OPERACIÓNSAFETYNET MEJORESPRÁCTICASRECOMENDADASPARAENFRENTAR AMENAZASENLÍNEA,MÓVILESYTELEFÓNICAS Preparado por Messaging, Malware and Mobile Anti-Abuse Working Group y LONDON ACTION PLAN 1 DE JUNIO DE 2015 Enespañol Este documento fue traducido por ICANN al español, a partir de su versión original en inglés, como un servicio a la industria Este trabajo está licenciado bajo una licencia Creative Commons Reconocimiento – SinObraDerivada (3.0) Unported Licence http://creativecommons.org/licenses/by-nd/3.0/deed.en_US (c) 2015 LAP y M3AAWG Este reporte es relativo a algunos productos comerciales como posibles soluciones a diferentes amenazas electrónicas. La mención de estos productos no constituye endoso de las organizaciones que han apoyado o contribuido a este reporte. OperaciónSafetyNet 2 Preámbulo Enoctubrede2011,losmiembrosdelLondonActionPlan(LAP)yelMessagingMalwareMobileAntiAbuseWorkingGroup(M3AAWG)realizaronunapresentaciónanteelComitésobrePolíticasde Consumidores(CCP)delaOrganizaciónparalaCooperaciónyelDesarrolloEconómico(OCDE)sobre lasperspectivasactualesdelasrecomendacionesantispamdelaOCDEconelfindeabordarlas amenazasenlínea. Duranteelencuentro,undelegadocanadiensedelLAPadvirtióque,mientrasqueelconjunto existentederecomendacionessobrespamdelaOCDEteníaunaaltatasadeéxitoenlamovilización deindustriasygobiernosparaqueaccionenenelabordajedelaproblemáticadelspam,seríadegran ayudalograrunamejorcomprensiónsobrelanuevageneraciónmássofisticadadeamenazasen línea.SobrelabasedelseguimientoinicialconeldelegadocanadiensedelCCPyelpresidentedel CCP,elOrganismoNacionaldeCoordinaciónAntispamdelMinisteriodeIndustriadeCanadápreparó elborradordeuninformequeseráredactadopormiembrosvoluntariosdelM3AAWGydelLAP.Este borradorsepresentóyobtuvoelacuerdodelosmiembrosdelM3AAWGydelLAPyfuerevisadopor laSecretaríadelCCP. El6dejuniode2012,losmiembrosdelLAPydelM3AAWGsereunieronenBerlínparadarinicioal desarrollodelinformequesepublicóenoctubredeesemismoaño.Enlaactualidad,tresañosmás tarde,esteinformehasidoactualizadoparaquereflejeelcambiantepanoramaylosnuevosmedios queutilizanlosciberdelincuentesparaserexitososyevitarseridentificados. Elinformeoriginalsedividióencuatroseccionesclave: i)Malwareybotnets; ii)ISPyDNS; iii)Phishingeingenieríasocial;y iv)Amenazasmóviles. Estasegundaversióndelinformehaactualizadolascuatroseccionesoriginalesycubrenuevasáreas, comofraudeportelefoníadevozyporvozsobreIP(VoIP),suplantacióndeidentificadoresde llamadas,cuestionesdeabusoencuantoaserviciosdehostingyenlanube,yacosoenlínea. Laactualizacióndelinformesobrelasmejoresprácticasrecomendadasinvolucróunainvitaciónalos miembrosdelM3AAWGydelLAPacolaborarconelinforme.Sedesignaronexpertosdelaindustria comoguíasdecadasecciónqueasuvezbuscaronaportesycontribucionesdeexpertosquenoeran miembrosdelM3AAWGnidelLAP.Alfinaldeesteinforme,seencuentraunalistadelos colaboradores. ElM3AAWG,elLAPylaCoalitionAgainstUnsolicitedCommercialEmail(CAUCE)lehanbrindadosu respaldooficialaesteinforme.Además,loscolaboradoresagradeceránloscomentariossobreel informedelaOCDE,elCCP,elGrupodeTrabajosobrePrivacidadySeguridaddelaInformación (WPISP)ydelComitésobreInformación,ComunicacionesyPolíticaInformática(ICCP).Cuando corresponda,loscolaboradorestambiénagradeceránelaportedeotrosforossobreestainiciativa. OperaciónSafetyNet 3 ÍNDICE OperaciónSafetyNet...............................................................................................................................................1 Mejoresprácticasrecomendadasparaenfrentaramenazasenlínea,móvilesytelefónicas...1 Resumenejecutivo...................................................................................................................................................7 Malwareybotnets.........................................................................................................................................................................................7 Phishingeingenieríasocial.......................................................................................................................................................................8 AtaquesalprotocolodeInternetyalSistemadeNombresdeDominio...............................................................................8 Amenazasmóviles,telefónicasydevozsobreIP(VoIP)..............................................................................................................9 Serviciosdehostingyenlanube.........................................................................................................................................................10 Conclusión......................................................................................................................................................................................................11 Introducción:Laevolucióndelasamenazasenlínea............................................................................12 Malwareybotnets.................................................................................................................................................14 ElPanoramaActualdelasAmenazasATravésdeBotnetsyMalware...............................................................................15 ElPanoramaFuturodelasAmenazasATravésdeBotnetsyMalware..............................................................................16 LasMejoresRecomendacionesParaAbordarelMalware........................................................................................................16 Lasmejoresprácticasparaeducadoresyusuarios.................................................................................................................17 A) Mejores prácticas: Prevención ............................................................................................................................................ 17 B)Mejoresprácticasrecomendadas:Detección.......................................................................................................................18 C)Mejoresprácticasrecomendadas:Remediación.................................................................................................................19 LasMejoresprácticasrecomendadasparaelgobiernoylaindustria............................................................................19 Phishingeingenieríasocial...............................................................................................................................26 Eldañoparalosconsumidoresylaindustria.................................................................................................................................26 Elpanoramadelphishing........................................................................................................................................................................27 Losobjetivosdelosataquesdephishing:Québuscan..........................................................................................................27 Líneadetiempodeunatípicacampañadephishing..............................................................................................................29 Evolucióndelosmétodosdeataque..............................................................................................................................................30 Elaumentoeneldesarrollodelosataquesdephishing.......................................................................................................31 Lasmejoresprácticasrecomendadascontraelphishingylaingenieríasocial..............................................................33 Referencias.....................................................................................................................................................................................................39 Estadísticas...............................................................................................................................................................................................39 Programasaniveldeusuario...........................................................................................................................................................40 PresentacóndeinformessobrePhishing:...................................................................................................................................40 Lasmejoresprácticasrecomendadas...........................................................................................................................................42 OperaciónSafetyNet 4 NombresdedominioydireccionesIP..........................................................................................................43 Descripcióngeneralsobretecnología................................................................................................................................................43 DireccionesIP...............................................................................................................................................................................................43 ElSistemadeNombresdeDominio....................................................................................................................................................44 AtaquesContraelDNS.........................................................................................................................................................................44 EnvenenamientodelaMemoriaCaché.........................................................................................................................................44 Mejoresprácticasrecomendadas:.......................................................................................................................................................45 MalwarequeAtacaalDNS......................................................................................................................................................................46 Mejoresprácticasrecomendadas:..................................................................................................................................................46 AtaquesContraLosServiciosdeRegistrodeNombresdeDominio...................................................................................47 Mejoresprácticasrecomendadas:..................................................................................................................................................48 AtaquesalawebyaotrosDNSdeservidores................................................................................................................................50 Mejoresprácticasrecomendadas:..................................................................................................................................................50 AtaquesadireccionesIP..........................................................................................................................................................................51 SuplantacióndedireccionesIP........................................................................................................................................................51 Mejoresprácticasrecomendadas:..................................................................................................................................................51 Anunciosdeshonestos..........................................................................................................................................................................52 Mejoresprácticasrecomendadas:..................................................................................................................................................52 Roboderangosdedirecciones.........................................................................................................................................................52 Mejoresprácticasrecomendadas:..................................................................................................................................................52 Referencias.....................................................................................................................................................................................................52 Amenazasmóvilesydevoz...............................................................................................................................54 Elentornomóvil..........................................................................................................................................................................................54 Mercadosdeaplicaciones........................................................................................................................................................................54 Amenazasespecíficasylasmejoresprácticasrecomendadas...........................................................................................54 SeguridaddelosMercadosdeAplicaciones..................................................................................................................................54 Lasmejoresprácticasrecomendadassobrelastiendasdeaplicacionesparaelgobiernoylaindustria:......56 Elmalwaremóvil.........................................................................................................................................................................................57 Lasmejoresprácticasrecomendadasparalaindustriayelgobiernoparaevitarelmalwaremóvil:..............58 Amenazasmixtas....................................................................................................................................................................................59 Modificacióndedispositivosmóviles............................................................................................................................................60 Jailbreakingdeundispositivo..........................................................................................................................................................60 Rootingdeundispositivo...................................................................................................................................................................60 Desbloqueodeundispositivo...........................................................................................................................................................60 OperaciónSafetyNet 5 Lasmejoresprácticasrecomendadasaunindividuosobrelamodificacióndedispositivosmóviles:............61 Las mejores prácticas recomendadas para la industria y el gobierno en relación con la modificación de dispositivosmóviles:............................................................................................................................................................................61 Amenazasdebandabase.........................................................................................................................................................................61 Lasmejoresrecomendacionesparalaindustriayelgobiernoparaevitarlasamenazasdebandabase:.....62 Elmodelocomercialdetarifaelevada:..............................................................................................................................................62 Lasmejoresrecomendacionesparaaindustriayelgobiernoparaevitarlasestafasmediantelosservicios detarifaelevada:....................................................................................................................................................................................64 Spammóvil....................................................................................................................................................................................................64 Lasmejoresrecomendacionesparalaindustriayelgobiernoparaevitarelspammóvil:...................................65 El aumento de los ataques internacionales .......................................................................................................................... 66 Consideracionesinternacionales...................................................................................................................................................67 Elcostodelasinvestigacionesinternacionales.......................................................................................................................68 Las mejoresrecomendacionespara elgobierno y la industria de acuerdo con cuestionesde colaboración cruzada:.....................................................................................................................................................................................................68 Amenazastelefónicasdevoz.................................................................................................................................................................69 Elentornodelatelefoníadevoz....................................................................................................................................................69 AmenazasporVoIP...............................................................................................................................................................................70 Llamadasautomatizadas....................................................................................................................................................................70 Lasmejoresprácticasrecomendadasparacombatirlasllamadasautomatizadas:.................................................71 Ataquestelefónicospordenegacióndeservicio(TDoS).......................................................................................................73 LasmejoresprácticasrecomendadassobreTDoS:.................................................................................................................74 Suplantacióndellamadas...................................................................................................................................................................74 Lasmejoresprácticasrecomendadasparaprevenirlasuplantacióndellamadas:..................................................75 Serviciosdehostingyenlanube....................................................................................................................76 Tiposdehosting...........................................................................................................................................................................................76 FormatodelainfraestructuradeInternet:.................................................................................................................................76 CategoríasdeinfraestructuradeInternet...................................................................................................................................77 Elescenariodelasamenazas.................................................................................................................................................................79 Principalesáreasdeinterés...............................................................................................................................................................80 Lasmejoresrecomendaciones..............................................................................................................................................................82 Acosoenlínea..........................................................................................................................................................86 Conclusión.................................................................................................................................................................89 Glosario......................................................................................................................................................................90 Referencias................................................................................................................................................................................................92 End Notes ...............................................................................................................................................................................................93 Steering Committee/Contributors/Participants .....................................................................................................................96 OperaciónSafetyNet 6 RESUMENEJECUTIVO Esteinformebrindaasuslectoresunadescripciónenlenguajesimpledelasamenazasqueenfrentan losnegocios,losproveedoresderedesylosconsumidoresenelentornomóvilyenlínea.Como muchosdenosotrossabemos,lastecnologíasmóvilesydeInternethansidoelimpulsoclavedela economíaglobalenlosúltimosveinteaños.Estastecnologíastienenunimpactosobrecasitodoslos aspectosdenuestravidadiariaysehanincorporadotambiénencasitodoslosmodeloscomercialesy cadenasdesuministro.Debidoalaincorporacióndelosequiposportátiles,losteléfonosinteligentes ylastabletasanuestravidapersonalylaboral,nuestradependenciadeestosdispositivostambiénse haincrementado.Utilizamoslosdispositivosparaconectarnosconlafamiliaylosamigos,para compraryrealizaroperacionesbancariasenlínea,relacionarnosconcolegasysocioscomerciales, reestructurarcadenasdesuministroyofrecerproductosdirectamentedesdelafábricaaloslocales deventaalpúblico. Conlacrecientedependenciadelsectorcomercialydelconsumidor,ylarápidamigracióndelas transaccionescomercialesalasplataformasmóvilesyenlínea,aparecenlasamenazasdelos ciberdelincuentes.Losciberdelincuentessacanprovechodelenvíodespam,delphishing,dela introduccióndemalwareensitiosweb,delapropagacióndebotnets,delredireccionamientode tráficodeInternethaciasitioswebmaliciosos,delaapropiacióndeserviciosdehostingyenlanube, ydelainsercióndespywareencomputadorasydispositivosmóviles. Noesfácilcalcularelimpactoeconómicodeestosataquescontinuos,yaseaporpaísoenunaescala mundial,dadoquelaspérdidasproducidasporlaciberdelincuenciaconfrecuencianoseinformano seminimizanporpartedelasvíctimas,lasinstitucionesfinancierasquecubrenlosgastosderivados delaspérdidasolasempresasqueafrontanloscostos,incluyendocostosdedefensayremediación hastacostosporcaídasdeserviciosdebidoaataque. Elobjetivoprincipaldeesteinformenoessóloestudiarlasamenazasfrentealosentornosenlínea, móvilydeVoIPqueamenazaaconsumidores,empresasygobiernostodoslosdías,sino,loquees másimportante,sugerirlasmejoresprácticasrecomendablesparaquelaindustriaylosgobiernos puedanabordarestasamenazas.Elenfoquedelinformeapuntaacincoáreasprincipales: MALWAREYBOTNETS ElmalwareylasbotnetsseincluyenentrelasamenazasmásgravesalaeconomíadeInternet.El softwaremaliciosoo"malware"escreadooutilizadoporlosdelincuentesparaafectaroperaciones informáticas,recolectarinformaciónconfidencialoaccederasistemasinformáticosprivados.Las botnetssongruposdeequiposinfectadosconmalwarequesecomunicanysecoordinanentresí(con frecuenciamedianteunaredcomplejadeequiposinfectados)yquerecojeninformaciónsobrecada dispositivoinfectadodemaneraindividual.Lasbotnetsmaximizanlaimpactantecapacidaddelancho debandaypotenciainformáticaquesignificacontrolarmásdeunmillóndedispositivos. Losdelincuentescontinuamentecambiano"transforman"elmalwareparaevitarqueseadescubierto yeliminado.Enconsecuencia,lamayoríadelosantivirus(AV)enfrentanladificultaddetenerque identificaramenazasnuevasyrecientes.Cadavezsonmáslasformasdemalwarequetienenla habilidaddedetectarqueestánsiendomonitoreadosmientrasseejecutan,posiblementeporparte deuninvestigadorquerealizaanálisisdecódigomalicioso,yalterarsuscaracterísticasparalograr quelosexpertosenmalwarenologrendetectaroanalizarsusfunciones.Algunasclasesdemalware OperaciónSafetyNet 7 inclusorealizaránuncontraataquealintentodevigilanciayanálisismedianteunataqueDdoS (denegacióndistribuidadeservicios). Enconsecuencia,cadavezsevuelvemásdifícilparaelentornodeseguridadenlíneaseguirleelritmo alasamenazasdemalware. PHISHINGEINGENIERÍASOCIAL Elphishinginvolucratécnicasqueutilizanactoresmaliciososparahacerqueunavíctimarevele informaciónfinanciera,comercialopersonalqueesconfidencial. Elphishinghaavanzadoininterrumpidamenteencuantoafrecuencia,sofisticaciónyperjuicio provocadodesdesusinicioscomoamenazaamediadosdeladécadadelosnoventaynomuestra signosdereducción.Dehecho,elphishinghaestadoenalzadesde2011,ycasiel25%delos destinatariosabrenloscorreoselectrónicosconphishingymásdel10%hacenclicenarchivos adjuntosmaliciosos.Asimismo,eltipodeinformaciónquebuscaelphishingaumentasuvalorcada vezmás:desdeunsimpleaccesoaunacuentadecorreoelectrónicooaunacuentabancariaque provocanpérdidasindividualesenmilesdedólares,hastaobjetivosdegranvalor. Losobjetivosdegranvalor,concretamentecuentascomercialesqueposeenunsecretocomercialo brindanprivilegiosespecialesacuentasbancariasyfinancieras,hansidoatacadosenrepetidas ocasionesycongranfrecuencia,situaciónqueproducepérdidascatastróficas,financierasyde propiedadintelectual,enunmismoeventodecientosdemillonesdedólares;unnúmeroincalculable deestoseventosocurretodoslosaños. Aunqueelphishingnoesunanovedad,elaumentoenlacantidad,enlosobjetivosyenlasofisticación delosataquesenlosúltimosañosrepresentaunaamenazamásfuerteparalascompañías,los gobiernosylosconsumidoresytambiéndestruyelaconfianzageneralenlaeconomíadigital.Se debencoordinardefensasparalograrsolucionestransparentesyabiertasconvariosgruposde interésparamaximizarlaeficacia,minimizarloscostoseincrementarlaconfianza. ATAQUESALPROTOCOLODEINTERNETYALSISTEMADENOMBRES DEDOMINIO DiferentesclasesdeactividadesilegalesatacanlasvulnerabilidadesasociadasalSistemadeNombres deDominio(DNS)ylasdireccionesdeprotocolodeInternet(IP).LosataquesmásgravesalDNSson elataquederesolutoresoelenvenenamientodelamemoriacaché,enlosquelosdelincuentes introducendatosfalsospararedireccionareltráficoenInternethacialaversiónfalsadeunsitioweb depopularidad. TodoequipoconInternetposeeunadirecciónIP,queseutilizaparaidentificarlo,delamismamanera queseidentificaaunaparatotelefónicomedianteunnúmerodeteléfono.LasdireccionesIP tradicionales,llamadasdireccionesIPv4(ProtocolodeInternetversión4),soncifrasbinariasde32 bits,escritascomocuatronúmerosdecimales,porejemplo,64.57.183.103.Laprimeraporcióndela dirección,enestecaso6457183,confrecuenciaidentificalared;elresto,enestecaso103,alequipo ("host")enlared.Ladivisiónentrelaredyelhostvaríasegúneltamañodelared,porloqueel ejemploanterioressimplementetípico.Dadoqueelhombredifícilmenterecuerdela OperaciónSafetyNet 8 direcciónIPyestáatadoaunaredfísica,elDNSesunabasededatosdistribuidadenombresquele permitealosusuariosutilizarnombrescomowww.google.comenlugardesudirecciónIP 173.194.73.105. Apesardesuenormetamaño,elDNSposeeunrendimientoexcelentemedianteladelegaciónylas memoriascaché.LasmásseriasvulnerabilidadesenelDNSseencuentranalniveldelosresolutoresy seconocencomoenvenenamientodelamemoriatemporal(cachepoisoning),enlaquelos delincuentesalteranlainformaciónderesolucióndenombresdedominioconelfinderedirigirel tráficodeInternethaciasitioswebfalsos-controladosporlosdelincuentesmismos-quecopiansitios webpopulares. CadacomputadorenInternettieneunadirecciónIP,queesutilizadaparaidentificaresedispositivo deunaformasimilaracomolosteléfonossonidentificadosporlosnúmerostelefónicos.Las direccionesIPtradicionales,conocidascomoIPv4(InternetProtocolversion4),sonnúmeros compuestospor32bitsbinarios,representadosporcuatronúmerosdecimales,como64.57.183.103. Laprimerapartedeladirección,enestecaso64.57.183,identificalaredyelresto,enestecaso103, identificaeldispositivoenparticular(elhost)enlared.Esadivisiónentreredyhostvaría dependiendodeltamañodelared,siendoesteejemplomencionadobastantetípico.Puestoquelas direccionesIPsondifícilesderecordarparaloshumanos,ypuestoqueestánatadasaredesfísicas,el DNSesunabasededatosdistribuidaqueincluyenombresyquepermitealaspersonasusar nombrescomowww.google.comenlugardelarespectivadirecciónIP173.194.73.105. Apesardesuenormetamaño,elDNSoperademaneramuyeficientepuestoqueutilizadelegaciones ymemoriastemporales.Esdecir,diferentesorganizacionessonresponsablesdesupartedelDNSy losdispositivosdelosusuariosrecuerdanlosresultadosdeDNSquehanrecibido.Puestoqueno seríaprácticoalmacenartodoslosnombresenelDNSenunaúnicabasededatos,elsistemasedivide enzonasquesonalmacenadasendiferentesservidores,lógicamentevinculadosentresíparacrear unainmensabasededatosinter-operableydistribuida. LasvulnerabilidladesenlasdireccionesIPyenelDNSincrementanelriesgoparalosconsumidores porqueenmuchoscasosnosabenquehansidoredirigidosaunsitiofalso,noalsitioalqueellosde verdadqueríanacceder. AMENAZASMÓVILES,TELEFÓNICASYDEVOZSOBREIP(VOIP) Coneladvenimientodelosteléfonosinteligentesyelmercadodeaplicacionesparadispositivosque utilizanAndroid,Apple,WindowsyBlackberry,elentornodelcomercioelectrónicosehaampliadoy ahoraincluyealosdispositivosmóviles.Dadoquelosconsumidoresmigransusactividadesde comercioelectrónicoalasplataformasmóviles,losdelincuentesquebuscanaprovecharsey defraudarrápidamenteseadaptan.Además,elentornomóvilcreaoportunidadesúnicasparalos nuevostiposdeataquesyamenazasdirigidastantoaconsumidorescomoaempresas. Losdispositivosmóvileslesproporcionanalosconsumidoresunamayorfuncionalidadyfacilidadde uso.Losusanconfrecuenciausuariosindividuales,queporlogenerallosmantienenenunestado activo,amenudoconelGPShabilitadoysonlocationaware(losdispositivosmismosconocensu ubicación).Porlotanto,losdispositivosmóvilesposeenunmayoratractivoinherenteparaunataque malicioso. Enlosúltimosaños,elentornomóvilhasufridouncrecimientoeneldesarrollodemalware,las primerasbotnetsmóviles,unaumentoenestafaspormensajedetexto(SMS)detarifaelevaday OperaciónSafetyNet 9 ataquessofisticadosquesehanasociadoconeljailbreaking(modificacióndelsistemaoperativoque permiteladescargadeaplicacionesdesdecualquierlugar,nosóloladesdelatiendadeaplicaciones queofreceunniveldeseguridadyconfianza)dedispositivosmóviles. Conelaumentoenlassuscripcionesalabandaanchamóvil,lasamenazastelefónicasdevozyde VoIPtambiénregistranuncrecimiento.Lafrecuenciaylagravedaddelasestafasporllamadas automatizadasaumentan,ylanuevatecnologíaquelespermitealosdelincuentesocultarseo cambiarsusnúmerosdeteléfonosalientesparaengañaraobjetivosconfiadoshacequeelfraudesea másefectivo.Amedidaqueunamayorcantidaddeserviciosdetelefoníasetransformanenservicios enlínea,losataquespordenegacióndeserviciodetelefonía(TDoS)tambiénaumentanencantidady frecuencia.Estetipodeataquespuedeserdevastadorcuandoelblancosonserviciosesenciales, porquelograquelossistemastelefónicoscolapsenyquelasllamadasdeindividuoslegítimosque intentancomunicarse,porejemploconelDepartamentodeBomberosoconunaambulancia,no lleguenadestino. Losciberdelincuentestienenunafuertepreferenciaparaoperarenunentornointernacional,loque complicaaúnmáslaaplicacióndelaley.Porejemplo,unvendedorenlíneademedicamentosilegales queviveenlosEstadosUnidospodríaenviarunspamconpublicidaddesusmedicamentosdesdeun equipoafectadoenBrasil,quedirigeasuspotencialescompradoresaunsitiowebconunnombrede dominioruso,mientrasquefísicamenteelservidordeesesitiowebestáubicadoenFrancia.Elpago delacompracontarjetadecréditosepodríaprocesaratravésdeunbancoenAzerbaiyán,elpedido podríaserenviadoenbarcodesdeunsitioenlaIndiayelingresopodríasercanalizadohaciaun bancoenChipre.Losdelincuentessabenquealactuardeestamaneraexistenmuchosfactoresque complicanlasinvestigacionesoficialesdesusdelitosenlíneayreducensuprobabilidaddecaptura. Estosfactoressonlafaltadecolaboración,lasdiferenciasentrejurisdiccionesyelcostodelas investigacionesinternacionales. SERVICIOSDEHOSTINGYENLANUBE "Hosting"serefiereaproveedoresdeserviciosquebrindanaccesocomercialasitiosweb,archivose intranet,yaccesoaInternetatravésdemúltiplesservidoresconectadosenlugardeunservidor únicoovirtual.Loshostssonempresasqueproporcionanespacioenunservidorpropioo concesionadoparaquesusclienteslousen;tambiénpuedenproporcionarespaciodecentrodedatos yconectividadaInternet.Losserviciosdehostingmásbásicossonelhostingwebydearchivosde menortamaño.MuchosproveedoresdeserviciosInternet(ISP)ofrecenesteserviciogratisalos suscriptores.EstoshostscontrolanlosprincipiosbásicosquehacenalfuncionamientodeInternety puedenoperarcomoempresasunipersonalesointernacionalesdeInternet. Lacomputaciónenlanubecomprendeelalmacenamientoyaccesoadatosyprogramasmediantela