Sin clasificar

Organizacin de Cooperacin y Desarrollo Econmico

DSTI/ICCP/REG(2007)5/FINAL
28-Abril-2008 Espaol - Or. Ingls

DIRECCIN PARA LA CIENCIA, LA TECNOLOGA Y LA INDUSTRIA

COMIT DE POLTICA DE LA INFORMACIN, INFORMTICA Y COMUNICACIONES

DSTI/ICCP/REG(2007)5/FINAL Sin clasificar

Espaol Or. Ingls

Grupo de Trabajo de Seguridad de la Informacin y Proteccin de la Privacidad

SOFTWARE MALICIOSO (MALWARE) UNA AMENAZA DE SEGURIDAD PARA LA ECONOMA DE INTERNET

JT03244862
El documento completo est disponible en OLIS en el formato original

DSTI/ICCP/REG(2007)5/FINAL

PREFACIO Dirigido principalmente a legisladores, este informe fue elaborado en 2007 por el Grupo de Trabajo de Seguridad de la Informacin y Proteccin de la Privacidad (WPISP) en colaboracin con el Grupo de Trabajo de Telecomunicaciones e Informacin del Foro de Cooperacin Econmica Asia-Pacfico (APEC TEL) y el Equipo de Direccin de Seguridad y Prosperidad (SPSG). El 6 de marzo de 2008, el informe fue desclasificado por el Comit de Poltica de la Informacin, Informtica y Comunicaciones (ICCP). El informe se public bajo la responsabilidad del Secretario General de la OCDE. Para la elaboracin de este informe, Audrey Plonk y Anne Carblanc, miembros de la Secretara de la OCDE, han dispuesto de la ayuda de un grupo de expertos cuya contribucin ha sido de gran utilidad. Este grupo estaba formado por Graham Ingram y Kathryn Kerr (AusCERT), Colin Whittaker (APACS, UK Trade Association), Gilles Andr y Fabian Pouget (CERTA Francia), Kevin Houle y Jeffrey J. Carpenter (CERT/CC), Erka Koivunen y Kauto Huopio (CERT-FI Finlandia), Pei-Wen Liu (China Taipei), HyunCheol Jeong y Jinhyun Cho (KrCERT/CC Corea), David Pollington, JeanChristophe Le Toquin y Uwe Manuel Rasmussen (Microsoft), Christophe Birkeland (NORCERT Noruega), Bill Woodcock (Packet Clearing House) y Jeremy Ward (Symantec Corporation). La Secretara tambin se benefici de la ayuda de delegados de la OCDE y del APEC, entre ellos Keith Besgrove y Sabeena Oberoi (Australia), Shamsul Jafni Shafie (Malasia), Jean-Jacques Sahel y Geoff Smith (Reino Unido) y Jordana Siegel y Joshua Goldfarb (Estados Unidos). Se reconoce gratamente la contribucin especial del gobierno holands para los trabajos sobre la economa del malware. Las diferentes fases del informe fueron revisadas por un amplio grupo de voluntarios de la OCDE y delegados del APEC de Austria, Canad, China, China CERT, China Taipei, Finlandia, Francia, Japn, JPCERT/CC, Malasia, Noruega, Reino Unido, Estados Unidos y el Comit Consultivo Empresarial e Industrial de la OCDE (BIAC).

OECD / OCDE 2008.

DSTI/ICCP/REG(2007)5/FINAL

NDICE

PREFACIO IDEAS PRINCIPALES CONTEXTO Objetivos comunes de la OCDE y del APEC DEFINICIN DE MALWARE Qu es el malware? Cmo funciona el malware? Para qu se utiliza el malware? Tendencias de los ataques de malware Origen de los ataques de malware El MALWARE EN INTERNET: LAS BOTNETS Qu es una botnet? Para qu se utilizan las botnets? Modelos de Comando y Control (C&C) de Botnets Cifras sobre las botnets Las botnets y la banda ancha El spam y las botnets El papel de las listas negras en la lucha contra las botnets LA ECONOMA DEL MALWARE Los agentes maliciosos El modelo de negocio del malware POR QU DEBERAMOS CONCIENCIARNOS SOBRE EL MALWARE? Factores favorables para el malware Consecuencias del malware Desafos para combatir el malware CMO ACTUAR CONTRA EL MALWARE? El papel de particulares, empresas y gobiernos Puntos clave Incentivos y desincentivos Puntos clave Qu medidas se estn tomando? Puntos clave Posibles acciones futuras CONCLUSIN ANEXO A DATOS SOBRE EL MALWARE Descripcin general Datos proporcionados por los CSIRT Datos de vendedores de software y antivirus Observaciones sobre los datos

2 6 8 8 10 10 11 14 19 20 22 22 23 24 25 26 27 28 30 30 32 36 36 38 43 46 46 47 50 51 54 55 55 55 62 66

DSTI/ICCP/REG(2007)5/FINAL

ANEXO B INFORMACIN ADICIONAL SOBRE LOS TIPOS DE ATAQUES DE MALWARE 67 Ataques contra el DNS 67 Ataques que utilizan el DNS 67 Ataques que modifican datos 68 Ataques contra la identidad 69 Ataques contra la autentificacin uni y multifactorial 70 Ataques contra certificados digitales y capas de conexin segura (SSL) 71 ANEXO C INSTRUMENTOS DE MUESTRA, ESTRUCTURAS E INICIATIVAS PARA COMBATIR EL MALWARE 73 Concienciacin 73 76 Convenios Deteccin y respuesta 76 79 Cumpliento normativo Legislacin 81 Estructuras pblicas y privadas 82 Normas y directrices 84 Soluciones y recursos tcnicos 86 ANEXO D EJEMPLOS DE VECTORES DE PROPAGACIN DEL MALWARE 89 ANEXO E GLOSARIO DE TRMINOS 90 Tipos de malware 90 Ms informacin de utilidad sobre trminos de seguridad 91 ANEXO F REAS DE MEJORA Y MAYOR INVESTIGACIN 95 Concienciacin 95 Mejorar los marcos legales 95 Intensificar el cumplimiento normativo 96 Mejorar la respuesta 97 Medicin del malware 97 Medidas para tratar las vulnerabilidades del software 97 98 Medidas tcnicas Investigacin y desarrollo 98 Normas, directrices y buenas prcticas 99 Intercambio de informacin y necesidad general de coordinacin y cooperacin transfronterizas 99 Aspectos econmicos 99 BIBLIOGRAFA 100

DSTI/ICCP/REG(2007)5/FINAL Cuadros

Breve historia del malware 10 El malware en dispositivos mviles 14 El caso de Estonia 16 Un ejemplo de ransom: el Arhiveus 17 El caso de Michael y Ruth Haephrati 17 El caso de la botnet holandesa 26 FTC contra Dugger 28 Resumen de los datos de muestra sobre malware 66 Un anlisis ms detallado del DNS 68 El ataque del token bifactorial 71 Un anlisis ms detallado de los certificados digitales y las capas de conexin segura (SSL) 72

DSTI/ICCP/REG(2007)5/FINAL

IDEAS PRINCIPALES
Es necesaria una estrategia para la unin global contra el malware y evitar que, en los prximos aos, se convierta en una grave amenaza para la economa de Internet y la seguridad nacional. Hoy en da, las comunidades involucradas en la lucha contra el malware ofrecen fundamentalmente una respuesta local fragmentada ante esta amenaza global.
El software malicioso, conocido como malware, es un programa que se instala en un sistema de informacin causando daos en se u otros sistemas o utilizndolos para usos diferentes de los previstos por sus propietarios. En los ltimos 20 aos, el malware ha evolucionado de los ocasionales exploits a una industria delictiva que factura miles de millones de dlares. El malware afecta a todos los sectores. Es una creciente preocupacin que comparten gobiernos, empresas e individuos de los pases miembros de la OCDE y de las economas del APEC. Puesto que los gobiernos confan cada vez ms en Internet como un medio para prestar servicio a los ciudadanos, se enfrentan a complejos retos para asegurar sistemas y redes de informacin, debido al ataque o penetracin de agentes maliciosos. Los ciudadanos exigen a los gobiernos que acten y protejan a los consumidores de las amenazas electrnicas, como, por ejemplo, el robo de identidad. En los ltimos aos, se ha producido un auge en el uso del malware para atacar sistemas de informacin con el objetivo de recopilar informacin, robar dinero e identidades, o incluso negar el acceso a recursos electrnicos fundamentales. De forma significativa, el malware tambin tiene la capacidad de perturbar el funcionamiento de grandes sistemas de informacin, modificando de forma casi imperceptible la integridad de los datos y atacando los sistemas de informacin que controlan y/o utilizan importantes sistemas de la infraestructura crtica. Este informe, elaborado con la colaboracin de expertos, pretende informar a los legisladores sobre las consecuencias, crecimiento y evolucin del malware y las medidas necesarias para combatirlo. Su objetivo es analizar algunos de los puntos clave relacionados con el malware y decidir qu debe hacer la comunidad internacional para unirse y abordar el problema. Entre los puntos ms importantes se encuentran: El spam ha pasado de ser una simple molestia a un medio de fraude y una forma para distribuir malware. El malware, en forma de botnets, se ha convertido en una parte esencial de un sistema autosuficiente de ciberataques. El uso del malware se ha vuelto ms sofisticado y selectivo. Los ataques son menores e intentan permanecer por debajo del radar de las comunidades de seguridad y del orden pblico. La efectividad de las actuales tecnologas de seguridad y otras protecciones para detectar y contener el malware est amenazada por la reduccin del tiempo entre el descubrimiento de las vulnerabilidades de los productos software y su explotacin. El comportamiento de los actores del mercado que se enfrentan al malware (ya sean proveedores de servicios de Internet, empresas de comercio electrnico, registradores, vendedores de software o usuarios finales) est influenciado por diversos incentivos con el objetivo de fomentar o reducir la seguridad. Existen varios casos en los que los costes del malware son exteriorizados por actores, en la primera fase de la cadena de valor, a otros actores de la cadena. Una amplia gama de comunidades y actores (desde legisladores hasta proveedores de servicios de Internet o usuarios finales) desempean un papel clave en la lucha contra el malware. Sin embargo, el conocimiento, entendimiento, organizacin y definicin de los papeles y responsabilidades de esta gran comunidad de actores es an limitado.

DSTI/ICCP/REG(2007)5/FINAL La respuesta y solucin actuales son principalmente reactivas. Es necesaria una coordinacin ms estructurada y estratgica a nivel nacional e internacional, en la que participen todos los actores implicados, para evaluar los riesgos de forma ms adecuada y mitigar el peligro del malware. Ninguna entidad posee un entendimiento global del alcance, tendencias, desarrollo y consecuencias del malware y, por lo tanto, el problema del malware, en general, resulta difcil de cuantificar. Los datos sobreel malware no son consistentes y la terminologa para catalogar y medir su incidencia no es unnime. Aunque el impacto econmico y social pueden ser difciles de cuantificar, ya que el uso directo o indirecto del malware puede daar infraestructuras crticas de informacin, provocar prdidas econmicas y desempear un papel erosivo en la confianza hacia la economa de Internet.

Es importante que los legisladores hagan frente a las limitaciones de las acciones actuales contra el malware e investiguen ms en profundidad sobre cmo combatir este fenmeno y ayudar a todas las comunidades implicadas a trabajar satisfactoriamente de forma conjunta y transfronteriza. Este informe define diversas reas en las que se han llevado a cabo mejoras, incluyendo la concienciacin, marcos legales, el cumplimiento normativo, la respuesta mejorada, la medicin del malware, medidas para tratar las vulnerabilidades del software, medidas tcnicas, incentivos econmicos, la investigacin y desarrollo, y normas, directrices y buenas prcticas.
En vista de la necesidad de un enfoque holstico y global del malware, para reducir la actividad maliciosa en Internet, este informe sugiere organizar una Asociacin Anti-Malware en la que participen gobiernos, el sector privado, la comunidad tcnica y la sociedad civil, con el objetivo de elaborar polticas conjuntas de orientacin para combatir el malware en todas las reas, ya sean educativas, tcnicas, legales o econmicas.

DSTI/ICCP/REG(2007)5/FINAL

CONTEXTO
El Grupo de Trabajo de Seguridad de la Informacin y Proteccin de la Privacidad (WPISP) de la Organizacin para la Cooperacin y Desarrollo Econmico (OCDE), el Grupo de Trabajo de Telecomunicaciones e Informacin del Foro de Cooperacin Econmica Asia-Pacfico (APEC TEL) y el Equipo de Direccin de Seguridad y Prosperidad (SPSG) poseen tanto experiencia como conocimiento en el desarrollo de polticas de orientacin para la seguridad de sistemas y redes de informacin. En 2002, la OCDE adopt las Directrices para la Seguridad de Sistemas y Redes de Informacin (las llamadas Directrices de Seguridad) que ofrecen un esquema claro de los principios de los niveles polticos funcionales para impulsar propuestas nacionales consistentes con el fin de hacer frente a los riesgos de la seguridad de la informacin en una sociedad globalmente interconectada. En lneas generales, las Directrices de Seguridad reflejan la ambicin comn de desarrollar una cultura de la seguridad que vaya ms all de la sociedad, de tal forma que la seguridad se convierta en una parte esencial de la rutina diaria de particulares, empresas y gobiernos, cuando utilicen las Tecnologas de la Informacin y la Comunicacin (TIC), y llevar a cabo actividades online.1 En 2003 y 2005, la OCDE dirigi los esfuerzos de los gobiernos por implementar programas de polticas nacionales acordes a las Directrices de Seguridad, incluyendo medidas para combatir la ciberdelincuencia, desarrollar Equipos de Respuesta a Incidentes de Seguridad (CSIRT), sensibilizar a la opinin pblica y fomentar la educacin, entre otros factores.2 En 2006 y 2007, la OCDE se centr en el desarrollo de polticas para proteger las infraestructuras de informacin crtica.3 Del mismo modo, en 2002, el Foro de Cooperacin Econmica Asia-Pacfico (APEC) public una Estrategia de Ciberseguridad que define seis reas de cooperacin entre las economas del APEC, incluyendo aspectos legales, el intercambio de informacin y cooperacin, pautas tcnicas y de seguridad, concienciacin pblica, formacin y educacin. Para complementar la Estrategia de Ciberseguridad, el APEC TEL adopt una Estrategia para Asegurar un Ambiente En Lnea Seguro, Sostenible y de Confianza, con el fin de incentivar a las economas del APEC para que tomen medidas para la seguridad de sistemas y redes de informacin. Objetivos comunes de la OCDE y del APEC En 2005, el APEC y la OCDE organizaron de forma conjunta un taller para intercambiar informacin sobre la evolucin de los riesgos de la seguridad de la informacin e indagar en reas para lograr una mayor cooperacin entre organizaciones y poder as enfrentarse mejor a la dimensin internacional de los riesgos de la seguridad de la informacin. En 2006, ambas organizaciones acordaron que la necesidad de fomentar un ambiente en lnea ms seguro era ms urgente que nunca, debido al constante crecimiento econmico y a las actividades sociales llevadas a cabo en Internet, y a la creciente gravedad y sofisticacin de la actividad maliciosa online.

1 Las Naciones Unidas, el Consejo de la Unin Europea, la Cooperacin Econmica del Asia-Pacfico (APEC) y el Encuentro Asia-Europa (ASEM) reconocen y usan las Directrices de Seguridad. 2 3 Vase DSTI/ICCP/REG(2005)1/FINAL. Vase DSTI/[Link](2006)15/FINAL y DSTI/ICCP/REG(2007)16/FINAL.

4 Ms informacin sobre el Taller de Malware organizado por el APEC y la OCDE disponible en: [Link]

DSTI/ICCP/REG(2007)5/FINAL Como consecuencia, decidieron organizar talleres 4 y elaborar un informe analtico para examinar las cuestiones relacionadas con el software malicioso, ms conocido como malware, con el objeto de: Informar a los legisladores nacionales de las consecuencias del malware. Catalogar tendencias sobre el crecimiento y evolucin del malware. Examinar la economa del malware y los modelos de negocio que se esconden tras esta actividad maliciosa. Evaluar las contramedidas tcnicas y no tcnicas para combatir el malware e identificar carencias.

Definir reas de accin clave y futuro trabajo.

Elaborado por la Secretara de la OCDE, en estrecha colaboracin con expertos y voluntarios de la OCDE y del APEC, as como el sector privado, este informe no aborda todos los aspectos del malware o todos los vectores de propagacin, sino que ms bien se centra en cuestiones de mayor inters y en reas que pueden plantear problemas en el futuro. De forma similar, no se analizan las posibles estrategias relativas a la prevencin, deteccin y respuesta ante el malware, sino que se hace hincapi en elementos de importancia para los pases miembros de la OCDE, las economas del APEC y otros gobiernos y organizaciones en general. Finalmente, se hace referencia a distintas formas de ciberdelincuencia, como por ejemplo el spam o el phishing 5, que no implican directamente el uso del malware, pero que ponen de manifiesto cmo ste puede ser usado indirectamente para llevar a cabo delitos informticos.

5 El phishing hace referencia a ataques de ingeniera social en los que el atacante, que tiene bajo control un sitio web, manipula al usuario para poder obtener datos de acceso a su cuenta en Internet o, ms comnmente, para conseguir sus datos personales. Segn esta definicin, el phishing no implica directamente el uso de malware. Sin embargo, cuando el trmino se usa para referirse, por ejemplo, a cierto tipo de ataques con troyanos, el malware suele desempear un papel importante.

DSTI/ICCP/REG(2007)5/FINAL DEFINICIN DE MALWARE Qu es el malware? Malware es un trmino general para definir una pieza de software insertada en un sistema de informacin para daar se u otros sistemas o utilizarlos con otros fines.6 El malware puede acceder de forma remota a un sistema de informacin, registrar y enviar datos de un sistema a un tercero sin el permiso o conocimiento del usuario, ocultar que el sistema de informacin haya sido comprometido, deshabilitar medidas de seguridad, daar el sistema de informacin o afectar a la integridad de los datos y del sistema. Existen distintos tipos de malware, tales como los virus, gusanos, troyanos, puertas traseras, keyloggers, rootkits o programas espa. Estos trminos hacen referencia a la funcionalidad y comportamiento del malware, por ejemplo, un virus se autopropaga y un gusano se autoreplica 7. Los expertos normalmente dividen el malware en dos categoras: familiar y variante. El familiar hace referencia a la pieza original e inconfundible de malware y el variante describe una versin diferente del cdigo malicioso original, o familiar, con cambios menores 8.

Cuadro 1. Breve historia del malware Los virus y los gusanos tienen su origen en los inicios de la informtica, cuando los virus eran creados como medio de diversin y los gusanos se utilizaban para realizar el mantenimiento de los sistemas informticos 9. Los virus maliciosos no aparecieron hasta los aos 80, cuando surgi el primer virus para ordenadores personales, Brain (1986), que se propagaba cuando el usuario iniciaba el ordenador desde un disquete 10. Aos despus, en 1988, el gusano Morris consigui llamar la atencin de los medios al infectar a ms de 6.000 ordenadores. Aunque a mediados de los 80 aparecieron otros tipos de software malicioso, el panorama de finales de los 80 y principios de los 90 estuvo claramente dominado por los virus. Hasta aproximadamente 1999, la mayora de la gente relacionaba los virus con el ejemplo de un joven hacker que se introdujo en los sistemas del Pentgono, como se puede ver en la pelcula de 1983 titulada Juegos de Guerra. A mediados de los 90, la situacin empez a cambiar debido al crecimiento del uso de Internet y del ordenador personal, el desarrollo de las redes y la adopcin de sistemas de correo electrnico. Los llamados gusanos de gran expansin empezaron a llegar al pblico de formas bastante originales. El uso cada vez mayor del correo electrnico produjo gusanos de macro como Melissa (1999), I Love You (2000), Anna Kournikova (2001), SoBig (2003) y Mydoom (2004), que llenaron titulares y llegaron al conocimiento pblico. Este tipo de gusanos duplic el nmero de vctimas de una a dos horas, alcanzando rpidamente su mxima actividad en las 12-18 horas posteriores a su aparicin, lo que marc un aumento similar en los ataques organizados y, en algunas ocasiones, coordinados. El auge de las transacciones bancarias por Internet caus el incremento de las incidencias de seguridad y la aparicin de nuevos tipos de software y ataques maliciosos. En la actualidad, los brotes masivos de virus y gusanos son cada vez ms escasos, mientras que el software silencioso, como los troyanos y las puertas traseras, est en auge. Muchos ataques se encuentran por debajo del radar de las comunidades de seguridad y del orden pblico. De hecho, el objetivo actual de los atacantes es obtener ganancias econmicas. As pues, estas nuevas tendencias permiten explicar las razones por las que el malware es hoy en da una industria delictiva internacional que factura miles de millones de dlares.

