefuentesdellamadamedianteubicacionesde
conmutadoresdelaoficinacentralysistemasdesupervisiónyanálisisdered;
●
Utilizaciónladireccióndefacturaciónylossistemasdeinstalacionesparaidentificarfuentes
dellamadassiemprequeseaposible;
●
Trabajodirectoconoperadoreslocales,adistancia,inalámbricosyotrosproveedoresde
comunicaciónyoficinasdellamadasmolestas;
●
Colaboraciónconlasagenciasdeordenpúblicoparacomunicarinformaciónidentificada;y
●
Contactoconpartesidentificadasennombredelclientecuandoseaapropiadopararesolver
losproblemasconllamadasqueponenenriesgolavidaoacosanaldestinatarioyllamadas
generadasporequiposyautomarcadas,suplantacióndellamadas,faxqueexplosivosy
cualquierotratipodellamadasmolestasidentificadasporlosclientes.
Organismosencargadosdelcumplimientodelaley:Mientrasquelosregímenesdecumplimiento
puedenfrenteallamadasnodeseadasdenegocioslegítimos,nosonunaadecuadadisuasióna
quienespretendenengañaralpúblico.Paraaquellosactores,aplicacióndelaleyfuerteesamenudo
elúnicomedioparaabordarestosabusos.Algunasnacioneshanadoptadounaposturaagresiva
contraelusodelatelefonía,yaseaatravésdeVoIPodeotrosmedios,paraengañaralos
consumidores.Elprocesamientodecasosbajolasleyesdeprotecciónalconsumidorenprocesos
civilesypenaleshadadolugarasancionessustantivasasícomopenasdeprisión.Paraabordar
plenamenteelproblemadelfraudeportelemarketing,esesencialquelosreguladores,laindustriay
laaplicacióndelaleycontinúenubicandoydenunciandoalosestafadorescuyousodela
suplantacióndellamadasyllamadasautomatizadashanresultadoencientosdemillonesdedólares
enelfraudeentodoelmundo.
ATAQUESTELEFÓNICOSPORDENEGACIÓNDESERVICIO(TDOS)
ElTDoSesunataquequeapuntaadesactivarelsistemadeteléfonodeunaempresaoservicio
público.Alsaturarunnúmerodeteléfonodesdeelexterior,oinclusolatotalidaddeloscanalesde
comunicacióndelaentidad,losatacantespuedendesactivarrápidamentetodaslasllamadas
entrantesysalientes.ElTDoSesmuysimilaralaataquededenegacióndeservicio(DDoS)puntualen
sitiosweb.Losatacantessebeneficianporquemantienenelsistemadeteléfonocomorehény
perturbarelsistemahastaquelavíctimapagaunasumaespecificada.
ParainiciarunataqueTDoS,elatacantedebeteneraccesoavarioscanalesdecomunicacióno
cuentasdeprotocolodeiniciodesesión(SIP)(generalmentepirateadas).Entoncesutilizanmáquinas
automatizadasquerealizanllamadassimultáneasyenvariasocasionesllamanaunoovarios
OperaciónSafetyNet
73
númerosdeteléfonodelavíctima.Las"herramientas"oel"kit"paraelataqueTDoSseencuentran
fácilmenteenInternet.Tambiénesmuyfácilsolicitarquedichoataquelorealicentercerossin
escrúpulos.Esteeseltipodeataquegeneralmentesehaceporperturbación,extorsión,opara
encubrirunfraude.
LASMEJORESPRÁCTICASRECOMENDADASSOBRETDOS:
Puertasdeenlacedeniveldeaplicación:Esimportantequelasempresasdetodoslostamaños
asegurensussistemasdeVoIPytelefonía.LossistemasdeVoIPsoncomocualquierotrosistema
informáticoderedyporlotantorequieren
Protección de los servicios básicos
proteccióndelasmismasclasesdeataques
El Comité Canadiense de Interconexión (CISC)
cibernéticoscomocualquierotroservidorde
exploró el tema de ataques de denegación de
red.Mientrasquelosfirewallsobsoletos
servicio de telefonía dentro de los grupos de
puedentenerproblemasparamanejar
trabajo de red y servicios de emergencia y ha
adecuadamentelosrequerimientosúnicosde
sugerido las mejores prácticas recomendadas
sistemasVoIP,muchosdispositivosde
para la protección de sistemas esenciales.
seguridadmodernostienenpuertasdeenlace
decapasdeaplicación(ALG)diseñados
http://www.crtc.gc.ca/public/cisc/nt/NTCO0570.doc
específicamenteparamanejarprotocolos
x
específicosdeVoIP.Algunosdeestos
algoritmospuedenproporcionarinclusounafuncionalidaddeseguridadespecíficadeVoIP,comola
prevencióndelacosechadedirectoriosSIPoataquesDoSdeniveldered.
Informealordenpúblico:LosataquedeTDoStienenelpotencialparadesactivarlainfraestructura
críticayclave,queincluyeserviciosdeemergencia,hospitalesyprimerosauxilios.Estopuede
plantearcuestionesdeseguridadnacionalyporlotantosedebereferiralaagenciadeordenpúblico
apenassedetecteunataque.
SUPLANTACIÓNDELLAMADAS
Lasuplantacióndellamadasesunmétodode
falsificacióndelainformacióndelallamadade
origen.Mientrasqueestonoesunataqueperse,se
utilizacomúnmenteparaocultarlaidentidaddeun
atacanteorealizarataquesmáseficaces.Atravésde
talsuplantación,losestafadorestienenporobjetivo
aconsumidoresyrealizanllamadasqueimitanla
ciudaddelconsumidor,elcódigodeáreaouna
fuentedeconfianza.Algunaspersonashanutilizado
númerosasociadosconlasagencias
gubernamentalesyhansuplantadoafuncionarios
delgobiernoenfraudesdeimpuestoseinmigración.
Amenudo,elorigendeestasllamadasesdeotro
continente,añadiendomáscomplejidadparael
seguimientoyladetenciónfraudes.
OperaciónSafetyNet
Informe/Bloqueoselectivode
llamadas(*09)
Loscódigosdeservicioverticales,como
*09,sedebendefinirseporlaindustria
parapermitiralosconsumidoresiniciar
fácilmentelacapturaautomáticayel
análisisdelainformacióndelared
relacionadasconllamadasnodeseadas.
Estesistemafuncionaalpermitirqueun
consumidorrecibaunallamadade
telemarketingfraudulentauotrotipode
llamadanodeseada,paracolgarel
teléfonoyoprima*09pararevelarla
informacióncompletasobrelallamadaa
suoperador,agenciasdeordenpúblicoy
reguladores,ytambiénbloquear
automáticamentefuturasllamadasdeese
74
LASMEJORESPRÁCTICASRECOMENDADASPARAPREVENIRLASUPLANTACIÓNDELLAMADAS:
Legislaciónsobrefraude:Engeneral,deberíaserilegalentodoelmundotransmitirinformación
engañosaoinexactasobreidentificacióndellamadasconlaintencióndedefraudar,dañaruobtener
indebidamentealgodevalor.lxiii
EnlosEstadosUnidos,porejemplo,laLeysobreidentificacióndellamadaslegítimasde2010prohíbe
lasuplantacióndellamadasolafalsificacióndeliberadadenúmerotelefónicosoelnombre
identificadocomoinformacióndelidentificadordellamadasparadisfrazarlaidentidaddelallamada
confinesperjudicialesofraudulentos.lxivEstetipodedefiniciónpermiteelusodesuplantaciónde
identidadconfinesnofraudulentos,comoelusodenúmerodelconsultoriodeunmédicocuando
llamadesulíneaprivada.
Educaciónalconsumidor:Laconfianzadelconsumidorenelsistemadetelefoníaestáenriesgo,
conelaumentodesuplantacióndellamadasylasllamadasautomatizadas.Paraprotegeralos
consumidoresdefraudesyotrosdañosquedependendemalusodelaplataformatelefónica,las
agenciasgubernamentaleshanlanzadocampañasdeeducación.Porejemplo,laComisiónFederalde
ComerciodeEstadosUnidos(FTC)hapublicadoadvertenciasensuspáginasweb,publicadoentradas
enelblogypromovidosusesfuerzosdeaplicacióndelaleyparaconcientizaralconsumidorsobrelas
llamadasautomatizadasylasuplantacióndeidentificadoresdellamadas.lxvFomentarunamayor
concienciadelosconsumidoresdelusodelasuplantacióndeidentidadpuedeayudarareducirel
dañoresultantequepuederesultardelosfraudesquesepromuevenatravésdeestatécnica.Los
esfuerzosdeeducaciónalconsumidortambiéndebendaraconocerlasdiversasherramientasque
puedenutilizarlosconsumidoresparaprotegersedellamadasnodeseadas.
OperaciónSafetyNet
75
SERVICIOSDEHOSTINGYENLANUBE
Losserviciosdehostingydelanuberepresentanunodeloscambiosrecientesmássignificativosen
latecnologíadelainformación.Lasempresasestánentusiasmadasporlaoportunidaddemejorarel
controldeloscostosdecapital,deaumentarlaagilidadyeliminarlainfraestructuracomplejade
tecnologíadeinformación.Sinembargo,lascuestionessobrelaseguridadylapérdidadecontrol
directoestánsofocandolaadopciónyelcrecimientodeestanuevatecnología.
Lasamenazasmóvilesyenlíneaaumentanparalosserviciosdehostingyenlanube.Segúnun
recienteartículopublicadoenTheEconomist,seesperaqueelmercadomundialparalosserviciosde
informáticaenlanubealcanceUSD176000millonesen2015.Estacantidadaúnrepresentauna
pequeñaporcióndeltotaldegastosdeIT,peroelgastoenserviciosdehostingydelanubeestá
creciendorápidamente.Actualmente,muchasotraspartesdelaindustriaestánestancadasoincluso
envíasdedesaparición,peropara2017seesperaqueelgastoderivadodelanubealcanceauntotal
deUSD240000millonesporañolxvi.
Estasecciónclasificalostiposdehostingydescribelasáreasdeinterés.Proporcionaunanálisisdel
panoramaactualdelasamenazasenlanubeyenlínea,yunbreverecorridoporlosmétodosde
correcciónqueseutilizanparaabordarestascuestionescríticas.
TIPOSDEHOSTING
LosproveedoresdehostingfacilitanlaoperacióndelaInternetglobalyoperanlosaspectosbásicos
quehacenfuncionarInternet.Losproveedoresdehostingvaríanentamaño,desdeempresas
unipersonaleshastaempresasinternacionalesderenombremundial.Loquediferenciaalos
proveedoresdeinfraestructuradeInternetdeotrosaspectosdeInternetessurelativoanonimato.