Internetenlugardeutilizarundiscodurolocal.La"nube"essimplementeunametáforadela Internet.Seremontaacuandoexistíanlosdiagramasdeflujoylaspresentacionesquerepresentarían lagigantescainfraestructuradeInternettipo"granjadeservidores"comounanubeblancay pomposa. Las amenazas móviles y en línea que atacan servicios de hosting y en la nube están en aumento e incluyen el spam, el spamvertising, el phishing, los sitios web pirateados, ataques por DDoS, la exploración de puertos para localizar vulnerabilidades, páginas web desfiguradas, infracción de derechosdeautor/marcasregistradasymalware.Estedocumentoclasificalostiposdehostingy OperaciónSafetyNet 10 definelasáreasdeinterés.Proporcionaunanálisisdelpanoramaactualdelasamenazasenlanubey en línea, y un breve recorrido por los métodos de corrección que se utilizan para abordar estas cuestionescríticas. CONCLUSIÓN ConelfindeprotegerlaInternetygarantizarsupromesafrentealosciudadanosdelmundo,es fundamentalqueidentifiquemosrespuestaseficientesyefectivasatodasestasamenazas.Este informe,presentadoporungrupointernacionaldeexpertosdelaindustriaydelgobierno,resumelas mejoresprácticasrecomendadasparaenfrentarestasnuevasymássofisticadasamenazasenlínea, móvilesytelefónicas.Esperamosqueesteinformefacilitelacolaboraciónpermanenteyefectiva entreestegrupoylacomunidadinternacionalparacombatirestasamenazas. OperaciónSafetyNet 11 INTRODUCCIÓN: LAEVOLUCIÓNDELASAMENAZASENLÍNEA Desde2006,laeconomíamundialmóvilydeInternethasufridoeldesarrollodelasamenazasen líneaylaaparicióndenuevosataques.Hoyendía,lasherramientasutilizadasparadefraudaryrobar informaciónenelentornomóvilyenlíneasoncadavezmássofisticadas,ylesofrecenalos delincuentesylosestafadoresunavariadacajadeherramientas. Enestecontexto,comoprobablementesuspadreslehandichomásdeunavez,mejorprevenirque curar.Esteinformenosólodescribeelentornodelasamenazasenlínea,móvilesytelefónicasde maneratalquecualquierpersonapuedaentenderlo,sinoqueproporcionaunalistadeherramientas alaindustriaylosgobiernosparaquelasadoptencomolasmejoresprácticasrecomendadasyeviten queestetipodeamenazasseconviertanenciberataquesexitosos. Mientrasquegranpartedeestailícitaactividadenlíneaseneutralizaantesdequelleguealusuario finaltípicograciasalastécnicasdebloqueoyfiltradoaplicadasenlaactualidad,elspamsiguesiendo unvehículoimportante,queconfrecuenciatransportaunacargamalintencionadaasícomocorreos electrónicosnodeseadosyamenudomaliciosos.Elspamnoessólounfenómenoasociadoalcorreo electrónico.Seexpandeadiferentestiposdenuevosmedios.Porejemplo,elspampormensajería móvilyVoIPenlaactualidadesfrecuente,asícomotambiénloscomentariosnodeseados(spam comments)enredessociales,blogsysitiosweb,ylasentradasnodeseadasquecontaminany degradanlacalidaddelosresultadosdelabúsquedaenmotoresdebúsquedaenlínea. Laindustriadelosnombresdedominio(queconsisteprincipalmenteenICANN),losregistradoresy losregistrospuedentenerunrolcríticoenlaesferaantiabuso,enparticulardadoquelosnuevos protocolosdeInternet(porejemplo,IPv6)sevuelvenmásprevalentes,yselanzaunnúmero considerabledenuevosdominiosdealtonivel(TLD).Tradicionalmente,existíanaproximadamente 24TLDs,porejemplo.com,.org,.net,.gov,ademásdelosTLDdedosletrasparapaís,porejemplo,.ca paraCanadáo.jpparaJapón.Recientemente,ICANNlanzómásde500nuevosTLDgenéricos,que incluyen.bike,.cityy.clothingyhaycientosmásenprocesodeserlanzados. RecomendamosquelosparticipantesdelaOCDEyotrasorganizacionesinternacionalesfortalezcan sucolaboraciónenlaprincipalentidadcoordinadoraenlaesferadelosdominios,elConsejoAsesor Gubernamental(GAC)deICANN,trabajandoparaalentaraICANNaredoblarsusesfuerzosenelárea decumplimientocontractualysupervisióndelosregistrosyregistradores. Sehanrealizadomuchosesfuerzospararomperbarrerasyfacilitaraccionescolaborativasentre empresas,ONG,gobiernos,entidadesreguladorasyorganismosdelordenpúblico.LaOCDE,elLAP,el M3AAWGyotrasorganizacionesinternacionaleshantenidoéxitoeneldesarrollodeuna coordinaciónpública-privadaexistenteymayorcolaboraciónentrelosdiferentessectores.Por ejemplo,elGrupodeTrabajoparaDNSChangeriyelGrupodeTrabajoparaConfickeriison amalgamasdeexpertosenlamateria,organismosdeordenpúblicoyrepresentantesdelaindustria quehantenidounnotableéxitobasadoenunmodelodeconfianzamutuaquedejadeladolas cuestionescompetitivas.Estacolaboraciónhasidounenormeaciertoyseguirásiendofundamentala lahoraderealizaresfuerzosantiabuso. OperaciónSafetyNet 12 Sinembargo,sigueexistiendolanecesidaddetenerunalegislaciónantiabusoyantispammássólida, máscompletaeindependientedelatecnologíayregímenesregulatoriosquefacilitenlacolaboración entrepaíses.Partedelasoluciónresideenelámbitodiplomático,enparticular,cuandosetratade permitiraccionesinternacionalesdeordenpúblicomásefectivas.Unamejoraconsiderableenla educaciónylaconcientizacióndelusuariofinalesunacuestiónimportanteenlatomademedidas eficacesantiabuso. OperaciónSafetyNet 13 MALWAREYBOTNETS Elsoftwaremaliciosoo"malware"escreadooutilizadoporlosdelincuentesparaafectaroperaciones computacionales,recolectarinformaciónconfidencialoaccederasistemasinformáticosprivados.Se puedepresentarendistintosformatos,desdeprogramascompiladoshastasecuenciasofragmentos decódigoinsertadosenunsoftwareporlodemáslegítimo."Malware"esuntérminogeneralutilizado paradefinirunconjuntodeformatosdesoftwarehostil,invasivoofastidioso.Engeneral,elmalware comprendevirus,gusanos,troyanos,instaladores,spyware,adware,rootkits,spamwareyotros programasmaliciosos.Elmalwareestágeneralmentediseñadoparacumplirunaomásfunciones, desdefacilitarlaintroduccióndeotrotipodemalware(porejemplo,instaladores/descargadoresde troyanos)hastalarecopilarinformación(porejemplo,spyware).Otrasformasdemalwaresepueden especializarenlainterrupcióndeequipos,usuariosyredes. Lasbotnetssongruposdeequiposinfectadosconmalwarequesecomunicanparacoordinarentresí yrecolectarinformaciónacercadelosdispositivoscomprometidos.Lasbotnetsconmayorfrecuencia recibenelnombredelmalwareespecíficoutilizadoparainfectaryreclutardispositivos,porejemplo, ZeusySpyEye.Sinembargo,todoslosequiposquecomponenunabotnetpuedencontenerdiferentes componentesdeunmalware.Porejemplo,unnododebotnetZeuspuedecontenerelmalwareZeus (quemanejalacomunicacióndelbotnet,robainformaciónydescargaotrasformasdemalware),así comootrasamenazas,comoelspamware(porejemplo,Cutwail)ocomponentesde"ataque"(comoel malwarePushdoDDoS). Lasbotnetspuedenserdegrantamaño.Sehanobservadobotnetscompuestospormásdeunmillón deequiposbajoelcontroldeunsolobotmaster.Sinembargo,noesnecesarioqueunabotnettenga untamañosimilaraesteparaserextremadamenteperjudicial.Inclusounabotnetcompuestapor 1000o2000nodos(equipos)puedecausarunenormecaos. Ensuscomienzos,elmalwareeradesarrolladoconfrecuenciapor"aficionados":entendidosen computaciónquebuscabandesafíosodiversión.Desdeesemomento,losdelincuentes,yelcrimen cadavezmásorganizado,sehandadocuentadequepuedenganarmuchodineroconelmalware.Un ejemploeselcasodeWinFixer,enelquelosdelincuentesamedrentaronasusvíctimashaciendoque realizaranpagosporregistrodesoftwareiii.Hoyendía,prácticamentetodaslasformasdemalwarese creanyutilizanconfinesdelictivos.Enmenormedida,elmalwarepuedetambiénestarfinanciado porelEstadoyserutilizadoporagenciasdeinteligenciaparallevaracaboaccionesencubiertas contrasistemasinformáticosdeotrosestadosoparaespiaractivistas,periodistasydisidentes; asímismo,puedeserutilizadoporhacktivistasyextremistasconfinesideológicos,políticososociales. ElmalwareesunadelasprincipalesamenazasparalaeconomíadeInternetyseutilizaparallevara cabolassiguientesactividades: ● Recopilarinformaciónpersonalycomercialmediante: ○ lacapturadelaspulsacionesdeteclas; ○ larecopilacióndeiniciosdesesiónycontraseñas; ○ lacopiadelibretasdedirecciones; ○ elrobodeinformación,documentacióny/osecretocomercialqueesconfidencial,o inclusolacapturadeinformacióngubernamentalomilitarconfidencial; ○ larecopilacióndeinformaciónbancariaytransaccional. OperaciónSafetyNet 14 ● FacilitargrandesataquesdeDDoSpatrocinadosporgobiernos,ocomoformadeactivismo políticoocomounpreludioalaextorsión,entremuchosotrosfines. ● Enviarspamporcorreoelectrónico,SMSyotrosmedios. Losdelincuentesmodificanelmalwarecontinuamenteparaevitarladetecciónylaremediación.La mayoríadelasherramientasdesoftwareantivirus(AV)tienepocacapacidaddeidentificaramenazas actualesyrecientes.Cadavezsonmáslasformasdemalwarequetienenlahabilidaddedetectarque estánsiendomonitoreados"vigilando"(posiblementeporpartedeunanalistademalware)yalterar sucomportamientoparalograrquelosanalistasnopuedandeterminarsufuncionamiento.Algunas clasesdemalwareinclusointentandesalentaresaslaboresdemonitoreomediantelarealizaciónde ataquesdeDdoSdirigidoscontralosanalistasdeseguridad.Portodoesto,cadavezesmásdifícilpara lacomunidaddeseguridadenlíneaseguirelritmoconelqueevolucionaelentornodelasamenazas pormalware. ELPANORAMAACTUALDELASAMENAZASATRAVÉSDEBOTNETSY MALWARE Elpanoramanohacambiadoyespocoprobablequelohaga.Lareticenciageneraldelosgobiernos, losbancosylascorporacionesacompartirdatosprivadosoconfidenciales,obstaculizadapor barreraslegalesyregulatoriasrealesopercibidasounmiedoalaresponsabilidad,significaquelos creadoresdemalwareaúnconservanelcontrolcuandosetratadelacapacidaddebrindarcon precisiónsuproducto.Noesposiblecalcularexactamentelamagnituddelacuestión,dadoqueno existenindicadoresgeneralmenteaceptadosparalasinfeccionespormalware,botsobotnets. Enelmalwaretransmitidoporcorreoelectrónico,elcorreoelectrónicopococonvincenteconerrores deortografíahasidosustituidopornuevastécnicasdephishing,quesediscutenmásadelanteeneste informe.Aunqueelvolumenglobaldespamhadisminuidoenlosúltimosaños,enlaactualidadlas redessocialesutilizancadavezmástécnicascomo"clickjacking"o"likejacking"enlasqueelusuario haceclicenunenlaceaunsitiowebparaverunvideotentadoryelatacanteutilizaeseclicpara publicaruncomentariovisibleatodoslosamigosdeFacebookdelusuario,quelostientaahacerclic enelmismoenlacemalicioso.Facebookhacontrarrestadoengranparteesteataquemedianteuna solicitudalusuarioparaqueconfirmeun"Megusta"antesdesupublicaciónsielusuarioestá haciendoclicenundominioquenoesconfiable. EntérminosdemalwaretransmitidoporlaWeb,Symantecdescubrióqueen2013losataquesa travésdelaWebhabíanaumentadoun23%másqueen2012yque1de8sitioswebmostrabauna vulnerabilidadcrítica.ivEstoindicaquelosatacantesintentanevadirlasoperacionesafavordela seguridadhaciendoquelossitioswebdispersenelmalware,enlugardeadjuntarloaloscorreos electrónicoscomoformadeinfección. LasamenazascontralossistemasoperativosiOSyAppleOSX,aunqueseanrelativamentepocasen cantidad,representanlapropagacióndelmalwarehaciaplataformasquehastaahoracasinohabían sufridoataquesdemalware.Losmediosdeataquesonsimilaresalosobservadosenlas OperaciónSafetyNet 15 plataformasWindowsyAndroid.Elhechodequemuchasherramientasdeataquehancruzadoentre diferentesplataformas,haciendousodelosataquesdeJava,porejemplo,esensímismounnuevo métododepropagacióndemalware. ELPANORAMAFUTURODELASAMENAZASATRAVÉSDEBOTNETSY MALWARE Deacuerdoconelinforme"PrediccionessobreAmenazas"deMcAfeev,elmalwaremóvilseráel motordecrecimientodelainnovacióntécnicaydelvolumendeataquesenel"mercado"mundialdel malwareen2015.Losataquesconransomwaremaliciosoocurrencadavezmás,impulsadosporel aumentodelamonedavirtual.Asímismo,seesperaeldesplieguedeunnúmerocrecientede aplicacionescorporativasbasadasenlanube,quetendráncomoconsecuencialaexpansióndelas superficiesdeataquefrentealasquelosdelincuentesdirigiránsusactividades. Porúltimo,esdifícilconcebirlagrancantidaddeotrasamenazasdemayorimportanciaenlos próximosañosquelaqueplantealaInternetdelascosas.Comomilesdemillonesdedispositivosse conectanaInternet,habráunnúmerocrecientedeamenazasalainfraestructurafundamentalque representanlosdispositivossinparchesoconunavulnerabilidadinherente.Esprobablequemuchos dispositivosconectadosnorecibanlosparchesdeseguridadregulares;algunosproveedoresno consideraránlaseguridadcomopartedesuresponsabilidad,yaquepriorizanlapróximaversióndel productoyseenfocanmásenlascaracterísticasestéticasoprácticas. Esposiblequelosconsumidoresnoejerzanpresiónsobrelosproveedoresdeequiposparaobtener losparchesdeseguridad.Si,porejemplo,undispositivofuncionasatisfactoriamentecomouna nevera,unabombillaeléctricaoutermostato,perotieneunproblemadeseguridadconsu ciberfuncionalidad,losconsumidorespuedennodemostrarunamotivaciónparareemplazarlosólo pormotivosdeseguridad.Enconsecuencia,lalargacoladedispositivosinsegurosseguirácreciendo. LASMEJORESRECOMENDACIONESPARAABORDARELMALWARE AunquegranpartedeloquetrataestasecciónhacehincapiéeneducaralosindividuosyalosISPs, sedebereconocerqueelabordajedelmalwareesunproblemadetodounecosistemaquerequerirá unenfoquemultifacéticoyaccionesdediferentesgrupos,quenoselimitaalosISPsoaeducaralos usuariosfinales. Paragobiernosyeducadores,estasecciónsecentraenlaprevención,detecciónyremediaciónde malware.ParalosISPs,estasecciónsecentraenbrindarasesoramientoenrelaciónconloqueunISP puedehacerparacolaborarconunindividuoenladeteccióndemalware.Lasecciónconcluyeconun análisisforensesobreelmalwareenlasáreaslegalesyregulatoriasdelosgobiernos,asícomo prácticasusualesdelaindustria. OperaciónSafetyNet 16 LASMEJORESPRÁCTICASPARAEDUCADORESYUSUARIOS A)Mejoresprácticas:Prevención Estasrecomendacionesapuntanacómounindividuopuedeprevenirunainfecciónconmalware. 1. Elegirunsistemaoperativoseguroyactual:Alelegirunsistemaoperativo(SO),busque unoquehayademostradosercapazdereducirsuexposiciónalmalware. Independientementedelsistemaoperativoqueelija,asegúresedeejecutarlaversiónmás reciente.Lossistemasoperativosmodernostienendefensasintegradasqueayudana combatirataquesdemalwarequecomprometenelsistema. 2. Manteneraldíalosparchesylasactualizaciones:Asegúresedequelossistemas operativosytodaslasaplicaciones,porejemplolasaplicacionesdeasistencia(Acrobat Reader,FlashPlayer,JavayQuickTime),contenganlosúltimosparchesdisponibles(esdecir, quesehayandescargadotodaslasactualizacionesamedidaqueestuvierandisponibles).Enla mayoríadelosataquescausadospormalware,losparchesdisponiblesteníanmásdeunaño. EnlossistemasqueejecutanMicrosoftWindows,Microsoftponeasudisposiciónunaseriede descargasrecomendadas.viSecuniaPSIviiestambiénunapopularherramientaquepuede ayudarloamanteneractualizadaslasaplicacionesdeterceros. 3. Utilizarsólolonecesario:Engeneral,lomejoresdescargaroutilizarsolamenteelsoftware necesariopararealizarsustareas.Evitedescargarsoftwareoarchivosquenoaportan característicasofuncionesútilesonecesarias,yelimineelsoftwaresinuso. 4. Buscarayudadeexpertos:Consúltelesalosexpertoscuáleslamejoropciónparasus necesidades.(Los"expertos"puedenresponderdediferentesmaneras,perosiustedconfíaen ellosalahoradeobtenerasistencia,hacerloqueelloslediganserácasisiempremejorensus circunstancias). 5. Ejecutarunprogramaantivirus:Aunquelosproductosantivirusnosonperfectos,lo puedenayudardetodasformas,porloqueseleccioneuno,utilíceloymanténgaloaldía medianteladescargadeactualizacionescuandoasíleseaindicado.Programeunanálisis completodelsistemaunavezporsemanacomomínimo.Asegúresedeseleccionarun antivirusrealyeviteserengañadoainstalarunantivirusfalsoquees¡elmismísimomalware! (Ysisuantivirusnoprotegetambiéncontraelspyware,tambiéndeberáinstalarun antispyware). 6. Utilizarunfirewall:Aunquenosoninfalibles,losfirewallparahardwareosoftwareal menosañadiránpotencialmenteotracapadeprotección. 7. Utilizarcontraseñasseguras:Lascontraseñasdebentenerlasuficientecomplejidadpara resistirserdescifradasovioladas.Algunaspersonaseligencontraseñasquetienencomo mínimoochocaracteresdelongitudymezclanmayúsculas,minúsculas,númerosysímbolos especiales.Otrosprefierenseleccionarentretresycincopalabrasnorelacionadasqueson másfácilesderecordar,peroqueasuvezdificultaneltrabajodelasherramientasde softwarequelasdescifran.Decualquiermanera,nuncautilicelamismacontraseñaen diferentessitios.Lasaplicacionesdecontraseñasfacilitanesteproceso.viii 8. Realizarcopiasdeseguridaddeformaregular:Sielsistemaseinfecta,tenerunacopiade seguridadlimpiapuedeserdegranutilidadalahoradedesinfectarseyvolveraestaren línea. OperaciónSafetyNet 17 9. Eliminararchivostemporalesinnecesarios:Algunasclasesdemalwarepuedenocultar copiaspropiasentrelosarchivostemporales,einclusosinohayarchivostemporales infectados,laeliminacióndelosarchivostemporalesacelerarálosanálisisdelsistemay reduciráeltamañodelascopiasdeseguridad.Unaherramientamuyutilizadaparala limpiezadearchivostemporalesenlasplataformasWindowsesCCleaner. 10. Noejecutarcomoadministradordeformarutinaria:Lascuentas"Administrador","raíz"y otrasquetienenfuncionesespecialessólosedebenutilizarcuandoestéhaciendoalgoque requieralosprivilegiosespecialesasociadosalascuentasdegrancapacidad(porejemplo,la instalaciónintencionaldeunnuevosoftware).Cuandoestéhaciendotareashabituales, ejecuteelsistemacomounusuarionormal. 11. DesactivarJavaScript(outilizarNoScript):JavaScript(unlenguajedeprogramaciónque noestárelacionadoconJava,apesardelnombre)habilitamuchasaplicacionesinteractivas llamativas.Sinembargo,tambiénsufremuchosataquesyseutilizaparaintroducirmalware ensistemasvulnerables.SinosenecesitaJavascript,nolohabiliteenelnavegadorweb. 12. BloquearlosnombresdedominiomaliciososconocidosenelDNS:Algunasclasesde malwarecuentanconlacapacidaddetraducirconéxitonombresdedominioanúmeros.Si ustedbloquealaresolucióndeesosdominiosatravésdesuservidordeDNS,esposiblequeel malwarenoselogreejecutar.Comoejemplo,OpenDNSesunaempresaqueofreceDNScon filtrosparaeltráficomalicioso. 13. Filtrar/removerelcontenidomaliciosdeloscorreoselectrónicospotencialmente peligrosos:Suadministradordecorreoelectrónicodebeejecutarunexamenparadetectar adjuntos,enlacesocontenidospotencialmentepeligrososqueustedpuederecibirporcorreo electrónico.UnprogramaquepuedeayudarconestoesMIMEDefang. 14. LosarchivosdescargadosmedianteaplicacionesP2Pconfrecuenciaestáninfectados: Sepaquemuchosdelosarchivoscompartidosenredesdepuntoapunto(P2P)para compartirarchivospuedenestarinfectadosconmalwaredemaneraintencionaloaccidental. 15. AsumaquetodaslasunidadesUSBesconden"trampascazabobos":Sirecibeunaunidad USB,oencuentraunaunidadUSB"perdida",nuncalaconecteensuequipo.Puedehabersido infectadaenformaintencionalconmalware,yluegocolocadaenunlugardondelaencuentre conelfindeintroducirmalwareensusistema. 16. EviteelusodepuntosdeaccesodeWi-Fidesconocidos:AlgunospuntosdeaccesoWi-Fi abiertospuedeninterceptartráficonocifradoy,deestemodo,puedenviolarsuprivacidad.El usodeunaredprivadavirtual(VPN)lepuedebrindarciertaprotección.Asegúresedeque cualquierpuntodeaccesoinalámbricoqueutiliceestéprotegidoconWPA2(unprogramade protocoloycertificacióndeseguridaddesarrolladoporWi-FiAllianceparaprotegerlasredes informáticasinalámbricas)pararestringirelacceso. B)MEJORESPRÁCTICASRECOMENDADAS:DETECCIÓN Estasrecomendacionesponenelacentoencómosedetectaelmalwarecuandofallalaprevención. 1. Tomarconscienciacuandounaexploraciónlocaldetectaalgo:Unadelasformasmás comunesdedetectarunmalwareesmedianteelanálisisdeunantivirus.Otraopciónsimilar seríarealizarunanálisismedianteunaexclusivaherramientaantimalwareespecialmente diseñadacomo"sólolimpieza"ix. 2. Advertircuandoelsistemacomienzaafuncionardeformaextraña:Otroindicador importantedequealgonoandabienescuandoelsistemacomienzaafuncionar"demanera OperaciónSafetyNet 18 extraña".Elfuncionamientoextrañopuedeincluir:ejecuciónlentaobloqueos,ventanas emergentesnodeseadas(porejemplo,notificacionesfalsasdelantivirus),solicitarunapágina webyterminarenotra,nolograriradeterminadossitios(sobretodosisonsitiosde actualizaciónositiosrelacionadosconlaseguridad),etc. 3. TomarmedidassisuISPleindicaquesusistemanofuncionacorrectamente:Por ejemplo,suISPlenotificaquesehaobservadoquesusistemahaenviadospamoatacadoa otrosistemaenInternet. C)MEJORESPRÁCTICASRECOMENDADAS:REMEDIACIÓN Estasrecomendacionesapuntanacómotratarsistemasinfectadosconmalware. 1. Limpiezaenellugar:Esteenfoquesebasaenqueelusuario(oalguienennombredel usuario)ejecuteunoomásantivirusenelsistemainfectado,conelfindelimpiarlo(en algunoscasos,losexpertostambiénpuedeneliminararchivosinfectadosdeformamanual). Esteprocesopuedellevarmuchotiempoybásicamentepuedefuncionarono.Incluso despuésdehaberrealizadoungranesfuerzoparalimpiarunsistemainfectado,esposibleque lainfeccióncontinúeoqueelsistemaseainestableoinutilizable. 2. Reversión:Sielusuariotieneunacopiadeseguridadlimpia,otraopciónesrevertirelestado deeseequipoaesacopiadeseguridadlimpia.Estaopciónpuedeprovocarlapérdidade trabajodesdequerealizólaúltimacopiadeseguridad,amenosqueesosarchivosrecientesse conservenporseparadoysepuedanrestaurar(sihaceesto,esnecesariohacerloconmucho cuidadoparagarantizarquelarestauracióndelosarchivosnoprovoqueunanueva infección).Entérminosgenerales,unaestrategiadereversiónfuncionamejorcuandolas copiasdeseguridadsonfrecuentesyesposibleseleccionardetodaslasgeneracionesde copiasdeseguridaddisponibles. 3. Completarlanuevainstalación:Enestaopción,elsistemasevuelveaformatear,yel sistemaoperativoylasaplicacionessereinstalandesdecero.Estopuedellevarmucho tiempo,yconfrecuenciaseráfrustranteporlafaltademediosoriginales(muchos proveedoresyanoincluyenunacopiadelsistemaoperativoenunmediofísicocuando vendenunhardwarenuevo). 4. Reemplazarelsistema:Porúltimo,almenosunafraccióndelosusuariospuededecidirque simplementedeseanreemplazarsusistemainfectado,enlugardeintentarlimpiarlo.O también,estapuedeserlaúnicamaneradedesinfectardeformaseguraunequipo.Esta opciónpuedesermásaceptablesielsistemainfectadoesviejoonoeramuypotente,en principio,osielusuariodeseacambiarelsistemaoperativooelequipodeescritorioauno portátil,porejemplo.Lajergadelaindustriaparaestetipodeacciónes"dinamitary pavimentar"(nukeandpave). LASMEJORESPRÁCTICASRECOMENDADASPARAELGOBIERNOYLAINDUSTRIA A)Lasmejoresprácticasrecomendadasparaladetecciónynotificación(ISPausuario) Enlaactualidad,muchosISPlesnotificanasusclientessiestáninfectadosconmalware.LosISP puedenutilizardiferentestécnicasparanotificarlainfecciónalosindividuos.Estasecciónenumera diferentesaccionesquelosISPdebenrealizarparanotificaralosusuariosfinales;sinembargo,nose OperaciónSafetyNet 19 debeentenderquecualquiertécnicahayasidoidentificadacomolamejorpráctica.Existendiferentes ventajasydesventajasasociadasacadatipodenotificación.Algunosejemplosincluyenlossiguientes: 1. Correoelectrónico:Cuandosedetectaunsistemainfectado,elISPpuedenotificaralusuario porcorreoelectrónico.Lamentablemente,muchasveceslosusuariosnuncaleenladirección decorreoqueelISPproporcionaparasuuso,yesposiblequeelusuarionuncalebrindeal ISPladireccióndecorreoelectrónicoqueutilizahabitualmente.Tambiénesposiblequelos usuariostambiénseanmáscautelososalconfiarenlasnotificacionesdecorreoelectrónico comoresultadodelacantidaddeataquesdephishingyestafasporsoportetécnicoque confundenalosconsumidoresantelapresenciademalwareensuscomputadoras. 2. Teléfono:ElISPtambiénpuedenotificaralusuarioporteléfono.Alcontactaralosclientes,es importanteconsiderarque,sibienlallamadaautomatizadapuedesereficiente,losusuarios puedensospechardelasnotificacionesporteléfono,comoresultadodelosataquesde phishingporvoz.Porotrolado,lanotificacióntelefónicarealizadaporunapersonapuedeser tediosayllevarmuchotiemposiesnecesarionotificaraunagrancantidaddeusuarios infectados. 3. Mensajedetexto:EnloscasosenlosqueelISPconoceelnúmerodeteléfonomóvildel cliente,otraopciónseríaenviarlealusuariolanotificaciónpormensajedetexto. 4. Correotradicional(enpapel):UnISPpuedeconsiderarlanotificacióndelosusuarios mediantecorreopostaltradicional,posiblementeadjuntándolaalafacturamensual.Sin embargo,sielISPnoaprovechauncorreoqueyaleestáenviandoalcliente,elenvíode notificacionesdecorreoadhocpuederesultarcostosoybastanteinefectivo,sobretodosiel usuariodescartacomunicacionesdecorreosinabrircreyendoquesonprobablemente publicidad. 5. Serviciodesoporteadomicilio:Ensituacionesenlasqueelusuariohacompradoun contratodesoporteenellugar,esposibleutilizarotrotipodenotificaciónmedianteuna "visitaaldomicilio"delcliente.Porsupuesto,eltécnicodelISPdeberámostrarlealclientesu credencialytambiénsedebeconsiderarqueestapuedeserunaopcióndenotificaciónmuy costosa. 6. Notificaciónenbanda(web):Enesteenfoque,unISPnotificaalusuariomediantela interposicióndeunmensajeintersticialcuandoelusuariointentevisitarunsitiowebnormal. Esteenfoquepuedeseralgodesconcertanteparalosusuarios,peroesmenosperjudicialque otrosenfoques,talescomoel"jardínamurallado"(vermásadelante). 7. Jardínamurallado:SiunISPnecesitarestringirdeinmediatoeldañoqueunusuario infectadopuedecausar,unaopciónescolocarloenloqueseconocecomoun"jardín amurallado".Cuandoestoocurre,selepermitealusuarioaccederasitiosseleccionadoscon finesderemediaciónyprotección,yposiblementeselepermitacontinuarconelaccesoa serviciosdeVoIP,porejemplo,paraelaccesoaserviciosdeemergencia,peroporlogeneral nopodráaccederalamayoríadelosrecursosdeInternet.Sedebehacerhincapiéenqueesta estrategianoseráunapenalidad.Losjardinesamuralladoshantenidounagraneficaciaenla disminucióndelacantidaddeinfeccionesaniveldelISP,delconsumidory,dehecho, impulsenunmovimientodemalwareybotnetshaciaserviciosdehosting. Paraobtenermayorinformación,consultetambiénlasrecomendacionesparalacorreccióndebots enredesdeISPdelGrupodeTrabajoenIngenieríadeInternetRFC6561.x OperaciónSafetyNet 20 LanotificaciónalosusuariosfinalesnoselimitaalosISP.OtrasporcionesdelecosistemadeInternet quetienenunarelaciónconlosusuariosfinalespueden,ydeben,realizarlasnotificaciones.Por ejemplo,sehadifundidoampliamentequetantoGooglecomoFacebookintentaronalertaralos usuariosfinalessobrelasposiblesinfeccionesasociadasconelmalwareDNSChanger. B)Lasmejoresprácticasrecomendadasparalaconcientización 1. Momentosadecuadosparalaenseñanzacaraacara:Eneldesafortunadocasoenelqueel sistemadeunclienteseinfecte,esepuedeserunexcelente"momentodeenseñanza"cuando lastécnicasseleccionadasparaevitarunanuevainfecciónpuedenserparticularmente destacadas. 2. Sitiowebparalaseguridaddelcliente:Elejemplomásbásicoparaofrecereducacióny concientizaciónalclientees,probablemente,lacreacióndeunsitiowebsobreseguridadque leofrecealclienteasesoramientoyaccesoaherramientas. 3. Adjuntosconlafacturación:SilosISP,enformarutinaria,envíaninformaciónalosclientes mediantecorreotradicional,estapuedeserotraoportunidadmásparacompartir recomendacionesconelfindeprotegerelsistemadelcliente,yesalgoquesepuededistribuir atodoslosclientes,inclusoaaquellosquenohanmostradohastaesemomentosignoalguno deinfección. 4. Anunciosdeserviciopúblico(PSA):Otraoportunidadparaeducaralosusuariosfinales sobreelmalwareseríaatravésdeanunciosdeserviciopúblicoatravésdelatelevisiónyla radio.Porejemplo,enlosEstadosUnidos,laCampañaNacionaldeConcientizaciónsobre Ciberseguridad"PARA.PIENSA.CONÉCTATE"hadesarrolladonumerososanunciosdeservicio públicoquecomenzaronacircularenformaanualdesde2010. 5. Materialpromocional:Tambiénhayunavariedaddematerialespromocionalescomomouse pads,tazas,camisetas,destapadoresdebotellas,bolígrafosolápices,uotrosobsequiosque puedenayudaracrearconcienciasobrelasamenazasrelacionadasconmalwareybotnets. 6. Concursos:Otraoportunidadparacompartirunmensajedeciberseguridadpuedeestar asociadaconconcursos,enespecial,concursosdeensayosdestinadosausuariosenedad escolar. 7. Educaciónformal:Otrapartefundamentaldelaeducaciónylaconcientizaciónesincorporar enlasescuelasunplandeestudiosquetratetemasdeciberseguridadociudadaníadigital. Apuntaralaciberseguridadengeneral,yalmalwareylasbotnetsenparticular,esuna cuestióndeseguridadpúblicaalargoplazo;yaligualqueotrascuestionesdeseguridad pública,esposibleunmejorabordajemedianteelestablecimientodenormassocialesqueen muchoscasossepuedeninculcarmejorsiespartedelaeducaciónformaldeunindividuo. Debidoalrápidocambioenelpanoramayenlacomplejidaddelasamenazasconmalwareybotnets, educaryconcientizarsólopuedeserefectivoenpartealahoradeprotegeralosusuariosfinales.Los esfuerzosdelámbitolegal,regulador,técnicoeindustrialsemantendránalavanguardiaencuantoal abordajedelproblemaconmalwareybotnets.Sinembargo,laeducaciónbásicaylaconcientización sobrelasamenazasenlíneasiguensiendoingredientesnecesariosparaprotegeralosusuarios finales. Lasindustrias,lasasociacionesylosgobiernosdebendesarrollarypromoverprogramasde comunicaciónquebrindenalusuariofinalunconocimientobásicosobrelasamenazasylastécnicas fácilesdeentenderconelfindeaprenderaprotegerse. OperaciónSafetyNet 21 Muchasdeestasiniciativasyaexistenypuedenserutilizadascomomodeloosimplementecomouna fuentedematerialeducativo(véasemásadelante).Variosdeestosrecursossebasanenlas cuestionesgeneralesrelacionadasconmalwareybotnetsenlugardehacerunestrictohincapiéen ellos.Sinembargo,porlogeneral,esmejorproporcionaralusuariofinalunmensajecombinado sobreseguridadenInternetenlugarderealizarnumerosassugerenciassincoordinación.Enotras palabras,lainformacióndebeserbreveycoherentesiemprequeseaposible. ● AlianzaNacionalparalaCiberseguridad-Mantengalimpiasucomputadora- http://www.stopthinkconnect.org/campaigns/keep-a-clean-machine(partedelaCampaña NacionaldeConcientizaciónenCiberseguridadPARA.PIENSA.CONÉCTATE.queapuntaa botnetsymalware) ● OficinaFederaldeInvestigación(FBI): http://www.fbi.gov/scams-safety ● RealPolicíaMontadadeCanadá(RCMP): http://www.rcmp-grc.gc.ca/is-si/index-eng.htm ● IniciativaNacionaldelosEstadosUnidosparalaEducaciónenCiberseguridad: http://csrc.nist.gov/nice/ ● ComisiónFederaldeComerciodelosEstadosUnidos(FTC): https://www.onguardonline.govand http://www.consumer.ftc.gov/media/video-0103-hijacked-computer-what-do http://csrc.nist.gov/nice/ C)Lasmejoresprácticasrecomendadasenelámbitolegalyregulatorio Enelcontextodelanálisisforensesobreelmalware,MalwareForensics:InvestigatingandAnalyzing MaliciousCodexisugierealgunasprácticasrecomendadasparalainvestigaciónsobremalware,que incluyen: ● Enmarcaryreenmarcarobjetivosymetasdeinvestigaciónenformatempranayfrecuente. ● Desdeelprincipio,comprenderlaimportanciadeidentificarpruebasinculpatorias,pruebas exculpatoriasylafaltadeprueba. ● Diseñarunametodologíaqueasegurequelasfasesdelainvestigaciónnoalterarán, eliminaránocrearánpruebas,nialertenalossospechososocomprometandeotramanerala investigación. ● Crearymantenerunmeticulosoanálisispasoapasoyunacadenadedocumentaciónen custodia. ● Nuncaperderelcontrolsobrelaspruebas. ● Definir,redefiniryadaptarestosprincipiosduranteelcursodeunainvestigaciónconelfinde clarificarylograrobjetivosdeinvestigaciónmásalcanzables. OperaciónSafetyNet 22 ● Considerarlassiguientescuestionesdeimportanciadesdeelprincipio: ○ ¿Lajurisdiccióndeunainvestigaciónrequiereunacertificaciónolicenciaespecial parallevaracaboelanálisisforensedigital? ○ ¿Quéautoridadinvestigayquélímitesposeedichaautoridad? ○ ¿Cuáleselalcancedelainvestigaciónautorizada? ○ ¿Cómoseevitarálaintromisiónenlosderechosdeprivacidaddeloscustodiosde datosrelevantes? D)Lasmejoresprácticasrecomendadasparaobtenercolaboracióndelosgobiernosyla industria Lasprácticasrecomendadasparaeldesarrollodesoftwaresegurorepresentanlamejorpráctica recomendadapararestringirlapropagacióndemalware.ElForodeGarantíadeSoftwareparala ExcelenciaenelCódigoxii(SAFECode)esunainiciativamundiallideradaporlaindustriapara identificarypromoverlasmejoresprácticasrecomendadaseneldesarrolloylaprovisiónde software,hardwareyserviciosmássegurosyconfiables. ElGrupodeTrabajon.