Caractersticas generales del malware Aunque el malware no es el nico medio por el cual los sistemas de informacin pueden verse comprometidos, aporta a los atacantes comodidad, facilidad de uso y la automatizacin necesaria para realizar ataques a una escala antes nunca vista.
6 Las Directrices para la Seguridad de Sistemas y Redes de Informacin, elaboradas en 1992 por la OCDE, definen sistema de informacin como los ordenadores, servicios de comunicacin, redes de comunicacin, datos e informacin que pueden ser almacenados, procesados, recuperados o trasmitidos (incluyendo programas, especificaciones y procedimientos) para su funcionamiento, uso y mantenimiento. 7 Vase el Anexo E - Glosario de Trminos. 8 Por ejemplo, [Link]@mm (tambin conocido como Sober), fue el cdigo fuente original de la familia Sober. Sober.X es una variante de Sober. (Vase Symantec 2006 pg.67). 9 10 11 NIST pp. 2-10. SOPHOS (2006a) pg.1. Tippett (2006) y BBC News online (2004).

10

DSTI/ICCP/REG(2007)5/FINAL El malware es multifuncional y modular, es decir, existen diversos tipos de malware que pueden ser usados de forma conjunta o individual con el fin de alcanzar el objetivo de un actor malicioso. Se pueden aadir de forma sencilla nuevas caractersticas y habilidades para alterarlo y mejorar su funcionalidad e impacto12. El malware puede auto-insertarse en un sistema y comprometerlo para despus descargar cdigo malicioso adicional de Internet que aumente su funcionalidad. El cdigo malicioso tambin puede ser usado para controlar una red o equipo anfitrin (host) 13, sortear medidas de seguridad (como cortafuegos o programas antivirus) o utilizar la encriptacin para evitar ser detectado u ocultar su funcionamiento. El malware est a disposicin del pblico y es usable: est disponible en Internet a un precio asequible, por lo tanto casi cualquier persona podra adquirirlo. De hecho, existe incluso un fuerte mercado clandestino de compra-venta. Adems, el malware es usable y permite a los atacantes llevar a cabo ataques sofisticados que estn por encima de su nivel de destreza. El malware es persistente y eficiente: cada vez resulta ms difcil de detectar y eliminar, y consigue sortear las contramedidas de seguridad de la informacin. Algunos tipos de malware pueden vencer fuertes formas de autentificacin multifactorial y otros han sido capaces de disminuir la eficacia de los certificados digitales 14. El malware puede afectar a una amplia gama de dispositivos: puesto que no es ms que una pieza de software, puede afectar a una amplia gama de dispositivos (que abarcan desde dispositivos personales, como ordenadores personales (PC) o agendas electrnicas (PDA), hasta servidores 15), a travs de diferentes tipos de redes. Todos estos dispositivos, incluyendo routers que permiten al trfico moverse por Internet hacia otros puntos finales, son potencialmente vulnerables a los ataques maliciosos. El malware forma parte de un sistema de ciberataque ms amplio: se usa como una forma bsica de ciberataque y como soporte de otras formas de actividad maliciosa y ciberdelincuencia, como son el spam o el phishing. A la inversa, el spam y el phishing pueden usarse para propagar el malware. El malware produce beneficios: ya no consiste en un simple juego de diversin para crackers inexpertos (script kiddie)16 o en un campo de estudio para los investigadores. En la actualidad, supone un negocio bastante serio y una fuente de ingresos para agentes maliciosos y delincuentes de todo el mundo. El malware, junto con otras herramientas y tcnicas informticas, ofrece un bajo coste y un mtodo reutilizable para desarrollar formas altamente lucrativas de ciberdelincuencia. Cmo funciona el malware? El malware puede comprometer sistemas de informacin, debido a la combinacin de factores que incluyen el diseo de sistemas operativos y vulnerabilidades relacionadas con el software. El malware funciona ejecutndose o auto-instalndose en un sistema de informacin de forma manual o automtica 17.

12
13 14

Danchev, Dancho (2006) pg.3. Un equipo anfitrin (host) es un ordenador que se encuentra en una ubicacin especfica de la red. Vase el Anexo B sobre los certificados digitales.

15 Los servidores son ordenadores potentes que aceptan conexiones de clientes y les prestan servicios. Sin embargo, los ordenadores domsticos y las estaciones de trabajo (workstations) tambin pueden actuar como servidores, sobre todo si se ven comprometidos. Algunos tipos de servidores son los servidores web, los de correo electrnico o los de bases de datos. 16 Script Kiddie hace referencia a crackers inexpertos que utilizan programas desarrollados por otros para atacar sistemas informticos y desfigurar sitios web. Normalmente, se entiende que los script kiddies son jvenes que no saben crear programas de hacking sofisticados y, por tanto, su intencin es sorprender a sus amigos o ganar credibilidad en las comunidades clandestinas de crackers. 17 El malware tambin puede explotar vulnerablidades del hardware, aunque su nmero es mucho menor en comparacin con el nmero de vulnerabilidades del software que se pueden explotar en un tiempo dado.

11

DSTI/ICCP/REG(2007)5/FINAL El software puede contener vulnerabilidades o agujeros en su estructura, debido a una codificacin defectuosa. Adems, aparte de haber sido codificado de forma errnea, su funcionalidad puede no estar disponible, usarse de forma no compatible con los usos propuestos o haber sido configurado de forma incorrecta con otro software. Todas stas son posibles vulnerabilidades y vas de ataque, de modo que una vez que se descubren, el malware puede desarrollarse para explotarlas con fines maliciosos antes de que la comunidad de la seguridad pueda desarrollar un parche (patch) para repararlas. El malware tambin puede comprometer los sistemas de informacin debido a factores no tecnolgicos, como son la poca prctica del usuario o polticas y procedimientos de seguridad inadecuados. Muchos tipos de malware, como los virus o los troyanos, requieren algn tipo de nivel de interaccin con el usuario para comenzar el proceso de infeccin, como por ejemplo, hacer clic en el enlace de un correo electrnico, abrir un archivo ejecutable adjunto a un correo electrnico o visitar el sitio web donde se aloja el malware. Tras haber violado la seguridad con la infeccin inicial, algunas formas de malware instalan de forma automtica funcionalidades adicionales, como por ejemplo, programas espa ([Link]. keyloggers), puertas traseras, rootkits u otro tipo de malware, como, por ejemplo, cargas dainaa (payload). 18 La ingeniera social 19, en forma de misteriosos mensajes de correo electrnico o que parecen provenir de organismos legtimos, se usa normalmente para persuadir a los usuarios para que hagan clic en un enlace malicioso o para que descarguen malware. Por ejemplo, el usuario puede creer haber recibido un aviso del banco o una advertencia de virus por parte del administrador del sistema, cuando en realidad lo que ha recibido es un gusano de envo masivo de correo electrnico (mass-mailing worm). Otros ejemplos son mensajes de correo electrnico afirmando ser una tarjeta electrnica de un amigo no especificado para que los usuarios abran la tarjeta adjunta y descarguen el malware. Los usuarios tambin pueden descargar malware involuntariamente de pginas web. Un reciente estudio elaborado por Google, que examin varios miles de millones de URL, analizando de forma exhaustiva 4,5 millones, descubri que de la muestra, 700.000 parecan maliciosas y 450.000 podan producir descargas maliciosas 20. Otro estudio encontr que slo aproximadamente uno de cada cinco sitios web analizados tenan un diseo malicioso, lo que lleva a la conclusin de que aproximadamente el 80% de todo el malware de las pginas web se encuentra alojado de forma imperceptible en pginas web cuyos dueos no son conscientes de su presencia 21. Otro estudi descubri que el 53,9% de todos los sitios maliciosos analizados se encontraba alojado en China 22, seguido de Estados Unidos que representaba el 27,2% de todos los sitios web observados. Adems, los datos del Anexo A muestran que el malware de las pginas web representa el 52,8% de los incidentes reportados a mediados de 2007 por el Equipo de Respuesta a Incidentes de Seguridad de Estados Unidos (US-CERT).

18

Vase el Anexo E - Glosario de Trminos.

19 La ingeniera social hace referencia a tcnicas diseadas para persuadir a los usuarios y conseguir informacin o para llevar a cabo acciones que suponen la violacin de la seguridad de los sistemas de informacin. 20 21 22 Google Inc. pg.2. Sophos (2007) pg.4. Sophos (2007) pg.6.

12

DSTI/ICCP/REG(2007)5/FINAL

Vectores de propagacin del malware

Los vectores de propagacin del malware hacen referencia a medios telemticos, a travs de los cuales el malware es trasmitido a los sistemas de informacin, plataformas o dispositivos que pretende infectar. El correo electrnico y las aplicaciones de mensajera instantnea son algunos de los medios ms utilizados para difundir el malware mediante tcnicas de ingeniera social. Sin embargo, cualquier soporte que permita difundir o compartir software, puede ser un vehculo para difundir malware. Algunos ejemplos de vectores de propagacin y distribucin de malware son la World Wide Web (WWW), soportes extrables (como memorias USB), sistemas y redes de intercambio de ficheros (P2P), el IRC, el bluetooth o las redes locales inalmbricas (WLAN). 23 El Bluetooth es el vector de propagacin de malware en dispositivos mviles ms significativo. Consiste en una red inalmbrica de rea personal (PAN) que permite que dispositivos, como, por ejemplo, telfonos mviles, impresoras, cmaras digitales, consolas de videojuegos u ordenadores personales y porttiles, se conecten a travs de radiofrecuencia de corta distancia. Algunas tcnicas, como el bluejacking o el bluesnarfing 24 pueden comprometer este dispositivo, el cual es an ms vulnerable cuando se encuentra en modo visible, permitiendo que sea descubierto por otros dispositivos Bluetooth cercanos.

23

Vase el Anexo D para informacin sobre vectores de propagacin.

24 El bluejacking consiste en enviar mensajes no deseados a dispositivos Bluetooth conectados. El bluesnarfing permite el acceso no autorizado a informacin desde un dispositivo inalmbrico a travs de una conexin Bluetooth. 25 Aunque el Bluetooth tiene un rango de alcance de 100 metros para ordenadores porttiles con potentes transmisores, su rango es ms limitado para los telfonos mviles (aproximadamente 10 metros).

13

DSTI/ICCP/REG(2007)5/FINAL
Cuadro 2: el malware en dispositivos mviles
Existe un debate sobre la actual gravedad de las amenazas a dispositivos mviles, como telfonos mviles, PDA y telfonos inteligentes (smartphones).
26

Por ejemplo, algunos factores parecen indicar que las amenazas a dispositivos mviles son an

limitadas. Estos factores incluyen: a) algunas de las formas actuales de ataque a telfonos mviles slo pueden tener lugar dentro de un rango de 10 metros con un alcance global; b) los dispositivos mviles estn limitados por el ancho de banda, ya que la cantidad de espectro asignada par su uso es limitada; c) la pequea interfaz de usuarios es an un obstculo para llevar a cabo operaciones bancarias y otras transacciones de valor a travs de Internet hasta que los dispositivos mviles se conviertan en un medio popular para realizar transacciones, hay pocos incentivos para que los atacantes desarrollen malware para la plataforma de telfonos mviles;
28

d) el coste asociado al uso del servicio

general de paquetes de radio (GPRS) para conectarse a redes de datos IP puede tambin provocar que el dispositivo mvil sea menos popular si se compara con un ordenador conectado a Internet que utiliza tecnologas del tipo ADSL , con cable o banda ancha inalmbrica. Sin embargo, tambin se tiene en cuenta que cuando surgen estas amenazas, son bastantes reales.
29

Algunos datos muestran que aunque siguen siendo relativamente pequeas respecto a la cantidad de malware
30

en ordenadores, el malware de los telfonos mviles, que apareci por primera vez en 2004, aument de tan slo algunos casos aislados a ms de 300 en un periodo de dos aos. Adems, la preocupacin por la seguridad aumenta a medida
31 32

que los dispositivos mviles son cada vez ms frecuentes y ms utilizados para acceder a servicios crticos y valiosos. Por ejemplo, se prev que para el ao 2009, el uso de los telfonos inteligentes llegar a la cifra de 350 millones. 2006, Apple anunci que un nmero de videos de iPods, infectados con el virus RavMonE
33

En

, haba sido enviado a sus

clientes. A muchos expertos les inquieta el hecho de que el malware de los telfonos mviles se convertir en una verdadera amenaza para los propios dispositivos mviles, las redes inalmbricas por las que se comunican estos dispositivos y las redes corporativas, servidores y/o ordenadores que intercambian informacin con estos dispositivos. El malware no detectado en un telfono inteligente podra ser transferido a una red corporativa y usado para llevar a cabo otras acciones maliciosas.
34

Para qu se utiliza el malware?

Los numerosos tipos de malware pueden usarse de forma individual o conjunta para poner en riesgo la confidencialidad, integridad y disponibilidad de sistemas y redes de informacin. Del mismo modo, una amplia gama de ataques puede llevarse a cabo para alcanzar diferentes objetivos, como por ejemplo negar el acceso a sistemas de informacin crtica, realizar espionaje, extorsionar (ransom) o robar informacin (robo de identidad).

26 Un telfono inteligente (smartphone) es un telfono mvil con caractersticas similares a las de un ordenador personal. 27 Una red de rea personal (PAN) es una red de ordenadores utilizada para comunicarse entre dispositivos informticos, incluyendo telfonos mviles y PDA, cercanos a una persona. Estos dispositivos pueden o no pertenecer a la persona en cuestin. Normalmente, el alcance de una red PAN es de pocos metros y suele utilizarse para que los propios dispositivos se comuniquen entre s o para conectarse a una red de nivel superior o a Internet. 28 29 30 Segn ha demostrado el mercado japons, estas transacciones son posibles (vase BBC). Hypponen, Mikko (2006) pg.73 (4 de 8). Hypponen, Mikko (2006) pg. 72 (2 de 8).

31 Por ejemplo, las entidades financieras que deseen implementar la firma de transacciones y evitar tener que proporcionar a sus clientes un lector individual de tarjetas inteligentes pueden reforzarla a travs del uso de un telfono mvil-PDA por parte del cliente. De esta forma, la PDA mvil se utilizar para atentar contra el proceso de firma de transacciones. Como se puede observar en el glosario, la firma de transacciones slo es efectiva si el hash codificado para la transiccin se calcula en un dispositivo de confianza. 32 Hypponen, Mikko (2006) pg. 73 (3 de 8).

33 Hay que sealar que el virus fue transmitido al dispositivo a travs de un ordenador de Windows de la linea de produccin Vase [Link] 34 iGillottResearch Inc (2006) pg.8.

14

DSTI/ICCP/REG(2007)5/FINAL El malware tambin puede usarse para comprometer la autenticidad y el no repudio, o para atacar al Sistema de Nombres de Dominio (DNS).35

Denegar el acceso
Denegar el acceso a datos digitales, recursos de redes, ancho de banda u otros servicios de redes (denegacin de servicio, DoS) es un objetivo comn de los ataques de malware. Los blancos ms populares de estos ataques son las empresas que realizan negocios en Internet y se arriesgan a perder una cantidad significante de ingresos por cada minuto que su sitio web o red no est disponible, y los gobiernos que confan en los sitios web para proporcionar servicios esenciales a los ciudadanos. Normalmente, estos ataques se utilizan para el sabotaje (por ejemplo, daar a un competidor u organizacin contra la cual el atacante tiene algn tipo de queja o rencilla), extorsin36o motivos de tipo poltico o ideolgico.

Ataques de Denegacin de Servicio Distribuido (DDoS)

El mtodo ms conocido, y quizs el ms comn, de denegacin de acceso son los ataques de denegacin de ataque distribuido (DDoS). Los ataques DDoS pretenden inhabilitar el sitio web de una organizacin, u otros servicios de la red, sobrecargndolos con un volumen de trfico inhabitual.37 El malware contribuye indirectamente a los ataques DDoS creando un suministro renovable de ordenadores comprometidos (bots38) a travs de los ataques que se perpetran. El trfico DDoS puede estar compuesto de paquetes falsos, relativamente fciles de identificar, o peticiones de servicio adecuadamente formuladas y aparentemente legtimas. Esta sobrecarga de trfico pretende exceeder la capacidad del ancho de banda de la red o de los recursos informticos del servidor seleccionado, o bien de ambos, inhabilitando para ello el servicio a la mayora de sus usuarios legtimos, o al menos, degradando el rendimiento para todo el mundo. Los ataques DDoS simples utilizan una red distribuida de bots (llamada botnet) para atacar un objetivo particular. Los ataques DDoS ms complejos usan numerosas botnets para atacar el objetivo simultneamente. En los ataques DDoS tradicionales, las botnets se utilizan para enviar cantidades masivas de preguntas y sobrecargar el sistema. Sin embargo, los ataques bajos y lentos, que se han convertido en una nueva tendencia observada por algunos expertos de seguridad, tienen lugar durante un mayor periodo de tiempo y utilizan una pequea cantidad de ancho de banda de miles, por no decir, millones de ordenadores comprometidos. A menudo, el atacante coordina el ataque para que no todas las bots ataquen el objetivo de forma simultnea, sino de forma rotativa. La vctima y el proveedor de servicios de Internet pueden no ser conscientes de que el trfico de la red ha aumentado, pero con el tiempo notarn prdidas en sus infraestructuras y recursos. Los ataques DDoS han sido lanzados contra los gobiernos por varios motivos de tipo poltico o ideolgico. Por ejemplo, los sitios web del gobierno sueco fueron atacados en el verano de 2006, como una protesta contra las medidas anti-piratera implementadas en el pas.

35 36

Vase el Anexo B sobre los tipos de ataques. Messmer, Ellen y Pappalardo, Denise (2005).

37 Es posible causar una denegacin de servicio en un dispositivo o aplicacin de red expotando las vulnerabilidades de un sistema operativo o aplicacin software. Por ejemplo, un atacante podra llevar a cabo esta accin enviando paquetes, especialmente diseados, al dispositivo o aplicacin donde se encuentre la vulnerabilidad. Sin embargo, este tipo de ataques DoS puede corregirse aplicando un software o parche firmware, o implementando cualquier otra solucin temporal. En el caso de los ataques por inundacin (flood attacks), la capacidad para mitigar el problema es ms compleja y prolongada y, por tanto, el impacto es potencialmente ms grave. 38 Vase el captulo de este informe titulado El malware en Internet: las botnets para un mejor entendimiento de los bots y las botnets.

15

DSTI/ICCP/REG(2007)5/FINAL Los recientes acontecimientos que tuvieron lugar en Estonia han suscitado un interesante debate sobre la importancia que un ciberataque de esta naturaleza supone para un pas.39
Cuadro 3: el caso de Estonia 40 En mayo de 2007, una serie de ciberataques fueron perpetrados contra el Gobierno estonio y sitios web comerciales. Algunos ataques consistan en desfigurar sitios web (defacing) y sustituir las pginas por propaganda rusa o informacin falsa. Se llegaron a inhabilitar hata seis sitios web en diversos puntos, incluyendo los sitios de los Ministerios de Justicia y Asuntos Exteriores. La mayora de los ataques utilizaban botnets que comprometan varios miles de ordenadores. El Equipo de Respuesta a Incidentes de Seguridad de Estonia (EE-CERT) actu rpidamente y, en colaboracin con socios de la comunidad internacional, pudo hacer frente a un grave ataque que slo caus daos menores. En principio, el ataque fue neutralizado a travs de conexiones de bloqueo y filtrado desde fuera del pas. Por ejemplo, el segundo banco ms importante de Estonia, el SEB Eesti Uhispank, bloque el acceso externo a sus servicios de banca online, aunque permaneca abierto para los clientes locales41. Una de las principales razones de la estabilidad de los servicios internos durante el ataque fue el hecho de que Estonia posee dos puntos neutros en Internet (IXP).42 Tres semanas despus de los ataques, un experto identific al menos 128 ataques distintos en nueve sitios web diferentes. De esos 128 ataques, 35 estaban dirigidos contra el sitio web de la polica estonia, otros 35 contra el sitio web del Ministerio de Economa y Hacienda y 36 contra los sitios web del parlamento, primer ministro y del gobierno en general43. Se ha estimado que algunos de los ataques duraron ms de 10 horas y superaron los 95Mbps, llegando a casi millones de paquetes por segundo. Aunque esta cifra pueda parecer elevada, otros ataques, considerados de descomunales por los expertos en seguridad, suelen alcanzar aproximadamente 20 millones de paquetes por segundo, lo que supone 5 veces ms que el ataque contra Estonia. Esto ha llevado a la conclusin de que el atacante no pretenda conseguir un impacto mximo o daar la red, sino ms bien lanzar un comunicado y demostrar que se tena.