EstosnegociosgeneralmenteoperandetrásdeescenaparafacilitarelusodeInternetparanegocios
muydiversos,desdeunatintoreríalocalounbancointernacional.
FORMATODELAINFRAESTRUCTURADEINTERNET:
LosserviciosdeinfraestructuradeInternetsecomprendenmejorentérminosdelasformatos
subyacentesutilizadasporelproveedordeserviciosparabrindarlosserviciosalusuariofinal.
Existentrescomponentesdeestosformatossubyacentes:
• Instalaciones:Lasinstalaciones,frecuentementeconocidascomocentrodedatos,sonel
pilardeunproveedordeinfraestructuradeInternet.Puedeserpropiedaddelpropio
proveedordeinfraestructuraoestaroperadoporuntercero.Estainstalaciónalbergalos
enrutadoresyconmutadoresqueseconectanaInternetjuntoconlosservidores,físicosy
virtuales,queposeenelcontenido,losdatosylasaplicaciones.
•
Servidorfísico:Elservidorfísicoresideenungabineteounaestanteríayseubicaenun
centrodedatos.Esdondesealmacenanyseasegurancontenidosyaplicaciones.
•
Servidorvirtual:Elservidorvirtualesunaparticiónvirtualizadadeunservidorfísico.El
servidorvirtualactúayseejecutacomounservidorfísicoconunadiferenciamarginalen
elrendimiento.Unúnicoservidorpuedealbergarliteralmentehastadocenasde
servidoresvirtuales.
OperaciónSafetyNet
76
Losproveedoresdehostinggeneralmentesepuedenclasificarenunadecincocategoríasprincipales:
i.
ii.
iii.
iv.
v.
Hostingcompartido
Hostingestándaradministrado
Hostingcomplejoadministrado
Infraestructuraenlanube
Colocación
CATEGORÍASDEINFRAESTRUCTURADEINTERNET
Hostingcompartido:Elhostingcompartidoeselespaciocompartidoenunservidorfísicoqueno
aíslausuariosyniasignaderecursosdefinidos.Secompartenlosrecursosfinitosdeunservidor
físico,amenudoenformadesigual,entretodoslosclientesqueresidenenél.Losproveedores
puedenalbergarliteralmentecientosdeclientesenunúnicoservidor.
Elhostingcompartidoseutilizafrecuentementeparapublicarcontenidowebestáticoodinámico.Las
plataformasdeblogs,comoWordPressyaplicacionessimplesdecomercioelectrónico,amenudose
ejecutanenentornosdehostingcompartidosyestánhabilitadosconinstalaciónautomática.
Lasorganizacionesconrecursosmuylimitadosutilizanelhostingcompartidoparacomunicarsey
construirunapresenciaenInternet.Elhostingcompartidoexistenormalmenteenelpuntoinferior
delmercadodelainfraestructura.Losusuariosfrecuentesson:consumidores,pequeñasempresas,
oficinasdomésticasyblogueros.
Hostingestándaradministrado:Unproveedordeinfraestructuraqueproporcionaunhosting
estándaradministradoengeneralalquilaservidoresfísicosdedicados(avecessedenominan
servidoresdesnudosdemetal)oservidoresvirtualesalojadosenlasinstalacionesdelcentrodedatos
delproveedordeinfraestructura.Losclientessuelenalquilarlosrecursosdelservidorsegúnun
contratofijo.
Enelhostingestándaradministrado,losclientesposeenunaccesoraízalservidoryporlogeneralse
autoadministran.Elproveedordeinfraestructuraproporcionaunnivelbásicodesoporteymaneja
ciertastareasdeadministración,aunquelimitadas,comoelmantenimientodelhardware,la
realizacióndecopiasdeseguridadylainstalacióndesoftwaredeservidorwebysistemaoperativo.
Elservidorrealespropiedaddelproveedoryelclienteloalquila.Comoresultado,elclientenose
enfrentaaunciclodeactualizacióndeIT.Simplementesepuedenmoveraotroservidorquese
ajusteasusnecesidades.Nosuelenpagarlasactualizacionesdehardwareotienenlaobligaciónde
permanecerenelservidorquehanalquilado.
Elhostingestándaradministradoestádiseñadoparaacomodarlascargasdetrabajoy
configuracionesrelativamentesencillas.Laspequeñasempresasgeneralmenteutilizanelhosting
estándaradministradocomounaalternativaalacompraeinstalacióndeactivosdeIT.
Hostingcomplejoadministrado:Elhostingcomplejoadministradotambiénseaplicaaservidores
virtualesyservidoresfísicosdedicados.Haymuchassimilitudesentreelhostingestándar
administradoyelhostingcomplejoadministrado;peroladiferenciaclaveeselniveldesoporte
administrativoydeingenieríaquepagaelcliente.Estasdiferenciassurgendelaumentoeneltamaño
ylacomplejidaddelaimplementacióndeinfraestructura.Elproveedordeinfraestructuraasumeel
controldelamayorpartedelaadministración.
OperaciónSafetyNet
77
Elhostingcomplejoadministradoimplicaadquirirunaampliagamadeconocimientosycapacidades
enlaadministracióndesistemas,gestióndebasesdedatos,seguridad,supervisión,administración
deregistros,recuperaciónantedesastresyrespaldodedatos.Losserviciosdeadministraciónse
puedenextenderinclusoalacapadeaplicación,aunqueestotiendeaserinfrecuentefueradela
mayoríadelasaplicacionesestándardelaempresa.Unaimplementacióntípicadeunhosting
administradotendráunnúmerodedispositivosadicionales,comobasesdedatos,servidoresweby
aplicaciones,firewallsyequilibradoresdecarga.Enlugardeutilizaralmacenamientolocal,los
clientesamenudousanredesdealmacenamientooadjuntosalared.Tambiénadquiriránservicios
decopiasdeseguridadyserviciosdereplicaciónoescenariosderecuperaciónantedesastres.
Algunosproveedoresdeinfraestructuraaumentansuofertaestándarproporcionandoserviciosde
consultoríaquevanmásalládelacapadeniveldeserviciosadministrados.
Cuandosetrataunserviciodehostingcomplejoadministrado,larelacióndelhostingsetiendea
limitaraunnúmeropequeñodeaplicacionesversuseltotalqueexistedentrodelaempresa.El
hostingcomplejoadministradoesutilizadocomounaextensióndelcentrodedatoslocal.
Elhostingcomplejoadministradoseutilizaparacargasdetrabajoyconfiguracionesgrandesy
complejas.Tambiénesunaopcióncuandolasempresasnecesitanunacapacidadmuyespecíficay
especializada,comolaseguridadylaconformidad.Elhostingadministradoesunaalternativaala
compraeinstalacióndeactivosdeITytieneuncomponentedeahorrodecostos.Esunamanerade
aliviarlacargadepersonaldeITinternoyliberarrecursos.
Infraestructuraenlanube:Lainfraestructuradenubeesbásicamenteunaformamásflexibley
escalabledeservidordehostingvirtual.Lacaracterísticaclavedelainfraestructuraenlanubeesla
disponibilidadderecursos.Eltamañodeunservidoraumentarodisminuirsobrelamarchaodentro
deunplazodetiempomuybreve.Asíqueenlugardeunacantidadfijaderecursos,elusuariofinal
puedeajustarcapacidaddeinfraestructurasegúnlademanda(olafaltadeella).Porlogeneral,la
nubeseconsumeporhora,peroinclusoseestácomenzandoafacturarporminuto,permitiendoel
consumobasadoenlautilidad.
Lanubeestambiénaltamenteresistente,ynotieneunúnicopuntodefalla.Losrecursosenlanube
sonmóvilesysepuedenconmutarautomáticamentehaciaotrohostfísico.Sepuedereiniciaren
cualquierlugaryencualquiermomentoconelconjuntoadecuadodeherramientasycapacidades.
Estaflexibilidadlepermitealanubeintegrarseenentornoshíbridosencualquiercentrodedatos
localotercerizado.
Colocación:Lacolocacióneselsuministrodecapacidaddelafuentedelcentrodedatospara
empresasquenecesitanunlugarexternoparaalojaro"colocar"losservidores,elalmacenamientoy
losequiposderedesqueposeenyadministran.Lospilaresdelacolocaciónsonelespacio,la
potencia,larefrigeraciónylaconectividadaInternet.Enelmodelodecolocación,elclientetiene
accesoaunáreadesignadadentrodeuncentrodondeseinstaleelequipamientopropiooalquilado.
Muchosproveedoresdecolocacióntambiénofrecenserviciosdesupervisiónyadministración
remota.Algunosproveedoreslealquilanlosequiposalosclientes.
LarealidaddelaindustriadelainfraestructuradeInternetpuedellegarasermáscompleja,dadoque
lossegmentosdeserviciodeinfraestructurasesiguenconfundiendo.Porejemplo,ellímiteentreel
hostingestándaradministradoyelhostingcomplejoadministradoestácadavezmásclaro,dadoque
losproveedoresamplíanelmercadoyseexpandenhaciaserviciosdevaloragregado.Lomismose
puededecirdellímiteentrehostingadministrado,delavariedaddeservidoresvirtuales,yla
OperaciónSafetyNet
78
infraestructuraenlanube.Unnúmerodeofertasdehostingconservidorvirtualparecenserpartede
lainfraestructuraenlanube.Esposiblequenotengantodaslascaracterísticasdelanube,pero
muestranlosuficienteparadifuminarellímiteycrearalgunaszonasgrises.
ELESCENARIODELASAMENAZAS
Acontinuación,seenumeranlostiposdeataquesmásfrecuentesenlosproveedoresdeserviciosde
hostingyenlanube.Lalistanopretendesercompletaysiemprevaacambiarconeltiempo.
• Spam(saliente):Elspamescualquiercorreoelectrónicocomercialnodeseadoono
solicitado.LosproveedoresdebengarantizarquelosusuariosfinalesrespetenlasMejores
prácticasrecomendadasactualesdelM3AAWG.lxviiLosproveedoresdehostingtambién
querránsuscribirseatantosinformessobrebuclesderetroalimentaciónpertinentescomo
seaposibleprocesar.
•
Spamvertising(redirigidoycarga):Elspamvertisingocurrecuandounusuariodel
proveedordehostingcontrataaunterceroparaqueanunciesupresenciaenlaWeb.La
mayoríadelosreclamosdespamseoriginanporquelosusuariosfinalesenvíancorreos
electrónicosasusclientespotencialesquesolicitanalgúnproductooserviciosobrevaluado.