°7delConsejodeSeguridad,ConfiabilidadeInteroperabilidadenlas Comunicaciones (CSRIC)delaComisiónFederaldeComunicacionesdelosEstadosUnidos(FCC) presentódeformavoluntariaunCódigodeConductaAntibotparaISPyoperadoresderedel22de marzode2012,comounainiciativadecolaboraciónentrelaindustriayelgobiernoxiii.ElCódigopone elacentoenlosusuariosdeInternetresidencialeseincluyecincoáreasdeinterésparalosISP: educación,detección,notificación,correcciónycolaboración.ParaparticiparenesteCódigo,se requierequelosISPsparticipenenalmenosunaactividad(esdecir,adoptarunamedida significativa)encadaunadelassiguientesáreasgenerales: ● Educación:ayudaramaximizarlaeducaciónylaconcientizacióndelusuariofinalsobre problemasconbotnetsysobrecómoayudaraprevenirlasinfeccionesdeporbots; ● Detección:identificarlaactividaddelbotnetenlareddelISP,obtenerinformaciónsobrela actividaddelbotnetenlareddelISPopermitirquelosusuariosfinalespuedandeterminar porsímismosposiblesinfeccionesporbotsenlosdispositivosqueutilizancomousuario final; ● Notificación:daravisoalosclientesdelasospechadeinfeccionesporbotsohabilitarquelos clientesdeterminensitienenunainfecciónporbot; ● Corrección:proporcionarinformaciónalusuariofinalsobrecómopuedecorregirinfecciones porbotsoayudaralusuariofinalenlacorreccióndelasinfeccionesporbot; ● Colaboración:compartirlaexperienciaadquiridaycomentariosconotrosISPapartirdela participacióndelISPenlasactividadesdeSAFECode. Lossistemasoperativosylasaplicacionesconunacorrectaconfiguración(protegida)también puedenreducirlatasadeinfecciónpormalware.LaAgenciaNacionaldeSeguridaddelosEstados Unidos(NSA)proporcionapautassobrelaproteccióndeequiposcontratodaslasamenazas,incluso elmalwarexiv.Existeinformaciónadicionalpararouters,conmutadoresinalámbricos,VoIP, servidoresdebasesdedatosyaplicacionesenelmismolugar.Además,esposibleencontrarrecursos paraprotegerelsistemaoperativoylasaplicacionescontramalwareenlaslistasdeverificacióndel InstitutoNacionaldeEstándaresyTecnología(NIST)xv(seincluyenlosdispositivosAndroid). OperaciónSafetyNet 23 LaAgenciadeSeguridadeInternetyCorea(KISA)ofreceunserviciode"RefugioContraDDoS"de formagratuitaalaspequeñasempresasquenocuentanconlasherramientasadecuadaspara protegersecontraunataqueDDoS.El"RefugioContraDDoS"filtraeltráficomaliciosodelataque DDoSydejapasareltráficonormal.Asimismo,laKISAdetectalapresuntaIPzombienunatrampade spamylesolicitaalosISPnacionalesquetomenlasmedidasnecesariascontraestasdireccionesIP ensusredes. Esposibleencontrarotrosesfuerzosespecíficosporpaísenlossiguientessitiosweb: ● Internacional:https://code.google.com/p/evidenceontology ● Botfrei:https://www.botfrei.de/ ● Melani(Suiza):http://www.melani.admin.ch ● Ficora(Finlandia):http://www.ficora.fi/en ● ProyectoACDCdelaUE:http://www.acdc-project.eu/ ● Canadá:http://fightspam.gc.ca ● Australia:http://www.acma.gov.au/Citizen/Stay-protected/My-mobile-world/Dealing-withmobile-spam/dealing-with-spam-i-acma E)LasmejoresprácticasrecomendadasparalosISP Esposibleminimizarlaamenazademalwarereduciendooeliminandolosvectoresdeinfección.El correoelectrónicoestodavíaunmétodomuyeficazparapropagarunmalware.Paramitigareste vector,lamayoríadelosISP,loshotelesylospuntosdeaccesogratuitossiguenlasmejoresprácticas recomendadasdebloqueodecorreosaliente(puerto25)desdecualquierequipodelaredexcepto desdesuspropiosservidoresdecorreo.Estoimpidequelosequiposinfectadospropaguenel malwareatravésdeuncorreodirecto. EnEuropa,algunosproveedoresdeInternetdieronunpasomásallá.Losusuariosdeestasredes,en formapredeterminada,sólotienenaccesoaInternet.Eltráficoparaelrestodelospuertoses denegado.Paraofrecerlesalosusuariossofisticadosunamayorflexibilidad,estosISPproporcionan herramientasqueautorizanaciertosusuariosautilizarotrospuertos/protocolosyservicios. Enamboscasos,lasupervisióndelosintentosdeconexiónbloqueadossepuedeutilizarcomoun indicadordealertatempranadeequiposinfectadosconmalware,asícomotambiénunobstáculo paralapropagacióndemalwareylascomunicacionesdecontrolesycomandos. F)Lasmejoresrecomendacionesparaservidoresyproveedoresdehosting Enlaactualidad,unodelosreservoriosmásprevalentesdemalwaresonlosservidoresweb afectados.Estosservidoresseinfectancuandonoseaplicanlosparchesdeseguridadactualesparael sistemaoperativoyparalasaplicacionesdesoporteeinfraestructuraweb,odebidoacontraseñasde usuarioinseguras.Lasinfeccionesseexacerbanenlamedianaypequeñaempresayenmuchos proveedoresdehostingdebidoaataquemenoresdeempleados/personal.Algunos OperaciónSafetyNet 24 utilizanlaautomatizaciónparaaliviarestascuestiones;estaprácticadeberíaserunapráctica recomendadaanivelmundial. 1. Requisitosdelascondicionesdeservicioparaactualizacionesoportunasdeseguridad: Todoslosclientesdeberíanacordaractualizarlosparchesdeseguridadactualesopermitir queelproveedordehostingactualicelainfraestructuraensusdirectorios. 2. Mantenerlosparchesdeseguridadactualizados:Todoslosparchesdeseguridaddeben estaractualizados.Esteprocesopuedesermanual,enelcasodesistemasmuypequeños,o programado,enelcasodelosproveedoresdehostingmásimportantes. 3. Utilizarherramientasdeauditoríaparaidentificarunhost:Lasherramientaspara realizarunaauditoríaaniveldeservidorenelcasodeversionesdesoftwareinsegurasse deberíanejecutarcomomínimosemanapormedio,yelsoftwareidentificadosedeberíaser parchear. 4. UtilizarsoftwaredeseguridaddeIT:Lasherramientas(comoTripwire)sedeberían utilizarparasupervisarlaintegridaddecadaservidor. 5. Ejecutarunantivirus:Ejecuteunantivirusconfrecuencia(siesposibledosantivirus diferentes)parasupervisararchivosvariablesdelhostparacontagio. 6. Considerarelusodeservidoresenlanube:Puestoquelosservidoresenlanubeson mantenidosyutilizadospormotivosprofesionalespormuchosclientes,tiendenasermás seguros;porotraparte,puedenserunobjetivomásinteresanteparaelataque(porejemplo, unDDoS).Sinembargo,losservidoresenlanubesedeberíanconsiderarunaalternativa posibleparaunamejorseguridad,teniendoencuentalareputacióndelproveedorenlanube, lasmedidasdeseguridaddefinidas,ysilosservidoreshansidoatacadosalgunavez.Más adelanteenesteinforme,encontrarámásinformaciónsobreamenazasalserviciodehosting yalaNubeylasmejoresprácticasrecomendadas. OperaciónSafetyNet 25 PHISHINGEINGENIERÍASOCIAL Elphishingserefiereatécnicasutilizadasporactoresmaliciososparaengañaraunavíctimaparaque realiceunaacciónquedelocontrarionotomaríaenlínea,confrecuenciarevelandoinformación confidencial,comodatospersonalesofinancieros.Losestafadoressepresentancomoentidades conocidas(amigosoempresas)yaprovechanrelacionesdeconfianzaexistentesparaafectarasu víctima. Elphishinghaavanzadoininterrumpidamenteencuantoafrecuencia,sofisticaciónyperjuicioprovocadodesde susinicioscomoamenazaamediadosdeladécadadelosnoventaynomuestrasignosdeagonía.Eltipode datosquesebuscamedianteelphishingtambiénsehavueltocadavezmásvalioso,desdeelsimple accesoauncorreoelectrónicoycuentasbancariasdeunconsumidorqueocasionabanpérdidas individualesdemilesdedólareshastalosobjetivosactualescomocuentascorporativascon privilegiosespeciales("súperusuario")e informaciónbancariadeempresas. ¿Porquéla"ph"? Estosataquespuedenconduciraunaviolación Eltérmino"phishing"provienedelapalabra masivadedatosmediantelaqueserobanenmasa "fish"("pescar"),dadoquelosestafadoresde datospersonalesdelosclientes,seexfiltrala Internetusan"señuelos"para"pescar"la propiedadintelectualdeunaempresaose informaciónfinancieradeunusuarioylos destruyendatoseinclusosistemasfísicos.Un datosdelacontraseña.Lospiratasinformáticos eventopuedeinvolucrarpropiedadintelectualde tienenunaadorabletendenciaacambiarla unaempresayproducirpérdidasfinancierasde letraefepor"ph",y"phishing"esunodeestos hastadecenasoinclusocientosdemillonesde ejemplos.Latransformacióndelaefeala"ph" dólares,yexisteunacantidadincalculablede noesunaestrategianuevaentrelospiratas eventosqueseproducentodoslosaños. informáticos;estefenómenoapareciópor primeravezafinalesdeladécadadelos Enlaactualidad,elsuplantadordeidentidad sesentaentrelospiratastelefónicos,quese falsificamensajesysitioswebquedifícilesde autodenominaban"phonephreaks". distinguirdelosauténticos,medianteejércitosde equiposlegítimosafectados(botnets)ysoftware infectado(malware)conelmismofinquepreviamenterequeríaunainteracciónmáspúblicaconel usuariofinal.Elsuplantadordeidentidadtambiénhadesarrolladounmalwaremóvilquepuede inutilizaralgunasmedidasdeprotección. ELDAÑOPARALOSCONSUMIDORESYLAINDUSTRIA Esdifícilcalcularelimpactodelphishingenlosconsumidoresylaeconomía,ylosresultadossonmuy diferentes.Unpuntoenelquesehallegadoaunacuerdogeneralesquelosataquesdephishingestán aumentando.ElinformeanualdeInvestigacionessobreViolacióndeDatosdeVerizonmuestraque despuésdeunabrevecaídaen2010,elphishinghaaumentadodurantevariosañosconsecutivos.En 2014,seinformóqueelphishingeralaterceracausadeviolacióndedatosxviyquehabíaaumentado enun23%,de253a312,en2013.Tambiénen2014,losatacantescontinuaronconlaviolaciónde redes,conataquespuntualesaobjetivosimportantes,queaumentaronsun8%delosataquesen general.Estosataqueseranmássofisticadosyespecíficos,conun14%menosdecorreoelectrónico enviadohaciaun20%menosdeobjetivos.xvii OperaciónSafetyNet 26 ElGrupodeTrabajoAntiphishing(APWG)presentainformestrimestralessobrelastendenciasdel phishing.Elinformepresentadoen2014observóelmayornúmerodeataquesdephishingdesde 2009.Elmismoinformedocumentóelmayornúmerodemarcasutilizadasconfinesdephishingenla historia,con756durantelaprimeramitadde2014.xviii,xixElInformeMensualsobreFraudedelaRSA publicadoendiciembrede2014informópérdidasporphishingdeUSD453millonesenunúnicomes anivelmundialopérdidasanualesporaproximadamenteUSD5000millones,conun75%delos ataquesapuntandoalosEstadosUnidosyCanadá.xxSinembargo,mientrasqueelphishingesuna pequeñapartedelaspérdidasmundialesestimadasporciberdelincuencia,queseestimanenUSD 445000millonesxxi,USD5000millonesrepresentanunapérdidaimportanteyevitable. Asimismo,laprevenciónsehaconvertidoenunatareaimportante,conuntiempoparahacerclic promediodeunminutoyveintidóssegundos,ylosdatosdelAPWGquesugierenquela infraestructurautilizadapararealizarestascampañasesbastanteextensaconmásde9000dominios ycasi50000URLsuplantadasquesedescubrenpormesentrelosmiembrosdelGrupo. ELPANORAMADELPHISHING Elphishingseclasificasegúnlostiposdeinformaciónbuscados,lostiposdeblancoatacadosylos canalesmedianteslosquesellevanacabolosataques.Elphishingseidentificageneralmente mediantecorreoelectrónico,SMSuotromensajequecontieneunenlacequeredirigealdestinatario aunsitiowebfalsoquesolicitalainformacióndelacuentadelusuario,porejemplonombrede usuarioycontraseña,númerodetarjetadecréditouotrainformaciónpersonal. LOSOBJETIVOSDELOSATAQUESDEPHISHING:QUÉBUSCAN Lainformaciónobtenidaporelphishingseutilizageneralmenteparaalgúntipoderobofinanciero, directamentecontralavíctima,ocontraotrodestinocomoelempleadordelavíctima.Dadoque monetizarlainformacióndeunatarjetadecréditoyelnúmerodelSeguroSocialescadavezmás difícil,"lospiratasinformáticosirándetrás decualquierpersonaqueposea Lasestafasdel419:Setratódelasformas informaciónparalaatencióndelasalud", tempranasypocosofisticadasdephishing,que dijoJohnPescatore,directordenuevas recibeelnombreporelCapítulo38,Sección419del tendenciasdeseguridaddelInstitutoSANS, CódigoPenalnigerianoquepenalizaestetipode yagregóqueenlosúltimosañoslospiratas fraude."Cualquierpersonaquemedianteunpretexto informáticoshanfijadosuobjetivocadavez másenlosregistroselectrónicosdelasalud falso,yconintencióndedefraudar,obtengadeotra (EHR)quefácilmenteseconviertenen personacualquiercosapasibledeserrobado,o dineroenefectivo.xxiiAdemás,elphishing induzcaaotrapersonaaentregarauntercero hasidoempleadocomoprimerpasoenla cualquiercosapasibledeserrobado,esculpablede violaciónderedescorporativasy delitoyserácastigadoconprisióndetresaños".Estas gubernamentalesmediantelaobtenciónde fueronlosfamososcorreoselectrónicosoesquemas credencialesquepermitenelaccesoalos sistemas. depagoporadelantadodelpríncipenigerianoenlos quelavíctimaesengañadaparagastardineroa Elphishing,ensímismo,esgeneralmente cambiodeobtenerriquezasincalculablesafinaldel sólounprimerpasoynonecesariamente régimen. resultadeinmediatoenunrobofinanciero directo.Lacrecientetendenciaarobarregistrosdesaludgeneralmentecomienzaconataquesde phishingparaobteneraccesoalossistemas.Unavezobtenidoelacceso,losladronesutilizanotras herramientas,comomalwareyspyware,pararobarinformaciónconfidencial:enelprimertrimestre OperaciónSafetyNet 27 de2015,másde120millonespacientesenlosEstadosUnidoshansufridoelrobodesusregistros.xxiii Además,elspearphishingparaelrobodecredencialesdeempleadoscorporativossueleserunode losprimerospasosenlaviolacióndedatosagranescalay,porlotanto,eselprimerpasodeuna partesignificativadepérdidasimpactantesatribuidasalaviolacióndedatos. ● Lastécnicasenlíneayfueradelíneaqueengañanalosusuariosparaquedivulguen informaciónconfrecuenciasedenominan"ingenieríasocial"yprecedenalaInternet.Cuando seinicióelphishingporcorreoelectrónico,losatacantesnoeranmuyexigentes.Enviaban correoselectrónicosgeneralesatodaslaspersonasposiblesyesperabanqueunporcentaje fueraengañado.Amedidaquelasdefensascontraestosataquessefortalecieron,losatacantes refinaronsusestrategias.Existencuatrotiposreconocidosdephishing: i) unaredirecciónmedianteunenlacecontenidoenunmensajehaciaunaubicaciónen Internetquepuedecontenerunsitiofalsodeunbanco,comercioositiodecorreo electrónico; ii) correoselectrónicosconunadjuntohtmlquecontienelaformadephishing; iii)unenlace/unaenumeracióndeunnúmerotelefónicosobreelqueunavíctimadebehacer clicollamar;o iv) unphishingsimpleconunarespuesta,dondeelmensajecontieneunasolicituddelas credencialesdeseadasyselesolicitaalusuarioquerespondaconlainformación. Enlasdosprimerasformas,eldestinatariodelmensajeproporcionainformaciónpersonalcon frecuenciamedianteelenvíodeuncorreoelectrónicoaldelincuentequecontienelascredenciales robadas.Elphishingbasadoenunnúmerotelefónicopuedeinvolucrarunsistemaautomatizadode contestadortelefónicolesolicitaalavíctimasuscredencialesounapersonaqueintentaaplicarla ingenieríasocial.Lasestafasdel419,conlapromesadeobtenciónderiquezasincalculables,yotros fraudesporpagoadelantadoeranlasformastempranasdeingenieríasocialmediantecorreo electrónico.Apesardelosavancesenlastécnicasdephishing,estasestafasaúnpersisten. ● Spearphishing/Phishingdirigido:Mientrasquelosintentosdephishingtradicionalcon frecuenciaseenvíanenformaindiscriminadaacasitodoslosusuarios,losataquesde phishingdirigidoserealizancontraciertaspersonasuorganizaciones.Estetipodephishing generalmenteimplicaunaextensainvestigaciónporpartedelosestafadores,porejemplo, conocerpasatiempos,donacionesdecaridad,exempleadoresyredessocialesfavoritas,conel findequeelataqueseamuchomásverosímilycreíble.Esposiblepersonalizarelataquepara engañaralasvíctimasquesontradicionalmentemásvaliosas(ysospechosas)queelusuario promedio.Sepodríatratardeempleadosdeunacompañíablancoqueunatacanteintenta penetrar.Unavariantedelspearphishingqueesparticularmenteefectivaimplicaenviarala víctimaunmensajefalsoquepareceserdeunproveedor,acreedoruorganizaciónconocidos coninstruccionesdepagofraudulentasparatransaccionesquelavíctimaesperaoreconoce comonormales. ● VoIP/Vishing:Amedidaquelasactividadestelefónicasysimilaresmigranamecanismos basadosenlaInternet,queseconocenampliamentecomo"VozsobreIP"oVoIP,losfraudes tambiénseadaptanalamigración.Laintegracióndeequiposconsistemasdeteléfonohace posibleengañaralasvíctimasparaquehaganclicenenlacesfraudulentosque automáticamenterealizanunallamadatelefónica,enlugardeiraunsitioweb.Lallamadaen OperaciónSafetyNet 28 símismapuedegenerardirectamenteuningresoparaelatacante,opuededirigiralavíctima auningenierosocialquelaconvencepararevelarinformación.Losteléfonosinteligentes maximizanlaamenazaalsimplificarestaintegracióntelefonía/Internetparaelusuario.Para obtenermayorinformación,véaselasecciónAmenazastelefónicasymóvilesdeesteinforme. ● Fax:Elfaxfueunodelosprimerosmétodosdephishingelectrónicoyhasidoreemplazado principalmenteporlosotrosmétodosdeataquequeaquíseanalizan.Sinembargo,conel advenimientodelfaxbasadoenInternetquedisminuíaloscostos,estemétodoexperimenta unresurgimiento.Dadoquesuusonoesfrecuente,nosiempresedetecta. ● Redessociales:Creanunaexperienciadegrupoqueconduceaunsentidodeconfianzaque,a suvez,esbeneficiosoparalaingenieríasocialqueatacalasrelacionesenlíneadelavíctima. Estopuedefuncionarmuybiencuandoelatacanteimitaelmensajedeunamigoenlíneade confianzaohaafectadolacuentadeunamigo. LÍNEADETIEMPODEUNATÍPICACAMPAÑADEPHISHING Unacampañadephishingposeecuatroelementos: 1. Mensajeinicial(spam):Elusuariofinalrecibeyleeelmensaje.Parecesergenuinoy,porlo tanto,tieneunaltogradodecredibilidad;porlogeneral,contienecomponentesdeun mensajelegítimoperofalsificado,ypareceprocederdeunafuentelegítima,comoelbancode lavíctima. 2. Llamadoalaacción(clicdelusuario):Sealientaalavíctimaahacerclicenunenlaceo responderelmensajeconinformaciónconfidencial.Lasllamadasalaacciónmáseficacesse aprovechandelmiedoydelacodicia,yaseapersonalmenteoenrelaciónconlaorganización paralaquetrabajaeldestinatario.Unmensajebasadoenelmiedopuedeindicarquela víctimayasehavistoafectadaopuedeperderaccesoaunrecursosinoadoptaunamedida,o quelaempresaestásujetaaunademandaosancióneconómica.Unmensajebasadoenla codiciapuedeprometerundescuentoounarecompensafinancieraconlaparticipaciónen unaencuestaoelenvíodeinformación. 3. Contenidomalicioso:Estecontenidohacequelavíctimadivulguesuinformación confidencial.Puedeestarenelmensajeinicialoenunsitiowebblanco,denominado"página dellegada".Elsitiowebpuedeestarafectado,opuedetenerunnombrededominiode aspectosimilarparaconfundiralusuariofinal.Lacarga,porlogeneral,poseeunaformaque requierequelavíctimaintroduzcainformaciónconfidencial.Algunossitiosdephishing tambiéncontienenunmecanismode"descargaoculta"enelquelavisitadeldestinatarioal sitiowebiniciaunprocesoautomatizadodeataqueeinventariodelsistemaquesetraduceen laintroducciónsilenciosadeunmalwareenelequipodelavíctima,quelepermitealos delincuentesobtenerdatosconfidenciales,paraposteriormenteredirigiralavíctimaalsitio legítimo. 4. Ataque/Exfiltración/Obtenerinformación:Eljuegofinaldecualquiercampañadephishing esconvertirlascredencialesrecolectadasenvalorparalosdelincuentes.Sehaobservadouna ampliagamadeesquemas:elmássimpleesiniciarsesiónenlacuentayutilizarlapara transferirfondosohacercompras,mientrasqueotrosataquesmuchomás OperaciónSafetyNet 29 sofisticadosutilizanenprimerlugarelphishingparaobteneraccesoaunacuentadecorreo electrónicoyluegolautilizancomobaseparalaingenieríasocialadicionaly/opropagación demalwareconlaposibilidaddeinfiltrarseafondoenlaorganizacióndeldestinatario. Tambiénsehanobservadointentosdeextorsión. Existeunaseriedepuntosenlosqueesposibleprevenirointerrumpirelflujodetrabajodeuna campañadephishing,comoseindicaeneldiagramaacontinuación: EVOLUCIÓNDELOSMÉTODOSDEATAQUE Laformamásconocidayoriginaldephishinginvolucróadelincuentesqueiniciabansesión directamenteenunainstituciónfinancieraeintentabantransferirfondosdelacuentadelavíctimaa otracuentacontroladaporlosdelincuentes.Cuandolasinstitucionesfinancierascomenzarona detectarybloquearlastransferenciasdedinerointernacionalesyfraudulentasconmayorfacilidad, losdelincuentesseadaptaronalascircunstancias.Transferíaneldineroaunacuentanacionalodel mismobanco,yelfraudeconfrecuencianosedetectabatanfácilmente.Avecesestoselograba medianteelpagodefacturasenlíneaosimplestransferenciascuentaacuenta.Enestassituaciones, eldelincuente,queconfrecuenciaestabaenelextranjero,necesitabalosserviciosdedelincuentes nacionalesqueactuabancomomulasdedinero. Enotroscasos,lallamadaalaaccióncontenidaenelcorreoelectrónicodephishingpretende obtenerladivulgacióndedatosdeunatarjetadecrédito.Conelnúmerodeunatarjetadecrédito,la fechadevencimientoyelcódigoCVV,latarjetasepuedevenderenelmercadonegrooseutilizapara todoslostiposdefraudecontarjetanopresente.Conelnúmerodelatarjetadecrédito,lafechade vencimientoyelCVV,elsuplantadordeidentidadvisitacasiacualquierminoristaenlíneayhace compras.Paraevitarsudetección,seutilizanmercadosilegalessecundariosparaelreenvíoy serviciosdeterminalesremotos.Paraderrotaralossistemasdedeteccióndefraudeminorista,los suplantadoresdeidentidadcompraránelusodeunadirecciónIPdeserviciosdeterminalesremotos enunáreageográficaquecoincidaconlageografíadeldueñodelatarjetadecrédito.Asimismo,sise OperaciónSafetyNet 30 debenrealizarenvíos,tambiénseutilizaráunlugarpararecibirlospaquetesquecoincidaconla geografíadelavíctima. Asimismo,elataqueporreutilizacióndecontraseñasesotraamenazaalconsumidorenlíneaque puedeserresultadodeunataquedephishing.Debidoaquelaspersonasconfrecuenciautilizanla mismacontraseñaenmuchossistemas,losdelincuentessoncapacesdeutilizarlamisma identificacióndeusuarioycontraseñaendiferenteslugares,porejemplounainstituciónfinanciera, minoristasenlínea,einclusosistemasconunVPNcorporativo(véaselasecciónMalwareybotnets paraobtenermayorinformaciónsobrelacreaciónyelalmacenamientodecontraseñasseguras). Laviolacióndedatosagranescalaquehasidonoticiaenlosúltimosañosconfrecuenciacomienza conalgúntipodephishingdirigidoospearphishingquetieneporvíctimaaejecutivosopersonascon accesoaloscontrolesdeunaredcorporativa.Estetipodeataqueshanllevadoadirigirlosdelitos financieros,comoelrobodeinformaciónpersonalycredencialesdeusuario,ysureventaenel submundodeldelito.Unnúmerograndeycrecientedelascampañasdespearphishingtambién promuevenelespionajeindustrial,losesquemasdeextorsión,lainfiltraciónpatrocinadaporel estadoyotrosdelitosnofinancieros. ELAUMENTOENELDESARROLLODELOSATAQUESDEPHISHING AmedidaquemásorganizacionesmigranasistemasdecorreoelectrónicosbasadosenlaWeb,los ataquesdephishingsehanvueltomásfrecuentespordosrazonesprincipales.Enprimerlugar,y lamentablemente,muchasorganizacionesutilizanentornosdeiniciodesesiónúnico,conlamisma contraseñatantoparacuentasdecorreoelectrónicocomoparalastareasderecursoshumanos,como lacuentabancariadondesetransfiereeldineroeneldíadepago.Ensegundolugar,unavezquese accedeaunacuentadecorreoelectrónicocorporativo,eldelincuentetieneunaplataformadesdela quepuedenestudiarlaorganización,saberquiénpuedeteneraccesoalosmásvaliososactivos digitalesdelacompañía,porejemplolascuentasfinancierasylapropiedadintelectual,yapuntara esosempleados.Estetipodeataquessepondránenmarchaapartirdeunacuentadecorreo electrónicodeunempleadoquelaempresaconoceyenquiénconfía,yaseamedianteingeniería socialolatransferenciademalwaremedianteadjuntosdecorreoelectrónicoqueimitanelmodelode losdocumentoscomercialesnormalesqueseencuentranenlacuentaafectada. Inclusoparaelcorreoelectróniconocorporativo,elataquedephishingcontralosproveedoresde correoelectrónico,comoGmail,Yahoo,OutlookyAOLescadavezmásfrecuentepormuchasdelas mismasrazones.Estascuentaspuedenparecer"objetivosdepocovalor"ynoestánvigiladoscon tantoesmerocomoelresto;sinembargo,controlanlacapacidadderestablecercontraseñasodirigir elaccesoaotrascuentaspararealizarunaampliavariedaddeataques.Estascuentasdecorreo electrónicoafectadashandadolugaraunvolumenimportantededelitosfinancieros(porejemplo,la cuentadeadquisición,transferenciaselectrónicasfraudulentas)queestánbiendocumentadasporlas entidadesfinancieras. Otrosservicios,comolasredessocialesbrindanun"iniciodesesiónúnico"paraunaampliagamade serviciosalconsumidor.Estohacequeestetipodecuentasseanblancosparalossuplantadoresde identidad,yaquepuedenmonetizardirectamentedichosservicios,redirigirenvíosdeproductoso, engeneral,tomarelcontroldemuchosaspectosdelaidentidadenlíneadeunapersona.Elsiguiente diagramamuestraquesilospiratasinformáticospuedeningresarenunacuentadeGoogle,con frecuenciatienenaccesoaunaenormecantidaddeotrosdatos.Sepuededecirlomismodecuentas deAppleyiTunes. OperaciónSafetyNet 31 Lacrecientesofisticacióndelosdelincuentesloshallevadoorientarseaelementosdela infraestructuraquelesproporcionanunmayorpotencial.Porejemplo,lossuplantadoresde identidadahoratienenaccesoalosproveedoresdeserviciosdecorreoelectrónico(ESP)deterceros, queenvíancorreoelectrónicomasivoennombredelasmarcasmásimportantesdelmundo.Los delincuentesaccedenalainfraestructuradeunESPmediantecuentasafectadas,robanlistasde clientesyenvíanspamomalwaredephishingalosdestinatariosinconscientes,quecreenqueel mensajeperteneceaunalistadecorreodeunaempresalegítima. OtratendenciarecienteeselaumentodelosataquesdeelementosdeinfraestructuradeInternet, comocuentasdehostingocredencialesderegistrodedominios.Unavezquelossuplantadoresde identidadobtienenaccesoaloscontrolesfundamentalesdelainfraestructuracomoestos,pueden establecersitiosweb,lanzarnuevosataquesycrearnuevoselementosdeinfraestructura,como nombresdedominiopararotarsusesquemas(véaselasecciónServiciosdehostingyenlanube). Unatácticaenparticularperjudicialesañadirnombresdehostmaliciososaunnombrededominio sólidoconunabuenareputación,sinmodificareldominiooriginal.Estopermitealosdelincuentes atacarlabuenareputacióndeundominiomediantesuscampañasparaevitarfiltrosybloqueoso cierres(véaselasecciónNombrededominioydireccionesIP). OperaciónSafetyNet 32 LASMEJORESPRÁCTICASRECOMENDADASCONTRAELPHISHINGYLA INGENIERÍASOCIAL Existeunaampliagamademejoresprácticasrecomendadasantiphishingadisposicióndelas organizacionesparaprotegersumarcaysusclientes.Dichoesto,nohayun"santoremedio"paralos desafíosqueplanteaelphishing,yesnecesarioabordarloentodoelciclodelproceso:cualquierfase quesepuedaimpedirpuedeprotegeradocenasdemillonesdevíctimasenfuncióndelaescaladel ataqueyelalcancedevariassoluciones.Lasempresasdebenabordaresteproblemaconunenfoque de"defensaenprofundidad",asumiendoquealgunasmedidasseránefectivasparaevitarquelleguen losprimeroscorreoselectrónicos,peroquealgunasnoservirányseráprecisodefinirotrasdefensas. Enestasecciónseresaltaránalgunasdelasprincipalestécnicasymejoresprácticasrecomendadas, peroseobtendrámuchomásdetalleyasesoramientoespecíficoapartirdediversasorganizaciones delaindustria,publicacionesgubernamentalesyproveedoresdesolucionesantiphishing. 1. Prevenirelataquedephishingdemaneraexitosa Elprimerpuntoparaabordarlosataquesdephishingesimpedirquealcancenalasvíctimasy/o manteneralasvíctimasalejadasdelossitiosdephishingenprimerlugar.Haytrespuntosde contactoprimarioparalograresteobjetivo:detenerelflujodecorreoselectrónicosdeseñuelo,evitar quelosseñueloslleguenalosusuariosybloquearelaccesoalossitioswebdephishingyaotros activos. a. Prevenirelenvíodeemailcomoseñuelo Losmecanismosdeautenticaciónbasadosencorreoelectrónicoquesonrelativamente recientesfacilitanalgunasproteccionesutilizadasconfacilidadcontraalgunasformasde phishingysuplantación.Estastécnicassebasanenlacreacióndeunainfraestructurade autenticacióndecorreoelectrónico.Losmecanismosdeautenticacióndecorreoelectrónico másfrecuentessonelconvenioderemitentes(SPF)xxivyelcorreoelectrónicoidentificadopor clavededominio(DKIM)xxv,queempleannombresdedominioxxvicomoidentificadores validados.Estoslepermitenalpropietariodeunnombrededominiocontrolarelusodesu dominioenelcorreoelectrónicoyreducirloscasosdesuplantacióndeidentidad. Conelfindeabordardeformaexitosalosproblemasdephishingysuplantacióndedominios, lospropietariosdemarcaseISPnecesitancompartirinformaciónentresísobresuactividad decorreoelectrónico,porejemplo,laspolíticasdeautenticaciónylosinformessobre problemas.Históricamente,estosarreglosfueronbilateralesyprivados,entrelos propietariosdemarcasylosISPindividuales.Sinembargo,unconsorciodelaindustriaad hocdesarrollóunaespecificacióntécnicallamadaAutenticación,InformeyConformidadde MensajesBasadosenDominios(DMARC)xxvii. LaDMARC,introducidaaprincipiosde2012,haceusodeSPFyDKIMparaproporcionarlos propietariosdemarcasconunmedioparacomunicarfácilmentealosISPcómodesean Asimismo,laDMARCles manejarlosmensajesautenticadosdemaneraincorrecta. proporcionaalosISPyaotrosdestinatariosdecorreoelectrónicounmecanismoparael envíoalospropietariosdelasmarcadecomentariosacercadelfuncionamientodela herramientadeautenticacióndecorreoelectrónico,asícomotambiéndelainteligenciaa nivelforense. OperaciónSafetyNet 33 Paralasoperacionesdeenvíodecorreoelectrónico,elabordajerecomendadoeselsiguiente: ● Auditar:medianteelinventariodetodoslosequiposysistemasqueenvíancorreo electrónicoennombredelaorganización,inclusosistemasexternos,comoESP,u otrostercerosautorizados ● Publicar:losregistrosdepolíticasyautenticaciónenelDNS ● Modificar:softwareparaelenvíodecorreoelectrónicoconelfindeutilizarla autenticaciónycumplirlapolítica ● Establecer:relacionesdeinformesobreactividadqueutilizaelnombrededominio ● Supervisar:todoslosinformesdisponiblesparalospatronesquerequierenatención ● Mantener:lasoperacionesparalaconformidadencurso Paralasoperacionesderecepcióndecorreoelectrónico,elrespaldodeestosnuevos mecanismosimplicaprincipalmenteañadirmódulosalossistemasdefiltradodecorreo electrónicoexistentes. b. Filtrodespamentrante Unodelosmétodosmásimportantesparadetenereldañodeunataquedephishingeslograr unfiltradoefectivodespam.Habilitarelfiltradodespamesimportante,peroelfiltrado efectivoimplicaalgomásquetenerunproductocomercialinstaladoenlapuertadeenlacede correoelectrónico.Lasempresasyagenciasgubernamentalestambiéndebenmejorarsu filtrodespammediantelaincorporacióndedatossobreamenazasqueayudanamejorarel filtrodespam. Estainformaciónsepuedeobtenerapartirdelistasnegrasgeneradaspororganizaciones especializadas,comoSpamhaus,SURBLyotras(véaselasreferenciasalfinaldeestasección). Elfiltradodespamestáestrechamenteasociadoalapresentacióndeinformes,yaquelos correoselectrónicosdephishingquetraspasanconéxitounfiltrodespamsonlosquehay queinformarconmayorurgencia.Muchosserviciosdecorreoelectrónicoofrecenunbotón "Marcarcomospam"o"Marcarcomophishing",quelosusuariosdebenutilizar. Lastécnicasparaelfiltradodespamincluyen: ● Autenticación:losremitentesdecorreoelectrónicotienenlaposibilidaddeinscribirse enlosmétodosdeautenticación,porejemploDKIM,SPFyDMARC.Cuandoserecibe elcorreoelectrónico,secompruebalapresenciadeuntokendeautenticación.Según DMARC,eldominiodeenvíosecompruebaparaversiserequiereautenticación.Siel tokennoesválidoonoestápresente,elcorreoelectrónicopuedeserfraudulento. ● ReputacióndedireccionesIP:ladirecciónIPqueenvíaelcorreoelectrónicopuedeya estarasociadaconelenvíodespam.Alrechazarcorreoselectrónicosdedirecciones IPconunamalareputación,esposiblebloquearunagrancantidaddespam. ● Filtrodecontenido:elfiltradobasadoenreglas,lacomprobacióndecorreoelectrónico paradetectarlapresenciadepalabrasofrasesprohibidasoelanálisisestadísticodela direccióndecorreoelectrónico(filtrodespambayesiano)puedeidentificarlos correoselectrónicosqueposiblementeseanspam.Informaralcontenidodelosfiltros OperaciónSafetyNet 34 losdatosdelosserviciosdereputaciónparalosnombresdehosty/oURL(por ejemplo,SpamhauscomoDNSBL/SURBL)mejoraengranmedidaestatécnica. ● Trampasdespam:mediantelarecopilacióndecorreoelectrónicoenviadoalas direccionesquenodebenrecibirningúncorreoelectrónico(usuariosquenoexisten), esposibleidentificarpatronesyaplicarlosparabloquearelcorreoelectrónico enviadoadireccioneslegítimas. c. Bloqueodelnavegadoryotros Laproteccióncontraataquesdephishingestáintegradaenmuchosproductosyserviciosque losconsumidores,lasempresasyotrasorganizacionespuedenaprovechar.Conla informacióngeneralizadadelosataquesdephishingrealizadapormarcasyelpúblicoen general,estosdatosingresanalosproductosqueseexponenalphishing,comonavegadores web,servidoresdecorreoelectrónicoyclientes,dispositivosdeseguridad(firewalls,sistemas IDS/IPS,proxydetráficoweb,DNSdefirewalls),yproveedoresdeserviciosdecorreo electrónicoenlínea.Estasherramientas/Estosdispositivospuedenproporcionaruna protecciónaúnmejorsiseañadendatosdeinteligenciasobreamenazas.Porejemplo,datos sobrereputacióndedireccionesIP,nombresdehost/dominio,URL,direccionesdecorreo electrónicoyotros"indicadores"decomportamientopocofiable. Estosseenvíanenvariasformas,porejemplo,DNSBL,RBL,listasdebloqueodeURLyuna tecnologíarelativamentenuevallamadaZonasdePolíticadeRespuestadeDNS(RPZ).Dichas tecnologíasysusdatossepuedenimplementarparacortartodacomunicaciónaubicaciones deInternetbloqueadas.Lasempresasdebenelaborarnormasoperativasypolíticaspara garantizarquehabilitanestetipodeserviciosensusentornos.Estotieneparticular importanciaparalosproductosdepuertadeenlacedecorreoelectrónicoyherramientas generalesdeseguridadderedparacrearunadefensa"encapas".Estaposturadeseguridad debeestarbienplanificadayactualizadadeformaregular. Losusuariosindividualestambiénsepuedenprotegerdemuchosataquessimplemente habilitandoestetipodeserviciosensusnavegadores(porejemplo,navegaciónsegurade Google,filtrodephishingdeMicrosoft),laincorporacióndeuna"barradeherramientas"asu navegador,quepermitelaconfiguraciónantiphishingyantispamenlacuentadecorreoweb cuentadecorreoylaactivacióndelasproteccionesantiphishingenelantivirus. 