Extorsin (ransom)
Algunos tipos de malware estn diseados para cifrar o codificar los datos de los usuraos, de forma que su propietario no pueda recuperarlos. En este caso, el dueo deber pagar un rescate (ransom) por la clave utilizada para cifrar sus datos, necesaria para invertir el proceso y restablecer los datos.44 Aunque este tipo de malware no es tan frecuente como otros, en 2006 se dieron varios casos de considerable importancia que llamaron la atencin sobre esta cuestin.45 Estos ataques no slo deniegan el acceso del usuario/propietario a sus propios datos, sino que daan la confidencialidad e integridad de stos, debido al cifrado y al acceso no autorizado por parte de los atacantes.

39 Por ejemplo, un oficial mayor entrevistado por The Economist afirmaba que si el centro de comunicaciones de un Miembro Estado fuese atacado por un misil, se dira que ha sido un acto de guerra. Pero, cmo se denominara, si la misma instalacin fuese inhaabilitada por un ciberataque?; Vase The Economist (2007). 40 41 The Economist (2007) The Sydney Morning Herald (2007)

42 Un punto neutro (IX o IXP) es una infraestructura fsica que permite que Proveedores de Servicios de Internet (ISP) intercambien el trfico de Internet entre sus redes a travs de acuerdos de peering que hacen que el trfico se intercambie sin nign coste. Los puntos neutros reducen la cantidad de trfico de un proveedor de servicios, la cual debe distribuirse a travs de los proveedores inmediatos (Upstream Transit Providers), reduciendo para ello el Coste Medio de Entrega Por Bit (APBDC) de los servicios. Adems, los puntos neutros mejoran la eficacia y la tolerancia a fallos del enrutamiento. 43 Lemos, Robert (2007).

44 Se ha valorado que estos ataques no son para ganar popularidad, puesto que cualquier organizacin con un nivel bsico de preparacin debera poseer copias de seguridad de sus datos. Sin embargo, tambin es posible que los individuos no sean conscientes de este riesgo o que simplemente carezcan de un nivel bsico de educacin en seguridad para protegerse contra el malware. 45 Sophos (2007a) pg.8

16

DSTI/ICCP/REG(2007)5/FINAL
Cuadro 4: un ejemplo de ransom: El Arhiveus46 En junio de 2006, un troyano atac los archivos de la carpeta Mis Documentos de los usuarios de Microsoft Windows. Los archivos fueron cifrados, de forma que los usuarios slo podan acceder a ellos pagando un rescate para poder recuperarlos. Cuando los usuarios intentaban acceder a sus archivos, eran dirigidos a un archivo que contena instrucciones sobre cmo recuperar los datos. Las instrucciones decan: INSTRUCCIONES SOBRE CMO RECUPERAR SUS ARCHIVOS. LEA ATENTAMENTE, SI NO LAS ENTIENDE, VUELVA A LEERLAS. Este es un informe automtico generado por un software de auto-archivado. Su ordenador se infect con nuestro software al navegar por pginas ilegales de contenido pornogrfico. Todos sus documentos, archivos de texto y bases de datos de la capeta Mis Documentos han sido encriptados con una contrasea. No puede averiguar la contrasea, ya que su longitud excede 30 smbolos, lo que hace imposible que los programas de recuperacin de contraseas puedan descubrirla (incluso intentando todas las combinaciones posibles). No intente buscar un programa que haya encriptado su informacin, simplemente ya no existe en su disco duro. No acuda a la polica, porque no le servira de nada, ya que no conoce la contrasea. Informar de nuestra cuenta de correo electrnico tampoco le ayudar a recuperar sus archivos. Adems, esto supondra la prdida de contacto con nosotros, y por tanto, la prdida de toda su informacin. En muchos casos, los atacantes cifran archivos, como por ejemplo, fotografas, cartas o el presupuesto familiar. Para recuperar los datos, los usuarios necesitan introducir una contrasea de 30 caracteres que conseguirn tras realizar una compra en una de las tres farmacias online de los atacantes.

Espionaje El malware puede y ha sido usado para accedar o espiar las operaciones de las empresas y gobiernos, y recopilar informacin que podra ser crtica para las transacciones comerciales o la seguridad nacional. Recientemente, el Reino Unido inform de un nmero determinado de ataques con troyanos perpetrados contra partes de la infraestructura de la informacin pblica y privada del pas. Se asumi que estos troyanos pretendan recopilar y transmitir informacin privilegiada.47 Este tipo de malware puede ser utilizado por empresas y otras organizaciones para recopilar informacin sobre sus competidores, como se puede ver en el siguiente ejemplo:
Cuadro 5: el caso de Michael y Ruth Haephrati En marzo de 2006, Michael y Ruth Haephrati fueron extraditados de Gran Bretaa a Israel, donde fueron acusados de crear y distribuir un troyano que llevaba a cabo espionaje industrial contra algunas de las empresas ms importantes del pas.48 Al parecer, Michael Haephrati se encargaba de desarrollar y perfeccionar el programa, mientras que su esposa, Ruth, negociaba con empresas de investigacin privadas que compraban el software y lo instalaban en los ordenadores de los clientes competidores. En concreto, se cree que el troyano se utiliz para espiar la agencia de relaciones pblicas Rani Rahav, cuyos clientes incluyen el segundo mayor operador de telfonos mviles de Israel (Partner Communications) y el grupo de televisin por cable HOT. Otra supuesta vctima fue Champion Motor, que importa motores de vehculos Audi y Volkswagen. Ruth Brier-Haephrati fue formalmente acusa de fraude con agravantes, acceso ilegal a un sistema informtico, introduccin de virus, instalacin de un equipo de escucha, invasin de la intimidad, administracin de una base de datos ilegal y conspiracin. Michael Haephrati slo fue acusado de delitos menores, ya que la fiscala lo consideraba el ayudante de Ruth, puesto que su trabajo slo consista en perfeccionar el 49 programa y adaptarlo a las necesidades especficas de los clientes.

46 47 48 49

Sophos (2007b). Centro para la Proteccin de la Infrestructura Nacional del Reino Unido (2005). Messagelabs (2006) pg.11. Sophos (2006c).

17

DSTI/ICCP/REG(2007)5/FINAL Robo de informacin En los ltimos cinco aos, el robo de informacin, y especialmente el robo de identidad, 50 ha provocado la creciente preocupacin de empresas, gobiernos y particulares. Aunque el malware no desempea un papel directo 51 en el robo de identidad, su uso para llevar a cabo este delito se ha vuelto cada vez ms comn, debido al aumento de troyanos backdoor y otros programas de robo que se ocultan en el sistema infomtico y recopilan informacin de forma imperceptible. Como se observa en la Figura 1, los ataques robo de identidad por Internet que hacen uso del malware pueden ser complejos y utilizar numerosos servidores de Internet para distribuir spam y malware, as como comprometer los sistemas de informacin de los usuarios para despus registrar los datos robados en otro sitio web controlado por el atacante o enviarlos a la cuenta de correo de ste. Por lo general, el atacante opera bajo diversos nombres de dominio y numerosas direcciones IP para cada nombre de dominio, las cuales cambia de manera constante durante el ataque (por ejemplo, vanse los sitios de botnets n 1 y 2 que alojan malware en la Figura 1).52 El uso de diversos nombres de dominio, equipos anfitriones (hosts) y bots (y sus respectivas direcciones IP) est diseado para aumentar el tiempo disponible para recopilar informacin sensible y reducir la efectividad de los esfuerzos de las organizaciones afectadas (como, por ejemplo, bancos), Equipos de Respuesta a Incidentes de Seguridad (CSIRT) y Proveedores de Servicios de Internet (ISP) para cerrar sitios web fraudulentos. Bajo el sistema de nombres de dominio (DNS), los atacantes pueden cambiar de manera fcil y rpida las tablas DNS 33, reasignar nuevas direcciones IP a la web fraudulenta y registrar sitios web que operan bajo un dominio determinado.54 La consecuencia es que al cerrar una direccin IP, no tiene sentido que el sitio web permanezca activo bajo otra direccin IP en la tabla DNS del atacante. Por ejemplo, en un caso reciente, las direcciones IP que operaban bajo un nico nombre de dominio cambiaban de forma automtica cada 30 minutos y nuevos servicios DNS han hecho posible reducir este tiempo a cinco minutos o menos. Los atacantes pueden usar dominios legtimos existentes para alojar sus ataques o registrar dominios fraudulentos creados especialmente para este fin. La nica solucin posible para esta situacin es desregistrar el dominio. 55

50 Vase DSTI/CP(2007)3/FINA, donde el robo de identidad se define como una transferencia ilega, posesin o mal uso de informacin personal con el objeto de cometer un fraude u otro delito relacionado. 51 Es cada vez ms frecuente que los ataques de robo de identidad utilicen tcnicas de ingeniera social para convencer al usuario de la necesidad de proporcionar informacin personal a una fuente considerada de confianza. Esta tcnica, conocida como phishing, no hace un uso directo del malware, sino que utiliza correos electrnicos falsos y engaosos, o sitios web fraudulentos hacindose pasar por sucursales bancarias, minoristas que operan en Internet (e-retailer) y empresas de tarjetas de crdito, para engaar a los usuarios de Internet y conseguir que revelen informacin personal. Sin embargo, dado que muchos ataques de phishing se realizan a travs de correos spam enviados por las botnets, el malware est implicado de forma indirecta, puesto que se usa para crear botnets que a su vez son utilizadas para enviar correos spam y llevar a cabo los ataques de phishing. El malware estara implicado de forma directa, si el correo spam contuviese malware o un enlace a un sitio web en el que ste fuese descargado de manera automtica. 52 53 54 55 Tcnica conocida como flujo rpido (fast flux). Una tabla DNS proporciona un registro de los nombres de dominio y sus respectivas direcciones IP. Vase el Anexo B sobre los ataques que utilizan DNS o contra el DNS. AusCERT (2006) pp.19-20.

18

DSTI/ICCP/REG(2007)5/FINAL
Fig. 1. Sistema de robo de identidad online que utiliza malware56

El spam es enviado a miles de usuarios

2 1
Mltiples Relays de spam
(ordenadores comprometidos)

Capturas de informacin intercambiada, incluyendo banca por Internet, pagos de impueston online (e-tax), e-salud, etc.

PC Vctima

7
[Link] attacker-do mai n 3

Botnet que aloja un sitio de registro Sitio

de resgistro para datos capturados cuando el PC se conecta a Internet.

3
Interaccin del usuario necesaria para comenzar el proceso de infeccin haciendo clic en el enlace de la URL.

5
Dropper dirigido al segundo sitio de malware para conseguir el malware 6 principal. Infeccin original con el troyano principal El troyano captura datos protegidos y los transmite a un servidor de registro, pero tambin espera a que el usuario se conecte a diversos sitios web para capturar los datos y enviarlos al sitio de registro. Atacante

Botnet que aloja malware sitio n 1

4
Primera infeccin. Dropper instalado. Un dropper es un programa que instala troyanos.

[Link] [Link]/suck [Link] contiene javascript ofuscado

Servidor dropper fase 1

Principal servidor troyano Fase 2

Distribuye exploits personalizados a ordenadores comprometidos [Link]/[Link]

Botnet que aloja malware sitio n 2

Tendencias de los ataques de malware La naturaleza dinmica del malware hace que los expertos en seguridad estn constantemente alerta de los nuevos tipos de malware y formas de ataque. Dada su compleja naturaleza, es necesario analizar las tendencias generales de los ataques para entender mejor su evolucin. Como se ha mencionado anteriormente, el uso del malware es cada vez ms sofisticado y preciso. Los atacantes utilizan con mayor frecuencia tcnicas engaosas de ingeniera social para alentar a los usuarios a visitar pginas web aparentemente legtimas que en realidad estn infectadas y/o comprometidas con malware. La Figura 2 ilustra los tipos de ataques que parecen estar en aumento, aqullos que han decado y otros cuya tendencia est poco clara o no ha cambiado.

56

AusCERT (2006) at 7.

19

DSTI/ICCP/REG(2007)5/FINAL
Fig. 2 Tendencias generales de los ataques

Ataques combinados, polifacticos o multifase Ataques dirigidos a pequea escala Ingeniera social

Adolescentes que practican hacking por diversin Malware en dispositivos mviles Ataques DDoS

Spam distribuido por las botnets Malware en sitios web legtimos Uso de correo spam para atraer a usuarios a sitios web maliciosos Leyenda
Tendencias ms frecuentes o en alza Tendencias que han decado

Brotes graves de virus y gusanos

Ataques masivos indiscriminados

Tendencias cuya direccin no est clara

Origen de los ataques de malware El origen hace reference tanto al lugar desde el cual los atacantes perpetran los ataques como a la ubicacin de los sistemas informticos a los cuales va dirigido el ataque. En la mayora de los casos, es fcil saber dnde estn ubicados los sistemas informticos gracias a su protocolo de Internet o direcciones IP. Sin embargo, no suele bastar con identificar a la persona responsable del ataque. Por ejemplo, el spoofing es una tcnica diseada para engaar a un usuario sin conocimientos del origen de un correo electrnico o sitio web. 37

37 Cuando se utiliza el spoofing, normalmente no sirve de nada identificar el origen de la direccin IP de un correo electrnico o sitio web. Del mismo modo, tambin es posible suplantar el origen de la direccin IP de un datagrama IPv4, lo que complica an ms averiguar la identificacin real de la direccin IP. Hay que indicar que esto no suele ser necesario para que el ataque se perpetre o que pueda ser contraproducente para el atacante, si el objetivo es robar los datos de un ordenador. El uso de tecnologas de anonimizacin podra suponer un problema an mayor a la hora de identificar el origen de los ataques, aunque su uso an no est muy extendido entre los delincuentes, probablemente debido a que el hecho de utilizar ordenadores comprometidos ajenos proporciona al atacante suficiente proteccin.

20

DSTI/ICCP/REG(2007)5/FINAL Adems, no suele ser habitual que el atacante se encuentre en la misma regin geogrfica en la que tienen lugar los ataques. Es una prctica comn entre los ciberdelincuentes58 el uso de ordenadores comprometidos, y en menor medida de proxies annimos59, alojados en una jurisdiccin extranjera para perpetrar el ataque. Esto protege la identidad y proporciona recursos informticos que de otra forma, los atacantes no podran permitirse. Los delincuentes son muy conscientes de las barreras legales que obstaculizan o incluso impiden que se lleve a cabo una investigacin del delito informtico, en caso de que los stos se cometan de forma intencionada. El malware se propaga por todo el mundo y los rankings60suelen mostrar que un gran nmero de pases desarrollados y en vas de desarrollo alojan ciberdelincuentes que utilizan cdigo malicioso. Aunque los ataques procedentes de un pas pueden estar dirigidos a objetivos locales, la tendencia predominante es que los ataques se perpetren de forma intencionada segn sus objetivos. Adems, el papel de la geografa depende del objetivo final de los atacantes. Por ejemplo, la velocidad de la banda ancha de Internet vara de un pas a otro. Si un atacante desea maximizar el dao en la red, puede utilizar ordenadores comprometidos ubicados en pases donde la banda ancha es frecuente. Si el objetivo es degradar el servicio o robar informacin, el atacante puede utilizar ordenadores procedentes de una gran varidedad de lugares geogrficos. La distribucin geogrfica permite que aumente el anonimato de los ataques e impide que se pueda identificar, investigar y juzgar a los atacantes.

58 Aqu se hace referencia a ciberdelincuentes que orquestran ataques constantemente con fines econmicos de manera ilegal y que pueden tener un rea de especializacin y estar involucrados en una gran variedad de operaciones comerciales, tales como phishing, troyanos, distribucin de spam, el fraude del clic (clickfraud), desarrollo de malware, etc. 59 En las redes informticas, un servidor proxy es un servidor (un sistema informtico o una aplicacin) que administra las peticiones de los clientes envindolas a otros servidores. Un cliente se conecta a un servidor proxy solicitando servicios, como, por ejemplo, archivos, conexiones, pginas web u otros recursos disponibles en un servidor diferente. El servidor proxy proporciona el recurso conectndose al servidor especfico y solicitndolo en nombre del cliente. Un servidor proxy que elimina informacin de la peticin del cliente para preserver su intimidad, es denominado servidor proxy anonimizante o anonimizador. 60 Vase Symantec (2007) pg. 9.

21

DSTI/ICCP/REG(2007)5/FINAL EL MALWARE EN INTERNET: LAS BOTNETS

Qu es una botnet?
Una nueva forma de malware cada vez ms frecuente son las botnets, herramientas clave que los atacantes utilizan para llevar a cabo una gran variedad de actividades maliciosas y delitos informticos. Una botnet es un grupo de ordenadores infectados de malware, tambin denominadas zombies o bots, que se pueden usar de forma remota para atacar otros ordenadores.61 Los bots se crean encontrando vulnerabilidades en sistemas informticos, explotando esas vulnerabilidades con malware e insertndolo en esos sistemas. Las botnets estn controladas de forma remota por agentes maliciosos, denominados comnmente bot herders o bot masters. Luego, los bots son programados y dirigidos por el bot herder para llevar a cabo una serie de ciberataques, incluyendo ataques que implican una mayor distribucin e instalacin de malware en otros sistemas informticos. El malware, cuando se usa en conjunto con las botnets, permite que los atacantes crean suministros autosuficientes y renovables de recursos informticos contectados a Internet que facilitan los delitos (Vase la Fig. 3). Algunos de los tipos de malware, anteriormente mencionados en este informe, se propagan a travs de las botnets. Por tanto, hay una relacin cclica: el malware se usa para crear botnets y las botnets se usan para distribuir ms malware y spam. La Figura 3 muestra la relacin entre el ciclo de vida del malware y la botnet. Cuando el malware infecta un sistema de informacin, pueden ocurrir dos cosas, que se robe algo (informacin, dinero, credenciales de autentificacin, etc.) y que el sistema de informacin infectado pueda formar parte de la botnet. Si un sistema de informacin forma parte de una botnet, es utilizado para analizar vulnerabilidades en otros sistemas de informacin conectados a Internet, creando para ello un ciclo que rpidamente infecta sistemas de informacin vulnerables.

61 En este informe, el trmino bot hace referencia a ordenadores infectados con malware controlados por un agente malicioso de manera remota y transformados en un robot o mquina zombie. Por tanto, las botnets deberan entenderse como redes de mquinas bots. Sin embargo, el trmino bot puede aparecer en otros contextos, ya que en general hace referencia a una serie de programas o scripts que ejecutan tareas automatizadas. El trmino es muy usado en el contexto del IRC (Internet Relay Chat), en el que los usuarios crean y usan bot scripts para jugar online, coordinar la transferencia de ficheros y automatizar el comando admin (EggDrop es uno de los tipos de bots benignos del IRC ms antiguos). El hecho de que los botmasters utilizen los bots del IRC para dar rdenes y controlar las botners podra explicar por qu el trmino bot es tan popular en la informacin y debates sobre el malware.