Lomásprobableesquelosproveedoresquerecibenunodeestosreclamosesténenelbucle
comoelremitentedelcorreoelectrónicoocomoelhostdelsitioqueseanuncia.
•
Phishingsaliente(hostingysalienteparalascredencialesdelcliente):Elphishing
ocurreprincipalmentecuandolacuentadeunusuariofinalhasidoafectada,casisiempre
comoresultadodeunscriptobsoletoejecutadoporelusuariofinal.Unsitiodephishingesun
sitiofraudulentoquepretendeserunaempresalegítima,comounbanco,unatarjetade
créditooPayPalquedirigealindividuoaingresarinformaciónconfidencial.Los
suplantadoresentoncestienentodoquelonecesarioparadefraudaralapersona.(Véasela
secciónPhishingeingenieríaSocialparaobtenermayorinformación).
•
Sitiosdesfiguradosopirateados(serviciodehostingporpartedelcliente):Mientrasque
losreclamosdephishingconfrecuenciacaeránenestacategoría,notodaslascuentas
pirateadasseutilizaránparaphishing.Algunassimplementepuedenserdesfiguradasylos
datosdelosusuariosfinalespuedenserdañadosodestruidos.Confrecuencialospiratas
informáticostambiéninsertanuncódigomaliciosoocarganbotsqueseconfiguranpara
causarotrosproblemas,comoataqueasitios,descargascultasoredireccionamientoa
contenidomalicioso.Lostercerosylasagenciasdeordenpúblicoanalizanestoseventosy
proporcionaninformaciónsobrecómocorregirsitiospirateados.Lamayoríadelascuentas
estáenpeligrodebidoalainstalacióndeunsistemadeadministracióndecontenidos(CMS)
noactualizados,porejemploJoomlaoWordPress.
•
Materialsobreabusosexualdemenores(serviciodehostingporpartedelcliente):
Paraelmanejoadecuadodeestostemas,lealasMejoresRecomendacionessobreMaterial
sobreAbusoSexualdeMenoresdelM3AAWG
(https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Disposition_CAM-2015-02.pdf).
•
Cuestionessobrederechosdeautorydepropiedadintelectual/demarcascomerciales
(serviciodehostingporpartedelcliente):Paraconsultarlaleysobrederechosdeautorde
losEstadosUnidos,hagaclicen
http://www.copyright.gov/reports/studies/dmca/dmca_executive.html.Otrosregímenesde
derechosdeautorseaplicanenotrasjurisdicciones.
OperaciónSafetyNet
79
•
DenegacióndeServicioDistribuidoyotrotipodetráficohostilsaliente:Mientraslos
proveedoresdehostingoserviciosenlanubepuedentenerunamejorprotecciónquelas
pequeñasempresasunipersonales,estosproveedoresdeserviciostambiénsufrenunriesgo
mayordeataquesDDoSqueotrasempresasenlíneadebidoaque,enefecto,acumulanel
riesgodesusclientes.Unataqueaunclientepuedeafectaraotrosypotencialmenteatodala
operacióndehostingdebidoalafuertedependenciaenlainfraestructuracompartida.
•
Iniciosdesesiónmaliciosos:Lospiratasinformáticosconstruyenunbotnetsóloconlas
pruebasgratisylascuentas"freemium"delosserviciosdehostingdeaplicacionesenlínea.
Utilizanunprocesoautomatizadoparagenerardireccionesdecorreoelectrónicoúnicasy
suscribirseenmasaalascuentasgratis,creandounbotnetbasadoenlanubedemilesde
computadoras.
PRINCIPALESÁREASDEINTERÉS
InstalacionesCRMvulnerables/desactualizadas:
Siconsideramosqueexistenmásde67millonesdesitiosWordPress,querepresentael23porciento
detodosdesitiosweblxviii,delmundo—yqueloseditoresutilizanlaplataformaparacrearblogs,
sitiosdenoticias,sitiosdelaempresa,revistas,redessociales,sitiosdelosdeportesyotros—noes
deextrañarquemuchos
delincuentesenlíneatienensumiradapuestaenobteneraccesoatravésde
estesistemadegestióndecontenidos(CMS).Porejemplo,Drupal,unaplataformaCMSenrápido
desarrollo,fueatacadaenel2014mediantesoftwaredetercerosinstaladoenlainfraestructurade
servidoresdeDrupal.org.
Noessólolapopularidaddeestossistemasloqueloshaceobjetivosatractivos.Muchosdelossitios
deestosservidores,aunqueesténactivos,hansidoabandonadosporsuspropietarios.
Probablemente,existen
millonesdeblogsabandonadosydominioscompradossinuso,yesprobable
quemuchosdeestossitioshansidocorrompidosporlosciberdelincuentes.Losexpertosen
seguridaddeCiscopredicenqueelproblemasóloempeorarádadoquecadavezmáspersonasenlos
mercadosemergentesdeInternetenelmundoestablecenunblogounsitiowebyloabandonanmás
adelante.
Tambiénsehademostradoqueelusogeneralizadodeplugins,quesondiseñadosparaampliarla
funcionalidaddeunCMSdecontenidosyjuegos,animacionesyvideospotentes,esunabendición
paralosciberdelincuentesquebuscanobteneraccesonoautorizadoalasplataformas.Para
exacerbaresteproblemamuchospluginsquedansinactualizarporsusautoresyfuerzanaaquellos
queusanydependendelospluginsanoactualizarsuinstalaciónactualacostasdeperdernegocioso
funcionalidadesdelsitio.MuchasafeccionesdelCMSobservadasporlosinvestigadoresdeCiscoen
2013seremontanapluginsescritosenellenguajedecódigodeescriturawebPHPquefueronmal
diseñadosysinconsiderarlaseguridad.
LasestadísticasrecogidasporlaempresadeseguridadSucurimuestranuntotalde3143
vulnerabilidadesenWordPressen15categoríasdiferentes.lxixConestacantidaddevulnerabilidades,
losconsumidoresdeWordPresshancomenzadoamantenersusoftwareactualizado;peromásdel
30%delossitiosdeWordPresssigueutilizandolaversión3oinferiorlxxydejaasussitiosalacecho
detercerosmaliciosos.
OperaciónSafetyNet
80
AtaquesDDoS:
DadoquelosataquesDDoSsehabíanconsiderado"noticiasviejas"entérminosdetécnicasde
ciberdelincuencia,muchasempresasestabansegurasdequelasmedidasdeseguridadquetenían
vigentesproporcionaríanunaprotecciónadecuada.Esaconfianza,recientementehasidosacudida
porataquesDDoSagranescalaentre2012y2013,queincluyelaoperaciónAbabil,queapuntóa
variasinstitucionesfinancieras,probablementepormotivospolíticos.
LoslíderesdelaindustriaadviertenquelosataquesDDoSdebenserunacuestióndealtaseguridad
paralasorganizacionesdelsectorpúblicoyprivadoporqueseesperanfuturascampañasaúnmás
extensivas.Lasorganizaciones,particularmentelasqueoperanotieneninteresesenlasindustrias
queyasonblanco,comoelsectorfinancieroyelsectorenergético,debenserextraordinariamente
cautelosas.Entre2010y2013,lasinterrupcionesnoplanificadasporataquesDDoSaumentarondel
2%al13%entotal.lxxiDehecho,unacomparaciónentreelúltimotrimestrede2013yelde2014
mostróunaumentodelosataquesDDoSenun90%,resaltandoquelosataquescontinúanen
aumento.lxxiiElcostopromediototaldeestasinterrupcionestambiénhaaumentadodeUSD613000a
USD822000enelmismoperíodo.lxxiii
AlgunosataquesporDDoShandadoungiropreocupante.Sehanutilizadoparadesviarlaatenciónde
otrasactividadesnefastas,talescomofraudeporcable.Estosataquespuedenabrumarapersonaldel
banco,impedirelenvíodenotificacionesalosclientesyevitarquelosclientesinformenelfraude.Las
institucionesfinancierasraramentesoncapacesderecuperarsuspérdidas financieras.Unataque
quetuvolugarel24dediciembrede2012queapuntabaalsitiowebdeunainstituciónfinanciera
regionalconsedeenCaliforniayayudóadistraeralosempleadosbancariosmientrassetomabael
controldeunacuentaenlíneadeunodesusclientes,quesetradujoenUSD900000enmanosdelos
delincuentes.
Losconocimientosquerápidamenteseprofundizansobrecómoafectarunservidordehostingsólo
lesfacilitaráalosciberdelincuenteslanzarataquesDDoSyrobarorganizacionesespecíficas.Por
ingresaraunapartedelainfraestructuradeInternet,losactoresmaliciosossepuedenaprovecharde
grandescantidades
deanchodebanda,posicionándoseparalanzarcualquiercantidaddecampañas
degranalcance.Yaestásucediendo:enagostode2013,elgobiernochinoinformóqueelmayor
ataqueDDoSenlahistoriahabíainterrumpidoelserviciodeInternetenChinadurante
aproximadamentecuatrohoras.
InclusolosspammersestánusandoataquesDDoSparacontraatacar
alasorganizacionesquese
cruzanenelcaminodesugeneracióndeingresos.Enmarzode2013,laorganizaciónsinfinesde
lucroSpamhaus(querastreaalosspammersyhacreadolalistadebloqueodeSpamhaus,un
directorioquecontienedireccionesIPsospechosas)fueblancodeunataqueDDoSque
temporalmenteinterrumpiósusitiowebyredujoeltráficodeInternetentodoelmundo.Los
atacantessupuestamenteestabanafiliadosCyberBunker,unproveedordehosting,consedeenlos
PaísesBajos,queposeecondicionesdeusopermisivasySTOPhaus,quehaexpresadopúblicamente
sudesagradoporlasactividadesdeSpamhaus.ElataqueDDoSsiguióalservicioampliamente
utilizadodeSpamhaus,quehabíacolocadoaCyberBunkerensulistanegra.
Servidoresmalconfiguradosenentornosnoadministrados:
Conlallegadadelanube,losusuariosahoratienenlacapacidaddecrearyconfigurarunentornode
servidorcompletoenunafraccióndeltiempoqueserequeríaparaelhardwarefísico.Estoha
permitidoquelosusuariospuedancrearfácilmentesupropiainfraestructuraconpocooningún
conocimientodecómolossistemassoncreacióndetrabajo.Mientrasqueestecambiolehapermitido
OperaciónSafetyNet
81
alosusuarioslacapacidadparahacermuchomásdeloquehanhechoantesdeabrirunnuevo
desafíoenlaprevenciónydetencióndeataquesaestossistemas.