2. Detección Ladeteccióndeataquesdephishingevitaelataqueensí,perotambiénayudaadetectarataques futuros.Además,sinosedetecta,lossitiosnopuedenserbuscadosparaelanálisisforense, bloqueadosenlosnavegadoresyfiltrosdespam,cerradosoinvestigados.Ladeteccióntomavarias formas,segúnelpuntodeobservacióndesdeelqueseestáproduciendoladetección.Cuando hablamosdedetección,elobjetivoprincipalesdetectarlanuevacampañadesitiodephishingo correoelectrónico,peroconfrecuencialosmediosparaladetecciónestaránenelanálisisdelflujode mensajesentrelosdelincuentesylasposiblesvíctimas. ● Consumidor/Empleado:dadoquelosconsumidoressonlosdestinatariosmás probablesdelmensaje,esimportantequelasmarcasquesonposiblesblancose comuniquedemaneraefectivaconsusclientessobrecómoprocedersiobservanun correoelectrónicosospechoso.Losataquesdespearphishingestarándirigidosalos empleados.Ladetecciónserealizaráconfrecuenciamedianteuncorreoelectrónico vistoporunclienteoempleadodelamarcablanco,porloqueproporcionareducación OperaciónSafetyNet 35 delusuarioylaposibilidaddepresentarinformessonpasosimportantesparala deteccióndeataques(véasemásadelante). ● Correoelectrónicorechazado:durantemuchosaños,unodelosmétodosmás efectivosparaconvenceraunaposiblevíctimadequeunmensajedephishinges legítimohasidoutilizareldominiodeenvíodelamarcaimitada.Loscorreos electrónicosdesde"@paypal.com"o"@bankofamerica.com"probablementesean tomadosalpiedelaletraporlasposiblesvíctimasquenosonconscientesdecómoes posibleimitarfácilmenteelcampo"De:".Afortunadamente,cuandodichosmensajes noseentregan,confrecuenciaporqueelspammerselosenvíaaunacuentaqueestá desactivada,cerrada,oqueyanorecibemensajes,elservidordecorreoenelextremo receptor"rebotará"estosmensajes.Comosedescribióanteriormente,enelcasodela autenticacióndecorreoelectrónico,laDMARCproporcionaunprotocoloparadirigir dóndeenviarestosmensajesrechazados.Elanálisisdeestosmensajesrechazadosa menudopuedeconduciraladeteccióndenuevasfuentesysitioswebdephishing. ● URLdereferencia:cuandounkitdephishingutilizaungráfico,unarchivode JavaScript,hojasdeestilouotracaracterísticadelamarcaimitada,losarchivosde registrodelamarcaimitadamostraránqueelarchivohasidomencionadoporunsitio webdeterceros.Si"hackedsite.com/yourbank/verify.php"esunapáginadephishing yutilizaungráficode"yourbank.com/graphics/logo.gif"elregistromostraráquese hahechoreferenciaa"logo.gif"desde"hackedsite.com".Elanálisisdeestas direccionesURLdereferenciaesunaexcelentemaneradedetectarnuevossitiosweb dephishing.Estosepuedelograrenlaempresaconunpersonalbiencapacitadoo tercerizadoaunodelostantosproveedores. ● Spamdesalida:desdeelpuntodevistadeunaempresa,unproveedordehostingoun ISP,existenvariasmanerasdedetectarcorreoselectrónicosdephishingsalientesque seestángenerandodesdelared.SegúnlasCondicionesdeservicioparaelservicio quesepresta,laredpuedesercapazdeobservarelcorreoelectrónicosalientea partirdelapresenciadecaracterísticassospechosas,comopicosinusualesenel volumen,desajusteseneldominiodelremitente,intentosdeutilizarpuertosde correoelectrónicodeespacioderednopermitidoolainclusióndedireccionesIP pertenecientesalaredenvariaslistasdereputación. ● Reutilizacióndecredenciales:unatécnicarecienteparaladeteccióndesitiosde phishinghasidoexigiralosconsumidoresutilizarunparúnicoidentificadorde usuario-contraseñaparaaccederaunamarcadedestino.Unplug-inenelnavegador delconsumidordetectacualquierintentodeutilizareseparidentificadordeusuariocontraseñaenotraubicación,einformaladirecciónURLalamarcadedestinocomo unaURLsospechosaquedebeserinvestigada. ● Productosdeseguridadysoftwaredefuenteabiertacalibradosparaphishing:los servidoresdecorreoelectrónico,dispositivosmodernosdeseguridadyserviciosenla nubeempleaningresosasitiosconocidosdephishing,direccionesIP,nombresde dominioypatronesdeataquesdephishing.Segúnlascoincidenciasdirectasyel análisisheurísticodelasURLincluidasenelcorreoelectrónicooquetransitanporla redcorporativa,esposibledetectarlosseñuelosdephishingylos"clics"mediante bloqueos,alertasyacciones. OperaciónSafetyNet 36 3. Presentacióndeinformes Lapresentacióndeinformesdeataquesdephishingtienedosobjetivos.Colaboraconlasmarcasque estánsiendoimitadasaresponderalaamenazayproporcionarunrastro,quelepuedeserútilalas fuerzasdeordenpúblico.Unavezquesedetectaunataquedephishing,existenvarioscaminospara informarloconelfindeevitarquelacomunidadengeneralrecibaseñuelosovisitesitiosdephishing. Lasmarcasyorganizacionesquesufrensuplantaciónenlossitioswebyseñuelosdephishingpueden alertarasusclientes,empleadosycomponentes,quesonlasvíctimasmásposibles.Laspersonasque setopanconsitiosdephishingtambiénpuedeninformarlos,ylasmarcasvictimizadaspueden proporcionarypromoverunametodologíafácilparaquesusclientesytercerosinvolucrados informenlosactosdephishing. Unavezqueunaorganizaciónsabequeesblancodeunacampañadephishingesimportantealertar alecosistemaantiphishingquecomprendeorganizacionesdelaindustria,proveedoresypersonalde respuestadeincidentes.Estosepuedehacerparaelataquedephishingocasionalconelinformedel ataqueatravésdeunodelossitiosqueseenumeranalfinaldeestasección. Lamayoríadelosobjetivosprincipalesdelphishingempleanserviciosdetercerosquese especializaneneltratamientodecontenidosenlíneailegales/nodeseadoscomounacompetencia básica,yaquetienenprocesosyrelacionesestablecidosconlosprincipalesproveedores,lacapacidad detraduciridiomaseinvestigadoresdeinteligenciasobreamenazasentreelpersonal. Independientementedelmétododeenvío utilizado,reconoceryreportarlosataquesde phishingrápidamentepuedeconducirala Parafacilitaraúnmáslaaccióndeinformar, identificacióndeldelincuente. muchasmarcashancreadodireccionesde correoelectrónicofácilesderecordar,como Muchosservidoresafectadoscontendránlas "[email protected]".Para entradasdelregistroquedejanunrastroque fomentarelinforme,lasmarcasdebenredactar muestracómosepirateóysecolocóelcontenido pautassobrecómoinformarunataquede ilegalenelservidor.Además,cadasitiowebde phishingobservadoensusitiowebydistribuir phishingdebebrindarunamaneraparaqueel dichainformaciónenlasinteraccionesque delincuenterecibalascredencialesrobadas.En incluyenalcliente. general,estoserealizamediantecorreo electrónico,perotambiénesposibleinvolucrar archivossecretosenelservidorwebdedondeserobanlascredenciales.Elanálisisdelossitiosde phishingidentificadospuedeayudaraidentificar,desactivarosupervisarestospuntosdeexfiltración dedatosyconduciralaidentificacióndelosdelincuentes. 4. Investigacionescorporativasydeordenpúblico Lamayoríadelasinvestigacionessobrephishinglasrealizalaempresacuyamarcaestásiendo suplantada,olosproveedoresdeinteligenciasobreamenazasuorganismosdeordenpúblicoen representacióndeesta.xxviiiMedianteelusodemuchasdelastécnicasdescritasenelpunto"Análisis eInteligencia"mencionadoanteriormente,losinvestigadorespuedenidentificarycalcularlas víctimasysuspérdidas,comoasítambiénrelacionarlostantossitiosdephishingcreadosoque beneficianeconómicamentealmismodelincuente. Enlugarderesolvercadacasoporseparado,sefomentaquelasempresasdesarrollenrelacionescon lasagenciasdeinvestigaciónconelfindecomprenderlosmejoresmétodosparaintercambiardicha información.EnlosEstadosUnidos,elprogramaInfraGarddelFBIylosGruposdeTrabajosobre DelitosElectrónicosdelServicioSecretodelosEstadosUnidossonprogramasqueayudana desarrollarestetipoderelaciones.LoscentrosnacionalescomolaNationalCyberForensicsand OperaciónSafetyNet 37 TrainingAlliance(NCFTA)tambiénofrecenoportunidadesparalaalianzaspúblico-privadascon enfoqueenlainvestigacióndedelitosinformáticos.Eltrabajoconestasorganizacionespuedeayudar alascompañiasdueñasdemarcasaserparticipantesactivasenelprocesodeaplicacióndelaley.A menudotenermúltiplesmarcascomovíctimasenunsolocasoconduceaunarespuestadeaplicación delaleymásactivo,altiempoqueproveelallamada"seguridaddelosnúmeros"paralasmarcasde lasvíctimas,quepuedensentirseincómodasalsernombradascomovíctimas. 5. Educacióndelusuario/delavíctima McAfeeLabsinformóafinalesde2014queelphishingsiguesiendounatácticaeficazparainfiltrarse enlasredesempresariales.Suestudioencontróqueel80%delosusuarioscorporativosnoson capacesdedetectarfraudes:losempleadosdelDepartamentodeFinanzasydeRecursosHumanos tienenpeorestadísticaqueelempleadopromedio.Susempleadospuedenrealizarlaencuestasobre phishingaquí:https://phishingquiz.mcafee.com.xxixCifrascomoestasdemuestranloimportancia paralasempresasylosprogramasdegobiernodecontinuarcapacitandoenformapermanenteasus empleados.EstafueunadelasrecomendacionesdelConsejoFederaldeExaminaciónde InstitucionesFinancieras(FFIEC).SANS(www.sans.org)tambiénposeeinformaciónsobrecómo ejecutarunprogramadephishingensupáginawebSecuringTheHuman.xxx Sibienesmásdifícilproporcionarunacapacitaciónalosconsumidores,lasempresasque experimentanaltastasasdephishingrecibenlarecomendaciónderealizarlacapacitacióncuando tenganlaoportunidaddeinteractuarconsusclientes,yaseamedianteunadjuntoqueacompañeala facturación,unaadvertenciaespecialcuandoelclienteiniciasesiónenelsistemaenlínea,omediante unmensajegrabadomientrasexistaunainteraccióntelefónicaconelconsumidor.Lasempresasque sepreocupanporlaasociaciónsesumarcacondelitoscibernéticospuedenincorporarunmensaje proactivo,comolacampaña"Para.Piensa.Conéctate"odeclararquerespaldancampañasde ciberconcientizaciónlanzadasporelgobierno,comolasemanaoelmesdeconcientizaciónsobre ciberseguridadqueserealizatodoslosañosenlospaísesmásdesarrollados.xxxi,xxxiiExistenmuchos recursosdisponiblesenelmarcodeestascampañasdedivulgaciónpúblicaquepuedenadoptarlas empresas. ElAPWGfomentaquelasempresascolaborenenbrindarunacapacitación"justoatiempo"mediante laadopcióndelapáginadeiniciodeEducaciónsobrePhishingdelAPWGcomosupáginadeinicio. Tambiénsefomentaaquelosadministradoreswebquedandebajaunsitiowebdephishingpor habersidopirateadosustituyanlapáginaconlapáginadeiniciodelAPWG.xxxiiiVariasorganizaciones handesarrolladosuspropiaspáginasdecapacitaciónexcelentesparacolaborarenlacapacitaciónde losusuarios.SeincluyenVisayStaySafeOnline: http://www.visasecuritysense.com/en_US/phishing-attack.jsp https://www.staysafeonline.org/ LaComisiónFederaldeComercio(FTC)delosEstadosUnidosutilizaunagenerosidadunpocoliviana paraalertaralosconsumidoressobrelosriesgosasociadosconelphishingrepresentando estratagemasdephishingestándarparaalertaralosconsumidoressobreesteproblemaatravésde losjuegosenlíneayvideosdeYouTube • Juegosenlínea:http://www.onguardonline.gov/media/game-0011-phishing-scams,and • VideosdeYouTube:https://www.consumer.ftc.gov/media/video-0006-phishy-home. OperaciónSafetyNet 38 6. Participacióndelaindustria Lasorganizacionesparacompartirinformación,comoelCentrodeAnálisiseIntercambiode InformacióndelosServiciosFinancieros(FS-ISAC)yelEquipodeRespuestaanteIncidentes CibernéticosdelasInstitucionesFinancierasdeCanadá(TPI-CIRT)tambiénsonorganizacionesmuy importantesqueayudanaabordardelitosdephishing"entremarcas". Laparticipaciónengruposdedefensadelaindustria,comoelAPWGxxxiv,elM3AAWGxxxv,laAsociación deConfianzaenLínea(OTA)xxxvi,elConsejodecomerciantedeRiesgos(MRC)xxxvii,ylosEquiposdel ForodeSeguridadyRespuestaanteIncidentes(FIRST)xxxviiisonalgunasdelastantasorganizaciones conmembresíaparaabordarlosfraudesenlíneaylosdelitosinformáticos.Lasreunionesdelos miembros,laspublicacionesylosgruposdeinterésespecialofrecenmuchosbeneficiosalasmarcas queestánsufriendoataquesdephishing.ElAPWG,porejemplo,ofreceampliascapacidadesde intercambiodeinformaciónypresentacióndeinformesdegranescalasobrelossitiosdephishinga lasorganizacionesmiembros,convirtiéndoseenunrecursoprimordialparalasinstituciones afectadasporataquesdephishing. REFERENCIAS ESTADÍSTICAS ● Informedetendenciassobreactividadesdephishing/Informesobreusodedominiosdel GrupodeTrabajoAntiphishing http://www.antiphishing.org/resources/apwg-reports/ [N.B.:ElAPWGpuedebrindarhojasdecálculocondatosdeorigensobrelosinformes presentadosen2006,segúnsolicitudporescrito.Contacto: [email protected]]http://www.apwg.org/reports/APWG_CrimewareReport.pdf ● EncuestaglobalsobrephishingdelGrupodeTrabajoAnti-Phishing: http://docs.apwg.org/reports/APWG_Global_Phishing_Report_1H_2014.pdf ● EncuestasobrevulnerabilidadenlaWebdelGrupodeTrabajoAnti-Phishing http://www.apwg.org/reports/apwg_web_vulberabilities_survey_june_2011.pdf ● Phishing:¿Cuántosmuerdenelanzuelo?GobiernodeCanadá http://www.getcybersafe.gc.ca/cnt/rsrcs/nfgrphcs/nfgrphcs-2012-10-11-eng.aspx OperaciónSafetyNet 39 PROGRAMASANIVELDEUSUARIO ● ElCódigodeConductaAnti-BotparaProveedoresdeServiciosdeInternet: http://www.m3aawg.org/abcs-for-ISP-code ● iCode.org-AsociacióndelaIndustriadeInternet:https://icode.org ● CentrodeAsesoramientoAntibotnet-ECO(Alemania):https://www.botfrei.de/en/ ● PARA.PIENSA.CONÉCTATE.:http://www.stopthinkconnect.org ● ConsejoalconsumidordelAPWG:http://www.antiphishing.org/resources/overview/ ● EducaciónparaelconsumidordelAPWG: http://www.antiphishing.org/resources/Educate-Your-Customers/ PRESENTACÓNDEINFORMESSOBREPHISHING: GrupodeTrabajoAnti-Phishing: http://www.antiphishing.org/report-phishing/ Correoelectrónico:[email protected] Principalesproveedoresdewebmail/navegadores: Google: https://www.google.com/safebrowsing/report_phish/ Microsoft: www.microsoft.com/security/online-privacy/phishing-scams.aspx#Report Yahoo: https://safety.yahoo.com/Security/IVE-BEEN-PHISHED.html Recursosenlíneaparaproveedoresdeseguridad: http://www.phishtank.orghttp://www.phishtank.org https://submit.symantec.com/antifraud/phish.cgi http://phishing.eset.com/report http://toolbar.netcraft.com/report_url EstadosUnidos: ElCentrodeReclamossobreDelitosenInternetbrindaunserviciocentralizadodeinformesobre casosdecyberdelincuenciaquehayancausadopérdidas: www.ic3.gov/default.aspx ElEquipodeRespuestaanteEmergenciasInformáticas(US-CERT,eninglés)tambiéntienedónde enviarinformessobrephishing: https://www.us-cert.gov/report-phishing Correoelectrónico:[email protected] ElsistemadeinformesobrespamdelaComisiónFederaldeComercioenvíainformaciónalaBasede DatosCentineladelConsumidor,unaherramientadeordenpúblicoparacontactosinvestigativos: [email protected] OperaciónSafetyNet 40 Canadá: Centrodeinformesobrespam:fightspam.gc.ca Correoelectrónico:[email protected] CentroCanadienseAnti-Fraude: www.antifraudcentre.ca/english/reportit-howtoreportfraud.html AsociaciónBancariadeCanadáenumeralalistade“InformesobrePhishing”paralamayoríadelos bancoscanadienses:www.cba.ca/en/consumer-information/42-safeguarding-your-money/91email-fraud-phishing ReinoUnido: ElCentroNacionaldeInformesobreCiberdelincuenciayFraudemanejalosreclamossobrefraude, intentodefraudeyvirusoestafasenlíneaParainformeuncasodefraude,losconsumidoresdeben utilizarelsiguienteenlace. www.actionfraud.police.uk/report_fraud LaHerramientaparaInformarAccionesdeFraudeComercialestádirigidaaexpertosenseguridad quenecesitaninformarmuchasaccionesdefraudepordía: https://app03.actionfraud.police.uk/report/Account Irlanda: https://www.botfrei.de/ie/ueber.html Australia: http://www.acma.gov.au/Citizen/Stay-protected/My-online-world/Spam/reporting-spam-i-acma https://www.scamwatch.gov.au/content/index.phtml/tag/reportascam https://report.acorn.gov.au/ Correoelectrónico:[email protected] NuevaZelanda: http://complaints.antispam.govt.nz/ Francia: https://www.signal-spam.fr ELCERT-LEXSIfrancés,EuropolylosgobiernosdelosPaísesBajosyLuxemburgotambiénofrecen unsitioparainformarcasosdephishing: https://phishing-initiative.eu OperaciónSafetyNet 41 LASMEJORESPRÁCTICASRECOMENDADAS ● ● ● ● ● ● ● Quéhacersisusitiowebhasidopirateado http://www.apwg.org/reports/APWG_WTD_HackedWebsite.pdf Advertenciasobreregistrosdesubdominios http://www.apwg.org/reports/APWG_Advisory_on_Subdomain_Registries.pdf Lasmejoresrecomendacionessobreprácticasantiphishingpararegistradores http://www.apwg.org/reports/APWG_RegistrarBestPractices.pdf Medidasparaprotegerlosserviciosderegistrodedominiocontraelabusooelmaluso http://www.icann.org/committees/security/sac040.pdf LasmejoresprácticasdecomunicaciónpararemitentesdelM3AAWG https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf Laconfianzaenuncorreoelectrónicocomienzaconlaautenticación(Papelblancode autenticacióndecorreoelectrónicodelM3AAWG) https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Email_Authentication_Update2015.pdf LasmejoresprácticasantiphishingdelM3AAWG/APWGparaISPyproveedoresdecasillasdecorreo electrónico https://www.m3aawg.org/sites/default/files/M3AAWG_AWPG_Anti_Phishing_Best_Practices-2015-06.pdf OperaciónSafetyNet 42 NOMBRESDEDOMINIOYDIRECCIONESIP UnavariedaddeactividadesilegalesymalintencionadasseaprovechandevulnerabilidadesenelDNS comoresultadodemalasprácticascomercialesydeseguridadentreoperadoresdeInternetpara manejarlainfraestructuraylosregistrosdenombresdedominio,registradores,revendedoresy proveedoresdeserviciosproxyydeprivacidad.Esposiblemitigarestasamenazasmedianteun mejormanejoporpartedelosoperadoresderedymejoresprácticasdesarrolladasporlas organizacionesquegestionandireccionesIPynombresdedominio,uorganizacionesqueproveen serviciosderegistrodenombresdedominio. DESCRIPCIÓNGENERALSOBRETECNOLOGÍA DIRECCIONESIP CadaequipodeInternettieneunadirecciónIP,queseutilizaparadirigireltráficodesdeyhaciaese equipo.LasdireccionesIPtradicionales,conocidascomoIPv4,sonnúmerosbinariosde32bits, invariablemente,porescritocomocuatronúmerosdecimales,talescomo64.57.183.103.Laprimera partedeladirección,queenesteejemplopodríaser64.57.183,identificalared,yelrestodela dirección,103enesteejemplo,elequipoenparticular("host")enlared.Ladivisiónentrelaredyel hostvaríasegúneltamañodelared,porloqueelejemploanterioressimplementetípico.Una versiónmásreciente,IPv6,utilizanúmerosde128bitsmuchomásgrandes,escritoscomobloquesde dígitosseparadospordospuntos,porejemplo2001:500:2f::f.CasitodaslasdireccionesIPv4yahan sidoasignadas,porloqueahoraseencuentranenmediodeunatransicióngradualaIPv6. Paraqueeltráficoderedfluyadesdeunequipoaotro,porejemplo,desdeelequipodeunusuarioa losservidoreswebdeGoogleoviceversa,eltráficodesdeelequipoemisorfluyeatravésdeequipos intermedios,llamadosenrutadores,haciasudestino. Existenalrededorde500.000rutasderedvisiblesalosenrutadoresmásgrandesdeInternet, conocidoscomoenrutadorestroncales.(Elnúmerototalderedesesmuchomayor,yaqueunaúnica rutatroncalnormalmentecubredocenasdemilesderedesdeclientes).Paramantenerlastablasde 500.000rutas,losenrutadorestroncalesutilizanunsistemallamadoprotocolodepuertadeenlace deborde(BGP)paraintercambiarinformación,porloquelosenrutadorespuedenajustar automáticamentelastablascuandollegannuevasredesenlíneaounenlaceentreredesfallaose repara. Comounnúmerodeteléfono,cadadirecciónIPvisiblealmundodebeserúnica.Losproveedoresde InternetylasgrandesempresasobtienenbloquesdedireccionesdirectamentedelosRegistros RegionalesdeInternet,comoARIN,queasignaespacioIPparalosEstadosUnidos,Canadáypartes delCaribe,mientrasquelasempresasmáspequeñasylosindividuosutilizanpartesdebloques asignadosasusproveedoresdeInternet.AlgunasdireccionesIPnosonvisiblesalmundo,por ejemplo192.168.1.1o10.0.0.51;estassonanálogasalasextensionesdelacentraldeconmutación (PBX)delsistematelefónicodeunaempresa,quesólosepuedenaccederdesdedentrodelapropia reddelaorganización. OperaciónSafetyNet 43 ELSISTEMADENOMBRESDEDOMINIO DadoquealossereshumanoslesresultadifícilrecordarlasdireccionesIPyestasseatanaredes físicas,elDNSesunabasededatosdistribuidadenombresquelespermitealaspersonasusar nombrescomowww.google.comenlugardeladirecciónIPcorrespondiente173.194.73.105(para IPv4)o2607:f8b0:4000:807::1012(paraIPv6).Apesardesuenormetamaño,elDNSposeeun rendimientoexcelentemedianteladelegaciónylasmemoriascaché.Dadoquenoseríapráctico almacenartodoslosnombresdelDNSenunasolabasededatos,quesedivideenzonasqueestán almacenadosendiferentesservidores,perológicamenteunidasentresí. Enprincipio,paraencontrarladireccióndewww.google.comdeGoogle,elsoftwaredeconsultasal DNSenelequipodelusuario,llamadoresolutor,contactaprimeroaunodelosservidores"raíz",que respondeenviandolainformacióndelosservidoresderesolucióndelTLD.com.Luegoelresolutor envíalaconsultaalosservidoresderesoluciónde.com,querespondeenviandolainformacióndelos servidoresderesolucióndegoogle.com.Enelsiguientepaso,elresolutordelusuarioenvíala consultaaesosservidoresdegoogle.com,querespondenfinalmenteconladirecciónIPasociadaal dominiowww.google.com. DadoquelosusuariosdeInternettiendenabuscarlosmismosnombresenvariasocasiones,los dispositivosdelosusuariosindividuales,juntoconlosservidoresderesolucióndeDNS,tienenuna memoriacachéquerecuerdalasúltimasconsultasyrespuestasdelDNS,permitiendoquelas consultasposteriorespuedenserrespondidasdesdeesamemoriatemporalenlugardeviajarde nuevoatravésdetodoelDNS,reduciendolacantidaddeconsultasquellegahastalosservidoresraíz yacelerandolostiemposderespuestaparalosusuarios. DadoqueexistendiferentesmanerasenlasqueactoreshostilespuedeninyectardatosdelDNS falsificadosenlamemoriatemporaldelosservidoresderesoluciónydelosdispositivosdelos usuarios(algunassediscutenacontinuación),DNSSECañadefirmascriptográficassegurasalos datosdevueltosporlosservidoresdelDNS,porloqueelequipodelusuariopuedecomprobarla validezdelasfirmasyasegurarquelosdatosdelDNSqueutilizasonlegítimosyqueenrealidad procedendeunactorigualmentelegítimo.DNSSEChaestadoendesarrollodurante17años,pero sólosehautilizadodemanerasignificativaenlosúltimosaños.Laadministracióndelasllavesde cifradodeDNSSECescomplejaypuedepresentarundesafíoparalosadministradoresdelos servidoresderesolución. ATAQUESCONTRAELDNS LosataquesmásgravesalDNSsonataquesqueafectanalosservidoresderesolución,enlosquelos ciberdelincuentesintroducendatosfalsospararedirigireltráficowebyotrotráficoaversionesfalsas delossitioswebmáspopulares. ENVENENAMIENTODELAMEMORIACACHÉ Unacategoríadetalesataqueseselenvenenamientodelamemoriacaché,esdecir,lautilizaciónde losagujerosdeseguridadparaintroducirdatosfalsosenlamemoriacachédelosservidoresdeDNS, queluegosonenviadosalosequiposdelasvíctimas.Pocosusuariostendránalgunacapacidadpara detectarlainformaciónfalsadelDNSalutilizarsusequipos.Mediantelacombinacióndemúltiples ataquesenconjunto,undelincuentepuedepresentarunaréplicaperfectadeunsitioweb, OperaciónSafetyNet 44 unsellodeconfianza,unlogotipoymostrarelnombrededominiocorrectoenlabarradedirecciones delnavegador.Elresultadopuedeserelrobodecredenciales,elaccesoalosrecursosfinancieros,la afectacióndelainteligenciacorporativaodelEstadoolaNación,oelredireccionamientodeingresos porpublicidad. Losataquesencontradelosservidoresderesoluciónseproducencompletamentedentrodel proveedordeserviciosderesolucióndedominios(NSP,porejemplo,unservidorderesolución corporativoounserviciopúblicodeDNScomoOpenDNSoGoogleDNS)ylossistemasdelos operadoresdered,sinqueseanecesariocomprometerlosdispositivosdelosusuarios. CuandotodoslosinvolucradoshanimplementadoDNSSECcorrectamente,incluyendoalregistrante deldominio,elregistrador,elregistroyelproveedordeserviciosderesolución,seevitael envenenamientodelamemoriacachéyotrasusosincorrectosdelDNS.Enestemomento,DNSSECno estáampliamenteimplementadoyporestarazónaúnnoseconsideraunadefensacontundente contralosataquesdeenvenenamientodelamemoriacaché.Ladefensaimplementadaactualmente contraelenvenenamientodelamemoriacachésellamaSourcePortRandomization(UDP),peroesta defensarequería,en2008,quetodaslasherramientasdesoftwaredelDNSseactualizaranalaúltima versión. ElsoftwaredelDNS,aligualquetodoelsoftwaredeinfraestructuradeInternet,sedebeactualizar periódicamenteparacorregirlosdefectosconocidosamedidaqueelproveedordesoftwarelos descubreycorrige.Serecomiendarealizarunasupervisióncuidadosaentodomomentopara detectarcondicionesanómalasenlainfraestructuraenlínea.Estasupervisiónesdesuma importanciadespuésdelaactualizacióndeunsoftware,yaqueunaactualizaciónpodríacorregir algunosdefectos,eintroducirotros. Laseguridadcontextualtambiénrequiereunamención.AúnsielsoftwaredelDNSestuviera completamentelibredeerrores,seríanecesarioactualizar,protegerysupervisarelsistemaoperativo ylossistemasdevirtualización,ademásdeloscomoenrutadores,conmutadores,firewallsylos sistemasdedetecciónyprevencióndeintrusiones.EldocumentoRFC2196,ManualdeSeguridaddel Sitio,ofreceunavisióngeneraldeestascuestiones. MEJORESPRÁCTICASRECOMENDADAS: 1. RespaldelaimplementaciónmundialdeDNSSECparagarantizarladistribucióndedatosdel DNS.EstoincluyelafirmadetodaslaszonasdeautoridadconDNSSECylahabilitacióndela validacióndeDNSSECentodoslosservidoresrecursivosdelDNS. 2. UtiliceTSIGparatodaslasactualizacionesdeDNSenlíneayparalasoperacionesde "transferenciadezona"entreservidores,paragarantizarlaautenticidadyqueprovengande servidoresconautoridad(authoritative). 3. Instalelosparchesdelaúltimasversionesrecomendadasporlosproveedoresenelsoftware delDNSysuperviselainfraestructuradeDNSenbuscadeanomalíasentodomomento,pero enespecialdespuésdeinstalarunparchedelproveedor. 4. Elaboreundocumentosobremejoresprácticasrecomendadasrespectdeunapolíticade seguridadparalosresolutoresdelDNS,conelfindeeducaralosadministradoresdesistema ydered. OperaciónSafetyNet 45 MALWAREQUEATACAALDNS Elmétodo"DNSChanger"esotramaneradefalsificarrespuestasdelDNS.Estemalwaremodificael equipodelavíctimaparacambiarlosresolutoresqueutilizaelDNS,sustituyendolosresolutoresdel DNSdelISPdelusuarioporservidorescontroladospordelincuentes.Deestaforma,eldelincuente proporcionarespuestasfalsificadasenformaselectivacadavezquehacerlolebrindeuningreso adicional. ElmalwareDNSChangerfuncionanosóloenelequipodelosusuarios,sinotambiénenlos enrutadoresdehogarodepequeñasempresas.Laventajadeldelincuentealalterarlaconfiguración delenrutadoresqueelcambioesprobablementemásduraderoycubretodoslosequipos,teléfonos, iPadsyotrosdispositivosdelhogarodelaoficina,queincluyenposiblementedispositivosdecontrol delhogarhabilitadosparaInternet,comotermostatos,cámaras,marcosdefotos,redesconectadaso inalámbricas,etc.Elenrutadorpuedeestardentrodelmódemproporcionadoporelserviciode bandaanchaopuedeserundispositivoadicionaladquiridoeinstaladoporelusuario. ElFBItrabajóconlaindustriaprivadaparaquitaralosciberdelincuentesresponsablesdelDNS Changersusrecursos(ysulibertad).xxxixLasdireccionesIPutilizadasporlosresolutores comprometidosfueronre-enrutadashaciaservidoresespecíficosqueestuvieronenoperación duranteunosmesesmientrasgruposdevoluntariosnotificabanalosISPsyalosusuariosafectados. Nota:laestrategiabásicautilizadaporlosdelincuentesresponsablesdelDNSChangerfuncionaríade igualmaneraanteunnuevointento:todaslasvulnerabilidadessubyacentesnecesariasestánaún presentesenequiposmuypopularesquelosproveedoresnopuedenactualizar. LadeteccióndetráficoDNSmaldirigidosepuederealizaraniveldelISPmediantelasupervisióndel tráficodelDNSsalientedelclientequesedirigehaciaunresolutordiferentealproporcionadoporel mismoISP.Tengaencuentaqueesmuycomúnquelosusuariosqueposeenconocimientostécnicos avanzados,oquienessesuscribenintencionadamenteaunserviciodeDNSdiferente,envíensu tráficodeDNShaciaotrolugar.Eldiseñocuidadosodelossistemasdedetecciónesnecesariopara evitarfalsospositivos. Enelfuturo,losusuariospuedenserengañadosparacambiaraunresolutordeDNSdeun delincuentemedianteingenieríasocialoalgúnincentivo.Porejemplo,siserequierenresolutoresdel ISPparadenegarelaccesoaalgunosnombresdelDNS(comocontenidopirataoilegal),losusuarios puedenresponderalasofertasdeaccesoaservidoresdeDNSnocensurados.Existenmuchasrazones legítimasparapermitiralosusuarioselegirsuservicioderesolucióndeDNSsincensurao interferencia. MEJORESPRÁCTICASRECOMENDADAS: 1. EduquealpúblicosobrelospeligrosdeloscambiosderesolutoresdeDNS,paralimitarlos ataquesdeingenieríasocial. 2. Fomenteelquelosoperadoresderedescompartaninformaciónanonimizadaatravésde feedsdelasmemoriaslocales(cache)dealtoniveldesusservidoresdeDNS,relativaa consultasenviadasatravésdesusredes,conelfindedetecarposiblesservidoresdeDNS maliciosos. OperaciónSafetyNet 46 3. Permitaaccesoaesosfeedsainvestigadoresanti-abusoparaayudarenladetecciónde serviciosqueengañanalosusuariosofalsificanrespuestasdeDNS,adicionalmenteconelfin dediferenciarlosdelosservicioslegítimosderesolucióndeDNS. 4. Desarrolleestadísticasbasadasenlosdatosagregadosparaayudaraidentificaralos delincuentesconelfindetomaraccioneslegales,actualizarlistasnegrasderesolutores ilegítimosycrearoperacionescoordinadasdemitigación,comoocurrióenelcasodeDNS Changer. 5. Establezcalasmejoresprácticasrecomendadasparalograrunadecuadoniveldeanonimidad, conelfinddeevitarqueseasocieacadausuario,suISPylaactividadquedesarrollaenel DNS.Asísepuedenevitarrepresaliascontralosusuariosqueeludenformasdecensurayse evitatambiénqueestosusuariosdecidanutilizarservidoresdeDNSdemásdifícildetección, queposiblementeestáncomprometidos. ATAQUESCONTRALOSSERVICIOSDEREGISTRODE NOMBRESDEDOMINIO Lafacilidadconlaquelosciberdelincuentespuedenregistraryutilizarnuevosdominioslesayudaa llevaracabosusfraudes.Elusodeinformacióndeidentidadfalsay,amenudo,decredenciales financierasrobadasdificultaladeteccióndelosverdaderospropietariosdelosdominiosquese utilizanparacometerfraude.Lacargadedetectarelusomaliciosodelosnombresdedominio descansasobreloshombrosdelosinvestigadoresanti-abuso,confrecuenciamuchodespuésdeque laactividadmalintencionadahayacomenzadoo,enocasiones,finalizado.Lacargadereducirla cantidaddedominiosmaliciososestáenlasempresasqueproporcionanaccesoaInternetalos usuarios,yaseamediantesolicitudesdesuspensiónocancelacióndeactividadmaliciosaoatravésde lafrecuentementelentapropagacióndelaslistasdebloqueodedominios.Laslistasdebloqueoson necesariasyaquelassolicitudespararedirigir,suspenderoeliminarnombresdedominioamenudo seignoran. Losciberdelincuentesexplotanlosserviciosderegistrodenombresdedominiomedianteelusode tarjetasdecréditorobadas,medianteelregistroautomatizadodemuchosdominiosaaltavelocidad, medianteelregistrodedominiosatravésdedistribuidoresoproveedoresdeserviciosdeprivacidad odeproxiesquefrecuentementenorespondenoparecenpermitirlaactividadmaliciosa,ymediante elusodedominiosquepuedenutilizarencuestióndeminutosoinclusosegundosdespuésdel registro.Losinvestigadoresdeataquesporlogeneralsólopuedenmonitorearlainformaciónde registroenelDNScada24horas.Losoperadoresdelistasdebloqueosetardanenreconocerlos dominiosmaliciososypropagarlainformaciónsobrereputación,unavezlosdelincuenteshan llevadohandesarrolladosuactividadmaliciosa. Losciberdelincuentespuedencrearcualquiersubdominiobajolosdominiosquehayanregistrado, porejemplonombredebacno.ssl-cgi.delincuente.com.Noexistenrestriccionesencuantoalacantidad deestetipodenombresquesepuedencrearsincosto.Elengañoalosusuariosnorequiereun nombredemarca;simplementecualquiercosaqueparezcalegítima.Losnombrescomosecureorder.verified.example.comsonaceptadosporlamayoríadelosusuariosyaqueseparecenaotros quevenamenudo. Algunasentidadesypersonasinclusoayudanaabusardemarcasalcreardominiosquepuedencrear confusiónenlosusuarios.Estosservicioscreannombresdedominioquevoluntariamenteimitan OperaciónSafetyNet 47 marcasmedianteelusodeerrorestipográficos,comoSEARZconlaletra"Z"enlugardelaletra"S",o PAYPA1conundígito"1"enlugardeunaletra"L".Mientrasqueestosdominiosnosepuedenutilizar enunacampañadephishing,haymillonesdeestetipodedominiosquedificultanlatareadelos investigadoresdeataquesparadistinguirtyposquattersrelativamenteinofensivos,frenteala actividadmaliciosacomotal,antesdequeéstasuceda. Además,losatacantesserobanlosnombresdedominioatravésdeotrastécnicas,porejemplo: ● Comprometerlascredencialesdeaccesodelregistrantealpaneldecontroldelregistrador (robarlacontraseñaquelosclientesutilizanparainiciarsesiónensusitiodeadministración deldominio); ● Comprometerlossistemaspropiosdelregistradorconelfinderobartodasoalgunasdelas contraseñas(conocidoscomocódigosEPPocódigosdeautenticación)queserequierenpara transferirlosnombresdedominiodeunregistradoraotro;y ● ComprometerlosservidoresdeDNSdelmismoregistranteosubasededatosdeDNSconel findealterarlosdatosdeldominiodelavíctimainsitu,sinningúncambiode redireccionamientoascendente(noupstreamredirection). MEJORESPRÁCTICASRECOMENDADAS: 1. Losregistrosdenombresdedominio,tantodedominiosgenéricosdealtonivel(gTLD)como decódigodepaís(ccTLD),asícomoalosregistradoresconquieneshacennegocios,deben implementarysupervisardecercalosprogramas"Conozcaasucliente"(KnowYourCliento KYC)paraprevenirelabusoenelregistrodelosdominios.Estolespermitirádeterminarsi debenevitarhacernegociosconunregistro,unregistrador,undistribuidorounproveedor deserviciosdeprivacidad/proxyycuándodebenhacerlo. 2. Todoslosregistrosdenombresdedominio,losregistradores,revendedoresyproveedoresde privacidad/proxydeberíanimplementarautenticacióndemúltiplefactorvíaHTTPS obligatoria,parareducirelriesgoderobodecredencialesdeaccesoalascuentasdesus clientesyparaprotegerdeunamaneramásapropiadalassesionestransaccionalesdesus clientes. 3. Losregistrosdenombresdedominioylosregistradoresdeberíanconsideraracuerdosde cooperaciónomemorandosdeentendimientoconlasorganizacionesqueayudanaprotegera losconsumidores,porejemploLegitScriptyAPWG.Medianteelestablecimientodeniveles predefinidosdeconfianza,losreportesdeabusoquesonenviadosporestasentidades puedenserabordadosdeunamaneramuchomásrápidayefectiva,siendounadeestasvíasel ProgramadeSuspensióndeDominiosMaliciososdelAPWG(MaliciousDomainSuspension ProgramoAMDoS). 4. Losregistrosylosregistradoresdenombresdedominiodeberíanverificarelusodetarjetas decréditorobadas,paraevitarelregistrodedominiosmaliciosos. 5. Hacercumplirlasobligacioneslegales(ensuspropiasjurisdicciones)ycontractualesquelos proveedoresdeserviciosderegistrodedominio,incluyendolosregistros,registradores, revendedoresyproveedoresdeserviciosdeprivacidad/proxydebencumplir,enloque respectaalarespuestafrenteareportesdeabuso. OperaciónSafetyNet 48 6. Respectodelosserviciosdeprivacidadyproxy,hayunanecesidadurgentedeimplementary hacercumplirprogramasdeacreditación.Estosaclararánlasnormasyprocedimientos respectodelassolicitudesderetransmisión(relay),esdecir,cuandodebenreenviar comunicacionesasusclientes,yrevelar(reveal),esdecir,cuandodebenrevelarlaidentidad desucliente.Estoaplicaparatodoslosserviciosdeproxyyprivacidad,independientemente desioperanenelespaciodelosgTLDsolosccTLDs,eindependientementedesiunregistroo unregistradorespropietario,administradoruoperadordeestosservicios. 