22

DSTI/ICCP/REG(2007)5/FINAL
Figura 3. El ciclo de vida de las botnets

1. Malware

Infecta

Infeccin y ciclo de generacin de la botnet

2. Robar algo (dinero, informacin, credenciales de autenticacin de usuarios) 3. Forma parte de una botnet

Botnet

Robar informacin, por ejemplo, alojar un sitio de phishing con direcciones IP rotantes Enviar spam Comprometer otros ordenadores con malware Organizar ataques DDoS Alojar sitios mule con direcciones IP rotantes

Para qu se usan las botnets? Normalmente, las botnets se usan con los siguientes fines: 1. Localizar e infectar otros sistemas de informacin con programas bot u otro tipo de malware. En particular, esta funcionalidad permite que los atacantes mantengan y establezcan un suministro de nuevas bots que les permita, entre otras, llevar a cabo las siguientes funciones: 2. Llevar a cabo ataques de denegacin de servicio distribuido (DDoS). 3. Actuar como un servicio que puede comprarse, venderse o alquilarse. 4. Rotar direcciones IP bajo uno o ms nombres de dominio con el objeto de aumentar la longevidad de los sitios web fraudulentos que, por ejemplo, alojan sitios de phishing o malware. 5. Enviar spam que, a su vez, puede propagar ms malware. 6. Robar informacin sensible de cada uno de los ordenadores comprometidos que forman parte de la botnet. 7. Alojar al propio sitio malicioso de phishing, normalmente junto con otros miembros de la botnet, para proporcionar redundancia. 8. Muchos clientes de botnets permiten que el atacante elija cualquier cdigo adicional, haciendo que se conviertan en objetivos muy flexible para aadir nuevos ataques.

23

DSTI/ICCP/REG(2007)5/FINAL Modelos de Comando y Control (C&C) de Botnets Normalmente, los bots se comunican con el bot master a travs de un servidor de comando y control (C&C) del IRC que proporciona las instrucciones que dirigen la operacin de la botnet. Con frecuencia, el servidor C&C es asimismo un ordenador comprometido que dirige varios servicios de redes. Despus de que un programa bot infecta y compromete un sistema informtico, el bot vuelve a conectarse de manera peridica al servidor C&C para comprobar las instrucciones. Aunque hay varios modelos C&C, el ms popular es el modelo centralizado (vase la Figura 4), en el que todos los bots informan de una nica ubicacin mientras esperan las rdenes. El modelo centralizado es popular entre los bot masters porque ofrece herramientas de software que hacen ms fcil operar. Adems, este modelo causa muy poco retraso entre el bot master y los bots.62 A medida que los atacantes usan protocolos web HTTP y HTTPS63, tambin aumentan los mtodos de comunicacin entre los bots y el servidor C&C, lo que significa que es ms difcil que los operadores de redes puedan detectar y bloquear comunicaciones de bots hacia o desde su red, ya que est escondida entre un gran volumen de trfico web normal. Un nuevo modelo alternativo C&C diseado para impedir que los practicantes de seguridad puedan detener los ataques alojados por las botnets es el creciente modelo de uso P2P (peer to peer) (vase la Figura 4).64 El modelo P2P carece de una jerarqua central de comunicacin, lo que hace que sea ms difcil desmantelar la botnet. 65 Por tanto, es extremadamente complicado detener los ataques organizados desde botnets que se comunican a travs de P2P, puesto que no hay ningn punto de fallo.
Fig. 4. Comando y control de botnets

62

Trend Micro (2005) pg.8.

63 ste es el mismo protocolo que permite que tanto comunicaciones web cifradas (https) como no cifradas (http) tengan lugar. Bloquear este trfico evitara el acceso web a una red. 64 65 [Link] (2007) pp. 11-12. Trend Micro (2005) pp. 8-9.

24

DSTI/ICCP/REG(2007)5/FINAL Adems de los modelos anterores, las botnets utilizan con mayor frecuencia las llamadas redes de flujo rpido (fast flux) para evitar ser detectadas. Las redes fast flux son redes de sistemas informticos comprometidos que utilizan registros DNS pblicos que cambian constantemente, lo que hace que sean ms difciles de detectar y de detener la actividad maliciosa.66 Adems, este modelo no usa el servidor centralizado C&C, sino que utiliza proxies para ocultar los servidores que controlan las redes fast flux. Cifras sobre las botnets Mientras que las botnets varan en tamao, normalmente suelen contar con cientos de miles de ordenadores comprometidos, aunque ha habido alguna excepcin, como, por ejemplo, un grupo de atacantes de los Pases Bajos que afirm controlar 1,5 millones de bots.67 Normalmente, el nmero de bots controlados por un nico atacante vara dependiendo de si los ordenadores comprometidos estn conectados a Internet, si han sido limpiados o si el atacante est utilizando su botnet para localizar y atacar ms sistemas de informacin para aadirlos a la red. Adems, existen incentivos para que los bot herders utilicen botnets ms pequeas y as perpetrar ataques ms dirigidos que eviten la deteccin. Por ejemplo, las botnets grandes que envan spam o dirigen ataques DDoS generan un gran volume de trfico que suele ser detectado por los proveedores de servicios de Internet y los administradores de la red, mientras que los ataques pequeos que utilizan menos ancho de banda suelen pasar desapercibidos. La prevalencia de las botnets ha aumentado. Aunque se estima que el nmero de botnets puede variar sobremanera, la mayora de los expertos coinciden en que su nmero es bastante grande. Por ejemplo, en 2006, el Centro Nacional de Coordinacin de Respuesta a Emergencias de Redes Informticas de China (CNCERT/CC) inform de que 12 millones de direcciones IP eran controladas por botnets.69 Tambin se descubrieron ms de 500 botnets y ms de 16.000 servidores de comando y control de botnets fuera del pas. Las botnets se han convertido en un artculo que se contrata. Los agentes maliciosos pueden alquilar o comprar un bot master para perpetrar un ataque. Un informe calcul la media semanal de alquiler de botnets en 50-60 dlares por cada 1.000-2.000 bots y 33 cntimos por cada ordenador comprometido68, lo que supone un coste extraordinariamente bajo comparado con el coste que representa un ordenador en trminos de hardware, software y ancho de banda.

66 67 68 69

The Honeynet Project (2007) pg.1. [Link] (2006) pg. 8. MessageLabs (2006) pg. 4. Dr. Du, Yuejun (2007) pg.13.

25

DSTI/ICCP/REG(2007)5/FINAL
Cuadro 6. El caso de la botnet holandesa En octubre de 2005, la polica holandesa arrest a tres hombres, miembros de una red de ciberdelincuentes, sospechosos de hacking a gran escala. Este grupo controlaba varias botnets que se cree estaban formadas por ms de 1,5 millones de ordenadores infectados.70 Las botnets desempeaban un papel clave en gran cantidad de delitos informticos, incluyendo phishing, robo de identidad, fraude y extorsin en Internet. A su debido tiempo, se hizo evidente que las botnets tenan una funcin esencial en las actividades de los ciberdelincuentes, actuando como la infraestructura bsica que permita que los ataques fueran perpetrados con xito. En junio de 2005, un informe para la comunidad CERT de los Pases Bajos comunicaba que un importante centro informtico con sede en los Pases Bajos haba sido atacado. La comunidad CERT, a su vez, inform del incidente a la Unidad de Delitos de Alta Tecnologa (el antiguo Centro Nacional Holands de Delitos de Alta Tecnologa), perteneciente a la polica holandesa. Basndose en informacin que combinaba direcciones IP y el nombre del sospechoso, quien utilizaba una conexin a Internet de banda ancha en su domicilio, el fiscal orden interceptar el trfico de Internet para recoger ms pruebas. Con el fin de determinar el tamao de la botnet y las actividades ilegales del sospechoso, se analiz todo el trfico del protocolo IRC de los datos interceptados. Como era de prevenir, la botnet era bastante grande y utilizaba una gran cantidad de canales IRC en numerosos servidores IRC. En esta investigacin, se averigu que los delincuentes controlaban al menos dos grandes botnets que eran utilizadas para llevar a cabo delitos informticos y que incluso, tras arrestar a los delincuentes, caba la posibilidad de que las botnets siguieran operativas. En colaboracin con la comunidad CERT y grandes proveedores de servicios de Internet, se pudo desmantelar la botnet, evitando as su crecimiento e interrumpiendo su actividad maliciosa. As pues, se acord que el mejor momento para desmantelar la red era justo despus de los arrestos.

Las botnets y la banda ancha

Esta creciente amenaza de botnets puede explicarse en parte por el uso cada vez mayor de conexiones de banda ancha para acceder a Internet. As pues, se necesitan mayores esfuerzos por parte del usuario y de los proveedores para proteger la seguridad y privacidad del entorno online. Para 2004, las conexiones de Internet de banda ancha estaban bastante extendidas en los pases miembros de la [Link] ejemplo, en Corea, en 2004, el 86% de los hogares y el 92% de las empresas posean una conexin de banda ancha a travs del ordenador o telfono.71 En los dos aos siguientes, estas cifras siguieron aumentando. A finales de 2005, haba aproximadamente 265 millones de abonados a conexiones fijas de banda ancha en los pases miembros de la OCDE. De esta cifra, el 60% utilizaba un acceso de banda ancha y los abonados de banda ancha han aumentado en ms de un 60% al ao en los ltimos cinco aos. Para mediados de 2006, haba ms de 178 millones de abonados de banda ancha en la zona de la OCDE. Los pases europeos han seguido progresando, con Dinamarca, los Pases Bajos e Islandia superando a Corea y Canad en trminos de ndices de penetracin de banda ancha durante el pasado ao.72 La transicin de la banda ancha a un ancho de banda de subida ms rpido a travs de fibras podra agravar an ms el problema de las botnets. La potencia de un ordenador de conexin de fibra que resulte infectado podra equivaler a 31 ordenadores infectados de DSL y 44 de redes cableadas.73 sta es una de las reas clave en la que se centran los legisladores encargados de las redes de telecomunicaciones y de la seguridad en un futuro cercano.

70 71 72

[Link] (2006) pg.8. OCDE (2005). OCDE (2007) pg. 130.

73 Un ordenador de conexin de fibra con una capacidad de subida de 100Mbit/s que resulte infectado podra tericamente daar a 390 ordenadores infectados con una capacidad de subida de 256 Kbits/s. Las velocidaddes medias de subida para la banda ancha en los pases miembros de la OCDE en octubre de 2006 eran 1 Mbit/s para DSL, 0.7 Mbit/s para cable y 31 Mbit/s para FTTx.

26

DSTI/ICCP/REG(2007)5/FINAL El Spam y las botnets Existe una equivalencia entre las botnets y el spam debido a cambios en las tcnicas de spamming en los ltimos aos. Normalmente, el spam hace referencia al correo electrnico masivo, no deseado, no solicitado y potencialmente daino.74 Los atacantes han credo conveniente cooperar con los spammers usando sus listas de distribucin para enviar cantidades masivas de spam, que a menudo contienen otro tipo de malware como correo electrnico adjunto75, a travs de la botnet. Por ejemplo, la segunda mayor familia de cdigo malicioso de la que se informa entre enero y junio de 2006, Bomka, era un troyano que se descargaba de un enlace incluido en un correo spam que utilizaba tcnicas de ingeniera social para convencer al usuario de que el enlace era un sitio web de clips de video.76 El problema del spam y del malware es tambin cclico y autosuficiente. Los sistemas de informacin comprometidos por el malware se utilizan para distribuir spam y una parte del spam que se distribuye est diseado para distribuir malware a nuevas vctimas cuyos sistemas de informacin se utilizarn para llevar a cabo ms actividades maliciosas online. Hay que sealar que no todo el spam contiene malware, ya que a menudo resulta difcil determinar cunto spam contiene malware de forma directa. El anlisis manual llevado a cabo por el Centro de Seguridad de Tecnologas de la Comunicacin e Informacin (ICST) de China Taipei, realizado durante dos aos en 417 correos electrnicos sospechosos, descubri que de esos 417 correos analizados, 287 (68%) contenan malware. Otros datos muestran que en 2006 nicamente el 1,5% o 1 de cada 67,9 correos analizados contena un virus o troyano y segn este mismo estudio, en 2005, la media anual era de un 2,8% en cada 36,1.78 Es probable que la naturaleza dispar de estos resultados pueda deberse a una falta de tcnicas comparativas para determinar cundo el spam contiene malware. Recientemente, el Grupo de Trabajo de Mensajera y Anti-Abuso (MAAWG) inform de que el porcentaje de correos electrnicos identificados como abusivos79 haba estado oscilando entre un 75% y un 80%80. Este grupo atribua la fluctuacin a proveedores de servicios que se ocupaban de nuevos esquemas introducidos por aqullos que pretendan eludir los mtodos de deteccin de los proveedores de servicios, incluyendo filtros. No obstante, est ampliamente aceptado que la gran mayora del spam se enva desde las botnets. La efectividad y la amplia disponibilidad de los sistemas de informacin comprometidos, con conexiones de banda ancha de alta velocidad, hacen que el spam se encuentre en sus niveles ms altos, a pesar de las muchas iniciativas para reducir y evitar que ste se distribuya.

74 75 76

OCDE (2006) pg. 25. SOPHOS (2006a) pg. 2. Symantec (2006) pg. 68.

77 Liu, Pei-Wen (2007) pg. 3 afirma que estos datos estn basados en un spam auto-seleccionado que encaja con una cierta categora o tipo y, por tanto, es representativo de un conjunto de muestras ms pequeo. Adems, estos datos no incluyen los virus o gusanos de correo masivo. 78 79 80 MessageLabs (2006) at 7. El MAAWG utiliza el trmino abusivo, ya que la definicin de spam puede variar en gran medida en cada pas. Messaging Anti-Abuse Working Group (MAAWG) (2007) pg. 2.

27

DSTI/ICCP/REG(2007)5/FINAL
Cuadro 7. FTC contra Dugger En un caso reciente, la Comisin Federal de Comercio de los Estados Unidos (FTC) intent detener el uso subyacente de las botnets para enviar spam (FTC contra Dugger). La FTC aleg que los acusados transmitan correos electrnicos comerciales de contenido sexual a travs de los ordenadores de otros usuarios sin su conocimiento o consentimiento.
81 Ms tarde se aleg que la conducta de los acusados infringa la Ley CAN-SPAM. De acuerdo a la sentencia final, se acus a los juzgados de infringir la Ley CAN-SPAM y se les exigi que devolvieran ms de 8.000 dlares de los beneficios conseguidos a travs de la botnet. Tambin se les orden obtener la autorizacin del dueo del ordenador antes de usarlo para enviar correos comerciales y de informarle sobre el uso del ordenador.

Aunque la ley civil contra el spam es importante, como en el caso anterior, la mayora de los casos de malware son intrnsecamente delitos, y, por tanto, es ms aconsejable el papel de las autoridades criminales para detener las operaciones delictivas.

El papel de las listas negras en la lucha contra las botnets

Las listas negras hacen referencia a una prctica denominada Listas Negras DNS (DNSBL) para filtrar el trfico entrante de Internet. Los servidores de correo pueden configurarse para rechazar el correo que proviene de direcciones IP, rangos IP o redes enteras listadas en una DNSBL especfica. De hecho, existe una gran variedad de listas negras que pueden usarse en diferentes combinaciones. La mayora de las listas son gratuitas y administradas por voluntarios a travs de operaciones que pueden financiarse por medio de fuentes externas. Cada DNSBL tiene sus propios criterios para incluir una direccin IP en la lista y su propio procedimiento para conseguir una direccin de la lista. Spamhaus, una organizacin internacional sin nimo de lucro financiada a travs de patrocinadores y donaciones, mantiene varias listas negras conocidas, aunque prefiere utilizar el trmino listas de bloqueo, el cual afirma se usa para proteger a ms de 600 millones de usuarios de la bandeja de entrada. Una de las listas contiene direcciones de fuentes de spam, incluyendo spammers, grupos de spam, operaciones de spam y servicios de apoyo de spam. Otra lista se centra en las botnets que controlan proxies abiertos. En este punto, hay que indicar que las listas negras, aunque son potencialmente poderosas, han suscitado sus propias crticas con respecto, entre otras cosas, al vigilantismo de sus operadores, al listado de falsos positivos, al dao colateral que puede aparecer con las listas negras de ciertas direcciones o rangos IP y a los motivos econmicos de algunos operadores. Adems, las listas negras han hecho frente a los desafos legales de los spammers, quienes en ocasiones lograron con xito obtener veredictos favorables para no ser incluidos en las listas negras. Segn estudios empricos82 recientes, la mayora de los proveedores de servicios de Internet utilizan listas negras. Las listas negras y los proveedores de servicios de Internet (ISP)83 Las listas negras proporcionan un incentivo para invertir en seguridad, ya que tienen un impacto directo en el modelo de negocio de los ISP. Por ejemplo, un ISP mediano inform de un incidente de seguridad en el que 419 spammers84 configuraron ms de 1.000 cuentas de correo electrnico en su dominio y despus empezaron a enviar spam, incluyendo serv id o re s d e co rr eo d e lo s I SP en la s list a s n eg r as, lo que provoc un gran nmero de llamadas a los centros de atencin al cliente, por parte de los afectados que haban notado que sus correos electrnicos no llegaban.
81 Para ms informacin sobre la ley CAN-SPAM: [Link] (informacin disponible en ingls) 82 83 OCDE (2007b) pg. 33. Nota: este texto es parte del informe original. Vase OCDE (2007b) pp. 33-34.

84 Se trata de un fraude en el que se convence a la vctima de que adelante cantidades relativamente pequeas de dinero para conseguir ms dinero. Este tipo de fraude tiene muchas variantes, siendo la ms conocida las Cartas Nigerianas o timo 419, que hace referencia al artculo 419 del Cdigo Penal Nigeriano que se encarga de este tipo de fraudes.

28

DSTI/ICCP/REG(2007)5/FINAL Este nmero no incluye las notificaciones de abuso entrantes, cuyo nmero era supuestamente an mayor. En otro ejemplo, un agente de seguridad de un gran proveedor de servicios de Internet explic que estar en una lista negra llev a un enfoque ms proactivo para eliminar bots de la red, incluyendo la adquisicin de equipamientos que automatizan el proceso de identificar mquinas infectadas en la red.85 A mediados de 2007, este proveedor en particular identific unos 50 clientes al da y si el cliente no solucionaba el problema, se suspenda la conexin. Existen varios niveles de listas negras que se utilizan para incitar una respuesta por parte del proveedor. En el nivel ms bajo, se encuentra una lista negra de direcciones IP individuales, es decir, un cliente individual. Segn un experto de seguridad, esto no tiene ningn impacto en el proveedor. nicamente cuando el nmero de direcciones IP listadas alcanza un cierto lmite, el problema podra llamar la atencin del proveedor. Segn los expertos, los proveedores suelen ignorar las direcciones IP individuales que han sido listadas, debido a los costes relativamente altos de hacerse cargo de ellas, por ejemplo, la atencin al cliente. Adems, las direcciones IP particulares desaparecen de las listas negras si los spammers o atacantes pasan a otras mquinas infectadas. Otros incentivos ms poderosos son las listas negras de rangos IP enteros y de servidores de correo salientes, que normalmente llaman la atencin de los proveedores y llevan a una accin de saneamiento, aunque la efectividad vara segn el grado de vigilancia aplicado por el proveedor. La forma ms extrema es incluir toda una red en una lista negra, es decir, todas las direcciones IP de un proveedor. Esto slo se usa contra proveedores semi-legtimos que no actan ni contra el spam ni contra parasos de spam. Listas negras y registradores de nombres de dominio Los registradores que ofrecen alojamiento y servicios de correo electrnico estn sujetos a listas negras en las mismas condiciones que los proveedores de servicios. Los operadores de listas negras tambin vigilan a los registradores y su respuesta ante las quejas de abuso. En casos extremos, las listas negras pueden incluir al propio registrador. Un famoso caso fue el reciente conflicto entre el operador de listas negras Spamhaus y el registro/registrador australiano [Link]. Spamhaus haba solicitado a [Link] que eliminara nombres de dominio que segn afirmaba estaban asociados con el phishing a travs de la banda rock phish. [Link] no cumpli con la solicitud, alegando restricciones legales. El registrador argument que legalmente no poda eliminar los sitios, a menos que Spamhaus proporcionara una clara prueba de que los nombres de dominio haban sido registrados usando informacin falsa.86 El conflicto se agrav cuando Spamhaus incluy el servidor de correo saliente de [Link] en una de sus listas negras, listndolo como soporte de spam para que el correo electrnico de los registradores no fuese aceptado por la multitud de servidores que utilizan esta popular lista de correo. Unos diez das despus de que Spamhaus cambiara el listado de [Link] por un listado simblico, ya no bloqueaba las direcciones IP, pero las mantena en la lista de soporte de spam. Varios de los dominios ofendidos haban sido eliminados, pero [Link] neg que hubiese incumplido la peticin de Spamhaus y asumi que los proveedores de alojamiento tomaran medidas.87

85 86 87

OCDE (2007b) pg. 34. Sokolov, D.A. (2007). ORF (2007) y Spamhaus (2007).