Muchosdelosservidoresvirtualizadosynoadministradosnorecibenelmantenimientoqueyaseha
definidoenelmundodelhardwarefísicoadministrado.Lossistemasoperativosyprogramasnose
actualizancorrectamente(onoseactualizan)paratratarparchesyvulnerabilidadesdeseguridad.
Lospermisossecambianraramenteoseestablecenendondecualquierpersonaconaccesoal
servidorpuedarealizarcambios,dejandolapuertaabiertadelservidorhaciaelmundoexterior
susceptiblealaactividadmalintencionada.
Algunosprogramasusanmétodosdecomunicaciónentranteysalientequesinoseconfigura
correctamenteconviertealservidorenunarmaquesepuedeutilizarenunareflexiónDDoS,iniciode
sesiónSSH,inyeccióndeSQLyotrosataquesconcapacidadparainterrumpirlossistemasespecíficos
duranteunperíodosignificativo.Además,estoserroresdeconfiguraciónlespermitenalosactores
maliciososaccederasitiosoinformaciónalojadaenelservidorqueresultanenelrobodedatos,
sitiosdephishingyhostingdemalware.
Elseguimientodeestossistemasmalconfiguradosyactualizadosesunatareamonumentalparalas
compañíasqueofrecenestosservidores;porlotanto,pocoselehaceaestossistemashastaqueya
hansidoatacados.
LASMEJORESRECOMENDACIONES
Prevención:
1) Investigaralosclientesantesdequecausenproblemas:Losproveedoresdehostingestána
merceddelaspeoresprácticasdesusclientes.Losproveedoresdebenincorporarunprocesode
investigaciónparaidentificardeformaproactivaclientesmaliciososantesdequerealicen
actividadesilegales.realizaresfuerzosparaseleccionarclientesquetendránunbuen
comportamientoparalaempresadehostingesotraformadepreservarlaseguridaddelentorno
dehosting.
2) Requeriralosclientesquemantenganelsoftwareactualizado:Laimposibilidaddemantener
actualizadoelsoftwareyhardwareofirmwareenelentornoesunadelasprincipalescausasde
abusoenelespaciodehosting.Losacuerdosconlosclientesdeberíanespecificarquelosclientes
haránunmejoresfuerzoparamantenersussistemasactualizados.
3) Capacitaralpersonaldeatenciónalclienteenlaconcientizaciónsobreseguridad:Los
equiposorientadosalcliente,comosoporte,ventasymarketingnoseenfrentanalamayoríade
losdesafíosdiariosquesonlanormaparalosequiposdeseguridadodecontraataques.La
capacitacióndebebrindarleaestosequiposelconocimientodecuándodecirleaunclienteo
prospectoquesusprácticasnoserigenporlostérminosylaspolíticasdeusoaceptabledel
sistemaenelqueestán,oendondeestántratandodeproporcionarunentorno.
4) Prevenirelabusoenelbordedelared:
a) Considereutilizarunsistemadedeteccióndeintrusionesdehardware(IDS).
b) Utiliceunsoftwaredeseguridadyunfirewall.
c) Promuevaelusodefirewalldeaplicaciónweb.
d) Utilicelaasignaciónpornivelesparaclientesvaliosos.
e) Contrateclientesparaprotegerlaseguridad.
f) Maximiceelcontactoconlosclientesyprotejalaidentidaddelcliente.
OperaciónSafetyNet
82
g) Fomenteelusodecontraseñasseguras.
h) UtilicelasmejoresprácticasrecomendadasenredesIPv6:ElIPv6proporcionatantas
direccionesquenoesnecesario—ynohayrazón—compartirunaúnicadirecciónIPentre
variosclientes.Lamejorprácticaesasignaracadacliente1/64delespaciodedirecciones
IPV6.Inclusoenlossistemasfísicosycompartidosmáspequeños,cadaclienteycadasitio
webdeberíatenerunadirecciónúnica.Estofacilitaelrastreodelafuentedelataque,
posibilitaquelosdestinatariosdelataquebloqueenalclienteinfractorsinbloquearalresto
delosclientesdelmismohostypuedefacilitarlasuspensiónyrenovacióndelserviciocuando
seanecesario.
i) Losproveedoresdehostingdebenmantenersistemasyprácticasdeseguridadinterna.Todas
lasmedidasrecomendadasanteriormentesoninútilessilosactoresmaliciosospueden
adivinarlascontraseñasqueutilizaelpersonaldelproveedor.Losproveedoresdehosting
debencumplirlosestándaresdecumplimientodePCI.
Deteccióneidentificación:
1) Utilizaridentificadoresconfidencialesdelcliente:Lasempresasdebencrearunidentificador
únicoparacadaclienteespecífico.Esteidentificadordebeserevidentesóloparalaempresade
hostingyserincomprensibleparaterceros.Estomantienelaprivacidaddelaidentidaddel
clientey,sinembargo,leotorgaalaempresadehostingunamanerasimpleyefectivapara
identificaralosclientes.
2) Establecercuentasdepapelparalosdominiosdelared:Lascuentasdecorreoelectrónicode
prácticacomúnyrolesdefinidosporRFCsedebenconfigurarparacadadominioydominiodel
clientesuministradoenunared.
3) MantenerregistrosprecisosdeSWIPeIPWHOIS:Lasempresasdebenmanteneringresos
clarosyprecisosensuRIRparalaasignacióndeespacioIP,eincluyenlassubasignaciones
mayoresal1/27delosclientes.LaslistasWHOISdeberíanincluircuentasfuncionalespara
informarsobreataques.
4) Configurarlatelemetríainternaqueinformaelestadodelared:Losejemplosson:
a) Autoverificacióndelared;
b) Análisisdeltráfico;y
c) Verificacióndelfiltrodespamsaliente.
5) Facilitarelinformedeataques:Losproveedoresdehostingdebenproporcionarinstalaciones
paraquelosmiembrosdelpúblicopuedanpresentarinformessobreelataquequeperciben
desdedelaredencuestión.Losproveedoresdebenentoncesreconocerlapresentacióndeestos
informesyactuarsegúncorresponda.Debenmantenercanalesdecomunicaciónredundantesque
fundamentenlafalladeuncanaldado.
a) Correoelectrónico;
b) Teléfono;
c) Mensajeríainstantánea(chat);
d) Sistemasdeventasdeboletos;
e) Informesdeestadodelsitio;y
f) Participaciónenredessociales.
OperaciónSafetyNet
83
6) Responderconrapidezlosreclamos:Laspresentacionesindividualesdebentenerunmensaje
automáticodereconocimiento(AUTO-ACK)consuficienteespecificidadparaserdiscretosentre
otraspresentacionesquelaorganizaciónquerellantehayahecho.Debenincluirladenuncia
original,unnúmerodereclamooriginalycualquierotrainformaciónquelegaranticealusuario
queelreclamohasidorecibidoyestásiendoanalizado.
7) Considerarladesignacióndeinformantesdeconfianza:Quienespresentenunreclamose
puedendefinircomodealtacalidadodealtaprioridad.Estasfuentespuedenserinternasy
externas.Sedebepreverunservicioprioritariomanteniendonivelesdeprioridadespecificada.
Porejemplo,esposibledesignarelcontactodeunaDNSBLampliamenteutilizadacomoun
informanteadecuadodeprioridad,aunqueunreclamodespamdeesafuenteobviamentesería
menossignificativoqueunacuestiónDDoSquesucedesimultáneamente.
8) Establecerbuclesderetroalimentación(FBL)einformesautomatizados:Elconsumodel
registrodedatosporFBLparaFBLcolaboraenqueelproveedorevitelaslistasDNSBL,restrinja
eldañodereputaciónypermitaqueelpersonaltrateenformaproactivaconlosclientes
atacantesyatacados(afectados).
9) Implementarunamétricadecomparación:Establecermétricassistemáticasparaquelos
proveedoresdehostinglasutilicenlespermiteaestosyalasagenciasdeordenpúblico
identificarcasosdeataqueycomparareficazmentelosdatosentodalaindustria.lxxiv
Corrección:
Lasprioridadesdecorrecciónproporcionanalasempresasdehostingyalosclientesconlaspautas
pararesolverproblemas.Lasrecomendacionesacercadelaprioridaddelosreclamostambiéndeben
considerarlagravedadylaseriedaddelataqueyelalcancedeunacuestióndeterminada.Además,se
debentenerencuentalafuentedelinformeylagravedaddelosdañosalareputacióndelaempresa
dehostingydelcliente.Unacampañadespammasivopuedeserdemayorprioridadquelapresencia
deunbotnetlatente.Debehaberunaevaluacióncasoporcasodecuestionesquepuedanalterarel
niveldeprioridaddeundeterminadoproveedorocliente.
Responderrápidamentealascuestionesdealtacalidad/altaprioridad:
Lamayoríadelasdenunciasrecibidasdesdecualquierempresadehostingsólorequiereunacusede
recibo.Sinembargo,enalgunoscasos,comoreclamosdealtoperfil,solicitudesdecierrey
eliminacióndelalistanegra,seexigenunarespuestaadicional.Elclienteolaagenciainformantese
debecontactarinicialmenteparacomunicarqueelreclamoseencuentraenanálisis.Sedeberealizar
unsegundocontactounavezqueseresuelvelacuestión.Sóloenelcasodecuestionespersistenteso
excepcionales,sedeberánrealizarlascomunicacionesqueseannecesarias.
Comuníqueseproactivamentecuandoocurreneventosqueafectanalaindustriaoatodauna
empresa.
Encasodeunataqueounavulnerabilidadgravequepodríaponervariosclientesoungrupo
específicodeclientesenpeligro,sedeberádesarrollarunplandecomunicacióninformarlesdel
problemayproporcionarlesinstruccionesgeneralessobrecómoresolverlo.Silaviolaciónimplicóel
accesoalainformacióndeidentificaciónpersonal,sedebesabercuálessonsusobligacionessegún
losrequisitosregionalesonacionales,inclusoelalcancedelanotificaciónalaspersonasafectadasy
elavisoalasautoridadespolicialescorrespondientes.Estascomunicacionessedebenenviaren
tiempoyforma.Además,elpersonaldeberátomarconcienciadelacuestiónydisponerdelas
instruccionesadecuadaspararesolverelasuntoencasodequeunclientenecesiteasistencia.