7. LosregistrosyregistradoresparalosespaciosgTLDyccTLDdeberíanevitarhacernegocios conproveedoresdeserviciosdeproxy/privacidadquenoestáncubiertosporunprogramade acreditación. 8. Antesdeprocesarlassolicitudesderegistrodenuevosnombresdedominiooaceptar transferenciasentrantesdedominios,losregistradoresylosoperadoresdeccTLDsque ofrecenserviciosderegistrodirectamentealpúblicodeberíanvalidarlareputacióndeciertos elementosdedatosderegistro,como: a. direccionesdecorreoelectrónicoutilizadasporlossolicitantes,eltitulardelacuenta ocualquieradelosotroscontactosdeWhois; b. ladirecciónIPdesdelaquesesolicitanlastransacciones; c. losservidoresdenombresquelosclientesdeseanasociarasusnombresdedominio; d. ladirecciónpostaldeltitular;y e. unamuestraestadísticamenteválidadenombresdedominioyaregistradosporel mismocliente. Amododeejemplo,unserviciodevalidacióndereputaciónloproporcionasincosto algunolaSecureDomainFoundation,quelepermitealosregistradoresyalos registrosdecidirsideseannegarlacreacióndeunnuevonombrededominio,o aceptartransferenciasentrantes,sialgunodeestosdatostienemalareputación,que indicaactividadmalintencionadarecienteeimportante. 9. MejorarlosalgoritmosusadosparadefinirlareputacióndedominiosydireccionesIP,conel findeincluirenelloslaantigüedaddecadadominiocomofactorreputacional:losdominios quetienenmásdeunañosonmenospropensosaserdominiosdesechables;algunos organismosdeacreditacióndecorreoevitanquelosclientesutilicendominiosdemenosde unmesy,usualmente,examinardominiosdemenosdeundíaesunamaneraeficazde detectaractividadmaliciosa. 10. PuestoquelosdelincuentesquerobandominiosutilizandireccionesIPquesongeneralmente diferentesdelasutilizadasporlossolicitantes,losregistradoresylosrevendedoresdeberían habilitarlaverificacióndelasdireccionesIPdesdelaqueseoriginalaactividaddelascuentas desusclientes.SilacuentadeunclienteesaccedidadesdeunanuevadirecciónIP,el registradoroelrevendedordeberìaninformaralregistranteyalcontactoadministrativodel nombrededominioencuestión. 11. ContinuarlasmejorasalosnavegadoresdeInternetyalaeducacióndelosusuariosconelfin dequeéstospuedanreconocerlasseñalesdelnavegadordeloscertificadosdevalidación extendida("barraverde"),yparaevitarlaconfusiónenlossitiosqueutilizantérminoscomo "seguro"o"ssl". 12. Capacitaciónalasempresasparaqueenvíennotificacionesalosusuariosqueseandifícilesde imitar,paradisminuirelphishingylaingenieríasocial. OperaciónSafetyNet 49 13. Paraelsoftwareylossitiosqueutilizanlistasdebloqueodedominios,fomenteunenfoque multi-layercondiversostiposdelistasdebloqueoqueincluyanmétodosdebloqueo preventivoylistasdenaturalezareactiva,conelfindemejorarlaeficaciadelbloqueo. 14. RespaldeproyectosdeDNSpasivo,comoelSecureInformationExchange(SIE)deFarsight SecurityInc(FSI)queproporcionanalertastempranasalosinvestigadoresacadémicosy comercialessobrelossubdominiosmaliciososactivamenteenuso. 15. ConsideretecnologíasdefirewalldeDNScomolasResponsePolicyZonesoRPZs,quesonun mercadoabiertoconmúltiplesproveedoresyconsumidoresqueofrecenpolíticassobre recomendacionesderesoluciónaservidoresdeDNSrecursivos.(Véasehttp://dnsrpz.info/). ATAQUESALAWEBYAOTROSDNSDESERVIDORES Losciberdelincuentesatacanlareputacióndedominioslegítimosmedianteelingresoensus servidoreswebylainyeccióndearchivosmaliciososqueluegoinfectanaldominiolegítimoenla direcciónURL.(Estatécnicaesinmunealaslistasdebloqueodedominioamenosquelaslistasestén dispuestasaincluirdominioslegítimosquedistribuyencontenidomalicioso,tambiénbloqueandode estamaneraalgúncontenidolegítimo). Losciberdelincuentesutilizanredireccionamientoswebparapresentarinicilalmentedominioscon buenareputaciónyluegoredirigiralusuarioalsitiomalicioso.Estosindividuosutilizanmúltiples nivelesderedireccionamientoyrecientementeinclusohanredireccionadotráficohaciadirecciones URLcondireccionesIPnuméricasenlugardenombresdedominio. Eléxitodeestastécnicasdependedemétodosinadecuadosdedetecciónquesólosoncapacesde reconocerestetipodeataquessilosusuariosno"actúancomounavíctima"siguiendolos redireccionamientos.Lamentablemente,algunosactorescomplicanaúnmáslascosasalusar múltiplesnivelesderedireccionamientopararastrearlareaccióndelosconsumidoresfrentealos correoselectrónicosdemarketing.LosserviciosdeacortamientodeURLsonamenudoatacadosy utilizadospararedirigirtráficodesdedominiosconocidoscomobit.lyhacialossitiowebdelos ciberdelincuentes.EsdifícilparalosusuariosdistinguirentremillonesdeURLslegítimasdebit.ly, quesonutilizadasparaacortarunadirecciónwebextensaparaunapublicacióndeTwitter,delasque seutilizanparainsertarunmalwareo,porejemplo,unanuncioparalaventailegaldeproductos farmacéuticos. HaceuntiempolamismaICANNfuevíctimadeungrupodeatacantesquelogróaccederalacuenta deadministracióndelosdominiosdeICANNenregister.com.Enestecaso,losatacantesalteraronla configuracióndelDNSdevariosdominios(icann.netiana-servers.com,icann.comyiana.com)y redireccionaroneltráficodelosvisitantesaunsitiowebmodificado. MEJORESPRÁCTICASRECOMENDADAS: 1. Establezcaymantengaunsistemadebloqueodedominioslegítimoscomprometidoscon contenidomalicioso,juntoconprácticasdenotificaciónrápida,unsegundoniveldetesteo quepermitadesbloqueardominiosnomaliciososyasistenciaparamejorarlaseguridaden todoslosservidoreswebasociadosaldominiocomprometido. 2. FomentequelosserviciosdeacortamientodeURLverifiquenyreverifiquentodoslos redireccionamientosdelacadenaparatodaredirecciónquebrindenyquetrabajenconvarios proveedoresdeserviciosdeproteccióncontraabusoparaidentificarnuevosatacantes. OperaciónSafetyNet 50 3. Educaralaindustriayalosusuariosfinalesydarlesrecursosquelespermitanidentificary evitarURLsacortadasquenocuentenconsuficientesmedidasanti-abuso. 4. MejorarlaeficaciadelaspruebasrelativasalaverificacióndelareputacióndelasURLs mediante,entreotros,larealizacióndepruebasalasredirecciones,elusodepruebasque simulenusuariosrealesquesiguenlosredireccionamientosymedianteeldesarrollode políticasrelacionadasconlacantidadmáximaderedireccionamientos,todoconelfinde reducirelabusodelosserviciosdeacortamientodeURLs. ATAQUESADIRECCIONESIP LosataquesadireccionesIPseclasificanendoscategoríasgenerales:correoselectrónicoscuya direcciónIPnoesreal(spoofing)yredesqueutilizanrangosdedireccionesIPquenoestán autorizados(rogueannouncements). SUPLANTACIÓNDEDIRECCIONESIP CadapaquetededatosenviadoatravésdeInternetincluyelasdireccionesIP"fuente"delequipo desdedondefueenviadoydelequipohaciadóndeestádestinado.Esposiblequeunequipohostil pongaunadireccióndeorigen(suplantada)falsaeneltráficosaliente.Paralastransaccionesenlas queeldestinoenvíaunpaquetederetornoaladireccióndeorigen,enparticularelDNS,estopuede creartráficonodeseadoaladireccióndeorigenfalsificada.EsfácilenviarsolicitudesalDNSde tamañospequeñosquegeneranrespuestasdegrantamaño,causandodenegacionesdeservicioen contradeladirecciónquehayasidofalsificada. MEJORESPRÁCTICASRECOMENDADAS: 1. LosISPylasredesdetráficodeberíanfiltrarelcorreoelectrónicoentrante,realizarel seguimientodelrangodedireccionesasignadoacadaclientederedydescartareltráficocon direccionesdeorigenfueradelrangoasignado,paraevitarquesusclientesenvíentráficocon direccionesdeorigenfalsificadas.EstoseconocegeneralmentecomoBCP38xl,undocumento delaIETFconlasmejoresprácticasactuales.ElBCP84,otrodocumentodelaIETFconlas mejoresprácticasactuales,recomiendaquelosproveedoresdeconectividaddeIPque precedenenlacadenafiltrenlospaquetesqueingresanensusredesdeclientesquesiguenen lacadenaydesechenlospaquetesquetienenunadireccióndeorigenquenoestáasignadaa esosclientes.xli 2. Fomenteunaprácticauniversaldeingressfilteringparatodoslosclientesconectadosaredes vecinas(peernetworks). OperaciónSafetyNet 51 ANUNCIOSDESHONESTOS TodaredpuedeanunciarvíaBGPsuspropiosrangosdedireccionesIP.Lasredeshostilespueden anunciarrangosderedquenoestánautorizadosautilizar.Estopuederesultarenun redireccionamientoydesvíodetráficodestinadoalaredreal,opuedepermitiruntráfico"sigiloso" queanunciaunrangodedireccionesespecífico;elataqueseproduceyluegoelanuncioseretira.A menosdequelasvíctimasseanconscientesdelrogueannouncement,seculparáalpropietario legítimodelasdirecciones. MEJORESPRÁCTICASRECOMENDADAS: 1. LosoperadoresdereddeberíanimplementarunfiltrodeingressfilteringBCP84xlii(sediscute másarriba),enelquelosanunciosdeBCPentrantesdesdelosclientesyusuariosdelmismo nivelselimitanaunalistaexplícitaderedesconocidasyasignadasaeseclienteousuariodel mismonivel. 2. LosISPdebenprocurar,enlamedidadeloposible,aplicarBGPSEC(seguridadBGP)para protegercriptográficamentelosanunciosderutayevitarlapublicacióndedatosdeshonestos. ROBODERANGOSDEDIRECCIONES EnlosprimerosdíasdeInternet,laasignacióndedireccionesamenudosehacíaconbastante informalidad,conregistrosincompletos.Comoresultadodeello,sehaheredadounespacio considerablededireccionesasignadasquepuedeserobsoleto,yaseaporquelasempresasyano recuerdanlosrangosdedireccionesquelesfueronasignadosoporquelasempresasquelos recibieronyanoexisten.Losciberdelincuenteshanaprovechadoestasdireccionesabandonadas mediantelafalsificacióndedocumentosoelnuevoregistrodedominiosabandonadosusadosen correoelectrónicoparaobtenerelcontroldelespacioobsoletodedireccionesIP. MEJORESPRÁCTICASRECOMENDADAS: 1. LosregistrosregionalesdeInternetdeberíanimplementarycumplirconlosprocedimientos paraverificarlaidentidaddelossupuestosdueñosdelespacioheredado,paraevitarquelos ciberdelincuentesobtenganelcontroldelespaciodedirecciones.ARIN,elRIRdeAméricadel Norte,hadetalladolosprocedimientosparaello.xliii REFERENCIAS ● Wikipedia,DiscusióndelDNSSEC: http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions ● RFC2196,SiteSecurityHandbook,B.Fraser,Ed.,September1997, http://www.rfc-editor.org/info/rfc2196 ● RFC4034ResourceRecordsfortheDNSSecurityExtensions.R.Arends,R.Austein,M.Larson,D. Massey,S.Rose.March2005,http://www.rfc-editor.org/info/rfc4034 ● RFC4035ProtocolModificationsfortheDNSSecurityExtensions.R.Arends,R.Austein,M. Larson,D.Massey,S.Rose.March2005,http://www.rfc-editor.org/info/rfc4035 ● AdvertenciadevulnerabilidadVU#800113delCERTdelosEstadosUnidos,“Múltiples implementacionesdeDNSvulnerablesalenvenenamientodelacaché”, http://www.kb.cert.org/vuls/id/800113/ ● GrupodeTrabajoparaDNSChanger,http://www.dcwg.org/ OperaciónSafetyNet 52 ● ● ● ● BrianKrebs,“ACaseofNetworkIdentityTheft”, http://voices.washingtonpost.com/securityfix/2008/04/a_case_of_network_identity_the_1.html Proyectoderesolutoresabiertos,http://openresolverproject.org/ LasmejoresprácticasrecomendadasdeenviadosdelM3AAWG, https://m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf FCCCuatroinformesdelIIIGrupodeTrabajodelaFCCCSRICsobrelasmejoresprácticas recomendadassobreseguridaddelBGP: http://transition.fcc.gov/bureaus/pshs/advisory/csric3/CSRIC_III_WG4_Report_March_%20 2013.pdf OperaciónSafetyNet 53 AMENAZASMÓVILESYDEVOZ ELENTORNOMÓVIL ConlallegadadelosteléfonosinteligentesylosmercadosdeaplicacionesparadispositivosAndroid, Apple,WindowsyBlackberry,losconsumidoresutilizancadavezmássusdispositivosmóvilespara accederalascuentasenlínea,realizarcomprasyrealizarotrastransaccionesfinancieras.Los teléfonosinteligentesrepresentanel70%deloscasi1850millonesdeteléfonosmóvilesvendidosen todoelmundoen2014xliv,conAndroidyiPhonedominandolaesferadelosdispositivosque actualmenteseutilizan.Lastabletas,queconfundenellímiteentreelteléfonoycomputadora tradicional,sehanconvertidotambiénenunactorsignificativoenesteámbito.Lasventasminoristas dedispositivosmóviles,queincluyenlastabletas,aumentódel11%delmercadoelectrónicomundial en2011xlval13%en2014xlvi Enelmundo,existenaproximadamente3700millonesdeusuariosactivosdetelefoníamóvilxlvii,que superael50%delapoblaciónmundialde7300millonesdehabitantes,xlviiiylosteléfonosmóviles sonelprincipalpuntodeaccesoaInternetparamuchaspartesdelmundo.Enelúltimotrimestrede 2014,losproveedoresenviaronmásde500millonesdeunidadesmóvilesatodoelmundo.xlix MERCADOSDEAPLICACIONES Adiferenciadelmercadodelsoftware,dondelasprincipalesaplicacionessondesarrolladaspor proveedoresconocidosyconfiablesylosusuariossonmenospropensosainstalaraplicacionesde fuentesmenosconfiables,elecosistemadelasaplicacionesmóvilesfomentaquelosusuariosfinales descarguenunagrancantidaddeaplicacionesdebajocostodesdepequeñosproveedoresquecon frecuenciasonmenosconfiablescomo,enalgunoscasos,empresasunipersonales.Enmuchospaíses, lamayoríadelasaplicacionesseobtienedelosmercadosdeaplicacionesqueposeenunnivelde seguridadinadecuada,yquebrindanaplicacionesconmalwareincluido.Enotrospaíses,losusuarios sepuedenlimitarinicialmentealacargadeaplicacionesqueprovienensólodeproveedoresdelOS delteléfonoodemercadosdeaplicaciónaprobadosporeloperador;sinembargo,losusuarios puedenomitirconfiguraciones,permitiendoasíelaccesoacualquieraplicacióndelmercado.Los principalesproveedoresdeOSparateléfonos,porejemploGoogle,Apple,MicrosoftyRIMoperan mercadosdeaplicacionesdealtovolumenconmayorseguridad.Apple,porejemplo,tiene1,4 millonesdeaplicacionesensutiendadeaplicacionesygenerauntotalacumuladodeUSD25000 millonesenventasdeaplicacionesydesarrolladoresdejuegoshastalafecha.Sinembargo,laescala deinclusolosmercadosmássegurosdeaplicacionesdificultalaprevencióndelaofertaocasionalde malware.Comoelcomercioelectrónicohamigradoalentornomóvil,losactoresmaliciososy estafadoressehanadaptadorápidamente. AMENAZASESPECÍFICASYLASMEJORESPRÁCTICASRECOMENDADAS SEGURIDADDELOSMERCADOSDEAPLICACIONES Losteléfonosinteligentespuedenserafectadosporlainstalacióndenuevosoftware,amenudo obtenidodemercadoscontroladosporelfabricantedelOSdelteléfono.En2014,Symantechallóque el17%(másde160000)detodaslasaplicacionesAndroideranrealmentemalwareocultol.Enuna revisióndelas100aplicacionesdesaluddisponiblesenlatiendadeaplicaciones,el20%transmitían lascredencialesdelusuariosincifrarlas,másdelamitad(el52%)noteníaningunapolíticade privacidadvisibley,enpromedio,cadaaplicacióncontactócincodedominiosdeInternet (típicamenteunamezcladepublicidadyserviciosdeseguridad)li. OperaciónSafetyNet 54 Algunosproveedoresdesistemasoperativosymercadosdeaplicacionestienenlacapacidadde eliminaraplicacionesmaliciosasdelosteléfonossilasaplicacionesfueronoriginalmentedescargadas desdelosmercadosdeaplicaciones.Antesdeentrarenesosmercados,lasaplicacionesson rechazadassiviolanlaspolíticasdeseguridadcorrespondientes. Applehacolocadomásrestriccionesenlasaplicacionesantesdepermitirlesingresarenelmercado (elllamadoAppStore).LatiendaGooglePlaytieneunapolíticadeaceptaciónmásabiertaydepende másdelaeliminacióndeaplicacionesaceptadasquesonmalintencionadasoviolanlaspolíticasdela tiendadeaplicaciones. Cuandounconsumidorcompraunteléfonointeligente,elaccesoalatiendadeaplicacionesno oficialesporlogeneralestádesactivado;elteléfonosólopuedeingresarenunpequeñogrupode tiendasdeaplicaciones"oficiales"(porejemplo,elfabricantedelOSyeloperadordetelefoníamóvil). LosdispositivosmóvilesqueutilizanelsistemaoperativoAndroidtienenunaconfiguración denominada"orígenesdesconocidos"conunacasilladeverificaciónparaautorizarlainstalaciónde aplicacionesfueradelmercado.ElusuariopuedeconfigurarlosteléfonosAndroidparapermitirla conexiónatiendasdeaplicacionesnooficialesoalternativas.LosdispositivosdeApplerequierenun procesotécnicamentemásdifícilde"jailbreaking";sinembargo,paralosusuariosmenos experimentados,eljailbreakingseofrececomounserviciodebajocostoenmuchosquioscosy puntosdeventa.Inclusoparaaccederalastiendasdeaplicacionesalternativasylegítimas,comola tiendadeaplicacionesdeAmazon,estacasilladeverificaciónpuedesernecesaria.Lamentablemente, luegoelteléfonoquedaabiertoalainstalacióndefuentesdesconocidas.Entonces,esmásfácilquelos usuariosinstalenmalware.Elcreadordelmalwareconsigueunpaselibresinsupervisiónporparte decualquiertiendadeaplicacionesmóvilesyoficialunavezhabilitadoelaccesoatiendasde aplicacionesnooficiales. Tambiénexistennuevasformasdequelosestafadoresevadanlasrestriccionesdelatiendade aplicacionesinclusosielteléfonoestáconfiguradoparautilizarsólolatiendadeaplicacionesoficial. LosnavegadoresdedispositivosmóvilespuedenutilizarseparainstalaraplicacionesHTML5,que colocauníconoenlapantallaprincipaldeldispositivoqueseasemejaaunaaplicacióninstaladaen unatiendadeaplicaciones.Losdelincuentesluegopuedenatacarvulnerabilidadesenelnavegadorde stockquevieneconeldispositivomóvilolosnavegadoresalternativosqueelusuariopuedeelegir parainstalar.Losvínculosdesdeelnavegadorconlasfuncionesnativasdeldispositivocomocámara, micrófono,marcadoresdeteléfonoyubicacióngeográficapuedenserutilizadosporundelincuente paraobtenerdatosdecarácterpersonalylasactividadesactualesdelusuariodeldispositivomóvil. Eliniciodesesióndeusuarioylacontraseñaqueutilizacadadispositivomóvilparaaccederala tiendadeaplicacionesyautorizarlascomprasesunpuntoimportantedevulnerabilidad.Unavezque obtienenestascredenciales,losdelincuentespuedencausarpérdidasfinancieraseinstalarspyware. LossistemasoperativosparamóvilesdeAppleyGoogleenlaactualidadrequierenelmismousuario ylamismacontraseñacomoclaveparaingresaralatiendadeaplicacionesyalrestodelosservicios queincluyenequiposportátiles,almacenamientodearchivosenlanube,contactos,calendarioy correoelectrónico.Mientrassólounnombredeusuarioyunacontraseñaenelpasadolepermitirían aundelincuenteaccederalacuentadecorreoelectrónicodelsuscriptor,lasmismascredenciales ahorabrindanelaccesoalatiendadeaplicaciones.Envarioscasos,losusuarioshansufridola eliminacióndedatosdeequiposportátilesyteléfonosdespuésdequelosdelincuentesobtienenesta informaciónclave.Diferentesproveedoresofrecenunaprotecciónantivirusparaalgunosteléfonose intentanprobartodaslasaplicacionesnuevasenlastiendasdeaplicacionesparadescartaractividad ointentosmaliciosos. OperaciónSafetyNet 55 LASMEJORESPRÁCTICASRECOMENDADASSOBRELASTIENDASDEAPLICACIONESPARAELGOBIERNO YLAINDUSTRIA : 1. “Neutralidaddelaaplicación”:Lepermitealosusuarios,alosoperadoresderedesoterceros confiadosparaespecificardemaneraexplícitaotrastiendasdeaplicaciones"confiables",ytal vezelniveldeconfianzaasociadoacadauno.Estolepermitealosconsumidoreselegirotras tiendasdeaplicacionesdeconfianzasinexponerlosaunriesgodedescargasdesdefuentes desconocidas. 2. Identifiqueaplicacionesconpotencialmaliciosomedianteexámenesdeseguridadrigurosos antesdepermitirleselaccesoalastiendasdeaplicacionesparaevitarreclamosfuturos. 3. Proporcioneadvertencias,controlesyeducaciónalosusuariosparareducirlosincidentesde usuariosquesonengañadosmedianteinstruccionesmalintencionadasparaevadirlas medidasdeseguridad. 4. Mejorelaspolíticasdeseguridadparaelrestablecimientodecontraseñasparalastiendasde aplicacionesyevitarquelosdelincuentesobtengancredencialesquenolespertenecen. 5. Esposiblebloquearauricularesparaaccederúnicamentealastiendasdeaplicaciones oficiales,comounamedidaanticompetitiva.Mientrasquelosconsumidorespuedenestar bienprotegidosporestemodelo,invitaalosconsumidoresaemplearsolucionesque presentanvulnerabilidadesenlaseguridad(porejemplo,dispositivosparajailbreaking, rootingodesbloqueo).Laspolíticasquepermitenoasistenenelbloqueodelatiendade aplicacionessedebencompararconelimpactodelasvulnerabilidadesdeseguridadcreadas poreldesbloqueo. 6. Fomentelamembresíadelastiendasdeaplicacionesencentrosdeanálisisdeamenazasen línea/debotnet,demodoquesepuedenbeneficiardeanálisis,alertaseinformesprocedentes deestoscentros.Esposibledetectar,marcaryeliminarlasaplicacionesmalintencionadasde lamaneramásrápidaposible. 7. Proporcionemecanismosquelepermitanalosusuariosrealizaruninformesobre aplicacionespotencialmentemalintencionadas. OperaciónSafetyNet 56 ELMALWAREMÓVIL Existenaplicacionesmaliciosas,llamadasmalwaremóvil,paradispositivosAndroid,iOS,Windows Phone,Symbian(Nokia)yBlackberry.Actualmentelamayoríademalwaremóvilapuntaala plataformaAndroidenáreasconabundanteusodelosmercadosnooficialesdelaaplicación. Lamayoríadelmalwareesopareceserunaaplicaciónútilysedistribuyeensitiosweboatravésde tiendasdeaplicacionesnooficiales.Confrecuencia,lospromotoresdemalwarecorromperán aplicacioneslegítimasmediantelainsercióndelcódigo"troyano".Así,losusuariospuedeninstalar estasaplicacionesmodificadas,sinsaberquecontienencódigomalicioso.Losdelincuentesutilizan cadavezmáslapublicidaddigitalcomovehículoparapropagarmalware;estoseconocecomo malvertising.También,elaño2014violaapariciónde"SMSWorm"liiquesepropagaatravésdeSMS entrelaslistasdecontactosdeteléfonosmóvilesinfectados.Losdestinatariossonengañadospara hacerclicenelenlacemaliciosoquevieneenelSMSyqueconducealataqueensí.Siinstalanel ataqueentoncessuscontactosrecibiránelmismoSMSmaliciosoquehacequeestevectordeataque seamuyviral. Engeneral,elmalwarerealizaaccionesquegeneraningresosparalosatacantes.Losesquemasde monetizacióndirectacausanpérdidasfinancierasdirectasalavíctimaeincluyenaplicaciones malintencionadasquepuedenrealizarunagranvariedaddefunciones,porejemploelenvíode mensajesSMSpremiumauncódigocortoregistradoporlosatacantes,ladescargadecontenidos pagospordescarga;clicenvínculosdepagoporclic;larealizacióndellamadassalientesanúmeros deteléfono;interceptacióndecredencialesdehomebanking;lasolicituddeunpagoporrescatepara desbloqueardispositivosdelasvíctimas.Losatacantestambiénpuedengeneraringresos indirectamenteporlarecoleccióndenúmerosdeteléfonoparaenvíodespamporSMS,recolección dedispositivosydatosdeusuarioparamarketing,desplieguedeanuncios,ventadeaplicaciones comercialesdespywareyusodeldispositivoinfectadoparaatacarmonedaencriptada.Además,las aplicacionescomercialesdespywarelepermitenauntercerosupervisaraunapersonayrecopilar datosdedispositivoyusuariocomomensajesSMS,correoselectrónicos,ubicaciónyregistrosde llamadas. AcontinuaciónsemuestranejemplosdestacadosdemalwareparaAndroid,BlackberryeiOS. AtaquedeOlegPliss(2014):ElataquedeOlegPlissutilizaunataquequeafectaa iCloudparabloqueareliPhonedeusuarios. Slocker.A(2014):Aparentemente,Slocker.aeslaprimerainstanciaderansomware móvildecifradodearchivos.Encriptaarchivosdedatosdelusuarioendispositivos Androidyluegoexigeunpagoparaobtenerlaclave. SMScapers(2013–actualidad):Estemalwarepareceunaaplicaciónparaadultosy sedifundeatravésdelapublicidadmóvil.Realizacargosocultosmedianteelenvíode unSMSauncódigocortodetipopremiumysuprimelanotificacióndeSMSentrante deimportancia.LacampañasedirigíaprincipalmentealReinoUnido;sinembargola aplicacióndelareglamentaciónhacontribuidoaunabruscadisminucióndedicha actividad.Lacampañasedividióenmásdeveinteentidadesjurídicasdiferentespor loañadiócomplejidadalprocesodeejecución.Lacampañatodavíaexisteenotros15 paísesliii,liv. OperaciónSafetyNet 57 Worm.Koler(2014–actualidad):Elaño2014sufrióelataquedeAndroid Ransomwaredondesurgieronnumerosasmuestras,comoScareMeNot,ScarePackage yColdBrother.LosEstadosUnidosobservaronqueWorm.Kolerseextendíaatravés deSMSaloscontactosalmacenadosenlosteléfonosinfectados.Eltaquetambién bloqueaeldispositivodelasvíctimasconunaadvertenciadelFBIfalsaqueindicael contenidoilegalencontradoenelauricular.Luegoselessolicitaalasvíctimasluego pagarunamultaparaevitarcargosdelictivosyparaliberarsusteléfonos. DeathRing(2014–actualidad):DeathRingapuntaprincipalmenteaAsiaysetrata deunmalwarequeintentasuplantardatosconfidencialesdelasvíctimasmedianteel envíodeSMSfalsos.Elvectordeataqueesúnicodadoqueelmalwareparecesugerir quelosdelincuentesseinfiltrabanenlacadenadesuministroenalgúnmomento. LASMEJORESPRÁCTICASRECOMENDADASPARALAINDUSTRIAYELGOBIERNOPARAEVITAREL MALWAREMÓVIL : 1) Eduquealosconsumidores,medianteanunciosdeserviciopúblico,páginasweb,folletosyotros mediosparahacerlosiguiente: a) Obteneraplicacionessóloenmercadosdeaplicacionesdeproveedoresconbuenareputación queverificanlasaplicacionesolosdesarrolladoresodirectamentedelosproveedoresde aplicacionesreconocidos. b) Revisaryentenderlaspantallasdeautorización,losacuerdosdelicenciadeusuariofinal,las políticasdeprivacidadylostérminosdelacuerdoalinstalarlasnuevasaplicaciones. c) Mantenerlasrestriccionesdeseguridadpredeterminadaseneldispositivoynohacer jailbreakeneldispositivo(eljailbreaksediscuteacontinuación). d) Instalarlocalizadorremotoysistemadebloqueodesoftwareparaasistirenlarecuperacióny proteccióndedatosenteléfonosrobadosyperdidos.Porejemplo,laidentidadinternacional delequipomóvil(IMEI)esuncódigode15o17dígitosqueidentificadeformaexclusivaun teléfonomóvil.ElcódigoIMEIlepermiteaunaredGSMoUMTS(ServicioUniversalde TelecomunicacionesMóviles)bloquearunteléfonoextraviadoorobadoparaquenopueda realizarllamadas. e) Instalaryejecutarsoftwaredeseguridadmóvilentodoslosdispositivos. 2) Desarrollarinstalacionesyanimaralosconsumidoresarealizarlanotificacióndeaplicaciones sospechosas. 3) Alentar,automatizaryfacilitarlarealizacióndelacopiadeseguridaddedatosdelteléfonoauna nubeoamediodealmacenamientopersonal(porejemplo,unequipo). 4) Evaluarelusodesolucionesdeseguridadmóvil,comounnavegadorseguro,solucionesde gestióndeldispositivomóvil(MDM),espaciosaisladosmóvilesyaplicacionesqueprevienenla pérdidadedatosconelfindeminimizarelriesgodeinfecciónyelimpactoresultante. Unexcelenteejemplodelaeducacióndelconsumidorconlasmejoresprácticasrecomendadas fuecreadoporOfcomypuedeencontrarseaquí: http://consumers.ofcom.org.uk/files/2014/1394750/using-apps-safely-and-securely.pdf OperaciónSafetyNet 58 AMENAZASMIXTAS Losdispositivosmóvilesahoraseutilizanenelprocesodeautenticacióndemúltiplesfactorespara iniciosdesesióndecuentadealtovalor.Unejemplodelaamenazamixtadeautenticaciónbifactorial esunusuarioquevisitaunsitiowebfinancieroensuequipodeescritorioeiniciasesiónconun nombredeusuarioyunacontraseñacomoenelpasado.Peroahora,elbancoexigeunpasomáspara queelusuarioaccedaasucuenta:recibirunallamadaounmensajedetextoensuteléfonomóvilcon uncódigoqueelusuarioluegoescribeenelnavegadorwebdelequipodeescritorio.Estepaso adicionalseañadiódebidoaexistenmuchosequiposdeescritorioinfectadosconmalwarequehan enviadolacontraseñadelbancoalosdelincuentes.Losdelincuenteshandemostradoserpersistentes enelataqueacadanuevométododeprotección.Ahoradebenobtenerambascontraseñasfinancieras delusuarioyluegollamarsuteléfonomóvil,ysercapacesderelacionarlas. Estohacequelosteléfonosseanunblancoaúnmásvaliosoparaquelosdelincuenteslosataqueny tomenelcontrol.Estecontrolpuedeserfísicoenelcasodelrobodelteléfonodelusuarioorealizado remotamenteconunsoftwareespíaqueatacaeldispositivomóvil.Decualquiermanera,las amenazasmixtasrequierenmásesfuerzodepartedelosdelincuentesyprobablementeapuntena cuentasosistemasdemayorvalor. Lasaplicacionesdeundispositivomóviltambiénseutilizancomogeneradoresdetoken,comolos códigosdeseisdígitosquesolíamosversolamenteenlosdispositivosdeautenticaciónfísicos bifactoriales,comoGoogleAuthenticatoryAmazonAWSVirtualMFA. Segúnelpuntodeventajadelosdelincuentes,puedensercapacesdeobservarelcontenidodel tráficoentranteysalientedealgunosdispositivosmóvilesyrecopilarloscódigosdeautenticación. Esteeselcasoconloscódigosenviadosporcorreoelectrónico,quealgunosbancosofrecencomo opción.EltráficodeSMS(mensajesdetextomóvil)noestácifrado. Lafaltadeunainfraestructuraparacompartirinformaciónsobreamenazasmixtassepuede convertirenunaamenaza;permiteunagrancantidaddeataquesquedelocontrarionoexistirían.Lo quesenecesitaesdiseñareimplementarestrategiasdedefensaeinfraestructurasqueinvolucren entidadestécnicas,políticas,policialesyjurídicasenvariospaíses. OperaciónSafetyNet 59 MODIFICACIÓNDEDISPOSITIVOSMÓVILES Muchosfabricantesdeequiposoriginales(OEM)ylosoperadoresderedmóvil(MNO)establecen entornosmóvilesysegurosparamantenerlaestabilidadyseguridaddeldispositivo,ylograruna experienciadeusuariopositiva.Enmuchoscasos,lamodificacióndeestosentornoscrea vulnerabilidadesdeseguridadquepuedenexponerlainformacióndeusuario,habilitaelrobode servicioenlaformadellamadastelefónicasomensajesdetextosinautorización,habilitaelcontrol remotodelosrecursosdeldispositivo,comomicrófonosocámarasquepermitenescucharoversin consentimientodelusuarioohabilitaaunenemigopararealizarunalargalistadeotrasactividades noautorizadas. Existennumerosastécnicasparamodificarelhardwareysoftwaredeundispositivo,perotresdelas modificacionesmásconocidassonel"jailbreaking",el"rooting"yel"desbloqueo". JAILBREAKINGDEUNDISPOSITIVO "Jailbreak"escuandounapersonareemplazaloscontrolesincrustadosenundispositivo.El fabricantepuedeutilizarcontrolesOEMparaaplicarpermisosdelaaplicación,protegeráreascríticas delsistemadearchivosenundispositivo,forzarlaautenticacióndeaplicacioneseneldispositivo, hacercumplirlacomplejidaddelacontraseña,entremuchasotrasfuncionesadministrativas. ¿Porquésehacejailbreakingenundispositivo?Unarazónesque,inclusoconcientosdemilesde aplicacionesdisponibles,algunaspersonasquierenunaversiónpersonalizadaomodificadadelas aplicacionesmóviles.Enalgunoscasos,unaaplicaciónmodificadapuedecostarmenosquela aplicaciónoficial(peropuedeviolarlosderechosdeautor);sinembargo,laaplicaciónmenoscostosa puedetambiéncontenercontenidomalicioso. ROOTINGDEUNDISPOSITIVO Eljailbreakinglepermiteaunusuariosuplantarcontrolesyelevarelaccesodelusuarioparaobtener losprivilegiosderaízdeundispositivo,queenúltimainstanciaconcedealusuariotodoslos privilegiosdelsistemaoperativo.El"rooting"deundispositivolepermitealusuariolosmásaltos privilegiosdeunsistemaoperativo. ¿Porquésehacerootingaundispositivo?Ademásdecargaraplicacionespersonalizadasono autorizadasyevitandocontroles,elaccesoalaraízhabilitaqueunusuariomodifiquelos componentesylafuncionalidaddelOS,oloreemplaceporcompleto,enundispositivo.Algunos sistemasoperativosinstaladosendispositivosmóvilessebasanenunaformaUNIXconungrupo limitadodecomandos;mediantelamodificacióndelsistemaoperativo,losusuariospuedenliberar almacenamientoeliminandofuncionesinnecesariasparalamayoríadelosusuariosdedispositivos móviles.Elrootingdeundispositivotambiénlepuedepermitiraunusuariocargarcomandos adicionalessegúnlodesee. DESBLOQUEODEUNDISPOSITIVO Losoperadoresderedesmóviles(MNO)puedensubvencionarlasventasdeteléfonosmóvilesbajo uncontratoquerequiereelusodelareddelMNOduranteunperíododetiempo.Paraayudara prevenirelfraudeyelrobo,losMNOutilizanconfrecuenciaunmediotécnicoconocidocomo "bloqueo"querestringeelusodelteléfonoensupropiared.Undispositivosepuededesbloquear normalmenteintroduciendounúnico"códigodedesbloqueo"proporcionadoporunMNOsegúnsea solicitadooporcumplimientodeuncompromisocontractual.Losconsumidorestambiénpueden OperaciónSafetyNet 60 encontrarocompraruncódigodedesbloqueoenlínea.Asimismo,siseobtieneelcódigodefuentes deterceros,losusuarioscorrenelriesgodeperderdatosotenermalwareinstaladoporunvendedor deconfianza. LASMEJORESPRÁCTICASRECOMENDADASAUNINDIVIDUOSOBRELAMODIFICACIÓNDEDISPOSITIVOS MÓVILES : 1. Eljailbreaking,elrootingyeldesbloqueodedispositivosnoserecomiendaacualquier personaquebuscaundispositivoestándar,estableconelsoportedelOEMalargoplazo,ya quepuedenintroducirvulnerabilidadesdesconocidasparaelusuario. 2. Noutiliceserviciosnooficialesde desbloqueoofrecidospor "terceros". LASMEJORESPRÁCTICASRECOMENDADAS PARALAINDUSTRIAYELGOBIERNOEN RELACIÓNCONLAMODIFICACIÓNDE DISPOSITIVOSMÓVILES : 1. Desarrolleypromuevala educaciónyconcientizacióndel consumidorsobrelosriesgosdela modificacióndedispositivos móviles. 2. Creefuertesproteccionescontrala modificacióndelosOEM. 3. Hagacumplirlaleycontra aquellosquepromuevenataquesa lasplataformasmóviles. AMENAZASDEBANDA BASE Existenvariostiposdeamenazasdebanda base.Algunaspuedenimplicarlacreación deunaredGSM(sistemaGlobalpara comunicacionesmóviles)ilícitaqueatrae alosdispositivosconectarseaella.Otros puedenimplicarataquesqueinvolucran mensajesespecialmentediseñadospara atacarvulnerabilidadesdeseguridaden dispositivosmóviles.Conelcrecimiento delainvestigacióndebajocostoylas instalacionesGSMdelictivas,estas amenazashanproliferado. OperaciónSafetyNet Ejemplo:ZeusMitmo(Hombreenelmedio/móvil) Zeusesuntroyanoqueseatacaaequiposqueutilizan Windowseintentarobarinformaciónbancariamediante lapulsacióndeliniciodesesiónenelnavegadorjuntocon larecuperacióndeformularios.Losmecanismostípicosde laproliferacióndeZeuseranmedianteactividadesde descargaocultaeintentosdephishingqueengañanal usuarioanavegarhaciaunsitiomalicioso.Seidentificó porprimeravezallápor2007yharecibidomuchas actualizacionesquehanincrementadosusofisticación; másrecientemente,seobservóelataqueenlaesfera móvil.EstaactualizaciónbeneficiaalmalwareZeusyaque muchasempresas,inclusolasinstitucionesfinancieras, estánusandoSMScomounsegundovectorde autenticación,porloquetenerelnombredeusuarioen líneaylacontraseñayanoessuficienteparaelrobode identidad.Laevolucióndeestevectordeamenaza estableceunaalternativaplaneadaporunapandillade Zeus:infectareldispositivomóvily"olfatear"todoslos mensajesSMSqueseentregan.Elescenariosedescribea continuación. ● Elatacanterobaelnombredeusuarioenlíneayla contraseñamedianteunmalware(ZeuS2.x). ● Elatacanteinfectaeldispositivomóvildelusuario porqueloobligaainstalarunaaplicación malintencionadamedianteunSMSounmalwareque imitaunaaplicaciónproductivaobancarialegítima. ● Elatacanteiniciasesiónconlascredencialesrobadas medianteelequipodelusuariocomoproxy/socksy realizaunaoperaciónespecíficaquerequiere autenticaciónmedianteSMS. ● SeenvíaunSMSaldispositivomóvildelusuariocon elcódigodeautenticación.Elmalwareinstaladoenel dispositivoreenvíaelSMSaotraterminalcontrolada porelatacante. ● Elatacanteescribeelcódigodeautenticacióny completalaoperación. Lospiratasinformáticosluegoutilizanestainformación paracontrolarcuentasbancariasdelasvíctimasyrealizar transferenciasnoautorizadasaotrascuentas,típicamente dirigidasacuentascontroladasporredesdemulasde 61 dinero. Tradicionalmente,laoperacióndeunaredGSMrequiereunainversiónconsiderable,que prácticamentenopermitiólainvestigaciónfueradelasgrandesinstituciones,yrestringióel descubrimientoylaexplotacióndelosataquesbasadosenlared.Porejemplo,parasuplantarauna redGSM,unatacantetendríaqueoperarunaBTS.CuandoseimplementólatecnologíaGSM,los ataquesbasadosenlaredcontradispositivosfinalesnoocasionabanmayorpreocupación,porloque losteléfonosnosolicitabanautenticacióndelasredesalaqueconectaban.Sinembargo, recientementeelsoftwarelibredecódigoabierto,comoOpenBTS,hapermitidoquecualquier personacreesupropiaredGSMaunafraccióndelcostodelosequiposaniveldeloperador,yse iniciaronestudiosdeseguridadGSMalalcancedelosinvestigadoresdeseguridadydelincuentes. LASMEJORESRECOMENDACIONESPARALAINDUSTRIAYELGOBIERNOPARAEVITARLASAMENAZAS DEBANDABASE : Comoportadoresdeadoptannuevastecnologías(porejemplo,3Gy4G/LTE),losteléfonosmóviles deberíansolicitarlaautenticacióndelainfraestructuradeloperadoralaqueseconecta. 