29

DSTI/ICCP/REG(2007)5/FINAL LA ECONOMA DEL MALWARE Los agentes maliciosos

Quines son los agentes maliciosos?

Estudios demuestran que la variedad de agentes maliciosos que desarrollan y distribuyen malware va desde aficionados que buscan la fama hasta importantes ciberdelincuentes organizados. Tambin se afirma que las naciones estado poseen las mismas capacidades. La Figura 5 representa los agentes maliciosos, desde los Innovadores hasta el Crimen Organizado88, basndose para ello en un reciente estudio sobre la actividad delictiva en Internet. Sin embargo, es importante sealar que hay una categora entera de agentes cuyas motivaciones son polticas o ideolgicas, en vez de simplemente econmicas. Mientras que ciertos delitos son siempre locales, la gran mayora de los delitos online transpasan las fronteras jurisdiccionales e internacionales, reduciendo as el riesgo de identificar y juzgar a los delincuentes. Dado que no es posible localizar a los autores de muchos de los ataques de malware, resulta difcil ofrecer un enfoque autntico de la naturaleza de los grupos o individuos implicados en la distribucin de diversos tipos de delitos. Sin embargo, algunas instituciones financieras y del orden pblico estn involucradas de forma activa en el control e investigacin del dinero procedente de transferencias de fondos fraudulentas, resultado de ataques de phishing y troyanos de robo de identidad. Estas investigaciones implican la identificacin de mulas de dinero (money mules), es decir, individuos que losdelincuentes reclutan voluntaria o involuntariamente para facilitar las transferencias ilegales de fondos entre cuentas bancarias. La Figura 6 representa la evolucin del malware en trminos de intentos maliciosos llevados a cabo por los autores, mostrando una clara evolucin de la bsqueda de fama por parte de los techies hasta delincuentes cuya motivacin son las ganancias econmicas. Cules son sus destrezas y motivaciones? Como se ha demostrado anteriormente en este este estudio, los ataques que usan malware son cada vez ms complejos. Sin embargo, mientras que la sofisticacin de los vectores de ataque aumenta, el concimiento necesario para llevarlos a cabo disminuye considerablemente. Aunque esto podra parecer contraintuitivo, puede deberse en gran medida al creciente mercado de malware. La mayora de los atacantes actuales son adversarios motivados, capaces de adquirir malware o subcontratar a atacantes para llevar a cabo ataques ms sofisticados.

38 El trmino "crimen organizado" se utiliza libremente en este contexto y suele hace referencia a un grupo de delincuentes con fines lucrativos que intercambian servicios en un mercado abierto.

30

DSTI/ICCP/REG(2007)5/FINAL
Fig. 5. Agentes maliciosos89

Innovadores
Quin? Individuos que dedican su tiempo a encontrar agujeros de seguridad en los sistemas o a explorar nuevos entornos para ver si son adecuados para el cdigo malicioso Por qu? Desafo Cmo? Aceptar el desafo de violar las medidas de proteccin existentes

Aficionados que buscan la fama

Quin? Novatos con s conocimientos informticos y de programacin limitados Por qu? Deseo de llamar la atencin de los medios Cmo? Utilizar herramientas y trucos prefabricados

Imitadores
Quin? Hackers o autores de malware Por qu? Deseo de un estatus de celebridad dentro de la comunidad de los delitos informticos Cmo? Interesados en recrear ataques sencillos

Privilegiados
Quin? Trabajadores descontentos o exempleados, contractores y consultores Por qu? Venganza o robo Cmo? Aprovecharse de una seguridad inadecuada gracias a los privilegios que les aporta su posicin en el lugar de trabajo.

Crimen organizado
Quin? Altamente motivados, altamente organizados, ciberladrones del mundo real (cybercrooks), de nmero limitado pero de poder ilimitado Por qu? Beneficios Cmo? Un ncleo concentrado de genios centrados en beneficiarse a travs de cualquier medio posible, rodendose de los recursos humanos e informticos necesarios para que esto ocurra.

89

McAfee Inc. (2006) pg.9.

31

DSTI/ICCP/REG(2007)5/FINAL
Fig. 6. La visibilidad del malware contra el propsito malicioso
90

El modelo de negocio del malware Recientemente, un experto afirm que crear tu propio bot y establecer una botnet es hoy en da una tarea relativamente sencilla. No se necesita conocimiento especializado, simplemente hay que descargar las herramientas disponibles o incluso el cdigo fuente.91 Adems, los kits listos para ser usados (off-theshelf) con troyanos prefabricados pueden descargarse de Internet. Algunas versiones poseen la garanta del autor de que no sern detectadas por los sistemas de seguridad y otras incluso incluyen unacuerdo del nivel de servicios, por el cual el autor garantiza crear durante un cierto periodo de tiempo nuevas versiones para el delincuente, una vez que el malware haya sido detectado. Se ha estimado que este servicio puede costar como mnimo 800 dlares.92 Adems, muchos servicios maliciosos, como, por ejemplo, las botnets, pueden alquilarse.93 El malware, y por extensin su principal vector de propagacin, el spam,94 se combinan cada vez ms como piedras angulares de las tcnicas delictivas, que evolucionan con gran rapidez para conseguir beneficios en la economa de Internet. El malware se ha convertido en un mercado masivo para hacer dinero, ya que ofrece un rentable modelo de negocio. Las tcnicas del malware son cada vez ms sofisticadas, pero algunos usuarios siguen careciendo de la proteccin adecuada. Entender el modelo de negocio del malware puede ayudar a los participantes de la industria y a los legisladores a combatir de manera ms efectiva las amenazas si atacan su rentabilidad econmica. La propagacin de malware est motivada por la posibilidad real de conseguir beneficios econmicos, aunque la informacin que los atacantes fijan como objetivo puede deberse a una gran variedad de propsitos (por puro robo de identidad o espionaje industrial para tener acceso a informacin privilegiada o confidencial, o para denegar el acceso a sistemas de informacin crtica). Mientras que los atacantes siguen organizando ataques de manera satisfactoria, la economa del malware se autoperpeta. Los spammers, phishers y otros tipos de ciberdelincuentes se estn enriqueciendo y, por tanto, poseen mayor poder econmico para crear grandes motores de destruccin.
90 91 92 93 Grfico ofrecido por [Link] ([Link]). McAfee Inc. (2006) pg.6. MessageLabs (2006) pg. 14. Vase infra pg. 25.

94 Como se mencion anteriormente, no todo el spam contiene malware. Sin embargo, la mayora del spam se enva desde sistemas de informacin que han sido comprometidos con malware.

32

DSTI/ICCP/REG(2007)5/FINAL Es un gran negocio, a menudo dirigido por individuos acaudalados, que cuenta con numerosos empleados y grandes cantidades de dinero ilcito. Adems de una creciente frecuencia y sofisticacin de los ataques, el dao es significativo.95 Los ataques modernos muestran un mayor nivel de convergencia, con una combinacin de spam e ingeniera social diseados para reportar el mayor nivel de rentabilidad al atacante. Adems, los ataques actuales consisten en una serie de olas, cada una de ellas con un propsito especfico. Un simple ataque tiene por objetivo crear una lista de direcciones de correo electrnico vlidas, seguido de un correo electrnico a las cuentas infectadas de virus con una carga daina que hace que el sistema del usuario pase a formar parte de una botnet. Una vez que forma parte de la botnet, los ordenadores se suelen utilizar para propagar correos de phishing que, a su vez, generan un rendimiento monetario. Justificacin econmica del malware El correo electrnico no se considera un equilibrio econmico entre el emisor y el receptor, ya que virtualmente no cuesta nada enviarlo. Todos los costes del spam y del malware pasan al proveedor de Internet y a los receptores no dispuestos que se encargan de medidas protectivas, del ancho de banda y otros costes de conexin, por encima de los costes de reparacin del ordenador o de haber perdido dinero en estafas. Al mismo tiempo, los delincuentes minimizan los costes al mximo: no pagan impuestos, evitan el coste de dirigir un negocio genuino y slo pagan comisiones a otros delincuentes a nivel intenacional y a un bajo precio de manera comparativa. El coste de los agentes maliciosos sigue disminuyendo a medida que aumenta de manera gratuita el espacio disponible para almacenar correo electrnico. Adems, el uso de las botnets facilita y hace ms barato enviar malware a travs del correo electrnico. Normalmente, los delincuentes actuales tienen acceso a tcnicas baratas para recopilar direcciones de correo electrnico, as como un acceso ms fcil al malware y a los servicios subcontratados de spamming. Las tcnicas de anti-deteccin estn evolucionando de manera constante para que operar sea ms barato y los agentes maliciosos puedan as cambiar fcilmente de proveedor de servicios si se detecta su actividad y se termina su servicio. Tanto el propio malware como los ordenadores comprometidos utilizados para perpetrar ataques suponen un bajo coste, estn fcilmente disponibles y son un recurso asequible y renovable. Las conexiones de Internet de alta velocidad y el aumento del ancho de banda permiten la creacin masiva de sistemas de informacin comprometida que engloban un sistema de ataque autosuficiente como se puede ver en la Figura 7. Adems, los agentes pueden reemplazar los sistemas que han sido desconectados o limpiados, as como expandir el nmero de sistemas de informacin comprometidos a medida que la demanda de recursos (concretamente malware y sistemas de informacin comprometidos) para cometer delitos informticos tambin aumenta.

95

Vase Malware: Por qu deberamos concienciarnos? sobre las consecuencias del malware.

33

DSTI/ICCP/REG(2007)5/FINAL
Figura 7. SIstema de ataque autosuficiente que utiliza malware

malware Ordenadores comprometidos conectados a Internet (bots) Otros ciberdelitos: distribucin de spam, phishing o DDoS Ciberataques y cibercrimen causados indirectamente por el malware

Analizar y comprometer ms ordenadores instalando malware o alojando sitios de troyanos creando as ms bots Ciberataques y cibercrimen causados directamente por el malware

Nota: este diagrama muestra cmo se utiliza el malware para crear un recurso autosuficiente de ordenadores comprometidos que actan como base de la actividad maliciosa online y del cibercrimen. Los sistemas de informacin conectados a Internet pueden infectarse de malware. Luego, esos sitemas de informacin se usan para analizar y comprometer otros sistemas de informacin.

Proceso de negocio subyacente Los procesos de negocio subyacentes para el spam y el malware siguen en gran medida los mismos patrones: Desarrollar o adquirir software de spam que distribuya malware. Recopilar direcciones, seleccionadas o no, y/o desarrollar o adquirir el control de una botnet. Distribuir spam, con o sin malware, desde ordenadores ajenos a travs de botnets. Publicar sitios web fraudulentos para obtener datos de los usuarios. Siguiendo estos patrones, ciertos grupos de atacantes son activos en toda la cadena de valor, empezando por el desarrollo de malware y la distribucin de spam o malware para blanquear el dinero en una cuenta limpia. Sin embargo, gran parte del mercado delictivo est dividido en grandes bloques de especializacin, lo que permite controlar socios a nivel global, sobre todo a travs del IRC, boletines electrnicos clandestinos y foros online. Los delincuentes desarrollan, mantienen y venden malware, botnets, software de transmisin de spam, CD repletos de direcciones recogidas de pginas web, listas de servidores proxy abiertos y listas de open relays de protocolos simples de transferencia de correo (SMTP)96 . Las listas de direcciones o controles de una botnet son alquiladas o vendidas.

34

DSTI/ICCP/REG(2007)5/FINAL Estas listas cuestan apenas unos 100 dlares para 10 millones de direcciones. Una operacin criminal online podra llevarse a cabo bajo ningn coste, siendo los nicos costes algunas utilidades, tales como el ancho de banda, la conexin a Internet, direcciones de correo electrnico o el alojamiento de sitios web, aunque incluso todo esto podra financiarse de manera ilegal. Mientras que el uso del malware para facilitar la ciberdelincuencia ha aumentado, sobre todo los delitos que buscan un beneficio econmico de manera ilcita, el dinero obtenido a travs de esta actividad maliciosa online se ha vuelto cada vez ms difcil de localizar. Al igual que en las investigaciones criminales tradicionales, localizar el dinero a travs del anlisis del flujo de efectivo podra proporcionar informacin esencial sobre los atacantes. Sin embargo, cada vez es ms frecuente solicitar a las vctimas de la actividad maliciosa online pagos a travs de transferencias bancarias (46% de las transacciones de estafas online en los Estados Unidos en 2006), seguido de pagos con tarjeta (28%), ambos preferibles por la velocidad y posibilidad de ocultar rastros fcilmente, en comparacin con cheques o dinero en efectivo, que actualmente representan menos del 10% de los pagos.97 Este tipo de pagos son rpidos y pueden hacerse casi de forma annima a travs del uso de numerosas cuentas bancarias de todo el mundo. Sistemas alternativos de pago como e-Gold o Paypal hacen an ms difcil localizar los movimientos econmicos. Los usuarios de estos servicios de pago por Internet pueden abrir una cuenta con un nombre falso y utilizar un servidor proxy para proteger la direccin IP de origen.

95 El Protocolo Simple de Transferencia de Correo (SMTP) es la norma comn para las transmisiones de correo electrnico por Internet. 96 United States National Consumer League / National Fraud Information Center (2006) pg. 2.

35

DSTI/ICCP/REG(2007)5/FINAL POR QU DEBERAMOS CONCIENCIARNOS SOBRE EL MALWARE? El aumento del malware y de las formas cada vez ms innovadoras en las que es utilizado para robar datos personales, llevar a cabo espionaje, afectar gobiernos y operaciones comerciales o negar el acceso del usuario a la informacin y servicios es una potencialmente seria amenaza para la economa de Internet, as como para promover la e-Administracin en los servicios para los ciudadanos, para las actividades sociales de los individuos online y para la seguridad nacional. Factores favorables para el malware Las capacidades del malware lo convierten en una frecuente herramienta ciberdelictiva. Sin embargo, existen otros factores econmicos y sociales que pueden contribuir a su mayor frecuencia y al slido estado de su economa. A continuacin, se describen algunos de estos factores que, aunque aportan importantes beneficios a la sociedad, tambin facilitan la existencia y propagacin del malware. Internet de banda ancha y los usuarios En 2005, la Unin Internacional de Telecomunicaciones estim que existan 216.108.600 abonados fijos a Internet de banda ancha en el mundo.98 Adems, est generalmente aceptado que actualmente hay una media de [Link] de usuarios de Internet en el mundo. A medida que el nmero de abonados y usuarios aumenta, tambin aumenta el nmero de los posibles objetivos del malware. La creciente prevalencia de Internet de alta velocidad y la disponibilidad de conexiones sin cable de banda ancha facilitan que los agentes maliciosos perpetren ataques de manera satisfactoria, ya que pueden comprometer ordenadores rpidamente, utilizar el ancho de banda para enviar cantidades masivas de spam y llevar a cabo ataques DDoS. Adems, estas conexiones permanentes permiten a los agentes maliciosos ser mviles y atacar desde cualquier ubicacin, incluyendo lugares pblicos como cybercafs, bibliotecas, cafeteras o incluso desde una PDA o dispositivo de telefona mvil.99 Operar desde lugares pblicos permite a los atacantes perpetrar sus actividades de forma annima, haciendo, por tanto, an ms difcil detectarlas y localizarlas. Hay que sealar que aunque las tecnologas de banda ancha son un factor favorable, el verdadero problema son los comportamientos asociados a estas tecnologas. Por ejemplo, normalmente no se suelen adoptar las medidas de seguridad adecuadas al utilizar tecnologas de banda ancha, dejando, de hecho, la conexin abierta sin tener instalado el software de seguridad apropiado.100 Ms servicios disponibles en Internet La mayora de los gobiernos, consumidores y empresas dependen de Internet para llevar a cabo su actividad diaria. En 2004, la OCDE descubri que en la mayora de sus pases miembros ms del 90% de las empresas de 250 o ms empleados tenan acceso a Internet. Aqullas de 50 a 249 empleados presentaban tambin ndices bastante altos de acceso.101 Los usuarios domsticos utilizan Internet en sus actividades diarias, como son la compra, la banca o simplemente el intercambio de informacin o para realizar trmites con la e-Administracin o transacciones de comercio electrnico. A medida que el nmero de estos servicios sigue aumentando, tambin aumenta la comunidad de usuarios que tiene acceso a estos servicios online. Esto, a su vez, aumenta los objetivos disponibles para ser atacados o explotados, lo que proporciona un mayor incentivo para que los delincuentes lleven a cabo su actividad maliciosa.
98 99 Unin Internacional de Telecomunicaciones (ITU) (2007) pg. 23. McAfee Inc. (2007) pg. 02 y 10.

100 ste podra ser el caso de una conexin a Internet, la banda ancha u algo similar. 101 OCDE (2005) E-7.

36

DSTI/ICCP/REG(2007)5/FINAL El sistema operativo y las vulnerabilidades del software Cuanto ms vulnerable es la tecnologa, ms probabilidades existen de explotarla a travs del malware. Por ejemplo, la compaa de seguridad Symantec102 inform de un aumento del 12% en el nmero de vulnerabilidades conocidas desde la primera mitad de 2006 (Enero-Junio de 2006) hasta la segunda mitad (Junio-Diciembre de 2006) que atribuyeron en su mayora al continuo crecimiento de vulnerabilidades en las aplicaciones web. Microsoft tambi anunci un aumento de casi 2.000 vulnerabilidades encontradas desde 2005 hasta 2006.103 El aumento de vulnerabilidades se corresponde con un aumento de las incidencias. Microsoft tambin inform sobre un incremento en el nmero de ordenadores desinfectados con su Herramienta para la Eliminacin de Software Malicioso (Malicious Software Removal Tool) de menos de 4 millones a comienzos de 2005 a ms de 10 millones a finales de 2006.104 Hay que sealar que la ausencia de vulnerabilidades de un producto software conocidas y denunciadas no significa necesariamente que el producto sea ms seguro que otro cuyas vulnerabilidades se han hecho pblicas, puede simplemente significar que no se han llevado a cabo esfuerzos similares para detectarlas. Adems, las herramientas que detectan y explotan vulnerabilidades son cada vez mejores, las empresas las denuncian con mayor frecuencia y el nmero de investigadores que prueban el software para detectarlas es cada vez mayor. Finalmente, la mayor complejidad del software, es decir, ms funciones interconectadas que necesitan colaborar con un creciente universo de software, hace que tambin sean mayores las posibilidades de detectar vulnerabilidades. El usuario medio de Internet como blanco fcil A medida que aumenta la confianza de los usuarios domsticos de Internet en las Pymes, tambin aumentan las amenazas de malware a las que se enfrentan. Los consumidores y las empresas estn cada vez ms expuestos a una nueva gama de ataques complejos y dirigidos que utilizan el malware para robar informacin personal y bancaria. Muchos usuarios de Internet no estn bien informados de cmo gestionar sus sistemas de seguridad de forma segura. Esta falta de concienciacin y las posteriores acciones o falta de ellas contribuyen a una creciente prevalencia de cdigo malicioso. La mayora del malware necesita algn tipo de accin por parte del usuario o aceptacin para propagarlo. Estudios recientes de varias organizaciones muestran que aunque cada vez ms usuarios toman medidas para proteger sus sistemas de informacin, un gran porcentaje de la poblacin carece de las medidas bsicas de proteccin. Por ejemplo, un estudio de 2005 encomendado por el gobierno australiano, Trust and Growth in the Online Environment (Confianza y Crecimiento en el Entorno Online), descubri que uno de cada siete ordenadores del pas utilizaba un cortafuegos y aproximadamente uno de cada tres utilizaba un software antivirus actualizado.105 Adems, se estima que 59 millones de usuarios de los Estados Unidos tienen programas espa (spyware) u otros tipos de malware en sus ordenadores.106 En 2006, el Eurobarmetro de la Encuesta a Hogares sobre Comunicaciones Electrnicas de la Comisin Europea 107 observ un aumento de concienciacin por parte de los consumidores con respecto al spam y a los virus. En algunos Estados Miembros, hasta el 45% de los consumidores haba experimentado problemas significativos.
102 Symantec (2007) pg. 38. 103 Microsoft (2006b) pg. 8. 104 Microsoft (2006b) pp. 20-21. 105 OCDE (2007c) pg. 33-34. 106 Brendler, Beau (2007) pg. 4. 107 Eurobarmetro de la Comisin Europea (2007) pg. 89.