OperaciónSafetyNet
84
Tratarconclientesdifíciles:
1) Confirmelavalidezdelreclamo.
2) Notifíquelealclientedeunataque.Infórmelealclientelasinstruccionesaprobadasquele
ayudaránaresolverlacuestión.
3) Proporciónelealclientelostérminosylascondicionespertinentesycualquierregulación
gubernamentalaplicablequepuedanhabersidoincumplidosyhabercausadolanotificacióndela
violaciónolasuspensióndelservicio.Conestasacciones,elacuerdoconelclientepermanece
intacto.Lanotificacióndelclienteprotegelaempresadehostingdeposiblesreclamosdelcliente
odelterceroquerellantequepodríanprovocarlitigios.
4) Concédaletiempoalclienteparasolucionarelproblemao,siexisteunacuerdoenvigencia,
permítalealproveedorsolucionarlo.
5) Confirmequeelreclamoseharesuelto.
6) Cierreelincidente.Siesnecesario,notifíquelealaparteinformantequeelproblemahasido
resuelto.Suspendaelserviciodealosclientesquenorespondan.
OperaciónSafetyNet
85
ACOSOENLÍNEA
Nopasaundíasinrecibiruninformedelosmediosenlíneaytradicionalessobrealgúntipodeacoso
enlínea.Apesardequevaríaentrelasmolestiasylasaccionesquesonenverdadgraves,quedaclaro
quecomolosserviciosdeInternetestáncadavezmásdisponiblesanivelmundiallomismosucede
conelproblemadelacosoenlínea.Elacosoenlíneapuedeincluirdesdelapublicaciónenlíneade
mensajesofotosdigitalesperturbantesocrueles,amenazasenlínea,casosdebullyingocomentarios
negativoshastaelacosomediantecorreoselectrónicos,sitiosweb,redessocialesymensajesdetexto.
Cadagrupodeedadesvulnerablealacosoenlínea,queesunproblemacrecienteenlasescuelasen
loscampusuniversitarioseinclusoenellugardetrabajo.Elacosoenlíneasehaconvertidoenun
problemaporqueInternetofreceunanonimatoqueesatractivoaagresoresporqueesdifícilrastrear
suintimidación.Lamentablemente,losrumores,lasamenazasylasfotossepuedendifundiren
Internetmuyrápidamente.
Sehanproducidointentosdeviabilidadpararegularlxxveinclusosancionarleyeslxxvi,lxxviipara
combatiralgunosaspectosdelacuestión,peroengeneralsetratadeunazonaquees,todavía,
omnipresenteyennecesidaddeexamenydesarrollodebuenasprácticas.
Acontinuación,seproporcionaunalistadelasdiferentesformasdeacosoenlíneayseguidadeuna
guíasimplesobrecómoevitarelacoso.
Catfishing:Seconfiguraunperfilfalsoensitiosdecitasyredessocialesparaengañaraunaposible
víctimaenunarelaciónenlíneamedianteunaestafaconsudinero.
Acosoclasificado(Craigslist):Secreananunciosqueafirmanqueunapersonabuscasexodurouotro
tipodecomportamientoatípicoconrespuestasconfiguradasparadirigirsealteléfonodelacasadela
víctimaodireccióndecorreoelectrónico.
Cyberbullying:Básicamenteesuncasodecyberstalking,peroseasociamásconniñosyadolescentes
quesonacosadosenlíneaporotrosestudiantesatravésdesitiosweb,redessociales,tablerosde
mensajes,correoelectrónicooaplicacionesdeteléfonosinteligentesomensajeríadetexto.
Cyberstalking:Cuandoselehasolicitadoalacosadorenlíneaquesedetengaycontinúacontactando
enlíneaenrepetidasoportunidadesalavíctima.Estopuedetomarmuchasformas:correo
electrónico,sitioweb,mensajesocomentarios,tablerosdemensajes,mensajesdetextoenelteléfono
móvil,comentariosymensajesmedianteenaplicacionesparateléfonosinteligentes,etc.
Doxing:Averiguacióndeinformaciónpersonalidentificablesobreunindividuo;acontinuación,se
publicarlainformaciónenlínea,condirección,númerodeteléfonoparticular,teléfonomóvil,
direcciónynúmerodeteléfonolaborales,informaciónsobrefamiliares,etc.lxxviii
Imitación:Cuandounusuariocreaperfilesocuentasconotronombre,fotoseinformaciónde
identificación,yluegopublicacomosifueraesapersona.Estopuedeusarseparadesacreditarala
víctima,oenalgunoscasoscomounprimerpasohaciaactividadesfraudulentasparabeneficio
económico.Porejemplo,medianteelrobodefotoseinformacióndeunperfilderedessocialesyla
creacióndeunonuevo,undelincuentepuedeentablaramistadconamigosyparientesdelavíctimay
contactarlosmedianteunesquemade"viajerovarado"lxxixendondelapersonaqueafirmahaber
viajadohaciaalgunaparteperohaperdidosubilletera.Losamigoscercanossonmáspropensosa
caerenestatrampayenvíandineroporquecreenqueelperfilfalsificadoesreal.
OperaciónSafetyNet
86
Mobbing:Cuandoungrupodeusuariosenlíneaapuntahaciaunoomásindividuosycomouna
"banda"acosayacechaalasvíctimas,conlaesperanzadeexpulsarlosdeInternet,delaescuelaode
sutrabajo.lxxx
Outing:Revelar(odenunciar)elhechodequealguienseagay,lesbiana,transgéneroocompartir
informaciónsobrefetiches,condicionesmédicas,etc.enlíneasinautorización.
Robodeidentidadenlínea:Robarinformaciónpersonalyasumirlaidentidadovenderlainformación,
paraobtenertarjetasdecréditouotrosinstrumentosfinancieros,enformafraudulenta,como
préstamosohipotecas.
Comentariosporvenganza:Publicarcomentariosfalsosoextremadamentecríticosensitioscomo
ripofferport.com.Tambiénesposiblepublicarinformaciónpersonal,prejuiciossobreunapersonaen
sitioscomothedirty.com.
Pornografíadevenganza:Publicacióndefotosovideoscondesnudososemidesnudosensitiosweby
enotrosforossinelconsentimientodelaparte.Comosucedeconotrosmétodosdeacosoenlínea,la
mayoríadelosautoresintentanpermanecerenelanonimatoalrealizarlapornovenganzacreando
perfilesfalsosocuentasdecorreoelectrónicogratuitasparapublicarsobresusvíctimas.
Sexting:Intercambiodefotosovideoscondesnudososemidesnudosenlíneaatravésdeaplicaciones
comoSnapchat,Instagram,VineositioswebcomoFacebook.Mientrasqueel"sexting"ensímismo
noesacosoenlínea,sepuedeconvertirenacososilasfotosseenvíanadestinatariosquenolashan
solicitadoosielreceptorasuvezlosredistribuye.
SWATting:Hacerunallamadafalsaalapolicíaparainvocarunarespuestaarmada,generalmentepor
elequipoSWATlxxxi.Estoavecespareceunaamenazafalsadebombaouninformefalsosobreuna
tomaderehenes.
Trolling:Losusuariosenlíneaquetratandeincitaralareacciónporpublicarcomentarios
intencionalmentetangencialesoagresivamentegroseros.Estotambiénincluyetrollscontratados:por
ejemplo,personasrelacionadasconcampañaspolíticaspuedenrecibirunpagoparainiciar
discusionesopublicarpuntosdevistaridículosyextremossobresusoponentesparadesacreditarlos.
Lasmejoresprácticasrecomendadaspararestringirelacosoenlínealxxxii:
Restringir los lugares dónde publicar información personal:Sea consciente de quién puede
accederainformacióndecontactoolainformaciónsobresusintereses,hábitosotrabajoparareducir
laexposiciónalosagresores.Estopuederestringirelriesgodeconvertirseenvíctima;puederesultar
másfácilidentificaralagresorsiseconvierteenvíctima.
Evitarlaescalacióndelasituación:Responderconhostilidadprobablementeprovoqueaun
agresor.Segúnlascircunstancias,considereignorarlacuestión.Amenudo,loscyberbulliesy
agresoresprosperanenlareaccióndesusvíctimas.Siustedosuhijorecibenmensajeselectrónicos
nodeseados,yaseanmensajesSMSocorreo
electrónico,considerecambiarladirecciónelectrónica.Esposibledetenerelproblema.Sicontinúa
recibiendomensajesenlacuentanueva,puedellevarsucasoaunaacciónlegal.
Documentarelcyberbullying:Registrarcualquieractividadenlínea(correoselectrónicos,sitios
web,mensajesenredessociales,etc.),incluyendolasfechasyhoras.Mantenerunaversión
electrónicayunacopiaimpresa.
OperaciónSafetyNet
87
Informarelacosocibernéticoalasautoridadescompetentes:Siustedosuhijoestásiendo
acosadooamenazado,informedelaactividadalasautoridadeslocales.Lapolicíalocalonacionala
menudoesunbuenpuntodepartida.Hayunadistinciónentrelibertaddeexpresiónylaagresión
punible.Losfiscalesyfuncionariosencargadosdehacercumplirlaleypuedenayudaraclasificarlas
implicacioneslegales.Tambiénpuedeserapropiadoinformaralosdirectivosdelaescuelaquienes
puedendisponerdediferentespolíticasparaabordarlaactividadqueinvolucraalosestudiantes.
Serpropietariodesupropiaparticipaciónenlínea:Cuandoseaposible,establezcala
configuracióndeprivacidadyseguridadenlossitioswebasuniveldecomodidadparael
intercambiodeinformación.Porejemplo,cambielaconfiguracióndesussitiosderedessocialespara
limitarlavisibilidaddelosmensajesa"sóloamigos".Esaceptablelimitarelintercambiode
información.
Utilizar contraseñas seguras y preguntas de seguridad: No utilizar la misma contraseña en
diferentes sitios. Si tiene problemas para recordar las contraseñas, utilice un gestor de contraseñas
comoiPassword(Agilebits)yautenticaciónbifactorialsiemprequeseaposibleenlasredessocialesy
cuentas de correo electrónico. Si publica información personal como su escuela y el nombre de
soltera de su madre a los medios de comunicación social, utilice diferentes respuestas a preguntas
que se le puede pedir a su institución financiera, para que las respuestas no se puedan determinar
fácilmente. También, en lugar de utilizar la información real personal, considere elegir una frase
absurdaquepuedarecordaryqueusaparaestascuestiones(porejemplo,nombredesolteradela
madre:Batman).