1. Losproveedoresdeserviciospuedentrabajarconfabricantesdeteléfonosparanotificaralos usuarioscuandoelauricularabreunasesiónquenoutilizaautenticaciónmutua.Esto alertaríaalusuariodeesteposiblevectordeamenaza. A TAQUEMEDIANTEELSERVICIODETARIFAELEVADA Normalmente,estosserviciosseofrecencomoserviciosparaaplicacionesdevozytextofacturadasa lacuentamóvilprepagaopostpagadeunsuscriptor;losserviciosdetarifaelevadacomprenden horóscopospagosporúnicavezyrecurrentes,donacionesdedineroantedesastres,créditospara juegos,asesoramientoyserviciosdechat,consejosamorososmensualesporSMSyunaampliagama deotrosesquemas. ELMODELOCOMERCIALDETARIFAELEVADA: Eldeseodecrearunecosistemadeaplicaciónamigableyampliamenteutilizadohaconducidoa desarrollarentornosdefacturacióncomplejosylargosconvariosmodelosdeparticipaciónenlos ingresos,comolatípicasuscripciónmensualaSMSporUSD9,99/mes,quesonampliamenteatacable (serepresentamásabajo). Enesteejemplo,unoperadorderedmóvilpermiteque"agregadoresdeSMS"independientes obtenganlarutadeunbloquede"códigosbreves"(normalmente,setratadenúmerostelefónicosde 4-7dígitosenrutablesdentrodealgunaporcióndelareddetelefoníamundial).ElagregadordeSMS luegovendeconectividadbidireccionalymóvildeSMSaunpropietarioconocidodeaplicaciónde horóscopo,llamadoproveedordecontenidos.Elproveedordecontenidospagaunacomisiónpor cadasuscripcióndeunafiliadoalapublicidad.Laspartesadyacentessólopuedenestarrelacionadas enformalibre. OperaciónSafetyNet 62 Laspartesylasrelacionessevuelvencadavezmásproblemáticashacialaderechadeestediagrama. Enalgunoscasos,losproveedoresdecontenidopermitenrelacionessóloporInternetconuna autenticacióndeficienteyconafiliadosalapublicidadque Malwaredetarifaelevada facilitanunaposibledenegacióndelspamy/ofraude propioodesusafiliados.Losmecanismosdepagocasi PhonepayPlus,elreguladorde anónimos,comotransferenciasabancosextranjeros,las serviciosdetarifaelevadadelReino transaccionesenefectivovirtualnoreglamentadaen Unidoemitiómultaspor£330000 Internetolosmecanismosdepagoenlíneareducenlas entresempresasdiferentesen barrerasyfacilitanelfraudealspam. diciembrede2014trasdescubrir queestabanusandomalwaremóvil Lasestafasmedianteelserviciodetarifaelevadahan paragenerarcargosapropietarios estadoocurriendodurantemuchosaños,perolamayor deteléfonosAndroid.Elmalware penetracióndelosserviciosmóviles,laevolucióndedatos residíaenaplicacionesquese móvilesyelestablecimientodeunecosistemade descargabanautomáticamentesin ciberdelincuenciamundialhanllevadounaumentoenla elconsentimientodelusuario cantidadyvariedaddelosataques.Elfraudepuede cuandovisitabanciertossitiosweb ocurrirencasicualquierpasodelprocesodelservicioo paraadultos.Unavezinstaladas,los delpago,desdeengañaralusuarioparaquedeforma consumidoresiniciabandemanera involuntariauseosesubscribaaunservicio,unafiliado involuntariaunasuscripción quereclamaunasubscripciónfalsa,hastaunmalware medianteunclicencualquierlugar móvilquesigilosamenteenvíamensajesalosserviciosde enlapantalla.Laaplicación tarifaelevadasinelconocimientodelabonado. entoncesenviabamensajesdetexto detarifaelevadaocultosparaqueel Unataquefrecuenteinvolucraaestafadorqueestableceunnúmerodeserviciodetarifaelevaday realizaunallamadadevozde"unring"oenvíaunmensajedetextoaunavíctima,conlaesperanza dequerespondan.Estoconduceaquelapersonaquellamalohaceaunserviciodepagoporllamada sinsuconocimientooconsentimiento.Tambiénsehaobservadolasuscripciónnoautorizada, "forzada"alos"consejosamorosos"detarifaelevadaoaotrosserviciosdemensajesdetextode afiliadosy/oproveedoresdecontenidos. EstohacausadoquemuchosagregadoresdeSMSimplementenunaverificaciónsecundaria, normalmentemedianteunmensajedeconfirmaciónounintercambiodepinesentrelossuscriptores alSMSyelagregadordeSMS.Peroinclusoestoshansidoatacados;porejemplo,elmalwarepara AndroidGGTrackerenvíaunmensajeSMSdesuscripciónyconfirmaciónsinconocimientodelos suscriptores.lv Lasuplantacióndeidentidaddelsuscriptor,atravésdelaccesonoautorizadoaredesoataques criptográficosesotrométodoparacometerfraudecontarifaelevada. OperaciónSafetyNet 63 LASMEJORESRECOMENDACIONESPARAAINDUSTRIAYELGOBIERNOPARAEVITARLASESTAFAS MEDIANTELOSSERVICIOSDETARIFAELEVADA : Elfraudemedianteserviciosdetarifaelevadaessimilaramuchosotrostiposdedelitoscibernéticos; seaborda,porlotanto,demaneraapropiadaporunaseriedetécnicasfrecuentes,comola autoprotección,lacapacitacióndelconsumidorylaproteccióndelconsumidorymedidas antimalware. Muchosoperadoresmóvileshanestablecidounserviciodenotificaciónparapermitirquelos suscriptoresinformenspamporSMSmedianteelreenvíodemensajesauncódigobreve(por ejemplo,7726quedeletrealapalabra"spam").Muchosgobiernosyagenciasdeordenpúblico responsablesdelspamporSMSspamenalgunospaíseshandefinidosuspropiosnúmerospara enviarinformes,como1909enIndia,33700enFrancia,y0429999888enAustralia. Lasmedidasespecíficasparaevitarlosfraudesdetarifaelevadasonladefensatemprana,lasacciones socialesylaconfirmaciónadicional. 1. ReclamosaTSPoreguladores:Fomentelapresentacióndereclamosdeconsumidores. EstosreclamospermitenquelosTSPidentifiquenlafuentedelaamenazaeimplementarlos mecanismosdedefensaquepermitanladeteccióntemprana,antesdequesehayatransferido dinero.Lainclusiónyelcumplimientodelascláusulassobrelaluchacontraataquesensus términosycondiciones,losTSPylasplataformasdeserviciodetarifaelevadapuedebloquear lospagosrealizadosalosdelincuentesantesdequeocurran.SeadviertealTSPenunaetapa tempranaatravésdedenunciashacecumplirsustérminosycondiciones,desautorizandoel casodeldelincuente.Demanerasimilar,losreclamosantelosreguladoresylasagenciasde ordenpúblicoproporcionanunainteligenciaabundantequepuedellevaralaaplicacióndela leycontralosestafadores. 2. Accionesdelossociosrespectodelasrelacionesylospagos:Elfraudedependedela extraccióndedinerohaciaunaubicaciónocultaoirrecuperable.Laspartessepueden protegerasímismosalexigirunaidentificación,calificacionesyautenticaciónválidasde terceros,medianteelusodemecanismosdepagodebuenareputaciónopordemorarelpago duranteunperíodosuficiente. 3. Otrasconfirmaciones:Comomuchosdelosataquesimplicanunacomunicaciónfalsificadao forzadaentrepartesadyacentesdelacadenadepago,lasnotificacionesyconfirmaciones entrepartesmásrespetadaspuedenpreveniroidentificarrápidamenteelfraude.Ejemplos deestocomprendenunMNOounagregadordeSMSqueconfirmalasuscripciónconel suscriptorenlugardeconfiarexclusivamenteenlasafirmacionesdelelementoqueprecede enelflujodepago. SPAMMÓVIL Elsiguienteescenariodescribelarecienteactividadspaminternacionalydemuestraelpapel fundamentalquejuegalacolaboracióninternacional,enparticularentreempresas,como fundamentalparaladefensaredesysuscriptores. EloperadorAyeloperadorBestánendiferentespaíses;ambospaísestienenmuchoshablantesdel mismoidioma.ElspamqueseoriginaenlareddeloperadorArepresentalamayoríadelspamque ingresaenlareddeloperadorB.EloperadorArastreaelspamensuredmedianteelinformedel spambasadoencódigobreveyelanálisisdelosregistrosdelservidordemensajería.EloperadorB OperaciónSafetyNet 64 tambiéntieneinformesdespambasadoenelcódigo,peronorecopilalosnúmerosdeorigendelos mensajesquesonreportadoscomospam.Sinembargo,eloperadorBrealizaunaexploración antispamautomatizadaeneltráficodemensajería.Comoresultado,lareddeloperadorBrecopila informaciónacercadefuentesyelcontenidodespam. EloperadorAyeloperadorBdescubrieronporseparadoelspamprocedentedelareddeloperador AydestinadoaloperadorB.EloperadorAeliminaalosspammersqueidentificaensured,perosólo siharecibidounciertovolumendelosinformesdespamcontraunnúmerodadodeorigen.Porlo tanto,siemprequeunspammerenlareddeloperadorAenvíespamsolamenteanúmeroseternosde lareddeloperadorA,estepuedeenviarspamsinlímitesalossuscriptoresdeloperadorB,porque: a) EloperadorAnuncarecibiráinformesdespamdesuspropiosabonados,surequisito paralaactivacióndeunainterrupción;y b) Noexisteinformaciónalgunasobrecompartirprácticasparafrustraralosspammers internacionales. Enausenciadedatoscompartidosentrelosoperadores,losspammerspuedenfuncionarlibremente dentrodeundeterminadopaíssiellosenvíansuspamsóloparalossuscriptoresdelosoperadores quenopertenezcanalaredenlaquetienensuscuentas. LASMEJORESRECOMENDACIONESPARALAINDUSTRIAYELGOBIERNOPARAEVITARELSPAMMÓVIL: Diálogoeintercambiodeinformación:Losspammersaprovechanlasvulnerabilidadesentre proveedoresdeserviciosenlaspolíticascontraelabuso,lasdefensasyelconocimiento.Unadelas leccionescentralesaprendidasapartirdelaproliferacióndelspamdeInternetdesdesusiniciosen 1993hastalaactualidad,cuandoelspamyarepresentaaproximadamenteel90%deltráficode correoelectrónicodeInternet,esquecuandolosparticipantesdelecosistemacomparten información,cambiaeljuegoparalosspammers.Eldiálogoentreempresasyelintercambiodedatos contercerosfacilitadores,comodesarrolladoresdetecnologíayorganismosindustrialesesvitalpara protegerelecosistemamóvildelamigracióndeherramientasylastécnicasperfeccionadasdespamy delosspammersenInternetdurantemásdeunadécadaomáshaciaelmundomóvilinterconectado mundialmentecadavezmásbasadoenIP. Mientrasquelossiguientespuntosdedatosnosoncríticosparalacolaboraciónentrelos proveedoresdeservicios,sonútilesparafrustraralosspammers,ypuedensercapturadosatravés deinformesdespam: Elementosde Notas datos Númeromóvildel MSISDN(elnúmeroúnicoasociadoconelmicroteléfono originadorspam deunabonado)oIMSI(elnúmeroúnicodeunatarjeta SIM) Cantidadrecibida Requierelarecopilaciónylacorrelacióndeinformes deinformessobre spam Cantidadde Útilperonocrítico informantesúnicos despam Reddeloriginador Derivadodeoperacionesdebúsqueda despam OperaciónSafetyNet 65 Tengaencuentaqueningunodeloselementosdedatosidentificadosanteriormentebrindan informacióndeidentificaciónpersonaldelinformantedespam.Lainformaciónsóloserecogeenel númeroqueseinformócomospamdeorigen. ComoenelejemploanteriordeloperadorAyeloperadorB,elintercambiodedatosdeloselementos anteriormenteayudaacombatirelcorreonodeseadodentrodeunpaísdeterminado,tantocomolo haceatravésdelasfronterasdelpaís. Haybeneficiosyriesgosparaelintercambiointernacionalentreoperadoresdelosdatos seleccionadosapartirdeinformesdespam.Losbeneficiosincluyenactivandosolucionesdequejas desuscriptoresvoluntarios.Elintercambiodedatosyeldiálogoantispamentreoperadorestambién facilitalasaccionesdevigilancia,refinamientoycumplimientodesuspropiaspolíticasdeuso aceptable.Porúltimo,elintercambiodedatospuedeproporcionarevidenciaquecorroboralas decisionesdeinterrupcióndeloperador,asícomoparalaaplicacióndelaley,ylosagentes reguladores.Lacolaboracióninternacional,entreoperadoreshaciaestasmetasharáqueseamás difícilparalosspammersmóvilesparaocultar. Porotrolado,sedebenestudiarcuestioneslegales,deprivacidadydeseguridaddurantela implementacióndetodacolaboracióninternacionalenestaesfera.Enlaactualidad,estascuestiones actúancomounimpedimentoparalacolaboraciónentrepaíses.Algunoshanseñalado,sinembargo, queestosproblemasdeprivacidadsoninjustificadosporque1)losinformessobrespamson enviadosvoluntariamenteporlossuscriptores;2)noesnecesarioincluirningunainformaciónde identificaciónpersonal(PII)cuandoseintercambiandatosdelreclamo;y3)noescríticoincluirel contenidodelmensajeenelintercambiodedatosdelreclamo.(Compartirelcontenidodelmensaje puedeaumentarelriesgodeintercambioaccidentaldePIIdelosinformantesolaspersonasqueno seanelspammer.Sinembargo,elcontenidodelosmensajesinformadoscomospamtambiénpuede serútilparaidentificarybloquearelspam). Enresumen,elintercambiointernacionaldeciertoselementosdedatosentreoperadorescambiael juegoparalosspammers,yaquelesdejamenoslugaresdondeesconderse.Elintercambiodedatos requeriráeldiálogoyelconsensosobrelosdatosquesepuedencompartir,asícomolosformatosde intercambiodedatosentrelosparticipantesdelecosistema. Laindustriatambiénsedebeesforzarparainformaralasagenciasdeordenpúblicocuandose adviertanuncomportamientoilegaldesusredesysistemas.Lacoordinaciónconlasagenciasde ordenpúblico,enlaesferapenalyregulatoria,amenudo,puedellegaralorigendelaamenaza,y eliminalasganasdetercerosdeparticiparendichaconducta. ELAUMENTODELOSATAQUESINTERNACIONALES Amedidaquelasnacionescombatenataquesyamenazasinternos,losatacantesdirigensuatencióna otraparteparaidentificaryatacarvulnerabilidadesinternacionales.Porejemplo,lacampañade luchacontraelspam"LiberenaiPad/iPhone"realizadaenAméricadelNorteestabadirigida inicialmentealosEstadosUnidos.LosoperadoresdeCanadáylosEE.UU.implementarondefensas técnicasparabloquearelspamenviadoasussuscriptores.Losatacantesrápidamenteidentificaron estoycomenzaronaenviarelspamdeSMSalosabonadoscanadiensesdeteléfonosbasadosenlos EstadosUnidos,evitandoasílasdefensas.Existencasossimilaresentérminosdefraude,phishing, malwareyspyware.Enlamayoríadeloscasos(porejemplo,elspamyelmalwarededefensa),seha encontradoqueesnecesariodetenerelataqueenelorigen,yaquelasnacionesreceptoraspuedenno OperaciónSafetyNet 66 sercapacesdeidentificarelataqueocultoenlosflujosdecomunicacionesdealtovolumen.Aligual quelaInternet,lasredesdecomunicacionesmóvilessonglobalesyrequierenunenfoquededefensa ycolaboracióninternacional. CONSIDERACIONESINTERNACIONALES Losciberdelincuentestienenunafuertepreferenciaporoperarenunentornointernacional.Por ejemplo,unvendedorenlíneademedicamentosilegalesqueviveenlosEstadosUnidospodríaenviar correoelectróniconodeseadopublicitandosusmedicamentosdeunequipoafectadosenBrasil, dirigiendoapotencialescompradoresaunsitiowebconunnombrededominioruso,mientrasque físicamenteelservidordeesesitiowebestáubicadoenFranciaElpagodelacompracontarjetade créditosepodríaprocesaratravésdeunbancoenAzerbaiyán,elpedidopodríaserenviadoenbarco desdeunsitioenlaIndiayelingresopodríasercanalizadohaciaunbancoenChipre.Los delincuentessabenquealactuardeestamaneraexistenmuchosfactoresquecomplicanlas investigacionesoficialesdesusdelitosenlíneayreducensuprobabilidaddecaptura.Estosfactores sonlafaltadecolaboración,lasdiferenciasentrejurisdiccionesyelcostodelasinvestigaciones internacionales. Víctimas(el colorrepresenta laconcentración) Programador Distribuidore s Piratas informáti Servicios de Casasdecambioymulasde dinero C OOPERACIÓNINTERNACIONALYJURISDICCIÓN Losagentesdelordenpúbliconoposeenunpoderilimitado.Enparticular,unoficialdepolicíadeuna ciudadopaís,normalmentenocompetenteparacitardocumentosodetenerauncriminalmásalláde supropiajurisdicción.Lasinvestigacionestransfronterizasrequierenlacooperacióninternacional entrelosorganismospolicialesnacionaleseinternacionales,unprocesoquepuedeimplicarprocesos formalesenormementecomplejos,pornomencionareltiempoylosrecursosnecesarios.Las complicacionesasociadasconestosprocesospuedendemorarlasinvestigaciones,ohacerque algunasinvestigacionesseanimposibles. OperaciónSafetyNet 67 C OBERTURALEGALYJURISPRUDENCIA Unaactividadqueesilegalenunpaíspuedenoserilegalenotro.Porejemplo,algunospaísesno tienenleyesrelativasaspamporcorreoelectrónico,nihanpenalizadoladifusióndemalware.En otrasjurisdicciones,elsistemalegalnopuedeser capazdemantenersealdíaconunflujoconstantede Ejemplo:EstafaenuncallcenterenIndia nuevosfármacos,químicamentediferentespero Aproximadamente60000personasenel equivalentes.Enotroscasos,unaleypuedeestaren ReinoUnidofueronrecientementevíctimas loslibros,peroelpaíspuedenotenerantecedentes deunaestafamultimillonariaenlibras deprocesarconéxitoaaquellosquehanvioladoese esterlinas.Losinvestigadorescreenqueel estatuto.Cadaunadeestascondicionessonun grannúmerodevíctimasporlaestafade desafíoparalasagenciasdeordenpúblicoyla préstamosconvierteaestehechoenunode colaboración. losfraudesmásgrandesjamásvistosenel ReinoUnido.Ensuapogeo,másde1000 personaspordíaquehabíansolicitado ELCOSTODELASINVESTIGACIONES legítimamentepréstamossingarantíacon INTERNACIONALES bancosycompañíasfinancierasrecibíanla Elcostodeoperacióninternacionalocasionaquelas "llamadafría"deloscallcenterenNueva agenciasdeordenpúblicosóloseocupendelos Delhi;aproximadamente100personaspor casosestrictamentelocales.Siuninvestigadortiene díafueronengañadasparafirmarypagar queviajaraunpaísextranjero,elcostodelos losgastosdeprocesamientodeunpréstamo pasajesaéreosyotrosgastosdeviajepuedenser inexistente.SegúnlapolicíadeIndiase considerables.Porlotanto,lasagenciascon robaronalmenos£10millones. problemasdeliquidezsimplementepuedennoser capacesdedarseellujodetrabajarencasosinternacionales. Irónicamente,almismotiempoqueescaroparaeloficialdepolicíatrabajarenundelitodeaspecto internacional,losdelincuentescibernéticossonamenudocapacesdeadquirirbienesoservicios ilegalesenelextranjeroatravésdeInternetapreciosirrisorios.Porejemplo,untalentosoautorde malwaredeunanacióneconómicamentedevastadapodríaestardispuestoacrearunmalwareque provocarámillonesdedólaresendañosyperjuiciosporunospocoscientosdedólares.Estas condicionesgeneranenlosciberdelincuentesungranincentivoparatrabajarinternacionalmente,y muchos,dehecho,lohacen. LASMEJORESRECOMENDACIONESPARAELGOBIERNOYLAINDUSTRIADEACUERDOCONCUESTIONES DECOLABORACIÓNCRUZADA : 1. Colaboración:Laclavedeunadefensainternacionalefectivaeslacolaboración.Enprimer lugar,losorganismosgubernamentalesynogubernamentalesenlasnacionesafectadas debentomarconcienciadelacuestión.Luego,serequierelacolaboraciónparadiseñare implementarestrategiasyunainfraestructuradedefensaqueimplicanentidadestécnicas, políticas,policialesyjurídicasenvariospaíses.Losprincipalesdesafíosparalograrla colaboraciónnecesariasonidentificarelconjuntoadecuadodeforosyobtenerlaasistencia adecuada. OperaciónSafetyNet 68 2. Intercambiodeinformaciónsobreamenazas/ataques:Elintercambiodeinformación sobreamenazasyataquesesesencialparaafrontarlosdesafíosqueexcedenlasfronteras.Si biensenecesitancomunicacionesdehumanoahumano,laamplitudymagnituddelos ataques(porejemplo,losmilesdemillonesdemensajesdespamydephishingrecibidos diariamente)dictanlanecesidaddeenfoquesmecanizados.Tambiénenestecaso,parauna infraestructurainternacionalmecanizadaqueseaimplementadaconéxito,sedeben considerarlosobstáculosparaunaimplementaciónylaadopcióngeneralizada,queincluyela fragmentaciónentremuchossistemasdispares,diferentesnecesidadesfuncionalesdelos diferentespaíses(inclusolosimpedimentoslegalesycuestionestécnicas/tecnológicas)ylas diferentesnecesidadesdelosdiferentesoperadores.Unainfraestructurageneralparael intercambiodeinformaciónsobreataquestambiéndeberárespaldarmodelosdeservidores centralizadosypuntoapuntoeidentificarlosprotocolosdeformatoytransferencia. 3. Capacitación:Conelfindereconoceryresponderalasamenazasmóviles,losprofesionales ylasagenciasdeordenpúblicotienenqueestaraldíaconlasnuevastendenciasyamenazas. AMENAZASTELEFÓNICASDEVOZ ELENTORNODELATELEFONÍADEVOZ Losconsumidorestienenmuchasopcionesconrespectoalasllamadastelefónicasdevoz:conectados, inalámbricos,fuentesalternativas(porejemplo,equipos).Estasllamadaspuedenatravesarlared telefónicapúblicaconmutada(PSTN)medianteunserviciodemultiplexaciónpordivisióndetiempo (TDM),vozsobreprotocolodeInternet(VoIP),ounacombinacióndeTDMyVoIP.Latelefoníapor Internetserefierealaintegracióndelosserviciosdetelefoníaenlasredesinformáticas. Básicamente,elprocesoconviertelasseñalesdevozanalógicasquefueronenviadas tradicionalmenteatravésdeunteléfonofijoenseñalesdigitales.Estasseñalessetransmitenatravés deInternetyluegoseconviertendenuevoenseñalesanalógicasdevoz. Elnúmerodesuscripcionesdetelefoníafijaentodoelmundoalcanzósupuntomáximoen2006yha disminuidoenformaanualdesdeentonces.Porejemplo,lassuscripcionesdetelefoníafijaeranpoco menosde1110millonesdesuscripcionesen2014,frentealosmásde1,14millonesdedólaresen 2013.Almismotiempo,elnúmerodeabonadosmóvilesycelularesestáaumentandoentodoel mundo,yseacercarápidamenteelnúmerode personasenlatierra.Losabonadosalatelefonía Elprotocolodeiniciodesesión(SIP)es móvilalcanzaronloscasi7000millonesafinalesde unprotocolodecomunicacionesparala 2014,quecorrespondeaunatasadepenetracióndel señalizaciónyelcontroldelassesiones 96%,perolastasasdecrecimientoestuvieronenel decomunicaciónmultimediayse nivelmásbajodelahistoria(del2,6%anivel encuentramásfrecuentementeen mundial),loqueindicaqueelmercadoseestá aplicacionesdetelefoníaporVoIPo acercandorápidamenteanivelesdesaturación. Internet. Afinalesde2014,elnúmerodesuscripcionesde bandaanchamóvilalcanzólos2,3millonesanivel LaTDMesunmétododetransmisióny mundial,casi5vecesmásquetansóloseisaños recepcióndeseñalesindependientesen antes(en2008).Lassuscripcionesdebandaancha unarutadeseñalescomunespormedio móvilfueronde2,1millonesen2013.La deconmutadoressincronizadosencada penetracióndelabandaanchafijasiguecreciendo, extremodelalíneadetransmisión. aunquelentamente(enun4,4%anivelmundialen elaño2014).Dadoquelosserviciossoncadavez OperaciónSafetyNet 69 másaccesibles,laadopcióndelabandaanchafijahamostradounfuertecrecimiento,yparaelaño 2013habíacasi700millonesdesuscripcionesdebandaanchafija,quecorrespondeaunatasade penetraciónglobaldel9,8%. ElnúmerodeusuariosdeInternetanivelmundialhabráalcanzadoloscasi3000millonesafinales delaño2014,encomparaciónconlos2700millonesdepersonasen2013lvi. ConelcrecimientogeneralizadodelatelefoníaporInternet,esvitalquelainfraestructuraque soportaestatecnologíasigasiendosegurayestédisponible.Unapequeñacantidadde"inactividad" tieneelpotencialdecostaralasempresasmillonesdedólareseningresosperdidosyproblemasde soportealcliente. AMENAZASPORVOIP Estasecciónofreceunataxonomíadeamenazadetelefoníadevozsimple,cubriendolosproblemas queafectanlavozylossistemasdecomunicacionesunificadas(UC)ymejoresprácticas recomendadasparapreveniryremediarestas amenazas.Estasecciónsecentraenlavoz,perolas Estafasconunring:Losconsumidores amenazaspuedenafectarotrasformasde inalámbricosrecibenllamadastelefónicas comunicación,inclusoelvideoylamensajería.Estas automatizadasdenúmerosdeteléfono amenazasseaplicanprincipalmenteaempresas,pero quetienencódigosdeáreaqueimitan tambiénpuedenafectaralosproveedoresde númeroslocales,peroenrealidadestán servicios,pequeñasempresasylosconsumidores. asociadosconnúmerosinternacionales porpagar.Estasllamadasautomatizadas LLAMADASAUTOMATIZADAS porlogeneralsedesconectanluegode hacerunring,ynoledatiempoal Lasllamadasautomatizadas,queutilizansistemasde marcaciónautomáticapararealizarllamadasdevoz, consumidorpararesponderylotientana esunaformacadavezmásproblemáticadeabusode devolverlallamada.Losconsumidores serviciodevoz.Seutilizannormalmentepara quedevuelvenlasllamadasdirigenun llamadasrelacionadasconventas,marketingo tráficoadicionalaesosoperadores encuestas.Porejemplo,cuandounaopiniónoalgún internacionalesyelscammerpuede otrotipodeencuestasellevaacabo,elmensaje recibirunaporcióndeloscargosfinales(o pregrabadolepuedesolicitaralapersonaquepulse posiblementeporcargospremium)queel undígitocorrespondientealarespuesta operadorinternacionaldelserviciocobra preestablecidadesuelección.Otrousocomúnespara deloperadorinalámbricodelcliente. notificacionesdeemergencia,avisosorecordatorios. Estoseutilizaconfrecuenciaporfuncionariosde seguridadpúblicamedianteunsistemallamadounsistemadenotificacióndeemergencia(SNE).Sin embargo,lasllamadasautomatizadassontambiénutilizadasgeneralmenteparaestafar consumidoresoparaotrosfinesilícitos. EnlosEstadosUnidos,porejemplo,lasllamadasautomatizadasafectanespecialmentealosclientes fijos,quesondirigidosamenudoporvendedoressinescrúpulosylosestafadores.lviiLasllamadas automatizadasrepresentaronelreclamomásfrecuentedeconsumidoressegúnlaFTCen2014. Recientemente,lasempresastambiénhancomenzadoapresentarunnúmerocrecientedereclamos declientesinalámbricos.Porejemplo,laestafade"unring"apuntórecientementeainduciraclientes inalámbricosamarcardeformainvoluntarianúmerosdepagoporllamadainternacionalessinsu consentimiento.lviiiLasllamadasdephishingespecíficamentedirigidasaobtenerelaccesoa informaciónconfidencial,personalyfinanciera,conocidocomovishing,tambiénsonfrecuentes. OperaciónSafetyNet 70 Seutilizantambiénconfrecuencialasllamadasautomatizadasparaabrumaraclientesconectadose inalámbricosmedianteataquesTDoS:secreanllamadasenmasaqueevitanlarealizaciónde llamadaslegítimas. LASMEJORESPRÁCTICASRECOMENDADASPARACOMBATIRLASLLAMADASAUTOMATIZADAS: Losoperadoresoproveedorespuedenofrecerherramientasysolucionesparacombatirlasllamadas automatizadas.Sinembargo,noexisteunaúnicasoluciónparaeliminartodaslasllamadas automatizadasilegalesonodeseadas. Anzuelos:Unanzueloesunatrampaparadetectar,desviarocontrarrestarintentosdeusono autorizadodeunaredosistema.Engeneral,losanzuelosimitanunequipo,datosounsitiodelared, perorealmentesonaislados,protegidosysupervisados.Estánconstruidosespecíficamentepara atraparalosatacantes.Unavezquemuerdenelanzuelo,esposiblerastrearyvigilaralos delincuentes. Recopilacióndedatosyherramientasdeanálisis:Lainformaciónesunapotenteherramientaen laprevencióndelasllamadasautomatizadas.Recogiendoinformaciónsobreflujosdetráficoenuna redparticularycombinandodatosconanálisisparaidentificarpatronessospechososdellamadas segúnelvolumen,elenrutamiento,eldestinoyladuracióndellamadaylastasasderealización,los proveedorespuedenidentificareinvestigarpatronessospechososparaidentificarllamadas automatizadasilegales.Esposibleutilizarestainformaciónparaestablecerlistasnegrasybloquear llamadasdeciertosnúmeros,olistasblancas,quedefinenlasllamadasquesepuedenrecibir.Unavez queseidentificaunpatróndellamadasautomatizadas,losoperadorasylasagenciasdeorden públicopuedenutilizartécnicasderastreoparaidentificaryperseguiralosresponsables. OperaciónSafetyNet 71 Equipolocaldelcliente(CPE):Sedisponendeherramientasdecompañíasyproveedorespara gestionarlasllamadasenlosteléfonos:Lostiposfrecuentesdeequiposon: ● Identificadordellamadas:Elidentificadordellamadasmuestraelnúmeroqueestá llamando.Losclientespuedenutilizarestatecnologíabienconocidaparafiltrarllamadas desdefuentesdesconocidas.Losserviciosydispositivosdebloqueodellamadassebasanen lainformacióndelidentificadordellamadasyenlasllamadasentrantesconelfindecolocar losnúmerosenunalistanegra. ● DispositivosCAPTCHAlix:hacerqueciertasllamadasatraviesenmenúsdiseñadospara eliminarlosllamadoresnohumanos.lx ● Aplicaciones:Losclientesinalámbricospuedendescargarunavariedaddeaplicacionesque utilizanlafuncionalidaddeidentificadordellamadaspararechazarosupervisenllamadas desdenúmerosdeteléfonoquelasaplicacionesidentificancomosospechosossegúnlas diversastécnicas,comoelcrowdsourcing,algoritmosolistasnegras.lxiLosusuariostambién puedenaprovecharlascaracterísticasintegradasdesusteléfonosinteligentesquepermiten configurarquéllamadassuenanensusteléfonosycuálesno. ● Identificacióndeclavepública/privada:estesistemaestásiendodesarrolladopara autenticarladireccióndelaredolapersonaquellamaasociadaconeloriginadordela llamada. Regímenesregulatorios:Muchoscomercializadoreshanutilizadolatelefoníaparapromover campañasdemarketing.Lamayoríadelosregímenesnoprohíbenlasllamadasautomatizadasa menosqueelconsumidorhayadadosuconsentimientopararecibirestetipodellamadasdesdela entidadquellama.Porotraparte,lamolestiageneradaenelconsumidorporlassolicitudesno deseadashallevadoamuchospaísespararegulartodaslasllamadascomerciales:algunas jurisdiccionesoperanregímenesqueseleccionanlaopción"nollamar"(porejemploAlemania, AustriaeIsrael)yotrosoperanregímenesquenoseleccionanlaopción"nollamar"(obligatorioso voluntarios).EnpaísescomoAustralia,losEstadosUnidosyCanadá,losregistrosnacionales"no llamar"secomplementanconleyesqueregulanalostelemarketersencuantoalasnormassobre tiemposdellamada,identificacióndelaempresaquellama(CLI)ydeclaracionesobligatorias. Lassancionespuedenserimportantesy,juntoconelaltoriesgodedañosalareputación,hansido fundamentalesparaasegurarquelosbuenosciudadanoscorporativoscumplanpolíticasy procedimientos. LaRedInternacionalNoLlamar,partedelLAP,establecióunforoanualyllamadasdeconferencia periódicasparaladiscusióndetemascomunesyemergentesenlagestióndellamadasnosolicitadas detelemarketinganivelmundialylasoportunidadesdeaplicacióndelaleydecolaboración. Estándaresdelaindustria:Losproveedoresdeservicios,organismosdeestándaresdelaindustria yagenciashanestadotrabajandoconjuntamenteydemaneraindependienteparamitigarestetipode llamadasilegales.Losproveedoresdeserviciosylasentidadesprivadasestándesarrollandoo actualmentetienenservicioseinstalacionesdisponiblesparaquelosconsumidoresabordenlas llamadasautomatizadasilegaleslxiiydeberánseguirdesarrollandoeimplementandoestos estándares. Losproveedoresdeserviciostambiéndebenconsiderarunamejoraenlaatencióndeprimeralíneau otroscallcenterdellamadasentrantes,enelaccesoenlíneaparalosclientes,asícomoenla correcciónycentrosdesoportetécnicoydebecapacitarasupersonalsobrelascaracterísticasdel identificadordellamadas,losusoslegítimosdesuplantacióndellamadasysuplantaciones malintencionadasyreconocidasactualmente. OperaciónSafetyNet 72 Algunosproveedorespuedenconsiderarelestablecimientooficinasdellamadasmolestasoequipos deseguridadparatratartemascomoestos.Losclientesquecontinúanconproblemasdespuésdesu contactoconempleadosdeatenciónalclienteorecursosenlíneasepuedenderivaraesegrupopara unaasistenciaadicionalsegúnlosprocesosespecíficosdelosproveedores.Sepuedesolicitaralos clientesquecompartaninformaciónrelevantecomolasfechasyépocasenlasquehanrecibido llamadasdeestetipoyotrascaracterísticasapropiadasparalainvestigacióndelasllamadas.La oficinadellamadasmolestasolosequiposdeseguridadpuedenproporcionarvaliososesfuerzospara abordarestascuestiones,como: ● Aprovisionamientoycontroldeequipodeseguimientodellamadaenserviciostelefónicosde losclientes; ● Seguimiento,traduccióneidentificacióndefuentesdellamadamedianteubicacionesde conmutadoresdelaoficinacentralysistemasdesupervisiónyanálisisdered; ● Utilizaciónladireccióndefacturaciónylossistemasdeinstalacionesparaidentificarfuentes dellamadassiemprequeseaposible; ● Trabajodirectoconoperadoreslocales,adistancia,inalámbricosyotrosproveedoresde comunicaciónyoficinasdellamadasmolestas; ● Colaboraciónconlasagenciasdeordenpúblicoparacomunicarinformaciónidentificada;y ● Contactoconpartesidentificadasennombredelclientecuandoseaapropiadopararesolver losproblemasconllamadasqueponenenriesgolavidaoacosanaldestinatarioyllamadas generadasporequiposyautomarcadas,suplantacióndellamadas,faxqueexplosivosy cualquierotratipodellamadasmolestasidentificadasporlosclientes. Organismosencargadosdelcumplimientodelaley:Mientrasquelosregímenesdecumplimiento puedenfrenteallamadasnodeseadasdenegocioslegítimos,nosonunaadecuadadisuasióna quienespretendenengañaralpúblico.Paraaquellosactores,aplicacióndelaleyfuerteesamenudo elúnicomedioparaabordarestosabusos.Algunasnacioneshanadoptadounaposturaagresiva contraelusodelatelefonía,yaseaatravésdeVoIPodeotrosmedios,paraengañaralos consumidores.Elprocesamientodecasosbajolasleyesdeprotecciónalconsumidorenprocesos civilesypenaleshadadolugarasancionessustantivasasícomopenasdeprisión.Paraabordar plenamenteelproblemadelfraudeportelemarketing,esesencialquelosreguladores,laindustriay laaplicacióndelaleycontinúenubicandoydenunciandoalosestafadorescuyousodela suplantacióndellamadasyllamadasautomatizadashanresultadoencientosdemillonesdedólares enelfraudeentodoelmundo. ATAQUESTELEFÓNICOSPORDENEGACIÓNDESERVICIO(TDOS) ElTDoSesunataquequeapuntaadesactivarelsistemadeteléfonodeunaempresaoservicio