37

DSTI/ICCP/REG(2007)5/FINAL En el 40% de los casos, el rendimiento informtico disminuy considerablemente y en un 27% de ellos se obsev un incidente. En la misma encuesta, el 19% de los consumidores no tenan ningn sistema de proteccin en sus equipos. Otros datos tambin sugeran que los usuarios domsticos eran un blanco mayor en todos los sectores 108 representando el 93% de todos los ataques dirigidos109y poniendo por tanto de manifiesto que la dbil seguridad del usuario es un importante factor favorable para el malware. Consecuencias del malware En muchos casos, las consecuencias de unas medidas de seguridad inapropiadas son externas o asumidas por otros en la sociedad. Por ejemplo, si el ordenador de un usuario conectado a una red o a Internet no est adecuadamente protegido y se infecta, puede tener consecuencias directas en la seguridad de otros sistemas informticos interconectados. Un ejemplo de esto, es el uso de las botnets para perpetrar ataques DDoS contra los sitios web de terceras partes, servidores de correo u otras redes de ancho de banda o recursos. Mientras que muchas de las tendencias estn aumentando, sigue estando poco claro cmo esas tendencias estn relacionadas con el dao general causado por el malware. Detectar un gran nmero de troyanos no significa necesariamente que el dao es mayor, ya que tambin podra suponer una respuesta a programas de seguridad mejorados. De manera similar, afirmar que las botnets a gran escala estn disminuyendo en tamao no significa necesariamente que las contramedidas sean efectivas, sino que los atacantes han encontrado botnets ms pequeas y ms beneficiosas. En definitiva, dado que las tendencias de ataques malicosos son altamente dinmicas, es difcil sacar conclusiones fiables con respecto al dao econmico. Sin embargo, teniendo en cuenta la creciente proporcin de sistemas de informacin conectados a Internet en un nico pas y los crecientes desafos para detectar y eliminar el malware, es bastante probable, por tanto, que las consecuencias del malware en la sociedad tambin estn aumentando. Consecuencias econmicas datos de muestra Aunque es difcil recopilar datos exactos sobre la actividad delictiva en Internet y las correspondientes prdidas econmicas, est generalmente aceptado que el malware contribuye de forma significativa a estas prdidas.110 Adems, si existen datos sobre la ciberdelincuencia y sus consecuencias econmicas, normalmente las empresas y gobiernos son reacios a hacerlos pblicos. Una asociacin bancaria del Reino Unido valor las prdidads directas causadas por el malware a sus organizaciones miembros111en 12,2 millones de libras esterlinas en 2004, 23,2 millones en 2005 y 33,5 en 2006, lo que supone un aumento del 90% desde 2004 y del 44% desde 2005. Hay que sealar que estas prdidas directas no son representativas para las consecuencias econmicas actuales, ya que no miden la reduccin de confianza por parte del consumidor en las transacciones por Internet, la prdida de reputacin, las consecuencias en la marca y otros costes de oportunidad directos o indirectos que son difciles de cuantificar. Del mismo modo, no se incluyen costes como gastos laborales para analizar el malware, reparar y limpiar los equipos infectadas; costes referidos a la adquisicin de herramientas de seguridad (programas antivirus y anti-malware) o prdidas de productividad debidas a la incapacidad de los empleados para interactuar con un sistema cuando sufre un ataque.
108 Symantec (2007) pg. 5. 109 Con el objetivo de medir esto, Symantec define el ataque dirigido como una direccin IP que ataca al menos tres sensores Symantec en un sector concreto excluyendo el resto de sectores durante un cierto periodo. Vase Symantec (2007) pg. 85. 110 Un informe de 2004 del Consejo Conjunto de Informacin sobre la Edad-Delito de Estados Unidos (Joint Council on Information Age Crime) mostr que el 36% o menos de las organizaciones encuestadas inform de delitos informticos a las autoridades policiales. Vase US Joint Council (2004) pg. 8. 11 Whittaker, Colin (2007) pg.11.

38

DSTI/ICCP/REG(2007)5/FINAL Una encuesta reciente de 52 profesionales y gestores de tecnologas de la informacin estim un ligero descenso en los daos directos asociados al malware112 de 12,2 millones de euros en 2004 a 10.000 millones de euros en 2005 y 9,3 millones en 2006.113 Este descenso es en gran medida atribuido a la sospecha de que las prdidas indirectas o secundarias estn en realidad aumentando.114 Adems, la misma encuesta descubri que la mayora de las organizaciones tienen en cuenta la frecuencia de los incidentes de malware pero no las consecuencias econmicas.115 Otra encuesta valor la prdida anual de las empresas estadounidenses en 67,2 millones de dlares.116 Aunque los costes de medidas de seguridad relacionadas con el malware se consideran proprietarios, las valoraciones realizadas por los actores del mercado en un reciente estudio emprico variaban del 6 al 10% del coste del capital de las operaciones. Aunque no existan claras valoraciones de las consecuencias del malware en los gastos de operaciones, el estudio descubri que la mayora de las organizaciones experimentaban tales consecuencias. La investigacin emprica puso de manifiesto que exista desconcierto sobre la importancia de las consecuencias, aunque no se public ningn dato que hiciera evidente su magnitud. El coste para los consumidores es incluso ms difcil de calcular, aunque probablementes es significativo. Un ejemplo son los Estados Unidos, donde los consumidores pagaron unos 7,8 millones de dlares durante dos aos para reparar o sustituir sistemas de informacin infectados de virus o programas espa.118 Aunque la mayora de los datos no son comparables entre estudios y el alcance de las encuestas es a menudo limitado, s que ilustran la magnitud de las consecuencias econmicas derivadas del malware, tanto para empresas como para consumidores. Consecuencias en los actores del mercado119 A continuacin se expone brevemente cmo algunos actores clave del mercado hacen frente al malware.

112 Computer Economics (2007), pg. 5. 113 En este caso, los daos directos hacen referencia a costes laborales para analizar, reparar y limpiar sistemas infectados, prdida de productividad del usuario, prdida de ingresos debido a la prdida o disminucin de rendimiento del sistema y otros costes que se derivan directamente de los ataques de malware. Los daos directos no incluyen costes preventivos de hardware o software antivirus, costes permanentes del personal de seguridad de tecnologas de la informacin, costes secundarios de ataques posteriores al ataque de malware original, costes de seguro, el dao a la marca de la organizacin o prdidas de valor de mercado. [Nota: estas cuestiones incluyen el tamao limitado de la muestra, respuestas limitadas, la incapacidad para estimar de manera exacta los costes de incidencias de malware o la dificultad de detectar incidencias de malware. En todos los casos, debera hacerse referencia a prdidas estimadas.] 114 Nota: estas prdidas no se estimaron en la encuesta. 115 Computer Economics (2007) pg. 9. 116 United States Government Accountability Office (2007), pg. 2. 117 OCDE (2007b). 118 Brendler, Beau (2007) (Fuente: StopBadware Project). 119 OCDE (2007b).

39

DSTI/ICCP/REG(2007)5/FINAL Proveedores de Servicios de Internet (ISP) Tanto los costes como los ingresos de los proveedores de servicios de Internet (ISP) y, por tanto, su rentabilidad, estn afectados de forma directa e indirecta por el malware. El mayor coste inmediato del malware es la atencin al cliente y la gestin del abuso. Estos costes pueden aumentar si los ISP resultan afectados por las listas negras en la lucha contra los ordenadores infectadas de su red. Las formas de malware que aumentan el volumen de trfico, como las botnets que generan cantidades masivas de spam, si no se controlan provocan costes de oportunidad para el proveedor de servicios. El nivel de estos costes de oportunidad depende de la capacidad de utilizacin de la red existente. Si la red tiene capacidad de sobra, los costes de oportunidad del trfico adicional resultarn bajos para el proveedor de servicios. Sin embargo, si la utilizacin de la capacidad de la red es limitada, los costes de oportunidad pueden ser significativos a medida que el aumento de trfico con malware inducido puede expulsar otro trfico a corto plazo y necesitar inversiones adicionales en las instalaciones de la red (en concreto routers y la capacidad de transmisin) a medio y largo plazo. El malware tambin puede afectar al ISP de manera indirecta a travs de ingresos reducidos, en caso de que la marca o la reputacin del cliente se vean afectadas, por ejemplo, a causa de listas negras o conectividad reducida. Los proveedores de servicios deben invertir en medidas preventivas para reducir el malware, como, por ejemplo, filtros para el trfico entrante o tecnologas que les permitan poner en cuarentena a los clientes, nicamente si el coste es menor que el coste causado por el malware, de manera directa o indirecta. Empresas de comercio electrnico Las empresas de comercio electrnico resultan afectadas por el malware en gran variedad de formas. Muchas tienen que hacer frente a ataques DDoS que a menudo les exigen adquirir servicios ms costosos de sus proveedores, as como proteger la disponibilidad de los servicios. Adems, el malware se ha utilizado para recopilar datos confidenciales de los clientes, tales como informacin de tarjetas de crdito registrada en las cuentas de los clientes de empresas de comercio electrnico. Algunas formas sofisticadas de malware han conseguido sortear las medidas de seguridad de los sitios de banca online que confan en la denominada autentificacin multifactorial en lugar de simplemente en las credenciales de inicio de sesin del usuario. Incluso si la informacin del usuario no permite el acceso inmediato a los recursos financieros, se puede utilizar para personalizar correos electrnicos de phishing que tratan de persuadir a los clientes para que revelen informacin financiera. Existen tambin casos en los que el malware se ubica en los servidores de las empresas de comercio electrnico, las cuales no son conscientes de que sus sitios web alojan contenidos maliciosos que son distribuidos a los visitantes. Normalmente, son los propios clientes de comercio electrnico quienes resultan perjudicados, aunque de forma directa o indirecta la empresa de comercio electrnico tambin puede resultar afectada. A menudo, los proveedores de servicios financieros compensan a sus clientes por los daos sufridos. Otras empresas pueden sufrir repercusiones en su reputacin. Vendedores de software Los vendedores de software resultan afectados de manera directa e indirecta. El malware utiliza las vulnerabilidades de sus productos para infectar los equipos. El dao derivado de estas vulnerabilidades no afecta directamente a los vendedores de software, aunque puede tener repecusiones en su reputacin y requerir costosas medidas de respuesta. Desarrollar, probar y aplicar parches que eliminan vulnerabilidades resulta muy costoso, tanto para el vendedor como para el cliente Con frecuencia, los desarrolladores de software hacen frente a intercambios de desarrollos entre la seguridad, la apertura del software como plataforma, la usabilidad y los costes de desarrollo. Las inversiones en seguridad pueden retrasar la comercializacin y, por tanto, suponer costes de oportunidad adicionales que resultan en la prdida de ventajas al ser los primeros actores en entrar al mercado. Por otra parte, si la reputacin afecta al trabajo, los vendedores de software cuyos productos tienen reputacin de pobre seguridad pueden experimentar costes en forma de prdida de ingresos. Sin embargo, estas consecuencias se mitigan por el hecho de que muchos mercados de software tienden a contar con firmas importantes y, por tanto, encasillan a los clientes en productos especficos.

40

DSTI/ICCP/REG(2007)5/FINAL Registradores Los registradores se han convertido en una parte del ecosistema de seguridad. Sus prcticas de negocio y polticas afectan los costes del malware, as como los modelos de negocio delictivos que se crean a su alrededor. Los registradores pueden obtener ingresos adicionales de los registros de nombre de dominio, aunque estn relacionados con el malware, pero no pueden sufrir ningn coste especfico directamente. No obstante, si los dominios estn relacionados con una actividad maliciosa, podra dar lugar a un aumento en el nmero de notificaciones de abuso, tanto formales como informales. Hacer frente a tales notificaciones de abuso resulta costoso, lo que supone que los registradores se deben comprometer a formar al personal. La suspensin de los dominios podra suponer responsabilidades legales. Adems, muchos registradores puede que no estn bien equipados para hacer frente a las peticiones de desregistro de malware. El desregistro de dominios de malware puede resultar muy complejo en comparacin con los desregistros de phishing, que normalmente suponen una clara violacin de la marca o de los derechos de autor. Algunos expertos afirman que el abuso del registrador encargado de un equipo siempre har mencin a la falta de pruebas para llevar a cabo la peticin de desregistro, aunque se hayan aportado pruebas suficientes para muchos equipos de respuesta a incidentes. Dado el riesgo de la accin legal, si un dominio legtimo no fuese correctamente desregistrado, los registradores defenderan a sus clientes antes que a los demandante. Uno de los costes econmicos a los que se enfrentan los registradores es probar la identidad de los registrados. Algunos dominios, como por ejemplo .[Link], requieren rigurosos tests para el registro de la empresa y la elegibilidad de un nombre antes de concedrselo. Estas restricciones prueban que el nmero de registros fraudulentos en el dominio .[Link] ha disminuido. Usuarios finales Los usuarios finales componen el grupo ms diverso de actores, desde usuarios domsticos hasta grandes empresas u organizaciones gubernamentales. Los equipos de los usuarios finales, desde ordenadores domsticos hasta servidores web corporativos, son un blanco tpico para el malware. Las consecuencias econmicas de los ordenadores infectados se propagan a travs de todo el sistema de valor. Algunas de las repercusiones las sufren los actores del mercado, no los propietarios de equipos infectados, aunque tambin existe malware que afecta directamente a los dueos, por ejemplo, el robo de informacin sensible del equipo comprometido. Prdida de confianza La fuerte confianza de la sociedad en los sistemas de informacin hace que las consecuencias del fallo de stos, o de que resulten atacados, sean potencialmente serias. El malware es un medio eficaz y efectivo para que los atacantes comprometan un gran nmero de sistemas de informacin, as como una ponderosa herramienta para mermar y disminuir la capacidad de la sociedad para confiar en la integridad y confidencialidad de la informacin de estos sistemas. La falta de una proteccin adecuada para la confidencialiad e integridad de las transacciones en Internet puede tener consecuencias para los gobiernos, empresas y consumidores. Por ejemplo, los servicios de la e-Administracin, como por ejemplo, el registro online de impuestos o beneficios, incluyen normalmente datos personales que si resultan comprometidos, podran usarse para cometer fraude. Los sistemas de informacin de las pequeas empresas o de las organizaciones del sector pblico y privado podran utilizarse para acceder a los servicios de la e-Administracin o del comercio electrnico. La naturaleza del malware es tal, que no es posible confiar en la confidencialidad o integridad de los datos enviados o a los que tiene acceso cualquier ordenador anfitrin comprometido con cdigo malicioso. A menudo resulta difcil distinguir un ordenador anfitrin comprometido de uno que no lo est y, por lo tanto, en un entorno como Internet, en el que el malware ha tomado poder, las conexiones de ordenadores anfitriones infectados deben considerarse como potencialmente sospechosas. As pues, la capacidad para confiar en las transacciones en Internet puede disminuir an ms, ya que los mecanismos tradicionales de confianza en la economa de la informacin, como, por ejemplo, la autentificacin, cifrado y certificados digitales pueden ser daados, sorteados o manipulados por el malware.120

41

DSTI/ICCP/REG(2007)5/FINAL En los ltimos aos, se ha llevado a cabo un nmero de encuestas que muestran el desconcierto de los consumidores con respecto a los riesgos de seguridad y privacidad que conlleva proporcionar informacin online o realizar operaciones por Internet. 121 El punto clave de estas encuestas es que si la preocupacin con respecto a la seguridad y privacidad fuesen mejor tratadas, muchos consumidores utilizaran el comercio electrnico, la banca online y varios servicios de la e-Adminsitracin con mayor frecuencia de la actual, mejorando as los beneficios econmicos y la efectividad que se espera de estas plataformas. Sin embargo, a pesar del desconcierto, existen otros estudios que muestran que la comodidad y eficacia de Internet estn aumentando el uso del comercio electrnico y de la banca online. En 2006, RSA Security anunci el primer ndice de Confianza en Internet, diseado para medir cambios en la confianza de Estados Unidos y Europa en las transacciones seguras online entre consumidores y empresas.122 En ese momento, el ndice anual, basado en datos recogidos de empresas y consumidores de Estados Unidos, Reino Unido, Alemania y Francia, revel que la disposicin para llevar a cabo operaciones en Internet estaba por lo general superando a la confianza, y que consumidores y empresas estaban asumiendo los riesgos de beneficiarse de las operaciones online. Estas dos piezas aparentemente contradictorias ponen de manifiesto que el papel e importancia de la confianza no se tienen en cuenta tanto como deberan y que, de hecho, resulta difcil medir la confianza del usuario en el entorno online. Sin embargo, las pruebas empricas muestran que las empresas de comercio electrnico se benefician en gran medida de la capacidad para llevar a cabo operaciones en Internet123. Por ejemplo, dadas las estimadas ganancias en eficiencia del sector financiero, el ahorro de costes relativos al enorme volumen de transacciones se convierte en un incentivo bastante poderoso para mover el mayor volumen posible de estos servicios en Internet. Re it er ad a me n t e en e l es tudio, l as e mpr e s as d e co me r cio el ec t r n i c o i n d i c a r o n q u e l o s n i v e l e s de i n v e r s i o n e s d e s e g u r i d a d e r a n m u c h o m s a lto s qu e lo que ju st ifi cab an l a s prdid as d i r e c t a s , n o r m a l m e n t e e n u n o o dos rdenes d e magnitud.124 Obviamente, las prdidas directas no se consideran un indicativo del problema general. Sera mucho ms devastador, si, por ejemplo, el fraude online minara la confianza del consumidor o desacelerara el consumo de servicios financieros en Internet. Riesgo para las infrastructuras de informacin crtica Las infrastructuras crticas de nuestra sociedad, como redes elctricas o plantas de agua, dependen normalmente del funcionamiento de las redes IP subyacentes para su instrumentacin y control. La mayora de los sistemas de control que supervisan y controlan procesos crticos no fueron diseados teniendo en cuenta la seguridad, quedando aislados de un entorno globalmente conectado. Sin embargo, ahora estn cada vez ms conectados a Internet, de forma directa o indirecta (a travs de redes corporativas) y, por tanto, se enfrentan a nuevas amenazas. A medida que estos sistemas se basan en estndares ms abiertos, que utilizan Ethernet, TCP/IP y tecnologas web, se vuelven ms vulnerables a las mismas amenazas de seguridad existentes para otros sistemas de informacin.

120 Vase el Anexo B sobre cmo el malware daa las tecnologas de seguridad y las contramedidas. 121 Australian Government, Office of the Privacy Commissioner (2004); Consumer Reports WebWatch (2005), Gartner (2005); RSA Security (2006); TriCipher (2007). 122 RSA Security (2006). 123 OCDE (2007b) pg. 43; Por ejemplo, dos encuestados del sector financiero estimaron que las operaciones online eran 100 veces ms baratas que procesar esas mismas transacciones en bancos, por correo o por telfono. 124 OCDE (2007b) pg. 48.