Másseguroparamí,másseguroparatodos:Loqueustedhaceenlíneapuedeafectaratodos:en
casa,eneltrabajoytodoelmundo.Practicarbuenoshábitosenlíneabeneficiaalacomunidaddigital
mundial.
Educaralacomunidad:Haymuchosrecursosdisponiblesquepuedenayudaradesalentarelacoso
cibernético.Provistosatravésdelasautoridadesgubernamentaleslxxxiii
OperaciónSafetyNet
88
CONCLUSIÓN
Enlosúltimosaños,elambientedelasamenazasenlíneaymóvileshacambiadodramáticamente,y
apuntaaunagamamásampliadeindividuos,empresasyredes.Laaparicióndenuevastecnologías
permiteataquesmássofisticadosquesedesarrollaránmedianteelaprovechamientode
vulnerabilidadesdeunagamamásampliadeservicios,canalesyplataformas.
Losmétodostradicionalesparaabordarlasamenazasenlínea,conantivirus,firewallsycampañasde
educaciónsiguensiendounaparteimportantedeladefensa.Elmalwareylasbotnetsquesurgieron
enlosúltimosañossehantransformadoparaevitarsudetecciónycorrección.Parahacerfrentea
estasamenazasnuevasyemergentes,lacomunidadinternacionaldebedarunpasomásenel
ecosistemadeInternety,demaneracolaborativa,desarrollarenfoquespolifacéticosymultilaterales
paracombatirlas.
Esteinformeproporcionalasmejoresprácticasrecomendadasparaquelosconsumidores,la
industriaylosgobiernosabordenlasamenazasmóvilesyenlínea.Seincluyenrecomendacionespara
quelosconsumidoresseanmásproactivosenlaproteccióndesuspropiosdispositivos;paraquelos
proveedoresdeserviciosimplementenprácticasytecnologíasdeseguridadrecomendadasde
inmediato;paraquelosgobiernosgaranticenentornosregulatoriosylegislativosmodernosvigentes
ytrabajenconlasorganizacionesinternacionalesparalograresfuerzosdecolaboración.
Estasrecomendacionessonunconjuntodeherramientasparamanejaramenazasmóviles,enlíneay
devoz.Sinembargo,lasamenazasdescritasenesteinformesonsólounpanoramadelentornoactual
delasamenazas.Dadoquelasactividadesenlíneacambian,elusodelainformáticamóvilaumenta,y
losusuariosdeInternetylasempresascambiansusrespuestasydefensasalasamenazasexistentes,
estasamenazassemodificanyadaptanparaatacarotrasvulnerabilidadesyperseguirnuevos
objetivos.
Laimplementacióndeestasrecomendacionestendráunenfoquemultilateralycoordinado.Conese
fin,losautoresdeesteinformerecomendamosalaOCDEyotrasorganizacionesinternacionales
unirsealM3AAWGyalLAPyparticiparconlasorganizacionesquegobiernanyadministranlas
infraestructurasdeInternet.Además,parahacerlefrentedelentornocambiantedelasamenazas,las
organizacionesinteresadasdeberíancolaborarmásproactivamenteenlasupervisióndeamenazasy
laimplementacióndenuevasmedidascomoseanecesario.
OperaciónSafetyNet
89
GLOSARIO
§
Estafa del 419 LlamadaasíapartirdelCapítulo38,Sección419,delCódigoPenalnigerianoque
abordaeltemadelfraude."Cualquierpersonaquemedianteunpretextofalso,yconintenciónde
defraudar,obtengadeotrapersonacualquiercosapasibledeserrobado,oinduzcaaotrapersonaa
entregar a un tercero cualquier cosa pasible de ser robado, es culpable de delito y será castigado
conprisióndetresaños".Estasfueronlosfamososcorreoselectrónicosoesquemasdepagopor
adelantadodelpríncipenigerianoenlosquesesolicitagastardineroacambiodeobtenerriquezas
incalculablesafinaldelrégimen.
§
Fraude por pago adelantado: Se trata de correos electrónicos que ofrecen un pago adelantado,
por ejemplo un sobrepago, por servicios ofrecidos. En la forma más frecuente, se solicita que el
sobrepago se realice a un tercero. Después de que el tercero liquida el pago, se descubre que el
pagooriginalesfalsoyseretiradelestadodecuentadelbancodelavíctima.
§
Protocolo de puerta de enlace de borde (BGP): Es el protocolo que toma decisiones sobre
enrutamiento central en Internet. Mantiene una tabla de "prefijos" o redes IP que designan la
capacidaddealcancedelaredentresistemasautónomos.1
§
Memoria caché: Almacenamiento de información utilizada recientemente en un lugar donde se
puedeaccedermuyrápidamente.Porejemplo,unnavegadorwebutilizaunamemoriacachépara
almacenarinformaciónsobrepáginaswebrecientementevisitadaseneldiscorígido.Dadoqueel
accesoaldiscorígidodelequipoesmuchomásrápidoqueelaccesoaInternet,elalmacenamiento
enlamemoriacachédepáginaswebpuedeacelerarsignificativamentelanavegaciónweb.2
§
Denegación de servicio distribuido (DDoS): Es un tipo de ataque cibernético que apunta a
avasallarointerrumpirdemaneraalgunalacapacidaddelsistemablancopararecibirinformación
einteractuarconotrossistemas.Porejemplo,elenvíodeunoounenormenúmerodemensajesno
deseadosparaevitarqueunservidorounaredfuncionacorrectamente.
§
Descargaoculta:SetratadeladescargainvoluntariadesoftwaredesdeInternet.Unusuariopuede
autorizarunadescargasinentenderlasconsecuencias,porejemplounprogramaejecutablefalso,o
ladescargapuedeocurrirsinconocimientoalgunodelusuario.3
§
Proveedores de servicios de correo electrónico (ESP): Esunaempresaqueofreceserviciosde
correoelectrónicoaotrasempresas.Estosserviciospuedenincluirlarecolecciónyarmadodelistas
de direcciones de correo electrónico, el envío de correo masivo a las direcciones de la lista, la
eliminacióndedireccionesquerebotanloscorreosyelmanejodereclamoseinformesdeataques
causadosporcorreoselectrónicosmasivos.
§
Firewall: Esundispositivodehardwareosoftwareinstaladoenunequipoquecontrolaelacceso
entre una red privada y una red pública, como Internet. Un firewall está diseñado para
proporcionarprotecciónmedianteelbloqueodelaccesonoautorizadoalequipooalared.
§
Sistema global para comunicación móvil (GSM): Es un conjunto estándar desarrollado por el
Instituto Europeo de Estándares de Telecomunicaciones (ETSI) para describir los protocolos de
segundageneración(2G)pararedesmóvilesydigitalesutilizadasporlosteléfonosmóviles.4
§
Filtrado de ingresos: Es una técnica que se utiliza para garantizar que los paquetes entrantes
pertenezcan en verdad a las redes que dicen pertenecer mediante el bloqueo de paquetes que
provienendedireccionesdeIPfalsas.5
OperaciónSafetyNet
90
§
CorporaciónparalaasignacióndenúmerosynombresenInternet(ICANN):Eselorganismo
quecoordinaelSistemadeNombresdeDominio(DNS),laasignacióndeespaciodedireccionesIP
(Protocolo de Internet), la asignación del protocolo de identificación, la gestión del Sistema de
Nombres de Dominio genéricos (gTLD) y de nivel superior con código de país (ccTLD) y las
funcionesdegestióndelsistemadeservidorraíz.6
§
Muladedinero:Sellamaasíaunapersonaquetransfieredinerorobadoomercancíasdeunpaísa
otro,yaseaenpersona,atravésdeunserviciodemensajeríaopormedioselectrónicos.Lasmulas
dedineroenlíneageneralmenteexistencomoresultadodeestafasporphishingomalware7
§
Nodo: Enlacomunicacióndedatos,unnododeredfísicapuedeserunequipodeterminaciónde
circuito de datos (DCE), por ejemplo un módem, un núcleo, un puente o un conmutador; o un
equipo terminal de datos (DTE), como un teléfono digital, una impresora o un equipo host, por
ejemplounenrutador,unaestacióndetrabajoounservidor.
§
JavaScript:Esunlenguajedecódigodeescrituraquepermitealosautoresdiseñardepáginasweb
interactivas.
§
Phishing: Es el intento de obtener información personal para robar una identidad u otra
información confidencial, como números de tarjeta de crédito o datos bancarios con fines
fraudulentos. Por ejemplo, un mensaje de correo electrónico que parece ser del banco del
destinatario le solicita que visite un sitio web para confirmar los detalles de la cuenta, pero en
cambiolodirigeaunsitiowebfalsodondeserecopilalainformaciónpersonal.
§
SMShingophishingmedianteSMSomensajedetexto:Seenvíaunenlacequeconduceaunsitio
webfalsovíaSMS,oelmensajelesolicitaaldestinatarioquellameaunnúmerodeteléfonodonde
continuaráelataquedeingenieríasocial.
§
Spoofing:Esfingirserotrapersonauorganizaciónyhacerqueunmensajedecorreoelectrónicoo
unallamadatelefónicaoriginadaenunlugarquedistadesuorigenlegítimoparezcareal.
§
DominiosdeAltoNivel(TLD):LosTDLsonelmásaltonivelenlajerarquíadelSistemade
NombresdeDominiodeInternetyrepresentalaúltimaporcióndelnombrededominio.Por
ejemplo,enelnombrededominiowww.example.com,eldominiodealtoniveles.com.La
responsabilidaddegestionardominiosdemásaltonivelesdelegadaaciertosorganismospor
laCorporaciónparalaAsignacióndeNombresyNúmerosenInternet(ICANN),quemaneja
laAutoridaddeNúmerosAsignadosenInternet(IANA),ytieneacargoelmantenimientodelazona
raízdelDNS.
§
Typosquatters: SonerrorestipográficosquecometenlosusuariosdeInternetcuandoescribenla
direccióndeunsitiowebenunnavegadorweb.Encasodequeunusuarioaccidentalmenteingrese
unadirecciónwebincorrecta,puedeconduciraunsitiowebalternativodeuncybersquatter.Una
vezenelsitiodeltyposquatter,elusuariopuedetambiénserengañadopensandoquesondehecho
enelsitiorealmedianteelusodecopiadoosimilareslogotipos,diseñoswebocontenido.8
§
VoIP:EselenrutamientodeconversacionesdevozporInternet.Difieredeunallamadatelefónica,
que se hace desde el teléfono del hogar o la oficina que pasa a través de la red telefónica pública
conmutada.