público.Alsaturarunnúmerodeteléfonodesdeelexterior,oinclusolatotalidaddeloscanalesde comunicacióndelaentidad,losatacantespuedendesactivarrápidamentetodaslasllamadas entrantesysalientes.ElTDoSesmuysimilaralaataquededenegacióndeservicio(DDoS)puntualen sitiosweb.Losatacantessebeneficianporquemantienenelsistemadeteléfonocomorehény perturbarelsistemahastaquelavíctimapagaunasumaespecificada. ParainiciarunataqueTDoS,elatacantedebeteneraccesoavarioscanalesdecomunicacióno cuentasdeprotocolodeiniciodesesión(SIP)(generalmentepirateadas).Entoncesutilizanmáquinas automatizadasquerealizanllamadassimultáneasyenvariasocasionesllamanaunoovarios OperaciónSafetyNet 73 númerosdeteléfonodelavíctima.Las"herramientas"oel"kit"paraelataqueTDoSseencuentran fácilmenteenInternet.Tambiénesmuyfácilsolicitarquedichoataquelorealicentercerossin escrúpulos.Esteeseltipodeataquegeneralmentesehaceporperturbación,extorsión,opara encubrirunfraude. LASMEJORESPRÁCTICASRECOMENDADASSOBRETDOS: Puertasdeenlacedeniveldeaplicación:Esimportantequelasempresasdetodoslostamaños asegurensussistemasdeVoIPytelefonía.LossistemasdeVoIPsoncomocualquierotrosistema informáticoderedyporlotantorequieren Protección de los servicios básicos proteccióndelasmismasclasesdeataques El Comité Canadiense de Interconexión (CISC) cibernéticoscomocualquierotroservidorde exploró el tema de ataques de denegación de red.Mientrasquelosfirewallsobsoletos servicio de telefonía dentro de los grupos de puedentenerproblemasparamanejar trabajo de red y servicios de emergencia y ha adecuadamentelosrequerimientosúnicosde sugerido las mejores prácticas recomendadas sistemasVoIP,muchosdispositivosde para la protección de sistemas esenciales. seguridadmodernostienenpuertasdeenlace decapasdeaplicación(ALG)diseñados http://www.crtc.gc.ca/public/cisc/nt/NTCO0570.doc específicamenteparamanejarprotocolos x específicosdeVoIP.Algunosdeestos algoritmospuedenproporcionarinclusounafuncionalidaddeseguridadespecíficadeVoIP,comola prevencióndelacosechadedirectoriosSIPoataquesDoSdeniveldered. Informealordenpúblico:LosataquedeTDoStienenelpotencialparadesactivarlainfraestructura críticayclave,queincluyeserviciosdeemergencia,hospitalesyprimerosauxilios.Estopuede plantearcuestionesdeseguridadnacionalyporlotantosedebereferiralaagenciadeordenpúblico apenassedetecteunataque. SUPLANTACIÓNDELLAMADAS Lasuplantacióndellamadasesunmétodode falsificacióndelainformacióndelallamadade origen.Mientrasqueestonoesunataqueperse,se utilizacomúnmenteparaocultarlaidentidaddeun atacanteorealizarataquesmáseficaces.Atravésde talsuplantación,losestafadorestienenporobjetivo aconsumidoresyrealizanllamadasqueimitanla ciudaddelconsumidor,elcódigodeáreaouna fuentedeconfianza.Algunaspersonashanutilizado númerosasociadosconlasagencias gubernamentalesyhansuplantadoafuncionarios delgobiernoenfraudesdeimpuestoseinmigración. Amenudo,elorigendeestasllamadasesdeotro continente,añadiendomáscomplejidadparael seguimientoyladetenciónfraudes. OperaciónSafetyNet Informe/Bloqueoselectivode llamadas(*09) Loscódigosdeservicioverticales,como *09,sedebendefinirseporlaindustria parapermitiralosconsumidoresiniciar fácilmentelacapturaautomáticayel análisisdelainformacióndelared relacionadasconllamadasnodeseadas. Estesistemafuncionaalpermitirqueun consumidorrecibaunallamadade telemarketingfraudulentauotrotipode llamadanodeseada,paracolgarel teléfonoyoprima*09pararevelarla informacióncompletasobrelallamadaa suoperador,agenciasdeordenpúblicoy reguladores,ytambiénbloquear automáticamentefuturasllamadasdeese 74 LASMEJORESPRÁCTICASRECOMENDADASPARAPREVENIRLASUPLANTACIÓNDELLAMADAS: Legislaciónsobrefraude:Engeneral,deberíaserilegalentodoelmundotransmitirinformación engañosaoinexactasobreidentificacióndellamadasconlaintencióndedefraudar,dañaruobtener indebidamentealgodevalor.lxiii EnlosEstadosUnidos,porejemplo,laLeysobreidentificacióndellamadaslegítimasde2010prohíbe lasuplantacióndellamadasolafalsificacióndeliberadadenúmerotelefónicosoelnombre identificadocomoinformacióndelidentificadordellamadasparadisfrazarlaidentidaddelallamada confinesperjudicialesofraudulentos.lxivEstetipodedefiniciónpermiteelusodesuplantaciónde identidadconfinesnofraudulentos,comoelusodenúmerodelconsultoriodeunmédicocuando llamadesulíneaprivada. Educaciónalconsumidor:Laconfianzadelconsumidorenelsistemadetelefoníaestáenriesgo, conelaumentodesuplantacióndellamadasylasllamadasautomatizadas.Paraprotegeralos consumidoresdefraudesyotrosdañosquedependendemalusodelaplataformatelefónica,las agenciasgubernamentaleshanlanzadocampañasdeeducación.Porejemplo,laComisiónFederalde ComerciodeEstadosUnidos(FTC)hapublicadoadvertenciasensuspáginasweb,publicadoentradas enelblogypromovidosusesfuerzosdeaplicacióndelaleyparaconcientizaralconsumidorsobrelas llamadasautomatizadasylasuplantacióndeidentificadoresdellamadas.lxvFomentarunamayor concienciadelosconsumidoresdelusodelasuplantacióndeidentidadpuedeayudarareducirel dañoresultantequepuederesultardelosfraudesquesepromuevenatravésdeestatécnica.Los esfuerzosdeeducaciónalconsumidortambiéndebendaraconocerlasdiversasherramientasque puedenutilizarlosconsumidoresparaprotegersedellamadasnodeseadas. OperaciónSafetyNet 75 SERVICIOSDEHOSTINGYENLANUBE Losserviciosdehostingydelanuberepresentanunodeloscambiosrecientesmássignificativosen latecnologíadelainformación.Lasempresasestánentusiasmadasporlaoportunidaddemejorarel controldeloscostosdecapital,deaumentarlaagilidadyeliminarlainfraestructuracomplejade tecnologíadeinformación.Sinembargo,lascuestionessobrelaseguridadylapérdidadecontrol directoestánsofocandolaadopciónyelcrecimientodeestanuevatecnología. Lasamenazasmóvilesyenlíneaaumentanparalosserviciosdehostingyenlanube.Segúnun recienteartículopublicadoenTheEconomist,seesperaqueelmercadomundialparalosserviciosde informáticaenlanubealcanceUSD176000millonesen2015.Estacantidadaúnrepresentauna pequeñaporcióndeltotaldegastosdeIT,peroelgastoenserviciosdehostingydelanubeestá creciendorápidamente.Actualmente,muchasotraspartesdelaindustriaestánestancadasoincluso envíasdedesaparición,peropara2017seesperaqueelgastoderivadodelanubealcanceauntotal deUSD240000millonesporañolxvi. Estasecciónclasificalostiposdehostingydescribelasáreasdeinterés.Proporcionaunanálisisdel panoramaactualdelasamenazasenlanubeyenlínea,yunbreverecorridoporlosmétodosde correcciónqueseutilizanparaabordarestascuestionescríticas. TIPOSDEHOSTING LosproveedoresdehostingfacilitanlaoperacióndelaInternetglobalyoperanlosaspectosbásicos quehacenfuncionarInternet.Losproveedoresdehostingvaríanentamaño,desdeempresas unipersonaleshastaempresasinternacionalesderenombremundial.Loquediferenciaalos proveedoresdeinfraestructuradeInternetdeotrosaspectosdeInternetessurelativoanonimato. EstosnegociosgeneralmenteoperandetrásdeescenaparafacilitarelusodeInternetparanegocios muydiversos,desdeunatintoreríalocalounbancointernacional. FORMATODELAINFRAESTRUCTURADEINTERNET: LosserviciosdeinfraestructuradeInternetsecomprendenmejorentérminosdelasformatos subyacentesutilizadasporelproveedordeserviciosparabrindarlosserviciosalusuariofinal. Existentrescomponentesdeestosformatossubyacentes: • Instalaciones:Lasinstalaciones,frecuentementeconocidascomocentrodedatos,sonel pilardeunproveedordeinfraestructuradeInternet.Puedeserpropiedaddelpropio proveedordeinfraestructuraoestaroperadoporuntercero.Estainstalaciónalbergalos enrutadoresyconmutadoresqueseconectanaInternetjuntoconlosservidores,físicosy virtuales,queposeenelcontenido,losdatosylasaplicaciones. • Servidorfísico:Elservidorfísicoresideenungabineteounaestanteríayseubicaenun centrodedatos.Esdondesealmacenanyseasegurancontenidosyaplicaciones. • Servidorvirtual:Elservidorvirtualesunaparticiónvirtualizadadeunservidorfísico.El servidorvirtualactúayseejecutacomounservidorfísicoconunadiferenciamarginalen elrendimiento.Unúnicoservidorpuedealbergarliteralmentehastadocenasde servidoresvirtuales. OperaciónSafetyNet 76 Losproveedoresdehostinggeneralmentesepuedenclasificarenunadecincocategoríasprincipales: i. ii. iii. iv. v. Hostingcompartido Hostingestándaradministrado Hostingcomplejoadministrado Infraestructuraenlanube Colocación CATEGORÍASDEINFRAESTRUCTURADEINTERNET Hostingcompartido:Elhostingcompartidoeselespaciocompartidoenunservidorfísicoqueno aíslausuariosyniasignaderecursosdefinidos.Secompartenlosrecursosfinitosdeunservidor físico,amenudoenformadesigual,entretodoslosclientesqueresidenenél.Losproveedores puedenalbergarliteralmentecientosdeclientesenunúnicoservidor. Elhostingcompartidoseutilizafrecuentementeparapublicarcontenidowebestáticoodinámico.Las plataformasdeblogs,comoWordPressyaplicacionessimplesdecomercioelectrónico,amenudose ejecutanenentornosdehostingcompartidosyestánhabilitadosconinstalaciónautomática. Lasorganizacionesconrecursosmuylimitadosutilizanelhostingcompartidoparacomunicarsey construirunapresenciaenInternet.Elhostingcompartidoexistenormalmenteenelpuntoinferior delmercadodelainfraestructura.Losusuariosfrecuentesson:consumidores,pequeñasempresas, oficinasdomésticasyblogueros. Hostingestándaradministrado:Unproveedordeinfraestructuraqueproporcionaunhosting estándaradministradoengeneralalquilaservidoresfísicosdedicados(avecessedenominan servidoresdesnudosdemetal)oservidoresvirtualesalojadosenlasinstalacionesdelcentrodedatos delproveedordeinfraestructura.Losclientessuelenalquilarlosrecursosdelservidorsegúnun contratofijo. Enelhostingestándaradministrado,losclientesposeenunaccesoraízalservidoryporlogeneralse autoadministran.Elproveedordeinfraestructuraproporcionaunnivelbásicodesoporteymaneja ciertastareasdeadministración,aunquelimitadas,comoelmantenimientodelhardware,la realizacióndecopiasdeseguridadylainstalacióndesoftwaredeservidorwebysistemaoperativo. Elservidorrealespropiedaddelproveedoryelclienteloalquila.Comoresultado,elclientenose enfrentaaunciclodeactualizacióndeIT.Simplementesepuedenmoveraotroservidorquese ajusteasusnecesidades.Nosuelenpagarlasactualizacionesdehardwareotienenlaobligaciónde permanecerenelservidorquehanalquilado. Elhostingestándaradministradoestádiseñadoparaacomodarlascargasdetrabajoy configuracionesrelativamentesencillas.Laspequeñasempresasgeneralmenteutilizanelhosting estándaradministradocomounaalternativaalacompraeinstalacióndeactivosdeIT. Hostingcomplejoadministrado:Elhostingcomplejoadministradotambiénseaplicaaservidores virtualesyservidoresfísicosdedicados.Haymuchassimilitudesentreelhostingestándar administradoyelhostingcomplejoadministrado;peroladiferenciaclaveeselniveldesoporte administrativoydeingenieríaquepagaelcliente.Estasdiferenciassurgendelaumentoeneltamaño ylacomplejidaddelaimplementacióndeinfraestructura.Elproveedordeinfraestructuraasumeel controldelamayorpartedelaadministración. OperaciónSafetyNet 77 Elhostingcomplejoadministradoimplicaadquirirunaampliagamadeconocimientosycapacidades enlaadministracióndesistemas,gestióndebasesdedatos,seguridad,supervisión,administración deregistros,recuperaciónantedesastresyrespaldodedatos.Losserviciosdeadministraciónse puedenextenderinclusoalacapadeaplicación,aunqueestotiendeaserinfrecuentefueradela mayoríadelasaplicacionesestándardelaempresa.Unaimplementacióntípicadeunhosting administradotendráunnúmerodedispositivosadicionales,comobasesdedatos,servidoresweby aplicaciones,firewallsyequilibradoresdecarga.Enlugardeutilizaralmacenamientolocal,los clientesamenudousanredesdealmacenamientooadjuntosalared.Tambiénadquiriránservicios decopiasdeseguridadyserviciosdereplicaciónoescenariosderecuperaciónantedesastres. Algunosproveedoresdeinfraestructuraaumentansuofertaestándarproporcionandoserviciosde consultoríaquevanmásalládelacapadeniveldeserviciosadministrados. Cuandosetrataunserviciodehostingcomplejoadministrado,larelacióndelhostingsetiendea limitaraunnúmeropequeñodeaplicacionesversuseltotalqueexistedentrodelaempresa.El hostingcomplejoadministradoesutilizadocomounaextensióndelcentrodedatoslocal. Elhostingcomplejoadministradoseutilizaparacargasdetrabajoyconfiguracionesgrandesy complejas.Tambiénesunaopcióncuandolasempresasnecesitanunacapacidadmuyespecíficay especializada,comolaseguridadylaconformidad.Elhostingadministradoesunaalternativaala compraeinstalacióndeactivosdeITytieneuncomponentedeahorrodecostos.Esunamanerade aliviarlacargadepersonaldeITinternoyliberarrecursos. Infraestructuraenlanube:Lainfraestructuradenubeesbásicamenteunaformamásflexibley escalabledeservidordehostingvirtual.Lacaracterísticaclavedelainfraestructuraenlanubeesla disponibilidadderecursos.Eltamañodeunservidoraumentarodisminuirsobrelamarchaodentro deunplazodetiempomuybreve.Asíqueenlugardeunacantidadfijaderecursos,elusuariofinal puedeajustarcapacidaddeinfraestructurasegúnlademanda(olafaltadeella).Porlogeneral,la nubeseconsumeporhora,peroinclusoseestácomenzandoafacturarporminuto,permitiendoel consumobasadoenlautilidad. Lanubeestambiénaltamenteresistente,ynotieneunúnicopuntodefalla.Losrecursosenlanube sonmóvilesysepuedenconmutarautomáticamentehaciaotrohostfísico.Sepuedereiniciaren cualquierlugaryencualquiermomentoconelconjuntoadecuadodeherramientasycapacidades. Estaflexibilidadlepermitealanubeintegrarseenentornoshíbridosencualquiercentrodedatos localotercerizado. Colocación:Lacolocacióneselsuministrodecapacidaddelafuentedelcentrodedatospara empresasquenecesitanunlugarexternoparaalojaro"colocar"losservidores,elalmacenamientoy losequiposderedesqueposeenyadministran.Lospilaresdelacolocaciónsonelespacio,la potencia,larefrigeraciónylaconectividadaInternet.Enelmodelodecolocación,elclientetiene accesoaunáreadesignadadentrodeuncentrodondeseinstaleelequipamientopropiooalquilado. Muchosproveedoresdecolocacióntambiénofrecenserviciosdesupervisiónyadministración remota.Algunosproveedoreslealquilanlosequiposalosclientes. LarealidaddelaindustriadelainfraestructuradeInternetpuedellegarasermáscompleja,dadoque lossegmentosdeserviciodeinfraestructurasesiguenconfundiendo.Porejemplo,ellímiteentreel hostingestándaradministradoyelhostingcomplejoadministradoestácadavezmásclaro,dadoque losproveedoresamplíanelmercadoyseexpandenhaciaserviciosdevaloragregado.Lomismose puededecirdellímiteentrehostingadministrado,delavariedaddeservidoresvirtuales,yla OperaciónSafetyNet 78 infraestructuraenlanube.Unnúmerodeofertasdehostingconservidorvirtualparecenserpartede lainfraestructuraenlanube.Esposiblequenotengantodaslascaracterísticasdelanube,pero muestranlosuficienteparadifuminarellímiteycrearalgunaszonasgrises. ELESCENARIODELASAMENAZAS Acontinuación,seenumeranlostiposdeataquesmásfrecuentesenlosproveedoresdeserviciosde hostingyenlanube.Lalistanopretendesercompletaysiemprevaacambiarconeltiempo. • Spam(saliente):Elspamescualquiercorreoelectrónicocomercialnodeseadoono solicitado.LosproveedoresdebengarantizarquelosusuariosfinalesrespetenlasMejores prácticasrecomendadasactualesdelM3AAWG.lxviiLosproveedoresdehostingtambién querránsuscribirseatantosinformessobrebuclesderetroalimentaciónpertinentescomo seaposibleprocesar. • Spamvertising(redirigidoycarga):Elspamvertisingocurrecuandounusuariodel proveedordehostingcontrataaunterceroparaqueanunciesupresenciaenlaWeb.La mayoríadelosreclamosdespamseoriginanporquelosusuariosfinalesenvíancorreos electrónicosasusclientespotencialesquesolicitanalgúnproductooserviciosobrevaluado. Lomásprobableesquelosproveedoresquerecibenunodeestosreclamosesténenelbucle comoelremitentedelcorreoelectrónicoocomoelhostdelsitioqueseanuncia. • Phishingsaliente(hostingysalienteparalascredencialesdelcliente):Elphishing ocurreprincipalmentecuandolacuentadeunusuariofinalhasidoafectada,casisiempre comoresultadodeunscriptobsoletoejecutadoporelusuariofinal.Unsitiodephishingesun sitiofraudulentoquepretendeserunaempresalegítima,comounbanco,unatarjetade créditooPayPalquedirigealindividuoaingresarinformaciónconfidencial.Los suplantadoresentoncestienentodoquelonecesarioparadefraudaralapersona.(Véasela secciónPhishingeingenieríaSocialparaobtenermayorinformación). • Sitiosdesfiguradosopirateados(serviciodehostingporpartedelcliente):Mientrasque losreclamosdephishingconfrecuenciacaeránenestacategoría,notodaslascuentas pirateadasseutilizaránparaphishing.Algunassimplementepuedenserdesfiguradasylos datosdelosusuariosfinalespuedenserdañadosodestruidos.Confrecuencialospiratas informáticostambiéninsertanuncódigomaliciosoocarganbotsqueseconfiguranpara causarotrosproblemas,comoataqueasitios,descargascultasoredireccionamientoa contenidomalicioso.Lostercerosylasagenciasdeordenpúblicoanalizanestoseventosy proporcionaninformaciónsobrecómocorregirsitiospirateados.Lamayoríadelascuentas estáenpeligrodebidoalainstalacióndeunsistemadeadministracióndecontenidos(CMS) noactualizados,porejemploJoomlaoWordPress. • Materialsobreabusosexualdemenores(serviciodehostingporpartedelcliente): Paraelmanejoadecuadodeestostemas,lealasMejoresRecomendacionessobreMaterial sobreAbusoSexualdeMenoresdelM3AAWG (https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Disposition_CAM-2015-02.pdf). • Cuestionessobrederechosdeautorydepropiedadintelectual/demarcascomerciales (serviciodehostingporpartedelcliente):Paraconsultarlaleysobrederechosdeautorde losEstadosUnidos,hagaclicen http://www.copyright.gov/reports/studies/dmca/dmca_executive.html.Otrosregímenesde derechosdeautorseaplicanenotrasjurisdicciones. OperaciónSafetyNet 79 • DenegacióndeServicioDistribuidoyotrotipodetráficohostilsaliente:Mientraslos proveedoresdehostingoserviciosenlanubepuedentenerunamejorprotecciónquelas pequeñasempresasunipersonales,estosproveedoresdeserviciostambiénsufrenunriesgo mayordeataquesDDoSqueotrasempresasenlíneadebidoaque,enefecto,acumulanel riesgodesusclientes.Unataqueaunclientepuedeafectaraotrosypotencialmenteatodala operacióndehostingdebidoalafuertedependenciaenlainfraestructuracompartida. • Iniciosdesesiónmaliciosos:Lospiratasinformáticosconstruyenunbotnetsóloconlas pruebasgratisylascuentas"freemium"delosserviciosdehostingdeaplicacionesenlínea. Utilizanunprocesoautomatizadoparagenerardireccionesdecorreoelectrónicoúnicasy suscribirseenmasaalascuentasgratis,creandounbotnetbasadoenlanubedemilesde computadoras. PRINCIPALESÁREASDEINTERÉS InstalacionesCRMvulnerables/desactualizadas: Siconsideramosqueexistenmásde67millonesdesitiosWordPress,querepresentael23porciento detodosdesitiosweblxviii,delmundo—yqueloseditoresutilizanlaplataformaparacrearblogs, sitiosdenoticias,sitiosdelaempresa,revistas,redessociales,sitiosdelosdeportesyotros—noes deextrañarquemuchos delincuentesenlíneatienensumiradapuestaenobteneraccesoatravésde estesistemadegestióndecontenidos(CMS).Porejemplo,Drupal,unaplataformaCMSenrápido desarrollo,fueatacadaenel2014mediantesoftwaredetercerosinstaladoenlainfraestructurade servidoresdeDrupal.org. Noessólolapopularidaddeestossistemasloqueloshaceobjetivosatractivos.Muchosdelossitios deestosservidores,aunqueesténactivos,hansidoabandonadosporsuspropietarios. Probablemente,existen millonesdeblogsabandonadosydominioscompradossinuso,yesprobable quemuchosdeestossitioshansidocorrompidosporlosciberdelincuentes.Losexpertosen seguridaddeCiscopredicenqueelproblemasóloempeorarádadoquecadavezmáspersonasenlos mercadosemergentesdeInternetenelmundoestablecenunblogounsitiowebyloabandonanmás adelante. Tambiénsehademostradoqueelusogeneralizadodeplugins,quesondiseñadosparaampliarla funcionalidaddeunCMSdecontenidosyjuegos,animacionesyvideospotentes,esunabendición paralosciberdelincuentesquebuscanobteneraccesonoautorizadoalasplataformas.Para exacerbaresteproblemamuchospluginsquedansinactualizarporsusautoresyfuerzanaaquellos queusanydependendelospluginsanoactualizarsuinstalaciónactualacostasdeperdernegocioso funcionalidadesdelsitio.MuchasafeccionesdelCMSobservadasporlosinvestigadoresdeCiscoen 2013seremontanapluginsescritosenellenguajedecódigodeescriturawebPHPquefueronmal diseñadosysinconsiderarlaseguridad. LasestadísticasrecogidasporlaempresadeseguridadSucurimuestranuntotalde3143 vulnerabilidadesenWordPressen15categoríasdiferentes.lxixConestacantidaddevulnerabilidades, losconsumidoresdeWordPresshancomenzadoamantenersusoftwareactualizado;peromásdel 30%delossitiosdeWordPresssigueutilizandolaversión3oinferiorlxxydejaasussitiosalacecho detercerosmaliciosos. OperaciónSafetyNet 80 AtaquesDDoS: DadoquelosataquesDDoSsehabíanconsiderado"noticiasviejas"entérminosdetécnicasde ciberdelincuencia,muchasempresasestabansegurasdequelasmedidasdeseguridadquetenían vigentesproporcionaríanunaprotecciónadecuada.Esaconfianza,recientementehasidosacudida porataquesDDoSagranescalaentre2012y2013,queincluyelaoperaciónAbabil,queapuntóa variasinstitucionesfinancieras,probablementepormotivospolíticos. LoslíderesdelaindustriaadviertenquelosataquesDDoSdebenserunacuestióndealtaseguridad paralasorganizacionesdelsectorpúblicoyprivadoporqueseesperanfuturascampañasaúnmás extensivas.Lasorganizaciones,particularmentelasqueoperanotieneninteresesenlasindustrias queyasonblanco,comoelsectorfinancieroyelsectorenergético,debenserextraordinariamente cautelosas.Entre2010y2013,lasinterrupcionesnoplanificadasporataquesDDoSaumentarondel 2%al13%entotal.lxxiDehecho,unacomparaciónentreelúltimotrimestrede2013yelde2014 mostróunaumentodelosataquesDDoSenun90%,resaltandoquelosataquescontinúanen aumento.lxxiiElcostopromediototaldeestasinterrupcionestambiénhaaumentadodeUSD613000a USD822000enelmismoperíodo.lxxiii AlgunosataquesporDDoShandadoungiropreocupante.Sehanutilizadoparadesviarlaatenciónde otrasactividadesnefastas,talescomofraudeporcable.Estosataquespuedenabrumarapersonaldel banco,impedirelenvíodenotificacionesalosclientesyevitarquelosclientesinformenelfraude.Las institucionesfinancierasraramentesoncapacesderecuperarsuspérdidas financieras.Unataque quetuvolugarel24dediciembrede2012queapuntabaalsitiowebdeunainstituciónfinanciera regionalconsedeenCaliforniayayudóadistraeralosempleadosbancariosmientrassetomabael controldeunacuentaenlíneadeunodesusclientes,quesetradujoenUSD900000enmanosdelos delincuentes. Losconocimientosquerápidamenteseprofundizansobrecómoafectarunservidordehostingsólo lesfacilitaráalosciberdelincuenteslanzarataquesDDoSyrobarorganizacionesespecíficas.Por ingresaraunapartedelainfraestructuradeInternet,losactoresmaliciosossepuedenaprovecharde grandescantidades deanchodebanda,posicionándoseparalanzarcualquiercantidaddecampañas degranalcance.Yaestásucediendo:enagostode2013,elgobiernochinoinformóqueelmayor ataqueDDoSenlahistoriahabíainterrumpidoelserviciodeInternetenChinadurante aproximadamentecuatrohoras. InclusolosspammersestánusandoataquesDDoSparacontraatacar alasorganizacionesquese cruzanenelcaminodesugeneracióndeingresos.Enmarzode2013,laorganizaciónsinfinesde lucroSpamhaus(querastreaalosspammersyhacreadolalistadebloqueodeSpamhaus,un directorioquecontienedireccionesIPsospechosas)fueblancodeunataqueDDoSque temporalmenteinterrumpiósusitiowebyredujoeltráficodeInternetentodoelmundo.Los atacantessupuestamenteestabanafiliadosCyberBunker,unproveedordehosting,consedeenlos PaísesBajos,queposeecondicionesdeusopermisivasySTOPhaus,quehaexpresadopúblicamente sudesagradoporlasactividadesdeSpamhaus.ElataqueDDoSsiguióalservicioampliamente utilizadodeSpamhaus,quehabíacolocadoaCyberBunkerensulistanegra. Servidoresmalconfiguradosenentornosnoadministrados: Conlallegadadelanube,losusuariosahoratienenlacapacidaddecrearyconfigurarunentornode servidorcompletoenunafraccióndeltiempoqueserequeríaparaelhardwarefísico.Estoha permitidoquelosusuariospuedancrearfácilmentesupropiainfraestructuraconpocooningún conocimientodecómolossistemassoncreacióndetrabajo.Mientrasqueestecambiolehapermitido OperaciónSafetyNet 81 alosusuarioslacapacidadparahacermuchomásdeloquehanhechoantesdeabrirunnuevo desafíoenlaprevenciónydetencióndeataquesaestossistemas. Muchosdelosservidoresvirtualizadosynoadministradosnorecibenelmantenimientoqueyaseha definidoenelmundodelhardwarefísicoadministrado.Lossistemasoperativosyprogramasnose actualizancorrectamente(onoseactualizan)paratratarparchesyvulnerabilidadesdeseguridad. Lospermisossecambianraramenteoseestablecenendondecualquierpersonaconaccesoal servidorpuedarealizarcambios,dejandolapuertaabiertadelservidorhaciaelmundoexterior susceptiblealaactividadmalintencionada. Algunosprogramasusanmétodosdecomunicaciónentranteysalientequesinoseconfigura correctamenteconviertealservidorenunarmaquesepuedeutilizarenunareflexiónDDoS,iniciode sesiónSSH,inyeccióndeSQLyotrosataquesconcapacidadparainterrumpirlossistemasespecíficos duranteunperíodosignificativo.Además,estoserroresdeconfiguraciónlespermitenalosactores maliciososaccederasitiosoinformaciónalojadaenelservidorqueresultanenelrobodedatos, sitiosdephishingyhostingdemalware. Elseguimientodeestossistemasmalconfiguradosyactualizadosesunatareamonumentalparalas compañíasqueofrecenestosservidores;porlotanto,pocoselehaceaestossistemashastaqueya hansidoatacados. LASMEJORESRECOMENDACIONES Prevención: 1) Investigaralosclientesantesdequecausenproblemas:Losproveedoresdehostingestána merceddelaspeoresprácticasdesusclientes.Losproveedoresdebenincorporarunprocesode investigaciónparaidentificardeformaproactivaclientesmaliciososantesdequerealicen actividadesilegales.realizaresfuerzosparaseleccionarclientesquetendránunbuen comportamientoparalaempresadehostingesotraformadepreservarlaseguridaddelentorno dehosting. 2) Requeriralosclientesquemantenganelsoftwareactualizado:Laimposibilidaddemantener actualizadoelsoftwareyhardwareofirmwareenelentornoesunadelasprincipalescausasde abusoenelespaciodehosting.Losacuerdosconlosclientesdeberíanespecificarquelosclientes haránunmejoresfuerzoparamantenersussistemasactualizados. 3) Capacitaralpersonaldeatenciónalclienteenlaconcientizaciónsobreseguridad:Los equiposorientadosalcliente,comosoporte,ventasymarketingnoseenfrentanalamayoríade losdesafíosdiariosquesonlanormaparalosequiposdeseguridadodecontraataques.La capacitacióndebebrindarleaestosequiposelconocimientodecuándodecirleaunclienteo prospectoquesusprácticasnoserigenporlostérminosylaspolíticasdeusoaceptabledel sistemaenelqueestán,oendondeestántratandodeproporcionarunentorno. 4) Prevenirelabusoenelbordedelared: a) Considereutilizarunsistemadedeteccióndeintrusionesdehardware(IDS). b) Utiliceunsoftwaredeseguridadyunfirewall. c) Promuevaelusodefirewalldeaplicaciónweb. d) Utilicelaasignaciónpornivelesparaclientesvaliosos. e) Contrateclientesparaprotegerlaseguridad. f) Maximiceelcontactoconlosclientesyprotejalaidentidaddelcliente. OperaciónSafetyNet 82 g) Fomenteelusodecontraseñasseguras. h) UtilicelasmejoresprácticasrecomendadasenredesIPv6:ElIPv6proporcionatantas direccionesquenoesnecesario—ynohayrazón—compartirunaúnicadirecciónIPentre variosclientes.Lamejorprácticaesasignaracadacliente1/64delespaciodedirecciones IPV6.Inclusoenlossistemasfísicosycompartidosmáspequeños,cadaclienteycadasitio webdeberíatenerunadirecciónúnica.Estofacilitaelrastreodelafuentedelataque, posibilitaquelosdestinatariosdelataquebloqueenalclienteinfractorsinbloquearalresto delosclientesdelmismohostypuedefacilitarlasuspensiónyrenovacióndelserviciocuando seanecesario. i) Losproveedoresdehostingdebenmantenersistemasyprácticasdeseguridadinterna.Todas lasmedidasrecomendadasanteriormentesoninútilessilosactoresmaliciosospueden adivinarlascontraseñasqueutilizaelpersonaldelproveedor.Losproveedoresdehosting debencumplirlosestándaresdecumplimientodePCI. Deteccióneidentificación: 1) Utilizaridentificadoresconfidencialesdelcliente:Lasempresasdebencrearunidentificador únicoparacadaclienteespecífico.Esteidentificadordebeserevidentesóloparalaempresade hostingyserincomprensibleparaterceros.Estomantienelaprivacidaddelaidentidaddel clientey,sinembargo,leotorgaalaempresadehostingunamanerasimpleyefectivapara identificaralosclientes. 2) Establecercuentasdepapelparalosdominiosdelared:Lascuentasdecorreoelectrónicode prácticacomúnyrolesdefinidosporRFCsedebenconfigurarparacadadominioydominiodel clientesuministradoenunared. 3) MantenerregistrosprecisosdeSWIPeIPWHOIS:Lasempresasdebenmanteneringresos clarosyprecisosensuRIRparalaasignacióndeespacioIP,eincluyenlassubasignaciones mayoresal1/27delosclientes.LaslistasWHOISdeberíanincluircuentasfuncionalespara informarsobreataques. 4) Configurarlatelemetríainternaqueinformaelestadodelared:Losejemplosson: a) Autoverificacióndelared; b) Análisisdeltráfico;y c) Verificacióndelfiltrodespamsaliente. 5) Facilitarelinformedeataques:Losproveedoresdehostingdebenproporcionarinstalaciones paraquelosmiembrosdelpúblicopuedanpresentarinformessobreelataquequeperciben desdedelaredencuestión.Losproveedoresdebenentoncesreconocerlapresentacióndeestos informesyactuarsegúncorresponda.Debenmantenercanalesdecomunicaciónredundantesque fundamentenlafalladeuncanaldado. a) Correoelectrónico; b) Teléfono; c) Mensajeríainstantánea(chat); d) Sistemasdeventasdeboletos; e) Informesdeestadodelsitio;y f) Participaciónenredessociales. OperaciónSafetyNet 83 6) Responderconrapidezlosreclamos:Laspresentacionesindividualesdebentenerunmensaje automáticodereconocimiento(AUTO-ACK)consuficienteespecificidadparaserdiscretosentre otraspresentacionesquelaorganizaciónquerellantehayahecho.Debenincluirladenuncia original,unnúmerodereclamooriginalycualquierotrainformaciónquelegaranticealusuario queelreclamohasidorecibidoyestásiendoanalizado. 7) Considerarladesignacióndeinformantesdeconfianza:Quienespresentenunreclamose puedendefinircomodealtacalidadodealtaprioridad.Estasfuentespuedenserinternasy externas.Sedebepreverunservicioprioritariomanteniendonivelesdeprioridadespecificada. Porejemplo,esposibledesignarelcontactodeunaDNSBLampliamenteutilizadacomoun informanteadecuadodeprioridad,aunqueunreclamodespamdeesafuenteobviamentesería menossignificativoqueunacuestiónDDoSquesucedesimultáneamente. 8) Establecerbuclesderetroalimentación(FBL)einformesautomatizados:Elconsumodel registrodedatosporFBLparaFBLcolaboraenqueelproveedorevitelaslistasDNSBL,restrinja eldañodereputaciónypermitaqueelpersonaltrateenformaproactivaconlosclientes atacantesyatacados(afectados). 9) Implementarunamétricadecomparación:Establecermétricassistemáticasparaquelos proveedoresdehostinglasutilicenlespermiteaestosyalasagenciasdeordenpúblico identificarcasosdeataqueycomparareficazmentelosdatosentodalaindustria.lxxiv Corrección: Lasprioridadesdecorrecciónproporcionanalasempresasdehostingyalosclientesconlaspautas pararesolverproblemas.Lasrecomendacionesacercadelaprioridaddelosreclamostambiéndeben considerarlagravedadylaseriedaddelataqueyelalcancedeunacuestióndeterminada.Además,se debentenerencuentalafuentedelinformeylagravedaddelosdañosalareputacióndelaempresa dehostingydelcliente.Unacampañadespammasivopuedeserdemayorprioridadquelapresencia deunbotnetlatente.Debehaberunaevaluacióncasoporcasodecuestionesquepuedanalterarel niveldeprioridaddeundeterminadoproveedorocliente. Responderrápidamentealascuestionesdealtacalidad/altaprioridad: Lamayoríadelasdenunciasrecibidasdesdecualquierempresadehostingsólorequiereunacusede recibo.Sinembargo,enalgunoscasos,comoreclamosdealtoperfil,solicitudesdecierrey eliminacióndelalistanegra,seexigenunarespuestaadicional.Elclienteolaagenciainformantese debecontactarinicialmenteparacomunicarqueelreclamoseencuentraenanálisis.Sedeberealizar unsegundocontactounavezqueseresuelvelacuestión.Sóloenelcasodecuestionespersistenteso excepcionales,sedeberánrealizarlascomunicacionesqueseannecesarias. Comuníqueseproactivamentecuandoocurreneventosqueafectanalaindustriaoatodauna empresa. Encasodeunataqueounavulnerabilidadgravequepodríaponervariosclientesoungrupo específicodeclientesenpeligro,sedeberádesarrollarunplandecomunicacióninformarlesdel problemayproporcionarlesinstruccionesgeneralessobrecómoresolverlo.Silaviolaciónimplicóel accesoalainformacióndeidentificaciónpersonal,sedebesabercuálessonsusobligacionessegún losrequisitosregionalesonacionales,inclusoelalcancedelanotificaciónalaspersonasafectadasy elavisoalasautoridadespolicialescorrespondientes.Estascomunicacionessedebenenviaren tiempoyforma.Además,elpersonaldeberátomarconcienciadelacuestiónydisponerdelas instruccionesadecuadaspararesolverelasuntoencasodequeunclientenecesiteasistencia. OperaciónSafetyNet 84 Tratarconclientesdifíciles: 1) Confirmelavalidezdelreclamo. 2) Notifíquelealclientedeunataque.Infórmelealclientelasinstruccionesaprobadasquele ayudaránaresolverlacuestión. 3) Proporciónelealclientelostérminosylascondicionespertinentesycualquierregulación gubernamentalaplicablequepuedanhabersidoincumplidosyhabercausadolanotificacióndela violaciónolasuspensióndelservicio.Conestasacciones,elacuerdoconelclientepermanece intacto.Lanotificacióndelclienteprotegelaempresadehostingdeposiblesreclamosdelcliente odelterceroquerellantequepodríanprovocarlitigios. 4) Concédaletiempoalclienteparasolucionarelproblemao,siexisteunacuerdoenvigencia, permítalealproveedorsolucionarlo. 