42

DSTI/ICCP/REG(2007)5/FINAL Por tanto, la alteracin de los sistemas de infrastructuras de informacin crtica a travs del malware tiene el potencial de afectar al sector pblico y privado y a la sociedad en general. Existen muy pocos casos en los que los ataques con malware hayan afectado directa o indirectamente la infraestructura de informacin crtica. Por ejemplo, en Rusia, los hackers maliciosos usaron un troyano para controlar una gasoducto propiedad de Gazprom.125 En enero de 2003, el gusano Slammer, que caus importantes problemas en sistemas informticos de todo el mundo, penetr el sistema de supervisin de la seguridad de una central nuclear estadouniense durante casi cinco horas.126 La Comisin Americana Reguladora de Energa Nuclear investig el suceso y descubri que un contratista haba establecido una conexin desprotegida en su red corporativa, a travs de la cual el gusano pudo infectar de manera satisfactoria la red de la central.127 Ms recientemente, Estados Unidos acus a James Brewer de controlar una botnet de ms de 10.000 ordenadores en todo el mundo, incluyendo ordenadores ubicados en los servicios sanitarios Cook County Bureau of Health Services (CCBHS). El malware hizo que los ordenadores infectados, entre otras cosas, no respondieran o se reiniciaran constantemente, lo que caus retrasos significativos en la prestacin de servicios mdicos y en el acceso a los datos del personal del centro.128 Aunque los gobiernos se muestran a menudo reacios a hacer pblicas las cifras de ataques contra infraestructuras crticas, es obvio que proteger los sistemas de informacin que las mantienen es cada vez ms importante.129 A pesar de que slo se ha informado de unos pocos casos, es ampliamente conocido que los sistemas de informacin crtica son vulnerables a los ataques. Por ejemplo, aunque el apagn de 2003, ocurrido en el noreste de Estados Unidos y Canad, se atribuy a un fallo del software, el anlisis del incidente demostr que los sistemas eran vulnerables a los ataques, incluyendo los que utilizaban malware.130 Desafos para combatir el malware Protegerse contra, detectar y responder ante el malware se ha vuelto cada vez ms complejo a medida que el cdigo malicioso y la actividad delictiva subyacente que lo financia evolucionan rpidamente y se aprovechan de la naturaleza global de Internet. Muchas organizaciones e individuos no poseen los recursos, destrezas o especializacin para evitar y/o responder de manera efectiva a los ataques de malware o delitos secundarios que surgen de otros ataques, como, por ejemplo, el robo de identidad, el fraude o los ataques DDoS. Adems, el alcance del control de las organizaciones para combatir el problema del malware es limitado. Muchas empresas de seguridad afirman ser incapaces de hacer frente a las abrumantes cantidades de malware, a pesar de disponer de importantes recursos para analizarlas. Un vendedor utiliz 20 ingenieros para analizar nuevas muestras de malware y encontrar formas de bloquearlo, pero descubri que sta era un tarea prcticamente imposible, ya que al da aparecan unas 200 nuevas muestras que iban en aumento.131 Otra empresa inform que reciba una media de 15.000 archivos y un mximo de 70.000 al da que procedan de usuarios de productos, CSIRT y de otros participantes de la comunidad de la seguridad.132 Cuando se reciban las muestras y los archivos, las empresas de seguridad llevaban a cabo un proceso para determinar si el archivo era de hecho malicioso.
125 126 127 128 Denning, Dorothy (2000). Poulsen, Kevin (2003). United States Nuclear Regulatory Commission (2003). United States District Court Northern District Of Illinois Eastern Division (2007).

129 Un reciente studio de la OCDE titulado The Development of Policies to Protect the Critical Information Infrastructure (El Desarrollo de Polticas para Proteger Infraestructuras de Informacin Crtica) hace hincapi en este punto. Vase DSTI/ICCP/REG(2007)20/FINAL. 130 131 132 U.S.-Canada Power System Outage Task Force Final Report pg. 131. Greene, Tim (2007). OCDE (2007c) pg. 7.

43

DSTI/ICCP/REG(2007)5/FINAL Esto tiene lugar recopilando datos de otros vendedores, llevando a cabo anlisis automatizados o manuales, en caso de que otros mtodos no puedan determinar la naturaleza maliciosa del cdigo. Un vendedor estim que cada iteracin el ciclo duraba 40 minutos y que se publicaba una media de 10 actualizaciones al da.133 Adems, existen muchos vendedores de seguridad que tienen diferentes puntos de vista con respecto al problema del malware. La mayora de las tecnologas de seguridad, tales como productos antivirus o anti-espa se basan en la firma, lo que significa que slo pueden detectar aquellas piezas de malware para las cuales un identificador, conocido como firma, ya existe y ha sido utilizado. Siempre que hay un perido entre el momento en el que el malware es distribuido por los atacantes en el medio natural, el momento en el que se descubre, el momento en el que los vendedores de antivirus desarrollan sus firmas y el momento en el que se determina una fecha para esas firmas y los sistemas de informacin de los usuarios y organizaciones. Los atacantes buscan activamente explotar este periodo de alta vulnerabilidad. Est generalmente aceptado que las soluciones que utilizan la firma, como, por ejemplo, los programas antivirus, no son suficientes para combatir el frecuente y complejo malware actual. Por ejemplo, un anlisis134 que explora tasas de deteccin de antivirus para 17 vendedores diferentes de antivirus pone de manifiesto que en general, slo se detect aproximadamente el 48,16% del malware. Pruebas circunstanciales como sta muestran que los atacantes estn activamente probando nuevas creaciones de malware contra populares programas antivirus para garantizar que no puede ser detectado. Adems, los agentes maliciosos explotan la naturaleza distribuida y global de Internet, as como las complicaciones de la ley y de la jurisdiccin, sujetas a las tradicionales fronteras fsicas, para disminuir los riesgos de ser identificados y juzgados. Por ejemplo, una gran cantidad de datos recopilados por los atacantes a travs de keyloggers se transmite internacionalmente a pases en los que las leyes contra la ciberdelincuencia estn surgiendo, no existen o no son ejecutables. Aunque la mayora de los pases ha reconocido la gravedad del cibercrimen y muchos han tomado medidas legislativas contra los delincuentes, no todos disponen de marcos legales que permitan juzgar a los culpables.135 Sin embargo, el problema se complica an ms si se compromete informacin en un pas a travs de un acto criminal desde otro pas, utilizando servidores ubicados en un tercer pas. Las autoridades policiales de todo el mundo han realizado esfuerzos para juzgar a los ciberdelincuentes. Por ejemplo, la Seccin de Propiedad Intelectual y Ciberdelincuencia perteneciente al Departamento de Justicia estadounidense ha informado de acciones penales en 118 casos de delitos informticos de 1998 a 2006.136Aunque las estadsticas globales sobre las detenciones son difciles de determinar, una empresa determin el nmero de arrestos a nivel internacional en 100 en 2004, varios cientos en 2005 y de nuevo 100 en 2006.137 Aunque estos casos no implicaban necesariamente el uso de malware, ayudaban a ilustrar las actividades de la comunidad policial. Hay que sealar que los individuos procesados son normalmente responsables de multitud de ataques. Estas cifras son bajas considerando la prevalencia de los delitos e incidencias online y ponen de manifiesto los complejos retos a los que hacen frente las autoridades policiales al investigar la ciberdelincuencia. Adems, la naturaleza voltil de las pruebas electrnicas y la falta frecuente de informacin registrada hace suponer que las pruebas se han destruido para cuando las autoridades policiales obtienen la orden necesaria para recuperar los equipos. La burocracia policial ofrece buenos pesos y contrapesos, pero reacciona tarde ante la velocidad de los delitos electrnicos.
133 OCDE (2007c) pg. 7. 134 Informacin proporcionada a la OCDE por el [Link], el CSIRT nacional de Brasil. 135 Un sitio web ofreci una encuesta sobre la legislacin de la ciberdelincuencia recopilando 77 pases con algn tipo de ley relativa a este tipo de delitos. Vase [Link] 136 United States Department of Justice Computer Crime & Intellectual Property Section. 137 Green, Tim(2007a).

44

DSTI/ICCP/REG(2007)5/FINAL Aparte de esto, los afectados por incidencias de seguridad no entendan el por qu del cumplimiento de la ley ni la destruccin accidental de las pruebas electrnicas. Hoy en da, los beneficios del malware parecen ser mayores para los atacantes que los riesgos de llevar a cabo una actividad delictiva. El ciberespacio ofrece a los delincuentes un gran nmero de posibles objetivos y formas de obtener dinero por parte de las vctimas online, as como un abundante suministro de recursos informticos que pueden ser aprovechados para facilitar esta actividad delictiva. Tanto el malware como los sistemas de informacin comprometidos, utilizados para perpetrar los ataques, tienen un bajo coste, estn fcilmente disponibles y se actualizan frecuentemente. Las conexiones de alta velocidad de Internet y el aumento del ancho de banda permiten que la gran cantidad de sistemas de informacin comprometidos renueven y expandan el sistema de ataques autosuficientes. Por el contrario, las comunidades involucradas en la lucha con el malware hacen frente a numerosos desafos que no siempre se pueden resolver de forma efectiva.

45

DSTI/ICCP/REG(2007)5/FINAL CMO ACTUAR CONTRA EL MALWARE? Muchos estaran de acuerdo en afirmar que los daos del malware son significativos y necesitan ser reducidos, aunque las consecuencias econmicas y sociales resulten difciles de cuantificar. Dichos factores deberan tenerse en cuenta a la hora de valorar las medidas que hay que adoptar contra el malware y quin debera ponerlas en prctica, incluyendo el papel y las responsabilidades de los diferentes actores,138 los incentivos por los cuales operan como actores del mercado y las actividades que se han llevado a cabo por parte de las comunidades involucradas de manera especfica en la lucha contra el malware. El papel de particulares, empresas y gobiernos Puntos clave El malware afecta a particulares, empresas y gobiernos de diferentes formas. Todos los implicados pueden desempear un papel fundamental para prevenir, detectar y reaccionar contra el malware a diferentes niveles de competencia, recursos, funciones y responsabilidades, como se indica en las Directrices para la Seguridad de los Sistemas y Redes de Informacin: hacia una Cultura de Seguridad de la OCDE, conocidas como las Directrices de Seguridad. Es necesario un mejor entendimiento de las funciones y responsabilidades de los diferentes actores para valorar cmo mejorar la lucha contra el malware. Entre los diferentes actores, aqullos afectados por el malware son: Usuarios (usuarios domsticos, Pymes y organizaciones de los sectores privado y pblico), cuyos datos y sistemas de informacin son un posible blanco, los cuales disponen de diferentes niveles de competencia para protegerlos. Vendedores de software con un papel clave en el desarrollo de programas fiables, seguros y dignos de confianza. Vendedores de antivirus con un papel fundamental en la prestacin de soluciones de seguridad para los usuarios, como, por ejemplo, la actualizacin de programas antivirus con la ltima informacin sobre malware. Proveedores de Servicios de Internet (ISP) con un papel esencial en la gestin de redes a las que se conectan los grupos anteriormente mencionados para acceder a Internet. Registradores y reguladores de nombres de dominio, quienes determinan si un dominio debe ser registrado, los cuales tienen potencialmente el poder de desregistrar un dominio utilizado para cometer fraude u otra actividad delictiva, incluyendo, por ejemplo, la distribucin de malware. CSIRT, normalmente los nacionales o ms importantes (con frecuencia gobiernos), con un papel principal para detectar, reaccionar y recuperarse de incidencias de seguridad, as como para enviar boletines de seguridad sobre las ltimas amenazas de redes informticas o vulnerabilidades relacionadas con los ataques de malware o para coordinar la resolucin de ataques de redes informticas a nivel nacional e internacional que afectan a su circunscripcin o surgen de ella.

138 Segn las Directrices de Seguridad de la OCDE, el trmino actores hace referencia a gobiernos, empresas u otras organizaciones y usuarios particulares que desarrollan, poseen, proporcionan, gestionan y utilizan sistemas y redes de informacin.

46

DSTI/ICCP/REG(2007)5/FINAL Las autoridades policiales encargadas de investigar y emprender acciones legales contra los ciberdelincuentes. Las administraciones pblicas con un papel clave en la gestin de riesgos contra la seguridad de los sistemas de informacin gubernamentales y las infrastructuras de informacin crtica. Las organizaciones gubernamentales e intergubernamentales con un importante papel en la elaboracin de polticas e instrumentos legales a nivel nacional e internacional para mejorar la prevencin, deteccin y respuesta ante la proliferacin del malware y sus correspondientes delitos. Incentivos y desincentos Puntos clave139 Una mejor comprensin de cmo los actores del mercado estn hoy en da incentivados o no es importante para entender cmo estn reaccionando ante el malware, as como para mejorar la lucha contra este fenmeno. Los incentivos se determinan segn los costes y beneficios asociados a las posibles respuestas de cada actor del mercado. En algunos casos, los incentivos son mayores para que un actor del mercado desarrolle enfoques polticos y tcnicos que permitan combatir el malware de manera efectiva. En otros casos, los estmulos pueden ser menos obvios o incluso inexistentes. Los actores llevan a cabo sus intercambios segn el tipo de medidas de seguridad que consideren apropiadas y racionales de acuerdo a su modelo de negocio. Existe muy poca informacin en el mbito pblico acerca de cmo los actores particulares toman decisiones de seguridad, lo que hace difcil evaluar cualquier forma de poltica pblica. Las decisiones econmicas con respecto a la seguridad de la informacin dependen de los estmulos particulares140 que percibe cada actor del mercado. Estos estmulos estn arraigados a mecanismos econmicos, legales y de otro tipo, incluyendo las condiciones econmicas especficas del mercado, la interdependencia con otros actores, las normas legales formales y los estndares informales. De forma ideal, los estmulos ms pertinentes deberan asegurar que los costes y beneficios de las decisiones de seguridad se adecuen a los costes y beneficios sociales. Por tanto, cualquier estrategia poltica para combatir el malware necesita tener en cuenta mecanismos de estmulo y analizar si potencialmente podran modificarse para producir resultados ms eficientes a nivel societal. Para ilustrar todo esto, un proveedor de servicios financieros online podra decidir que es ms efectivo, desde el punto de vista del coste, compensar los daos de los cliente que han sido vctimas del malware en lugar de introducir nuevas tecnologas de seguridad para reducir el dao. No slo estas tecnologas podran resultar ms costosas que el dao directo, sino que podran hacer posible que los clientes adoptaran estos servicios. Los incentivos por los cuales estos proveedores de servicios operan, puede hacer racional, desde el punto de vista econmico, mantener el dao a niveles razonables, en lugar de contenerlo.
139 OCDE (2007b). 140 Normalmente, los incentivos se clasifican segn factores monetarios (remuneratorio, financiero) y no monetarios (no financieros, morales). Los incentivos financieros incluyen factores tales como vincular el salario de un empleado al rendimiento corporativo, la capacidad de sacar un beneficio supernormal a travs de innovaciones arriesgadas o los efectos del dao potencial para la reputacin de la firma. Los incentivos no financieros engloban estndares y valores, normalmente compartidos entre iguales, que resultan en el entendimiento comn para llevar a cabo las medidas adecuadas o para el conjunto de posibles medidas que deberan evitarse en una situacin particular. Normalmente, los incentivos financieros relacionan los grados de consecucin de un objetivo con los pagos monetarios. Los incentivos no financieros surgen de la propia autoestima o culpabilidad y del reconocimiento o condena por parte de la comunidad.

47

DSTI/ICCP/REG(2007)5/FINAL A nivel societal, la cuestin poltica clave es saber si las decisiones de los actores tienen en cuenta los costes y beneficios derivados de su respuesta ante el malware. Existen casos en los que los estmulos de los actores no reflejan los costes que sus decisiones suponen para otros, lo que significa que esos costes son externalizados. Un ejemplo muy citado de externalidad es la falta de seguridad de un grupo de usuarios finales cuyos equipos estn infectados de malware, pero que no se hacen cargo directamente de los costes de esta infeccin, ya que el malware no ataca el ordenador anfitrin, sino que se utiliza para atacar otros equipos.

Externalidades relacionadas con el malware

Los mercados del mundo real rara vez satisfacen los pre-requisitos que se deben asumir segn la teora econmica bsica. Por ejemplo, aqullos que toman decisiones no suelen disponer de informacin completa, sino que operan en condiciones de racionalidad limitada y se comportan de forma oportunista. Por estas razones, las decisiones individuales del mundo real son con frecuencia un proceso de buscarse las habichuelas a travs de otro tipo de soluciones, sobre todo en un entorno de rpida evolucin tecnolgica. Adems, muchas externalidades y costes relacionados con el malware tienen su origen en conductas ilegales o delictivas de actores ilegtimos que imponen costes sobre otros actores del mercado. Valorar el coste econmico directo e indirecto del malware y analizar las contramedidas resulta una cuestin esencial. Puesto que la prestacin de seguridad supone un coste, tolerar un cierto nivel de inseguridad es racional desde el punto de vista econmico. El nivel de seguridad resultante depende de los costes y beneficios de seguridad. Las cuestiones ms importantes que hay que tratar son: tienen en consideracin los actores del mercado todos los costes cuando toman decisiones de seguridad? Qu costes se externalizan a otros actores del mercado o a la sociedad en general? Los datos141 sobre incentivos y externalidades con especto a la red de valor de los diferentes actores del mercado que hacen frente al malware ponen de manifiesto tres situaciones: no hay externalidades, externalidades de las que se hacen cargo agentes de la red de valor y externalidades de las que los agentes o la sociedad en general no pueden hacerse cargo.
No externalidades Se trata de casos en los que una unidad de toma de decisiones, ya sea un usuario particular o una organizacin, evala correctamente los riesgos de seguridad, se hace cargo de todos los costes de proteccin contra las amenazas de seguridad, incluyendo las que estn asociadas a esos riesgos, y adopta las contramedidas adecuadas. Los costes y beneficios de las decisiones de seguridad estn equiparados. Esta situacin sera eficaz desde el punto de vista econmico, pero dado el alto grado de interdependencia en Internet, no suele darse el caso. Las medidas adoptadas o rechazadas en una fase de la red de valor afectarn normalmente a todo el sistema, lo que no significa que estas situaciones no existan. En principio, los usuarios finales (ya sean grandes organizaciones o usuarios domsticos con conocimientos especializados) que utilizan poltias de seguridad estrictas y que impiden de forma satisfactoria que sus equipos resulten comprometidos, generan externalidades no negativas para el resto de la red de valor. Por tanto, no es descabellado afirmar que existen casos en los que el malware puede combatirse satisfactoriamente. Externalidades de las que se hacen cargo agentes de la red de valor Hace referencia a casos en los que una unidad particular evala correctamente los riesgos de seguridad, pero debido a la existencia de externalidades positivas o negativas, la decisin resultante se desva del ptimo social. Tales desviaciones pueden estar basadas en una falta de estmulos para tener en cuenta los costes impuestos sobre otros, pero tambin puede deberse a la falta de destreza para afrontar los riesgos de seguridad o a las restricciones financieras a las que se enfrentan los individuos u organizaciones. Mientras que uno de los agentes de la red de valor internaliza estos costes y se encuentra en situacin de ejercer influencia en ellos (puede incluso ejercer influencia en los intercambios de los agentes que generan la externalidad), el nivel de seguridad adquirido por toda la red de valor no debe desviarse demasiado del ptimo. Esta situacin describe un caso relativamente frecuente, ya que en el estudio emprico aparecieron numerosos ejemplos que confirmaban que las externalidades eran internalizadas por otros actores del mercado.

141

OCDE (2007b) pg. 49.

48

DSTI/ICCP/REG(2007)5/FINAL
Externalidades de las que los agentes o la sociedad en general no pueden hacerse cargo Una unidad particular evala correctamente los riesgos de seguridad segn los incentivos percibidos pero, debido a la existencia de externalidades, esta decisin se desva del ptimo social. Al contrario del caso anterior, los agentes de la red de valor de informacin y comunicacin no se hacen cargo de los costes, y en caso afirmativo, no se encuentran en situacin de ejercer influencia en estos costes, es decir, los intercambios de seguridad de los agentes que generan la externalidad. Por tanto, los costes se generan para todo el sector y para la sociedad en general. Se trata de los costes derivados de la actividad ilegal y delictiva correspondiente al malware, los costes de restitucin de vctimas, los costes del cumplimiento normativo relativo a estas actividadaes, etc. Adems, pueden encargarse de la forma ms indirecta de ralentizar el crecimiento del comercio electrnico y de otras actividades. Ralentizar el crecimiento puede suponer un importante coste de oportunidad para la sociedad en general, si el retraso de las actividades contribuyese a ganancias de eficiencia econmica, as como a acelerar el crecimiento. Una valoracin comprensiva de estos costes adicionales requerira un esfuerzo concertado, pero sera necesario determinar el grado ptimo de las medidas para combatirlo.