§
Vishing o phishing mediante voz sobre IP: Se realiza una llamada al destinatario, utilizando a
menudo una capacidad común de VoIP para establecer un identificador falso de llamadas, se le
solicita a la persona que llama a visitar un sitio web o a llamar a un número de teléfono donde
OperaciónSafetyNet
91
continuará el ataque mediante ingeniería social. Varios esquemas comunes incluyen un "soporte
técnico de Microsoft", cuestiones de impuestos atrasados o "usted será arrestado si no paga una
multa".
§
Inyecciones web: Es un tipo de ataque a la seguridad en el que el atacante añade código a un
cuadrodeformulariowebparaaccederarecursosorealizarcambiosenlosdatos.Loscuadrosde
entrada se suelen utilizar para la autenticación de un usuario; sin embargo, la mayoría de los
formularios web no tienen mecanismos que bloqueen la entrada de distintos nombres y
contraseñas.Sinosetomanprecauciones,unatacantepuedeutilizarloscuadrosdeentradapara
enviarsusolicitudalabasededatos,quepodríapermitirledescargarlabasededatosointeractuar
otramanerailícita.9
REFERENCIAS
●
1.http://en.wikipedia.org/wiki/Border_Gateway_Protocol
●
2.http://www.techterms.com/definition/cache
●
3.http://en.wikipedia.org/wiki/Drive-by_download
●
4.http://en.wikipedia.org/wiki/GSM
●
5.http://www.expertglossary.com/security/definition/ingress-filtering
●
6.http://www.icann.org/en/about/welcome
●
7.http://en.wikipedia.org/wiki/Money_mule
●
8.http://en.wikipedia.org/wiki/Typosquatters
●
9.http://searchsoftwarequality.techtarget.com/definition/SQL-injection
OperaciónSafetyNet
92
iDCWG,http://www.dcwg.org/
ii
GrupodeTrabajoparaConficker,http://www.confickerworkinggroup.org/
iiiWinFixer,Wikipedia,http://en.wikipedia.org/wiki/WinFixer
ivSymantec,2015InternetSecurityThreatReport,Volume20,
http://www.symantec.com/security_response/publications/threatreport.jsp
vMcAfee,McAfeeLabs2014ThreatsPredictions,http://www.mcafee.com/ca/resources/reports/rp-threats-predictions-
2014.pdf
viMicrosoft,DownloadCenter,http://www.microsoft.com/en-us/download/details.aspx?id=44937
viiSecunia,
http://secunia.com/vulnerability_scanning/personal/
viiiPCMag,“TheBestPasswordManagersfor2015”,http://www.pcmag.com/article2/0,2817,2407168,00.asp;PCMag,“You
Can’tRememberGoodPasswords,SoYouNeedaPasswordManager”,
http://securitywatch.pcmag.com/security-software/332153-you-can-t-remember-good-passwords-so-you-need-apassword-manager
ixPCMag,“TheBestFreeAntivirusfor2015”,http://www.pcmag.com/article2/0,2817,2388652,00.asp
xInternetEngineeringTaskForce(IETF),“RecommendationsfortheRemediationofBotsinISPNetworks”,
http://tools.ietf.org/html/rfc6561
xiAquilina,James,EoghanCaseyyCameronMalin,MalwareForensics:InvestigatingandAnalyzingMaliciousCode,Elsevier,
Inc.,2008.
xiiSafeCode,http://www.safecode.org
xiiiM3AAWG,“ABCsforISPs”,https://www.m3aawg.org/abcs-for-ISP-code
xivNationalSecurityAgency,SecurityConfigurationGuides,
http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml
xvNationalVulnerabilityDatabase,“NationalChecklistProgramRepository”,http://web.nvd.nist.gov/view/ncp/repository
xviVerizon,2014DataBreachInvestigationsReport,http://www.verizonenterprise.com/DBIR/2014/
xviiIbid.
xviiiAPWG,“APWGPhishingAttackTrendsReports”,https://apwg.org/resources/apwg-reports/
xixAPWG,“APWGGlobalPhishingSurvey1H2014:TrendsandDomainNameUse”,
http://docs.apwg.org/reports/APWG_Global_Phishing_Report_1H_2014.pdf
xxRSA,“2014CybercrimeRoundup”,www.emc.com/collateral/fraud-report/h13929-rsa-fraud-report-jan-2015.pdf
xxiCenterforStrategicandInternationalStudies,“2014McAfeeReportontheGlobalCostofCybercrime”,
http://csis.org/event/2014-mcafee-report-global-cost-cybercrime
xxiiO’Connor,Fred,PCWorld,“MonetisingMedicalDataisBecomingtheNextRevenueStreamforHackers”,March21,2015
xxiiiITGovernance,“123MillionHealthCareRecordsBreachedsofarthisYear”,March26,2015,
http://www.itgovernanceusa.com/blog/123-million-health-care-records-breached-so-far-this-year/
xxivSenderPolicyFramework,“ProjectOverview”,http://www.openspf.org/
xxvDKIM.org,http://dkim.org/
xxviICANN,http://www.icann.org/
xxviiDMARC,http://dmarc.org
xxviiiEnlamayoríadelospaísesdeoccidente,lasinstitucionesfinancieraslesreembolsaráalosconsumidoreslaspérdidas
porfraudegeneradasmediantelainstituciónfinanciera.
xxixMcAfee,“McAfeeLabsReportHighlightsSuccessofPhishingAttackswith80%ofBusinessUsersUnabletoDetect
Scams”,September4,2014,http://www.mcafee.com/us/about/news/2014/q3/20140904-01.aspx
xxxSANS,“BuildinganEffectivePhishingProgram”,
http://www.securingthehuman.org/media/resources/presentations/STH-Presentation-PhishingYourEmployees.pdf
xxxiStop.Think.Connect.,“Resources”,www.stopthinkconnect.org/resources/
xxxiiStaySafeOnline.org,“NationalCyberSecurityAwarenessMonth”,https://www.staysafeonline.org/ncsam/
xxxiiiAPWG,“HowtoRedirectaPhishingSiteWebPagetotheAPWG.ORGPhishingEducationPage”,
http://phish-education.apwg.org/r/how_to.html
xxxivGrupodeTrabajoAnti-Phishing(APWG,eninglés),www.apwg.org
xxxvGrupodeTrabajoAnti-AbusodeMensajes,MalwareyMóvil,www.m3aawg.org
xxxviAlianzadeConfianzaenLínea,otalliance.org
xxxviiConsejodeRiegodelComerciante,merchantriskcouncil.org
xxxviiiForodelosEquiposdeRespuestaaIncidentesySeguridad,first.org
xxxixFBI,“DNSChangerMalware”November9,2011,
http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf
OperaciónSafetyNet
93
xlRFCEditor,"NetworkIngressFiltering:DefeatingDenialofServiceAttackswhichemployIPSourceAddressSpoofing",
May2000,http://www.rfc-editor.org/info/bcp38
xliRFCEditor,“IngressFilteringforMultihomedNetworks”,March2004,http://www.rfc-editor.org/info/bcp84
xlihttps://www.arin.net/policy/nrpm.html
xliiRFCEditor,“IngressFilteringforMultihomedNetworks”,March2004,http://www.rfc-editor.org/info/bcp84
xliiihttps://www.arin.net/policy/nrpm.html
xlivCounterpoint,“MarketMonitor:HandsetandSpartphoneMarketsQ42014”,January29,2015,
http://www.counterpointresearch.com/marketmonitor2014q4
xlvTheRealtimeReport,“MobileComemerce:OnlineRetailSalesfromMobileDevicesDoubleinLastYear”,May3,2012,
http://therealtimereport.com/2012/05/03/mobile-commerce-online-retail-sales-from-mobile-devices-double-in-lastyear/
xlviCorra,“MobileShoppingTrendsbyDevice”,February3,2015,http://corra.com/mobile-ecommerce-trends-2015
xlviiGSMAIntelligence,“GlobalData”,https://gsmaintelligence.com/
xlviiiWorldometers,“CurrentWorldPopulation”,http://www.worldometers.info/world-population/
xlixIDC,Llamas,Ramon,AnthonyScarsella,WilliamStofega,“WorldwideMobilePhone2015-2019ForecastandAnalysis”,
April2015,http://www.idc.com/getdoc.jsp?containerId=prUS23455612(subscriptionrequired)
lSymantec,“InternetSecurityThreatReport”,April2015,Volume20,
https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-202015-social_v2.pdf
liIbid.
liiAdaptiveMobile,“Selfmite:AttackUsingSMSWormtoIncreasePay-Per-InstallIncome”,June25,2014,
http://www.adaptivemobile.com/blog/selfmite-worm
liiiAustralia,Bulgaria,Belgium,France,Germany,Ghana,Greece,Ireland,Kenya,Netherlands,USA,SouthAfrica,Spain,
Sweden,Switzerland
livLookout,“2014MobileThreatReport,”
https://www.lookout.com/static/ee_images/Consumer_Threat_Report_Final_ENGLISH_1.14.pdf
lvBibat,Aerol,“GGTrackerMalwareHidesasAndroidMarket”,AndroidAuthority,June21,2011
http://www.androidauthority.com/ggtracker-malware-hides-as-android-market-17281/
lviICT,“Statistics”,
http://www.itu.int/en/ITU-D/Statistics/Pages/stat/default.aspx
ICT,“ICTFactsandFigures,TheWorldin2014”,
http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2014-e.pdf;http://www.itu.int/en/ITUD/Statistics/Documents/facts/ICTFactsFigures2013-e.pdf
lviiCompareforexample:47U.S.C.§227(b)(1)(A)(iii)with47U.S.C.§227(b)(1)(B)and47U.S.C.§227(b)(2)(B).
lviiiFCC,“‘OneRing’PhoneScam,”availableathttp://www.fcc.gov/guides/one-ring-wireless-phone-scam.
lixCAPTCHAstandsfor"CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart"
lxSeefore.g.,T-LockCallBlocker–VersionN2,http://hqtelecom.com/callblocker?gclid=CMmt_raT6cECFc1_MgodhnEAWg;
CPRCallBlockerProductPage,http://www.cprcallblocker.com/purchase.html;DigitoneCallBlockerPlus,
http://www.digitone.com;andSentryDualModeCallBlocker,
http://www.plugnblock.com/?gclid=CJmKkbaT6cECFSFgMgodJRIAGA;PrivacyCorpCallerIDManager,
http://www.privacycorps.com/products/.