5) Confirmequeelreclamoseharesuelto. 6) Cierreelincidente.Siesnecesario,notifíquelealaparteinformantequeelproblemahasido resuelto.Suspendaelserviciodealosclientesquenorespondan. OperaciónSafetyNet 85 ACOSOENLÍNEA Nopasaundíasinrecibiruninformedelosmediosenlíneaytradicionalessobrealgúntipodeacoso enlínea.Apesardequevaríaentrelasmolestiasylasaccionesquesonenverdadgraves,quedaclaro quecomolosserviciosdeInternetestáncadavezmásdisponiblesanivelmundiallomismosucede conelproblemadelacosoenlínea.Elacosoenlíneapuedeincluirdesdelapublicaciónenlíneade mensajesofotosdigitalesperturbantesocrueles,amenazasenlínea,casosdebullyingocomentarios negativoshastaelacosomediantecorreoselectrónicos,sitiosweb,redessocialesymensajesdetexto. Cadagrupodeedadesvulnerablealacosoenlínea,queesunproblemacrecienteenlasescuelasen loscampusuniversitarioseinclusoenellugardetrabajo.Elacosoenlíneasehaconvertidoenun problemaporqueInternetofreceunanonimatoqueesatractivoaagresoresporqueesdifícilrastrear suintimidación.Lamentablemente,losrumores,lasamenazasylasfotossepuedendifundiren Internetmuyrápidamente. Sehanproducidointentosdeviabilidadpararegularlxxveinclusosancionarleyeslxxvi,lxxviipara combatiralgunosaspectosdelacuestión,peroengeneralsetratadeunazonaquees,todavía, omnipresenteyennecesidaddeexamenydesarrollodebuenasprácticas. Acontinuación,seproporcionaunalistadelasdiferentesformasdeacosoenlíneayseguidadeuna guíasimplesobrecómoevitarelacoso. Catfishing:Seconfiguraunperfilfalsoensitiosdecitasyredessocialesparaengañaraunaposible víctimaenunarelaciónenlíneamedianteunaestafaconsudinero. Acosoclasificado(Craigslist):Secreananunciosqueafirmanqueunapersonabuscasexodurouotro tipodecomportamientoatípicoconrespuestasconfiguradasparadirigirsealteléfonodelacasadela víctimaodireccióndecorreoelectrónico. Cyberbullying:Básicamenteesuncasodecyberstalking,peroseasociamásconniñosyadolescentes quesonacosadosenlíneaporotrosestudiantesatravésdesitiosweb,redessociales,tablerosde mensajes,correoelectrónicooaplicacionesdeteléfonosinteligentesomensajeríadetexto. Cyberstalking:Cuandoselehasolicitadoalacosadorenlíneaquesedetengaycontinúacontactando enlíneaenrepetidasoportunidadesalavíctima.Estopuedetomarmuchasformas:correo electrónico,sitioweb,mensajesocomentarios,tablerosdemensajes,mensajesdetextoenelteléfono móvil,comentariosymensajesmedianteenaplicacionesparateléfonosinteligentes,etc. Doxing:Averiguacióndeinformaciónpersonalidentificablesobreunindividuo;acontinuación,se publicarlainformaciónenlínea,condirección,númerodeteléfonoparticular,teléfonomóvil, direcciónynúmerodeteléfonolaborales,informaciónsobrefamiliares,etc.lxxviii Imitación:Cuandounusuariocreaperfilesocuentasconotronombre,fotoseinformaciónde identificación,yluegopublicacomosifueraesapersona.Estopuedeusarseparadesacreditarala víctima,oenalgunoscasoscomounprimerpasohaciaactividadesfraudulentasparabeneficio económico.Porejemplo,medianteelrobodefotoseinformacióndeunperfilderedessocialesyla creacióndeunonuevo,undelincuentepuedeentablaramistadconamigosyparientesdelavíctimay contactarlosmedianteunesquemade"viajerovarado"lxxixendondelapersonaqueafirmahaber viajadohaciaalgunaparteperohaperdidosubilletera.Losamigoscercanossonmáspropensosa caerenestatrampayenvíandineroporquecreenqueelperfilfalsificadoesreal. OperaciónSafetyNet 86 Mobbing:Cuandoungrupodeusuariosenlíneaapuntahaciaunoomásindividuosycomouna "banda"acosayacechaalasvíctimas,conlaesperanzadeexpulsarlosdeInternet,delaescuelaode sutrabajo.lxxx Outing:Revelar(odenunciar)elhechodequealguienseagay,lesbiana,transgéneroocompartir informaciónsobrefetiches,condicionesmédicas,etc.enlíneasinautorización. Robodeidentidadenlínea:Robarinformaciónpersonalyasumirlaidentidadovenderlainformación, paraobtenertarjetasdecréditouotrosinstrumentosfinancieros,enformafraudulenta,como préstamosohipotecas. Comentariosporvenganza:Publicarcomentariosfalsosoextremadamentecríticosensitioscomo ripofferport.com.Tambiénesposiblepublicarinformaciónpersonal,prejuiciossobreunapersonaen sitioscomothedirty.com. Pornografíadevenganza:Publicacióndefotosovideoscondesnudososemidesnudosensitiosweby enotrosforossinelconsentimientodelaparte.Comosucedeconotrosmétodosdeacosoenlínea,la mayoríadelosautoresintentanpermanecerenelanonimatoalrealizarlapornovenganzacreando perfilesfalsosocuentasdecorreoelectrónicogratuitasparapublicarsobresusvíctimas. Sexting:Intercambiodefotosovideoscondesnudososemidesnudosenlíneaatravésdeaplicaciones comoSnapchat,Instagram,VineositioswebcomoFacebook.Mientrasqueel"sexting"ensímismo noesacosoenlínea,sepuedeconvertirenacososilasfotosseenvíanadestinatariosquenolashan solicitadoosielreceptorasuvezlosredistribuye. SWATting:Hacerunallamadafalsaalapolicíaparainvocarunarespuestaarmada,generalmentepor elequipoSWATlxxxi.Estoavecespareceunaamenazafalsadebombaouninformefalsosobreuna tomaderehenes. Trolling:Losusuariosenlíneaquetratandeincitaralareacciónporpublicarcomentarios intencionalmentetangencialesoagresivamentegroseros.Estotambiénincluyetrollscontratados:por ejemplo,personasrelacionadasconcampañaspolíticaspuedenrecibirunpagoparainiciar discusionesopublicarpuntosdevistaridículosyextremossobresusoponentesparadesacreditarlos. Lasmejoresprácticasrecomendadaspararestringirelacosoenlínealxxxii: Restringir los lugares dónde publicar información personal:Sea consciente de quién puede accederainformacióndecontactoolainformaciónsobresusintereses,hábitosotrabajoparareducir laexposiciónalosagresores.Estopuederestringirelriesgodeconvertirseenvíctima;puederesultar másfácilidentificaralagresorsiseconvierteenvíctima. Evitarlaescalacióndelasituación:Responderconhostilidadprobablementeprovoqueaun agresor.Segúnlascircunstancias,considereignorarlacuestión.Amenudo,loscyberbulliesy agresoresprosperanenlareaccióndesusvíctimas.Siustedosuhijorecibenmensajeselectrónicos nodeseados,yaseanmensajesSMSocorreo electrónico,considerecambiarladirecciónelectrónica.Esposibledetenerelproblema.Sicontinúa recibiendomensajesenlacuentanueva,puedellevarsucasoaunaacciónlegal. Documentarelcyberbullying:Registrarcualquieractividadenlínea(correoselectrónicos,sitios web,mensajesenredessociales,etc.),incluyendolasfechasyhoras.Mantenerunaversión electrónicayunacopiaimpresa. OperaciónSafetyNet 87 Informarelacosocibernéticoalasautoridadescompetentes:Siustedosuhijoestásiendo acosadooamenazado,informedelaactividadalasautoridadeslocales.Lapolicíalocalonacionala menudoesunbuenpuntodepartida.Hayunadistinciónentrelibertaddeexpresiónylaagresión punible.Losfiscalesyfuncionariosencargadosdehacercumplirlaleypuedenayudaraclasificarlas implicacioneslegales.Tambiénpuedeserapropiadoinformaralosdirectivosdelaescuelaquienes puedendisponerdediferentespolíticasparaabordarlaactividadqueinvolucraalosestudiantes. Serpropietariodesupropiaparticipaciónenlínea:Cuandoseaposible,establezcala configuracióndeprivacidadyseguridadenlossitioswebasuniveldecomodidadparael intercambiodeinformación.Porejemplo,cambielaconfiguracióndesussitiosderedessocialespara limitarlavisibilidaddelosmensajesa"sóloamigos".Esaceptablelimitarelintercambiode información. Utilizar contraseñas seguras y preguntas de seguridad: No utilizar la misma contraseña en diferentes sitios. Si tiene problemas para recordar las contraseñas, utilice un gestor de contraseñas comoiPassword(Agilebits)yautenticaciónbifactorialsiemprequeseaposibleenlasredessocialesy cuentas de correo electrónico. Si publica información personal como su escuela y el nombre de soltera de su madre a los medios de comunicación social, utilice diferentes respuestas a preguntas que se le puede pedir a su institución financiera, para que las respuestas no se puedan determinar fácilmente. También, en lugar de utilizar la información real personal, considere elegir una frase absurdaquepuedarecordaryqueusaparaestascuestiones(porejemplo,nombredesolteradela madre:Batman). Másseguroparamí,másseguroparatodos:Loqueustedhaceenlíneapuedeafectaratodos:en casa,eneltrabajoytodoelmundo.Practicarbuenoshábitosenlíneabeneficiaalacomunidaddigital mundial. Educaralacomunidad:Haymuchosrecursosdisponiblesquepuedenayudaradesalentarelacoso cibernético.Provistosatravésdelasautoridadesgubernamentaleslxxxiii OperaciónSafetyNet 88 CONCLUSIÓN Enlosúltimosaños,elambientedelasamenazasenlíneaymóvileshacambiadodramáticamente,y apuntaaunagamamásampliadeindividuos,empresasyredes.Laaparicióndenuevastecnologías permiteataquesmássofisticadosquesedesarrollaránmedianteelaprovechamientode vulnerabilidadesdeunagamamásampliadeservicios,canalesyplataformas. Losmétodostradicionalesparaabordarlasamenazasenlínea,conantivirus,firewallsycampañasde educaciónsiguensiendounaparteimportantedeladefensa.Elmalwareylasbotnetsquesurgieron enlosúltimosañossehantransformadoparaevitarsudetecciónycorrección.Parahacerfrentea estasamenazasnuevasyemergentes,lacomunidadinternacionaldebedarunpasomásenel ecosistemadeInternety,demaneracolaborativa,desarrollarenfoquespolifacéticosymultilaterales paracombatirlas. Esteinformeproporcionalasmejoresprácticasrecomendadasparaquelosconsumidores,la industriaylosgobiernosabordenlasamenazasmóvilesyenlínea.Seincluyenrecomendacionespara quelosconsumidoresseanmásproactivosenlaproteccióndesuspropiosdispositivos;paraquelos proveedoresdeserviciosimplementenprácticasytecnologíasdeseguridadrecomendadasde inmediato;paraquelosgobiernosgaranticenentornosregulatoriosylegislativosmodernosvigentes ytrabajenconlasorganizacionesinternacionalesparalograresfuerzosdecolaboración. Estasrecomendacionessonunconjuntodeherramientasparamanejaramenazasmóviles,enlíneay devoz.Sinembargo,lasamenazasdescritasenesteinformesonsólounpanoramadelentornoactual delasamenazas.Dadoquelasactividadesenlíneacambian,elusodelainformáticamóvilaumenta,y losusuariosdeInternetylasempresascambiansusrespuestasydefensasalasamenazasexistentes, estasamenazassemodificanyadaptanparaatacarotrasvulnerabilidadesyperseguirnuevos objetivos. Laimplementacióndeestasrecomendacionestendráunenfoquemultilateralycoordinado.Conese fin,losautoresdeesteinformerecomendamosalaOCDEyotrasorganizacionesinternacionales unirsealM3AAWGyalLAPyparticiparconlasorganizacionesquegobiernanyadministranlas infraestructurasdeInternet.Además,parahacerlefrentedelentornocambiantedelasamenazas,las organizacionesinteresadasdeberíancolaborarmásproactivamenteenlasupervisióndeamenazasy laimplementacióndenuevasmedidascomoseanecesario. OperaciónSafetyNet 89 GLOSARIO § Estafa del 419 LlamadaasíapartirdelCapítulo38,Sección419,delCódigoPenalnigerianoque abordaeltemadelfraude."Cualquierpersonaquemedianteunpretextofalso,yconintenciónde defraudar,obtengadeotrapersonacualquiercosapasibledeserrobado,oinduzcaaotrapersonaa entregar a un tercero cualquier cosa pasible de ser robado, es culpable de delito y será castigado conprisióndetresaños".Estasfueronlosfamososcorreoselectrónicosoesquemasdepagopor adelantadodelpríncipenigerianoenlosquesesolicitagastardineroacambiodeobtenerriquezas incalculablesafinaldelrégimen. § Fraude por pago adelantado: Se trata de correos electrónicos que ofrecen un pago adelantado, por ejemplo un sobrepago, por servicios ofrecidos. En la forma más frecuente, se solicita que el sobrepago se realice a un tercero. Después de que el tercero liquida el pago, se descubre que el pagooriginalesfalsoyseretiradelestadodecuentadelbancodelavíctima. § Protocolo de puerta de enlace de borde (BGP): Es el protocolo que toma decisiones sobre enrutamiento central en Internet. Mantiene una tabla de "prefijos" o redes IP que designan la capacidaddealcancedelaredentresistemasautónomos.1 § Memoria caché: Almacenamiento de información utilizada recientemente en un lugar donde se puedeaccedermuyrápidamente.Porejemplo,unnavegadorwebutilizaunamemoriacachépara almacenarinformaciónsobrepáginaswebrecientementevisitadaseneldiscorígido.Dadoqueel accesoaldiscorígidodelequipoesmuchomásrápidoqueelaccesoaInternet,elalmacenamiento enlamemoriacachédepáginaswebpuedeacelerarsignificativamentelanavegaciónweb.2 § Denegación de servicio distribuido (DDoS): Es un tipo de ataque cibernético que apunta a avasallarointerrumpirdemaneraalgunalacapacidaddelsistemablancopararecibirinformación einteractuarconotrossistemas.Porejemplo,elenvíodeunoounenormenúmerodemensajesno deseadosparaevitarqueunservidorounaredfuncionacorrectamente. § Descargaoculta:SetratadeladescargainvoluntariadesoftwaredesdeInternet.Unusuariopuede autorizarunadescargasinentenderlasconsecuencias,porejemplounprogramaejecutablefalso,o ladescargapuedeocurrirsinconocimientoalgunodelusuario.3 § Proveedores de servicios de correo electrónico (ESP): Esunaempresaqueofreceserviciosde correoelectrónicoaotrasempresas.Estosserviciospuedenincluirlarecolecciónyarmadodelistas de direcciones de correo electrónico, el envío de correo masivo a las direcciones de la lista, la eliminacióndedireccionesquerebotanloscorreosyelmanejodereclamoseinformesdeataques causadosporcorreoselectrónicosmasivos. § Firewall: Esundispositivodehardwareosoftwareinstaladoenunequipoquecontrolaelacceso entre una red privada y una red pública, como Internet. Un firewall está diseñado para proporcionarprotecciónmedianteelbloqueodelaccesonoautorizadoalequipooalared. § Sistema global para comunicación móvil (GSM): Es un conjunto estándar desarrollado por el Instituto Europeo de Estándares de Telecomunicaciones (ETSI) para describir los protocolos de segundageneración(2G)pararedesmóvilesydigitalesutilizadasporlosteléfonosmóviles.4 § Filtrado de ingresos: Es una técnica que se utiliza para garantizar que los paquetes entrantes pertenezcan en verdad a las redes que dicen pertenecer mediante el bloqueo de paquetes que provienendedireccionesdeIPfalsas.5 OperaciónSafetyNet 90 § CorporaciónparalaasignacióndenúmerosynombresenInternet(ICANN):Eselorganismo quecoordinaelSistemadeNombresdeDominio(DNS),laasignacióndeespaciodedireccionesIP (Protocolo de Internet), la asignación del protocolo de identificación, la gestión del Sistema de Nombres de Dominio genéricos (gTLD) y de nivel superior con código de país (ccTLD) y las funcionesdegestióndelsistemadeservidorraíz.6 § Muladedinero:Sellamaasíaunapersonaquetransfieredinerorobadoomercancíasdeunpaísa otro,yaseaenpersona,atravésdeunserviciodemensajeríaopormedioselectrónicos.Lasmulas dedineroenlíneageneralmenteexistencomoresultadodeestafasporphishingomalware7 § Nodo: Enlacomunicacióndedatos,unnododeredfísicapuedeserunequipodeterminaciónde circuito de datos (DCE), por ejemplo un módem, un núcleo, un puente o un conmutador; o un equipo terminal de datos (DTE), como un teléfono digital, una impresora o un equipo host, por ejemplounenrutador,unaestacióndetrabajoounservidor. § JavaScript:Esunlenguajedecódigodeescrituraquepermitealosautoresdiseñardepáginasweb interactivas. § Phishing: Es el intento de obtener información personal para robar una identidad u otra información confidencial, como números de tarjeta de crédito o datos bancarios con fines fraudulentos. Por ejemplo, un mensaje de correo electrónico que parece ser del banco del destinatario le solicita que visite un sitio web para confirmar los detalles de la cuenta, pero en cambiolodirigeaunsitiowebfalsodondeserecopilalainformaciónpersonal. § SMShingophishingmedianteSMSomensajedetexto:Seenvíaunenlacequeconduceaunsitio webfalsovíaSMS,oelmensajelesolicitaaldestinatarioquellameaunnúmerodeteléfonodonde continuaráelataquedeingenieríasocial. § Spoofing:Esfingirserotrapersonauorganizaciónyhacerqueunmensajedecorreoelectrónicoo unallamadatelefónicaoriginadaenunlugarquedistadesuorigenlegítimoparezcareal. § DominiosdeAltoNivel(TLD):LosTDLsonelmásaltonivelenlajerarquíadelSistemade NombresdeDominiodeInternetyrepresentalaúltimaporcióndelnombrededominio.Por ejemplo,enelnombrededominiowww.example.com,eldominiodealtoniveles.com.La responsabilidaddegestionardominiosdemásaltonivelesdelegadaaciertosorganismospor laCorporaciónparalaAsignacióndeNombresyNúmerosenInternet(ICANN),quemaneja laAutoridaddeNúmerosAsignadosenInternet(IANA),ytieneacargoelmantenimientodelazona raízdelDNS. § Typosquatters: SonerrorestipográficosquecometenlosusuariosdeInternetcuandoescribenla direccióndeunsitiowebenunnavegadorweb.Encasodequeunusuarioaccidentalmenteingrese unadirecciónwebincorrecta,puedeconduciraunsitiowebalternativodeuncybersquatter.Una vezenelsitiodeltyposquatter,elusuariopuedetambiénserengañadopensandoquesondehecho enelsitiorealmedianteelusodecopiadoosimilareslogotipos,diseñoswebocontenido.8 § VoIP:EselenrutamientodeconversacionesdevozporInternet.Difieredeunallamadatelefónica, que se hace desde el teléfono del hogar o la oficina que pasa a través de la red telefónica pública conmutada. § Vishing o phishing mediante voz sobre IP: Se realiza una llamada al destinatario, utilizando a menudo una capacidad común de VoIP para establecer un identificador falso de llamadas, se le solicita a la persona que llama a visitar un sitio web o a llamar a un número de teléfono donde OperaciónSafetyNet 91 continuará el ataque mediante ingeniería social. Varios esquemas comunes incluyen un "soporte técnico de Microsoft", cuestiones de impuestos atrasados o "usted será arrestado si no paga una multa". § Inyecciones web: Es un tipo de ataque a la seguridad en el que el atacante añade código a un cuadrodeformulariowebparaaccederarecursosorealizarcambiosenlosdatos.Loscuadrosde entrada se suelen utilizar para la autenticación de un usuario; sin embargo, la mayoría de los formularios web no tienen mecanismos que bloqueen la entrada de distintos nombres y contraseñas.Sinosetomanprecauciones,unatacantepuedeutilizarloscuadrosdeentradapara enviarsusolicitudalabasededatos,quepodríapermitirledescargarlabasededatosointeractuar otramanerailícita.9 REFERENCIAS ● 1.http://en.wikipedia.org/wiki/Border_Gateway_Protocol ● 2.http://www.techterms.com/definition/cache ● 3.http://en.wikipedia.org/wiki/Drive-by_download ● 4.http://en.wikipedia.org/wiki/GSM ● 5.http://www.expertglossary.com/security/definition/ingress-filtering ● 6.http://www.icann.org/en/about/welcome ● 7.http://en.wikipedia.org/wiki/Money_mule ● 8.http://en.wikipedia.org/wiki/Typosquatters ● 9.http://searchsoftwarequality.techtarget.com/definition/SQL-injection OperaciónSafetyNet 92 iDCWG,http://www.dcwg.org/ ii GrupodeTrabajoparaConficker,http://www.confickerworkinggroup.org/ iiiWinFixer,Wikipedia,http://en.wikipedia.org/wiki/WinFixer ivSymantec,2015InternetSecurityThreatReport,Volume20, http://www.symantec.com/security_response/publications/threatreport.jsp vMcAfee,McAfeeLabs2014ThreatsPredictions,http://www.mcafee.com/ca/resources/reports/rp-threats-predictions- 2014.pdf viMicrosoft,DownloadCenter,http://www.microsoft.com/en-us/download/details.aspx?id=44937 viiSecunia, http://secunia.com/vulnerability_scanning/personal/ viiiPCMag,“TheBestPasswordManagersfor2015”,http://www.pcmag.com/article2/0,2817,2407168,00.asp;PCMag,“You Can’tRememberGoodPasswords,SoYouNeedaPasswordManager”, http://securitywatch.pcmag.com/security-software/332153-you-can-t-remember-good-passwords-so-you-need-apassword-manager ixPCMag,“TheBestFreeAntivirusfor2015”,http://www.pcmag.com/article2/0,2817,2388652,00.asp xInternetEngineeringTaskForce(IETF),“RecommendationsfortheRemediationofBotsinISPNetworks”, http://tools.ietf.org/html/rfc6561 xiAquilina,James,EoghanCaseyyCameronMalin,MalwareForensics:InvestigatingandAnalyzingMaliciousCode,Elsevier, Inc.,2008. xiiSafeCode,http://www.safecode.org xiiiM3AAWG,“ABCsforISPs”,https://www.m3aawg.org/abcs-for-ISP-code xivNationalSecurityAgency,SecurityConfigurationGuides, http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml xvNationalVulnerabilityDatabase,“NationalChecklistProgramRepository”,http://web.nvd.nist.gov/view/ncp/repository xviVerizon,2014DataBreachInvestigationsReport,http://www.verizonenterprise.com/DBIR/2014/ xviiIbid. xviiiAPWG,“APWGPhishingAttackTrendsReports”,https://apwg.org/resources/apwg-reports/ xixAPWG,“APWGGlobalPhishingSurvey1H2014:TrendsandDomainNameUse”, http://docs.apwg.org/reports/APWG_Global_Phishing_Report_1H_2014.pdf xxRSA,“2014CybercrimeRoundup”,www.emc.com/collateral/fraud-report/h13929-rsa-fraud-report-jan-2015.pdf xxiCenterforStrategicandInternationalStudies,“2014McAfeeReportontheGlobalCostofCybercrime”, http://csis.org/event/2014-mcafee-report-global-cost-cybercrime xxiiO’Connor,Fred,PCWorld,“MonetisingMedicalDataisBecomingtheNextRevenueStreamforHackers”,March21,2015 xxiiiITGovernance,“123MillionHealthCareRecordsBreachedsofarthisYear”,March26,2015, http://www.itgovernanceusa.com/blog/123-million-health-care-records-breached-so-far-this-year/ xxivSenderPolicyFramework,“ProjectOverview”,http://www.openspf.org/ xxvDKIM.org,http://dkim.org/ xxviICANN,http://www.icann.org/ xxviiDMARC,http://dmarc.org xxviiiEnlamayoríadelospaísesdeoccidente,lasinstitucionesfinancieraslesreembolsaráalosconsumidoreslaspérdidas porfraudegeneradasmediantelainstituciónfinanciera. xxixMcAfee,“McAfeeLabsReportHighlightsSuccessofPhishingAttackswith80%ofBusinessUsersUnabletoDetect Scams”,September4,2014,http://www.mcafee.com/us/about/news/2014/q3/20140904-01.aspx xxxSANS,“BuildinganEffectivePhishingProgram”, http://www.securingthehuman.org/media/resources/presentations/STH-Presentation-PhishingYourEmployees.pdf xxxiStop.Think.Connect.,“Resources”,www.stopthinkconnect.org/resources/ xxxiiStaySafeOnline.org,“NationalCyberSecurityAwarenessMonth”,https://www.staysafeonline.org/ncsam/ xxxiiiAPWG,“HowtoRedirectaPhishingSiteWebPagetotheAPWG.ORGPhishingEducationPage”, http://phish-education.apwg.org/r/how_to.html xxxivGrupodeTrabajoAnti-Phishing(APWG,eninglés),www.apwg.org xxxvGrupodeTrabajoAnti-AbusodeMensajes,MalwareyMóvil,www.m3aawg.org xxxviAlianzadeConfianzaenLínea,otalliance.org xxxviiConsejodeRiegodelComerciante,merchantriskcouncil.org xxxviiiForodelosEquiposdeRespuestaaIncidentesySeguridad,first.org xxxixFBI,“DNSChangerMalware”November9,2011, http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf OperaciónSafetyNet 93 xlRFCEditor,"NetworkIngressFiltering:DefeatingDenialofServiceAttackswhichemployIPSourceAddressSpoofing", May2000,http://www.rfc-editor.org/info/bcp38 xliRFCEditor,“IngressFilteringforMultihomedNetworks”,March2004,http://www.rfc-editor.org/info/bcp84 xlihttps://www.arin.net/policy/nrpm.html xliiRFCEditor,“IngressFilteringforMultihomedNetworks”,March2004,http://www.rfc-editor.org/info/bcp84 xliiihttps://www.arin.net/policy/nrpm.html xlivCounterpoint,“MarketMonitor:HandsetandSpartphoneMarketsQ42014”,January29,2015, http://www.counterpointresearch.com/marketmonitor2014q4 xlvTheRealtimeReport,“MobileComemerce:OnlineRetailSalesfromMobileDevicesDoubleinLastYear”,May3,2012, http://therealtimereport.com/2012/05/03/mobile-commerce-online-retail-sales-from-mobile-devices-double-in-lastyear/ xlviCorra,“MobileShoppingTrendsbyDevice”,February3,2015,http://corra.com/mobile-ecommerce-trends-2015 xlviiGSMAIntelligence,“GlobalData”,https://gsmaintelligence.com/ xlviiiWorldometers,“CurrentWorldPopulation”,http://www.worldometers.info/world-population/ xlixIDC,Llamas,Ramon,AnthonyScarsella,WilliamStofega,“WorldwideMobilePhone2015-2019ForecastandAnalysis”, April2015,http://www.idc.com/getdoc.jsp?containerId=prUS23455612(subscriptionrequired) lSymantec,“InternetSecurityThreatReport”,April2015,Volume20, https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-202015-social_v2.pdf liIbid. liiAdaptiveMobile,“Selfmite:AttackUsingSMSWormtoIncreasePay-Per-InstallIncome”,June25,2014, http://www.adaptivemobile.com/blog/selfmite-worm liiiAustralia,Bulgaria,Belgium,France,Germany,Ghana,Greece,Ireland,Kenya,Netherlands,USA,SouthAfrica,Spain, Sweden,Switzerland livLookout,“2014MobileThreatReport,” https://www.lookout.com/static/ee_images/Consumer_Threat_Report_Final_ENGLISH_1.14.pdf lvBibat,Aerol,“GGTrackerMalwareHidesasAndroidMarket”,AndroidAuthority,June21,2011 http://www.androidauthority.com/ggtracker-malware-hides-as-android-market-17281/ lviICT,“Statistics”, http://www.itu.int/en/ITU-D/Statistics/Pages/stat/default.aspx ICT,“ICTFactsandFigures,TheWorldin2014”, http://www.itu.int/en/ITU-D/Statistics/Documents/facts/ICTFactsFigures2014-e.pdf;http://www.itu.int/en/ITUD/Statistics/Documents/facts/ICTFactsFigures2013-e.pdf lviiCompareforexample:47U.S.C.§227(b)(1)(A)(iii)with47U.S.C.§227(b)(1)(B)and47U.S.C.§227(b)(2)(B). lviiiFCC,“‘OneRing’PhoneScam,”availableathttp://www.fcc.gov/guides/one-ring-wireless-phone-scam. lixCAPTCHAstandsfor"CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart" lxSeefore.g.,T-LockCallBlocker–VersionN2,http://hqtelecom.com/callblocker?gclid=CMmt_raT6cECFc1_MgodhnEAWg; CPRCallBlockerProductPage,http://www.cprcallblocker.com/purchase.html;DigitoneCallBlockerPlus, http://www.digitone.com;andSentryDualModeCallBlocker, http://www.plugnblock.com/?gclid=CJmKkbaT6cECFSFgMgodJRIAGA;PrivacyCorpCallerIDManager, http://www.privacycorps.com/products/. lxiWeisbaum,Herb,“Wanttogetridofthose$#%@robocalls?There'sanappforthat,” http://www.cnbc.com/id/101758815#. lxiiAllianceforTelecommunicationsIndustrySolutions,“NextGenerationInterconnectionInteroperabilityForum(NGIIF) AutoDialersReferenceDocument,”https://www.atis.org/docstore/product.aspx?id=26137 lxiiiPreparedStatementofTheFederalTradeCommissionBeforetheUnitedStatesSenateCommitteeonCommerce,Science andTransportation,SubcommitteeonConsumerProtection,ProductSafety,andInsuranceon‘StoppingFraudulent RobocallScams:CanMoreBeDone?’,Washington,DC,July10,2013(“SenateHearing”), http://www.commerce.senate.gov/public/index.cfm?p=Hearings&ContentRecord_id=c1eec086-3512-4182-ae63d60e68f4a532&ContentType_id=14f995b9-dfa5-407a-9d35-56cc7152a7ed&Group_id=b06c39af-e033-4cba-9221de668ca1978a&MonthDisplay=7&YearDisplay=2013 lxivTruthinCallerIDAct,47U.S.C.§227(e);cf.16C.F.R.Part310.4(a)(8). lxvFederalTradeCommission,“RobocallsGoneWrong”,https://www.consumer.ftc.gov/media/video-0027-robocalls-gonewrong lxviTheEconomist,“TheCheap,ConvenientCloud,”April18,2015,http://www.economist.com/news/business/21648685cloud-computing-prices-keep-falling-whole-it-business-will-change-cheapconvenient?fsrc=scn/tw/te/pe/ed/thecheapconvenientcloud lxviiM3AAWG,“M3AAWGSenderBestCommonPractices,Version3,UpdatedFebruary2015,” https://www.m3aawg.org/sites/maawg/files/news/M3AAWG_Senders_BCP_Ver3-2015-02.pdf OperaciónSafetyNet 94 lxviiihttp://w3techs.com/technologies/history_overview/content_management/all/y lxixhttps://wpvulndb.com/statistics lxxhttp://w3techs.com/technologies/details/cm-wordpress/all/all lxxihttp://www.emersonnetworkpower.com/documentation/en- us/brands/liebert/documents/white%20papers/2013_emerson_data_center_cost_downtime_sl-24680.pdfPage13 lxxiihttp://www.stateoftheinternet.com/resources-web-security-2014-q4-internet-security-report.html lxxiiihttp://www.emersonnetworkpower.com/documentation/enus/brands/liebert/documents/white%20papers/2013_emerson_data_center_cost_downtime_sl-24680.pdfPage14 lxxivNoroozian,A.etal.,“DevelopingSecurityReputationMetricsforHostingProviders, http://www.tudelft.nl/fileadmin/Faculteit/TBM/Onderzoek/Publicaties/hosting-metrics.pdf lxxvTwitterbossvowstocrackdownontrollsandabuse: http://www.theguardian.com/technology/2015/feb/26/twitter-costs-dealing-abuse-harassing-dick-costolo lxxviSuicideofRehtaehParsons: https://en.wikipedia.org/wiki/Suicide_of_Rehtaeh_Parsons lxxviiGranby,Quebec,Canadamovestofinepeopleinsultingpoliceonsocialmedia: http://www.cbc.ca/news/canada/montreal/granby-moves-to-fine-people-insulting-police-on-social-media-1.3045816 lxxviii4chanBulliesFitnessGuruScoobyOffYouTubeWithDoxxingandThreats: http://newmediarockstars.com/2013/07/4chan-bullies-fitness-guru-scooby-off-youtube-with-doxxing-and-threats-video/ lxxixHowIgotcaughtupina'strandedtraveller'phishingscam: http://www.theguardian.com/money/2013/nov/13/stranded-traveller-phishing-scam lxxxHowOneStupidTweetBlewUpJustineSacco’sLife: http://www.nytimes.com/2015/02/15/magazine/how-one-stupid-tweet-ruined-justine-saccos-life.html?_r=0 lxxxiTheWorldHasNoRoomForCowards: http://krebsonsecurity.com/2013/03/the-world-has-no-room-for-cowards/ lxxxiiStaySafeOnline,https://www.staysafeonline.org/stay-safe-online/for-parents/cyberbullying-and-harassment lxxxiiiFromtheUSFTC,https://www.consumer.ftc.gov/articles/0028-cyberbullying; Nigeria,http://www.mamalette.com/parenting-3/cyber-bullying-nigerian-parents-need-know/; ACMA,http://www.cybersmart.gov.au/Schools/Cyber%20issues/Cyberbullying.aspx; RCMP,http://www.rcmp-grc.gc.ca/cycp-cpcj/bull-inti/index-eng.htm; SouthAfricanPoliceService,http://www.saps.gov.za/child_safety/teens/cyber_bullying.php; OperaciónSafetyNet 95 0 1 1 1 0 1 0 1 1 1 0 E V A L U A T E 0 1 0 0 0 1 0 1 0 0 1 1 0 R E S P O N D 1 0 1 0 0 0 1 0 0 1 1 1 0 1 0 0 1 0 D E V E L O P 1 0 0 1 1 0 1 1 1 1 1 0 D E T E C T 0 1 0 0 C O L L A B O R A T E 0 1 T E S T Steering Committee Gary Warner, Director of Research in Computer Forensics, Andre Leduc, Manager, National Anti-Spam Coordinating Body, Jayne Hitchcock, President, WOAH Industry Canada Jeff Williams, Dell SecureWorks Alyson Hawkins, Policy Analyst, Industry Canada Jessica Malekos Smith, Student, UC Davis School of Law Christina Adam, Policy Analyst, Industry Canada John Levine, President, CAUCE.org Jerry Upton, Executive Director, Messaging, Malware and Mobile Jonathan Curtis, Norse Corporation Anti-Abuse Working Group (M3AAWG) Lisa Foley, Policy Analyst, Industry Canada Neil Schwartzman, Executive Director, CAUCE.org Contributors Alex Bobotek, Lead, Mobile Messaging Anti-Abuse Strategy and Architecture, AT&T Amy Hindman, Principal Engineer, Verizon Betsy Broder, Counsel for International Consumer Protection, University of Alabama at Birmingham Jay Opperman, General Manager, CSP, Damballa Justin Lane, Anti-Abuse Manager, Endurance International Karen Mulberry, ISOC Lee Armet, Senior Investigator, TD Bank Group Mary Retka, Director, Network Policy, CenturyLink Matthew Bryant, Ofcom Matthew C Stith, Manager, Anti-abuse, Rackspace Hosting Michael Hammer, American Greetings Michael O’Reirdan, Comcast Fellow Federal Trade Commission Patrick Tarpey, Ofcom Bruce Matthews, Manager, Anti-spam Team, Australian Paul Vixie, CEO, Farsight Security Communications & Media Authority Carlo Catajan, iCloud Mail & iMessage Anti-Abuse, Apple Inc. Carlos Alvarez, Sr. Manager, Security Engagement, SSR Team, ICANN Chris Boyer, Assistant Vice President, Global Public Policy, AT&T Christian Dawson, President, ServInt and Chairman, i2Coalition David Jevans, Chairman, Anti-Phishing Working Group (APWG) Eric Freyssinet, Ministère de l’intérieur, France Foy Shiver, Deputy Secretary-General, APWG Francis Louis Tucci, Manager, Network Repair Bureau, Verizon Peter Merrigan, Government of New Zealand Phil Shih, Structure Research Richard Feller, Hedgehog Hosting Rod Rasmussen, President and CTO, Internet Identity (IID) Sanjay Mishra, Distinguished Member of Technical Staff, Verizon Sara Roper, Manager Information Security, CenturyLink Sid Harshavat, Symantec Steven Champeon, Enemieslist Terry Zink, Program Manager, Microsoft Wireless TR Shaw, SURBL Frank Ackermann, M3AAWG Public Policy Committee Co-chair Venkata Atluri, Associate Professor, Alabama A&M University Operación Safety Net 0 1 1 1 0 1 0 1 1 1 0 0 1 P R E V E N T 1 0 0 0 1 0 1 0 0 1 1 T R A C K 0 1 0 1 0 0 0 0 1 0 0 9 6 96 69 1 U P D A T E 1 1 0 0 1 1 0 0 1 1 0 R E P O R T 0 1 1 0 0 0 1 E D U C A T E 0 0 1 0 S H A 1 1 1 0 1 0 1 1 1 0 0 1 P R E V E N T 1 0 0 0 1 0 1 0 0 1 1 T R A C K 0 1 0 1 0 0 0 0 1 0 0 1 1 1 0 1 0 0 1 U P D A T E 1 1 0 0 1 1 0 0 1 1 0 R E P O R T 0 1 1 0 0 0 1 E D U C A T E 0 0 1 0 S H A R E 0 1 1 1 Participants Adam Panagia, Adria Richards, Alexander Falatovich, April Lorenzen, Autumn Tyr-Salvia, Bill Wilson, Bulent Egilmez, Chris Lewis, Dave Crocker, David Dewey, David Levitt, Donald McCarthy, Donald Smith, Dylan Sachs, Eric Chien, Franck Martin, Hein Dries-Ziekenheiner, Jacek Materna, Jack Johnson, Jared Mauch, Jean Marie Norman, John Cunningham, Julia Cornwell McKean, Kaio Rafael, Karmyn Lyons, Ken Simpson, Lucas Moura, Mark Collier, Matteo Lucchetti, Michael Shoukrey, Mustaque Ahamad, Nabeel Koya, Nitin Lachhani, Olivier Caleff, Patricia B. Hsue, Paul Ebersman, Peter Cassidy, Raymond Choo, Richard Clayton, Richard Gane, Rudy Brioche, Sid Harshavat, Steve Jones, Steven M. Wernikoff, Suresh Ramasubramanian, Toni Demetriou, Trent Adams, Will Clurman 97 1 1 1 0 1 0 1 1 1 0 E V A L U A T E 0 1 0 0 0 1 0 1 0 0 1 1 0 R E S P O N D 1 0 1 0 0 0 1 0 0 1 1 1 0 1 0 0 1 0 D E V E L O P 1 0 0 1 1 0 1 1 1 1 1 0 D E T E C T 0 1 0 0 C O L L A B O R A T E 0 1 T E S T 1