lxiWeisbaum,Herb,“Wanttogetridofthose$#%@robocalls?There'sanappforthat,”
http://www.cnbc.com/id/101758815#.
lxiiAllianceforTelecommunicationsIndustrySolutions,“NextGenerationInterconnectionInteroperabilityForum(NGIIF)
AutoDialersReferenceDocument,”https://www.atis.org/docstore/product.aspx?id=26137
lxiiiPreparedStatementofTheFederalTradeCommissionBeforetheUnitedStatesSenateCommitteeonCommerce,Science
andTransportation,SubcommitteeonConsumerProtection,ProductSafety,andInsuranceon‘StoppingFraudulent
RobocallScams:CanMoreBeDone?’,Washington,DC,July10,2013(“SenateHearing”),
http://www.commerce.senate.gov/public/index.cfm?p=Hearings&ContentRecord_id=c1eec086-3512-4182-ae63d60e68f4a532&ContentType_id=14f995b9-dfa5-407a-9d35-56cc7152a7ed&Group_id=b06c39af-e033-4cba-9221de668ca1978a&MonthDisplay=7&YearDisplay=2013
lxivTruthinCallerIDAct,47U.S.C.§227(e);cf.16C.F.R.Part310.4(a)(8).
lxvFederalTradeCommission,“RobocallsGoneWrong”,https://www.consumer.ftc.gov/media/video-0027-robocalls-gonewrong
lxviTheEconomist,“TheCheap,ConvenientCloud,”April18,2015,http://www.economist.com/news/business/21648685cloud-computing-prices-keep-falling-whole-it-business-will-change-cheapconvenient?fsrc=scn/tw/te/pe/ed/thecheapconvenientcloud
lxviiM3AAWG,“M3AAWGSenderBestCommonPractices,Version3,UpdatedFebruary2015,”
https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf
OperaciónSafetyNet
94
lxviiihttp://w3techs.com/technologies/history_overview/content_management/all/y
lxixhttps://wpvulndb.com/statistics
lxxhttp://w3techs.com/technologies/details/cm-wordpress/all/all
lxxihttp://www.emersonnetworkpower.com/documentation/en-
us/brands/liebert/documents/white%20papers/2013_emerson_data_center_cost_downtime_sl-24680.pdfPage13
lxxiihttp://www.stateoftheinternet.com/resources-web-security-2014-q4-internet-security-report.html
lxxiiihttp://www.emersonnetworkpower.com/documentation/enus/brands/liebert/documents/white%20papers/2013_emerson_data_center_cost_downtime_sl-24680.pdfPage14
lxxivNoroozian,A.etal.,“DevelopingSecurityReputationMetricsforHostingProviders,
http://www.tudelft.nl/fileadmin/Faculteit/TBM/Onderzoek/Publicaties/hosting-metrics.pdf
lxxvTwitterbossvowstocrackdownontrollsandabuse:
http://www.theguardian.com/technology/2015/feb/26/twitter-costs-dealing-abuse-harassing-dick-costolo
lxxviSuicideofRehtaehParsons:
https://en.wikipedia.org/wiki/Suicide_of_Rehtaeh_Parsons
lxxviiGranby,Quebec,Canadamovestofinepeopleinsultingpoliceonsocialmedia:
http://www.cbc.ca/news/canada/montreal/granby-moves-to-fine-people-insulting-police-on-social-media-1.3045816
lxxviii4chanBulliesFitnessGuruScoobyOffYouTubeWithDoxxingandThreats:
http://newmediarockstars.com/2013/07/4chan-bullies-fitness-guru-scooby-off-youtube-with-doxxing-and-threats-video/
lxxixHowIgotcaughtupina'strandedtraveller'phishingscam:
http://www.theguardian.com/money/2013/nov/13/stranded-traveller-phishing-scam
lxxxHowOneStupidTweetBlewUpJustineSacco’sLife:
http://www.nytimes.com/2015/02/15/magazine/how-one-stupid-tweet-ruined-justine-saccos-life.html?_r=0
lxxxiTheWorldHasNoRoomForCowards:
http://krebsonsecurity.com/2013/03/the-world-has-no-room-for-cowards/
lxxxiiStaySafeOnline,https://www.staysafeonline.org/stay-safe-online/for-parents/cyberbullying-and-harassment
lxxxiiiFromtheUSFTC,https://www.consumer.ftc.gov/articles/0028-cyberbullying;
Nigeria,http://www.mamalette.com/parenting-3/cyber-bullying-nigerian-parents-need-know/;
ACMA,http://www.cybersmart.gov.au/Schools/Cyber%20issues/Cyberbullying.aspx;
RCMP,http://www.rcmp-grc.gc.ca/cycp-cpcj/bull-inti/index-eng.htm;
SouthAfricanPoliceService,http://www.saps.gov.za/child_safety/teens/cyber_bullying.php;
OperaciónSafetyNet
95
0 1 1 1 0 1 0 1 1 1 0 E V A L U A T E 0 1 0 0 0 1 0 1 0 0 1 1 0 R E S P O N D 1 0 1 0 0 0 1 0 0 1 1 1 0 1 0 0 1 0 D E V E L O P 1 0 0 1 1 0 1 1 1 1 1 0 D E T E C T 0 1 0 0 C O L L A B O R A T E 0 1 T E S T
Steering
Committee
Gary Warner, Director of Research in Computer Forensics,
Andre Leduc, Manager, National Anti-Spam Coordinating Body,
Jayne Hitchcock, President, WOAH
Industry Canada
Jeff Williams, Dell SecureWorks
Alyson Hawkins, Policy Analyst, Industry Canada
Jessica Malekos Smith, Student, UC Davis School of Law
Christina Adam, Policy Analyst, Industry Canada
John Levine, President, CAUCE.org
Jerry Upton, Executive Director, Messaging, Malware and Mobile
Jonathan Curtis, Norse Corporation
Anti-Abuse Working Group (M3AAWG)
Lisa Foley, Policy Analyst, Industry Canada
Neil Schwartzman, Executive Director, CAUCE.org
Contributors
Alex Bobotek, Lead, Mobile Messaging Anti-Abuse Strategy and
Architecture, AT&T
Amy Hindman, Principal Engineer, Verizon
Betsy Broder, Counsel for International Consumer Protection,
University of Alabama at Birmingham
Jay Opperman, General Manager, CSP, Damballa
Justin Lane, Anti-Abuse Manager, Endurance International
Karen Mulberry, ISOC
Lee Armet, Senior Investigator, TD Bank Group
Mary Retka, Director, Network Policy, CenturyLink
Matthew Bryant, Ofcom
Matthew C Stith, Manager, Anti-abuse, Rackspace Hosting
Michael Hammer, American Greetings
Michael O’Reirdan, Comcast Fellow
Federal Trade Commission
Patrick Tarpey, Ofcom
Bruce Matthews, Manager, Anti-spam Team, Australian
Paul Vixie, CEO, Farsight Security
Communications & Media Authority
Carlo Catajan, iCloud Mail & iMessage Anti-Abuse, Apple Inc.
Carlos Alvarez, Sr. Manager, Security Engagement, SSR Team,
ICANN
Chris Boyer, Assistant Vice President, Global Public Policy, AT&T
Christian Dawson, President, ServInt and Chairman, i2Coalition
David Jevans, Chairman, Anti-Phishing Working Group (APWG)
Eric Freyssinet, Ministère de l’intérieur, France
Foy Shiver, Deputy Secretary-General, APWG
Francis Louis Tucci, Manager, Network Repair Bureau, Verizon
Peter Merrigan, Government of New Zealand
Phil Shih, Structure Research
Richard Feller, Hedgehog Hosting
Rod Rasmussen, President and CTO, Internet Identity (IID)
Sanjay Mishra, Distinguished Member of Technical Staff, Verizon
Sara Roper, Manager Information Security, CenturyLink
Sid Harshavat, Symantec
Steven Champeon, Enemieslist
Terry Zink, Program Manager, Microsoft
Wireless
TR Shaw, SURBL
Frank Ackermann, M3AAWG Public Policy Committee Co-chair
Venkata Atluri, Associate Professor, Alabama A&M University
Operación Safety Net
0 1 1 1 0 1
0 1 1 1 0 0 1 P R E V E N T 1 0 0 0 1 0 1 0 0 1 1 T R A C K 0 1 0 1 0 0 0 0 1 0 0 9 6
96
69 1 U P D A T E
1 1 0 0 1 1
0 0 1 1 0 R E P O R T 0 1 1 0
0 0 1 E D U C A T E
0 0 1 0 S H A
1 1 1 0 1 0 1 1 1 0 0 1 P R E V E N T 1 0 0 0 1 0 1 0 0 1 1 T R A C K 0 1 0 1 0 0 0 0 1 0 0 1 1 1 0 1 0 0 1 U P D A T E 1 1 0 0 1 1 0 0 1 1 0 R E P O R T 0 1 1 0 0 0 1 E D U C A T E 0 0 1 0 S H A R E 0 1 1 1
Participants
Adam Panagia, Adria Richards, Alexander Falatovich, April Lorenzen, Autumn Tyr-Salvia, Bill Wilson,
Bulent Egilmez, Chris Lewis, Dave Crocker, David Dewey, David Levitt, Donald McCarthy, Donald Smith,
Dylan Sachs, Eric Chien, Franck Martin, Hein Dries-Ziekenheiner, Jacek Materna, Jack Johnson, Jared Mauch,
Jean Marie Norman, John Cunningham, Julia Cornwell McKean, Kaio Rafael, Karmyn Lyons, Ken Simpson,
Lucas Moura, Mark Collier, Matteo Lucchetti, Michael Shoukrey, Mustaque Ahamad, Nabeel Koya,
Nitin Lachhani, Olivier Caleff, Patricia B. Hsue, Paul Ebersman, Peter Cassidy, Raymond Choo, Richard Clayton,
Richard Gane, Rudy Brioche, Sid Harshavat, Steve Jones, Steven M. Wernikoff, Suresh Ramasubramanian,
Toni Demetriou, Trent Adams, Will Clurman
97
1 1 1 0 1 0 1 1 1 0 E V A L U A T E 0 1 0 0 0 1 0 1 0 0 1 1 0 R E S P O N D 1 0 1 0 0 0 1 0 0 1 1 1 0 1 0 0 1 0 D E V E L O P 1 0 0 1 1 0 1 1 1 1 1 0 D E T E C T 0 1 0 0 C O L L A B O R A T E 0 1 T E S T 1
Descargar