Estructuras generales de incentivos para los actores del mercado Un proyecto de investigacin142 llev al mejor entendimiento de las estructuras actuales de incentivos y posibles externalidades muestran que la respuesta general ante el malware surge de la interaccin de los actores del mercado y del grado de compatibilidad o incompatibilidad de sus respectivas estructuras de incentivos. Parece que los incentivos de muchos de los accionistas comerciales estn en lnea de manera razonable con la minimizacin de los efectos de las externalidades en el sector en general. Los incentivos varan en fuerza y en algunos casos son bastante dbiles. Sin embargo, el estudio pone de manifiesto que los actores del mercado analizaron las consecuencias que sus intercambios de seguridad tienen sobre otros. En otras palabras, los bucles de retroalimentacin devuelven los costes impuestos a otros al agente que los provoc, incluso si la fuerza del bucle de retroalimentacin ha sido hasta ahora demasiado dbil o demasiado localizada como para equiparar su conducta con el ptimo social. Para algunos actores, un mecanismo esencial para alcanzar este resultado aproximado es la interdependencia entre ellos. En otros casos, son los efectos de la reputacin los que equiparan los incentivos con una eleccin ptima desde el punto de vista social. Ambos efectos pueden producirse de manera conjunta o independiente, como ocurre con los proveedores de servicios de Internet. Por ejemplo, un usuario que carece de la suficiente proteccin contra el malware puede provocar una externalidad cuyo coste es en parte asumido por el proveedor de servicios, en parte por otro proveedor y en parte por la sociedad en general (ya sean los costes del cumplimiento normativo o la reduccin general de la confianza en el comercio electrnico). Un proveedor de servicios puede incurrir en costes para permitir que su red asle usuarios individuales que podran propagar malware a causa de la insuficiente proteccin de los equipos. Por tanto, parte de esta externalidad es internalizada por el proveedor, debido a los incentivos por parte de ste para proteger la integridad del servicio, y evitar las listas negras y los efectos negativos que esto supondra para los costes funcionales, para su reputacin y, por consiguiente, para sus ingresos y perspectivas de crecimiento. Entre otros resultados, el estudio tambin mostr que mientras que algunos efectos externos son internalizados a nivel de todo el ecosistema de economa de la informacin, otros deban ser considerados como externalidades para la sociedad en general. Por ejemplo, el malware y sus efectos podran manchar la reputacin de industrias que confan sobremanera en las operaciones electrnicas, como banca o seguros. Si las plataformas electrnicas se usan con menor frecuencia de la que deberan, la falta de mejoras de eficiencia puede considerarse como un coste externo para la sociedad del malware. Adems, el malware puede minar la confianza en el funcionamiento y seguridad del comercio electrnico en general. Una vez ms, si esto provoca una difusin y crecimiento ralentizados, las potenciales ganancias de eficiencia que no se han logrado podran considerarse un coste para la sociedad. Tales ganancias potenciales podran tener lugar a nivel sectorial, pero tambin podran manifestarse en forma de bajas tasas de crecimiento econmico en general.
142 OCDE (2007b) Estudio llevado a cabo a travs de entrevistas exhaustivas en cinco pases con representantes de actores del mercado incluyendo proveedores de servicios de Internet, empresas de comercio electrnico (servicios financieros online, vendedores de software y de hardware, registradores y usuarios finales) complementado con entrevistas a reguladores, CSIRT, la ICANN, proveedores de servicios de seguridad e investigadores.

49

DSTI/ICCP/REG(2007)5/FINAL A travs de todo el estudio existen evidencias de preocupacin por la importancia de tales efectos, aunque no hay ninguna indicacin especfica de su magnitud. Los problemas de seguridad y los costes econmicos relacionados con la sociedad pueden tener dos causas: a) son el resultado de ataques constantes a las infraestructuras de informacin y comunicacin por parte de los atacantes y b) dado el nivel general de amenazas externas, pueden agravarse por discrepancias entre los costes y beneficios privados y sociales que son el resultado de una toma de decisiones descentralizada en un ecosistema altamente interrelacionado. Ambos actores del mundo criminal y del sistema de comunicaciones y de la informacin responden a los incentivos econmicos a los que hacen frente. Para los actores del mercado evaluados en el estudio emprico anteriormente mencionado, existe una estructura de distintos incentivos que incluye incentivos positivos y desincentivos para tomar medidas contra el malware. Qu medidas se estn tomando? Puntos clave Un mejor entendimiento de la naturaleza, xitos y limitaciones de las medidas actuales llevadas a cabo por comunidades involucradas especialmente en la lucha contra el malware resulta tambin importante para valorar cmo mejorar la prevencin y la respuesta ante este fenmeno. Los esfuerzos substanciales de varios actores se han llevado a cabo en pases miembros de la OCDE, en economas del APEC y a nivel internacional para concienciar, medir el malware, elaborar y modificar marcos legales, reforzar el cumplimiento normativo, mejorar la respuesta, etc.143 Por ejemplo: Existen muchos sitios web y recursos que permiten a los usuarios y Pymes asegurar sus sistemas de informacin. Muchas entidades localizan, miden y en ocasiones incluso publican datos de su experiencia con el malware y otras amenazas relacionadas.144 Adems, existen esquemas145 que porporcionan identificadores nicos y comunes de nuevas amenazas de virus y de las amenazas de virus ms frecuentes del medio informtico para reducir la confusin durante incidencias de malware. Se han creado varias redes informales que son el elemento clave de la capacidad de respuesta de la comunidad ante los incidentes de malware. CERT/CC ha catalogado 38 CSIRT nacionales, 19 de los cuales se encuentran en pases de la OCDE y 16 que se encuentran en economas del APEC.146 Adems, estas redes celebran encuentros anuales para los CSIRT nacionales con el objetivo de recopilar y compartir informacin sobre numerosas cuestiones, incluyendo el malware. Numerosos pases de todo el mundo disponen de instrumentos legales contra el hacking, el spam y la interferencia de datos y de sistemas. Adems, el Convenio sobre Ciberdelincuencia del Consejo de Europa es el primer tratado multilateral jurdicamente vinculante que trata los problemas que supone la propagacin de la actividad delictiva online. Actualmente, lo forman 43 pases de todo el mundo.

143 Para una explicacin detallada de los esfuerzos especficos, vase el Anexo C. 144 Vase el Anexo A Cifras sobre Malware. 145 Un ejemplo de este esquema es la Enumeracin Comn de Malware (CME), cuya ltima notificacin se public el 19 de enero de 2007 (vase [Link] - es difcil saber si el retraso en la asignacin de referencias de la CME es consecuencia de problemas polticos con el proyecto, de una falta de cooperacin por parte de los vendedores o de ataques cada vez ms dirigidos y que, por tanto, se salen del alcance original de la CME. Algunos expetos consideran que seguir la pista del malware de forma consistente por toda la industria es un problema de la misma envergadura de aos atrs o incluso mayor en la actualidad debido al importante aumento en el nmero de muestras en estado salvaje. Por tanto, el problema de los identificadores comunes de malware es una cuestin que an debera tratarse de manera prctica. 146 CERT Coordination Center (2006).

50

DSTI/ICCP/REG(2007)5/FINAL Las autoridades policiales y las organizaciones de todo el mundo han realizado importantes esfuerzos para localizar agentes maliciosos y llevarlos a juicio por los delitos cometidos. La comunidad policial ha creado redes de puntos de contacto y otros esquemas similares para la cooperacin transfronteriza en el reconocimiento de la mayora de estos crmenes, ms all de las fronteras legales y jurisdiccionales. Normalmente, las fuerzas y cuerpos de seguridad y las empresas utilizan herramientas que implementan el protocol Whois para cuestionar servidores de bases de datos controlados por registradores de nombres de dominio y Registros Regionales de Internet para datos sobre dueos de nombres de dominio, direcciones IP y asignaciones de Nmeros de Sistema Autnomo que pueden identificar las supuestas ubicaciones fsicas en las que tiene lugar la actividad ilegal y los proveedores de servicios ms importante quienes, a su vez, pueden proporcionar informacin con respecto a los clientes. Los proveedores de servicios operan en mercados altamente competitivos y llevan a cabo acciones proactivas en la lucha contra el malware, como, por ejemplo, poner en cuarentena los equipos infectados. Los vendedores de software han aumentado sus esfuerzos para mejorar la seguridad de sus programas. Ms argumentable es el hecho de que muchos vendedores de software coloquen procesos de desarrollo de software en lugares que les desconciertan cada vez ms y se centren en cuestiones de seguridad. Los gobiernos de los pases miembros de la OCDE y de las economas del APEC estn tomando medidas polticas, legislativas y tcnicas para hacer frente al malware147. En concreto, estn trabajando en colaboracin con el sector privado para proteger las infrastructuras de informacin crtica de los gobiernos de los ataques electrnicos.

Estas comunidades han realizado importantes esfuerzos para abordar la cuestin del malware y pruebas anecdticas sugieren una mayor concienciacin con respecto al problema que aos atrs. Sin embargo, la naturaleza de la actividad maliciosa y delictiva online es tal que estas comunidades siempre estn al tanto de las acciones maliciosas. Este estudio pone de manifiesto que no es posible ni econmicamente racional eliminar todo el malware, aunque se puede conseguir que los agentes maliciosos fracasen en sus intentos (a travs de una prevencin y deteccin temprana) y responsabilizarlos de sus actos (a travs de mejores polticas, procedimientos, marcos legales o cumplimiento normativo), acciones que forman parte del papel y de las responsabilidades de las comunidades que se encargan de la lucha contra el malware y que podran ayudar a solucionar este problema. Posibles acciones futuras Este estudio no es ms que la base para comprender el fenmeno del malware y su evolucin. Un mayor trabajo en otras reas podra y debera llevarse a cabo para alcanzar un mejor entendimiento. La lucha contra el malware es compleja y podra beneficiarse de medidas ms exhaustivas y de soluciones polticas y de coordinacin. Aunque muchas de las actuales iniciativas148 estn contribuyendo con importantes recursos para combatir el malware, siguen quedando muchas reas de mejora. Asociacin global contra el malware La necesidad de un enfoque consistente para este problema global no es algo nuevo. Sin embargo, el malware presenta complejidades especficas debido a la variedad de actores responsables de la lucha contra este fenmeno.
147 Vase el Anexo C. 148 Ibdem.

51

DSTI/ICCP/REG(2007)5/FINAL Las comunidades involucradas en la lucha contra el malware, ya sean gobiernos, empresas, usuarios o la comunidad tcnica, necesitan mejorar el entendimiento de los retos a los que hacen frente cada uno de ellos y cooperar dentro y a travs de sus comunidades para tratar el problema. Adems, esta colaboracin debe tener lugar a nivel global, ya que no es suficiente que un pas o comunidad se organice de manera efectiva si los dems no lo hacen tambin. A la luz de la necesidad de un enfoque holstico y exhaustivo contra el malware, un punto de partida comn para la cooperacin y accin colectiva podra lanzar a nivel internacional una Asociacin AntiMalware en la que participen gobiernos, el sector privado, la comunidad tcnica y la sociedad civil. Esta colaboracin entre diferentes comunidades involucradas en la lucha contra el malware podra beneficiarse de la experiencia adquirida al desarrollar El Kit de Herramientas Antispam de la OCDE (Anti-Spam Toolkit). Diferentes organizaciones pblicas y privadas incluyendo la OCDE y el APEC podran asociarse y liderar el trabajo en su rea de competencia, as como elaborar pautas polticas conjuntas para combatir el malware desde todos los frentes (estrategias de prevencin proactiva, cooperacin como respuesta, marcos polticos/cumplimiento normativo, medidas tcnicas, aspectos econmicos, medicin del malware o cooperacin global). De manera especfica, la Asociacin Anti-Malware podra analizar los siguientes elementos149: Estrategias de prevencin proactiva Este punto podra analizar parte o la totalidad de las siguientes cuestiones: Reduccin de las vulnerabilidades de software (p. ej. podran fomentarse desarrollos de software seguros; los gobiernos podran maximizar su influencia como compradores requiriendo productos de software como parte de su proceso de contratacin). Concienciacin y educacin (p. ej. deberan llevarse a cabo ms esfuerzos para mejorar la concienciacin de los usuarios sobre los riesgos relacionados con el malware y las medidas que deberan tomarse para mejorar la seguridad de sus sistemas de informacin). Posibilidad de incluir la gestin de la seguridad y del abuso en los procedimientos y contratos de acreditacin de registradores. Normas y directrices (p. ej. actualizaciones de manuales de seguridad como el IETF Security Handbook RFCs que debera incluir nuevos retos, como, por ejemplo, los que supone el malware). I+D (p. ej. deteccin y anlisis de malware, usabilidad de la seguridad, es decir, cmo se interacta con los equipos, software y recursos online).

Cooperacin como respuesta Este punto podra analizar, entre otras, las siguientes cuestiones: Cooperacin entre CSIRT (por ej. CSIRT con un grado de responsabilidad podran compartir puntos de contacto y trabajar conjuntamente para mejorar el intercambio de informacin). Cdigos de conducta (p. ej. podra elaborarse un cdigo de conducta comn para los proveedores de servicios de Internet a nivel nacional e internacional, en colaboracin con los gobiernos, al igual que un cdigo de conducta para registradores de nombres de dominio, tambin a nivel nacional e internacional, en colaboracin con la ICANN, la comunidad de Internet y otros actores, si fuese necesario).

149 Vase el Anexo F para sugerencias preliminares sobre estos temas.

52

DSTI/ICCP/REG(2007)5/FINAL Marcos legales /Cumplimiento normativo Este punto podra analizar, entre otras, las siguientes cuestiones: Los esfuerzos de los gobiernos para proporcionar asistencia mutua y compartir informacin para la imputacin y procesamiento satisfactorios de los ciberdelincuentes. Cooperacin entr1e CSIRT y autoridades policiales. Los recursos necesarios para las autoridades policiales encargadas de la ciberdelincuencia, para que puedan investigar y emprender acciones legales en colaboracin con las partes interesadas, tanto pblicas como privadas.

Medidas tcnicas Este punto podra analizar, entre otras, las siguientes cuestiones: Medidas tcnicas como el filtrado, extensiones de seguridad DNS (DNSSEC), el sinkholing y otras que podran analizarse para entender cmo combatir el malware. Cmo los usuarios podran disponer de mejores herramientas para controlar y detectar actividades con cdigos maliciosos, tanto en el momento en el se comprometen sus equipos como despus.

La economa del malware

Este punto podra analizar, entre otras, las siguientes cuestiones: Cmo intensificar los incentivos existentes para mejorar la seguridad de los actores del mercado. Introduccin de incentivos para mejorar la seguridad a travs de formas alternativas y niveles de derechos y obligaciones legales de las diferentes partes implicadas. Eficacia de las medidas para internalizar externalidades por parte de los actores del mercado en lugar de generar el coste externo.

Medicin del problema del malware Este elemento podra analizar y promover esfuerzos para medir de manera ms exacta y efectiva la existencia y las consecuencias del malware. Cooperacin global Este punto podra analizar las siguientes cuestiones: La necesidad interrelacionada del intercambio de informacin, la coordinacin y la cooperacin transfronteriza. Sugerencias para difundir guas anti-malware a nivel global y el seguimiento de su implementacin.

Slo un enfoque holstico que implique la combinacin de polticas, procedimientos funcionales y defensas tcnicas puede asegurar que el intercambio de informacin y la coordinacin y cooperacin transfronterizas sern abordadas e integradas de manera efectiva. El xito de esta Asociacin AntiMalware requiere el compromiso de todas las partes implicadas. As pues, tal esfuerzo mostrara grandes avances en la capacidad de la comunidad internacional para superar obstculos y hacer frente a una amenaza global, como es el caso del malware, a travs de una accin global coordinada.

53

DSTI/ICCP/REG(2007)5/FINAL

CONCLUSIN

No existe ninguna solucin simple a los complejos problemas que presenta el cdigo malicioso. Aunque la transparencia del entorno informtico y la naturaleza distribuida de Internet son factores importantes para el crecimiento y la innovacin, presentan desafos para la seguridad de las redes y sistemas de informacin. El malware tiene el potencial de afectar negativamente a todos y cada uno de los usuarios de Internet, desde empresas hasta los gobiernos o usuarios finales. Aunque a menudo el malware se propaga a travs de Internet, es importante recordar que se trata de un software que puede ser introducido en sistemas informticos conectados o no a Internet. Independientemente de si se usa directa o indirectamente para llevar a cabo la actividad maliciosa online, el malware merma la confianza en Internet y la economa digital. Las Directrices de la OCDE para la Seguridad de Sistemas y Redes de Informacin, publicadas en 2002, proporcionan una amplia lista de los principios de la seguridad de la informacin ms relevantes y aplicables en la lucha contra el malware. Los nueve principios (Concienciacin, Responsabilidad, Respuesta, tica, Democracia, Evaluacin del Riesgo, Diseo e Implementacin de la Seguridad, Gestin de la Seguridad y Reevaluacin) estn dirigidos a participantes de todos los niveles, incluyendo los niveles poltico y funcional. Las Directrices pueden y deben aplicarse a los retos actuales que han surgido a consecuencia del malware. La rpida evolucin de la naturaleza del cdigo malicioso hace que la cooperacin internacional sea imprescindible para abordar el problema. Esta cooperacin debe ser promovida y potenciada por una exacta y cuantitativa medicin del problema y de la economa subyacente. Si bien el documento enumera muchos de los problemas que presenta el malware, ste no deja de ser slo el primer paso para avanzar hacia la solucin. Para aprovechar todas las oportunidades de mejora de las diferentes comunidades que hacen frente al malware, es necesario aplicar un enfoque holstico, proactivo y multilateral.

54

DSTI/ICCP/REG(2007)5/FINAL

ANEXO A DATOS SOBRE EL MALWARE Descripcin general

Aunque el malware, tal y como lo conocemos hoy en da, es un fenmeno relativamente nuevo en comparacin con los gusanos y los virus, est creciendo y evolucionando a niveles alarmantes. Las tendencias de los datos muestran que mientras las categoras de malware utilizadas para llevar a cabo la actividad maliciosa (es decir, virus frente troyanos), cambian y evolucionan en el tiempo, el uso del malware aumenta continuamente.
Los Equipos de Respuesta a Incidentes de Seguridad Informtica (CSIRT), los Equipos de Respuesta a Emergencias Informticas (CERT), los proveedores de software y programas antivirus, y ms generalmente, las empresas de seguridad, son ejemplos de entidades que hacen el seguimiento y controlan la existencia de malware. Aunque los datos que figuran a continuacin son tiles para la comprensin de los elementos del malware, no es fcil compararlos en trminos reales y absolutos. As pues, el presente documento no pretende establecer comparaciones o sacar conclusiones sobre diferentes conjuntos de datos. El objetivo principal de esta seccin es mostrar el tipo de informacin disponible y las diferentes perspectivas analticas de las organizaciones que se mencionan a continuacin. Datos proporcionados por los CSIRT AusCERT AusCERT es el Equipo Nacional de Respuesta a Emergencias Informticas de Australia. AusCERT facilita la prevencin de incidencias informticas, as como la respuesta y estrategias de mitigacin para sus miembros. En la Figura 1, cada incidencia representa una nica URL o nombre de dominio administrado por uno o ms ordenadores comprometidos con la finalidad de robar informacin sensible y credenciales de acceso desde otros ordenadores. Las incidencias mltiples pueden estar asociadas a un ataque que representa un conjunto de ordenadores comprometidos necesarios para atacar y recoger los datos robados. El nmero de direcciones IP asociado a una sola incidencia y a un solo ataque es cambiante, pudiendo variar de 1 a 100.

55

DSTI/ICCP/REG(2007)5/FINAL
Figura 1

Incidencias de robos de identidad online con troyanos atendidas por el AusCERT 500 450 400 350 300 250 200 150 100 50 0

La Figura 1 slo incluye URL y nombres de dominio, quedando excluidos los equipos anfitriones comprometidos e involucrados en un ataque o incidente. Tampoco se representa el nmero de infecciones informticas (equipos anfitriones comprometidos) producidas en cada ataque, de las cuales suelen darse varios cientos o miles.
Las elevadas cifras de julio de 2007 se deben a la invasin de troyanos, denominados a menudo errneamente como gusanos, los cuales no se propagan automticamente y disponen, entre otras, de la funcionalidad C&C (Comando y Control) propia de las botnets P2P. CERT Brasil ([Link]) [Link] es el CERT nacional de Brasil encargado de recoger estadsticas pblicas sobre incidencias de las que se informa de modo voluntario. Por ejemplo, un usuario domstico puede informar de que ha recibido un correo electrnico que es un claro intento de fraude con un enlace que lleva al malware ejecutable. [Link] comprueba si el ejecutable est todava online e informa de ello al equipo anfitrin del sitio web. Adems, enva una muestra de este cdigo malicioso a varios proveedores de antivirus para garantizar su completa deteccin. Los datos del [Link] se dividen en cuatro categoras: intrusiones, ataques web, denegacin de servicio y fraude.

56

DSTI/ICCP/REG(2007)5/FINAL
Tabla 1. Informes de Incidencias del [Link]

Ao

Nmero total de incidencias 75 722 68 000 197 892

Gusanos150

DoS

Intrusiones151 Fraude152

2004 2005 2006

42 268 17 332 109 676

104 96 277

248 448 523

4 015 27 292 41 776

CERT/CC, Estados Unidos El Centro de Coordinacin del Equipo de Respuesta a Incidentes Informticos (CERT/CCT) de Carnegie Mellon recopila datos sobre malware de fuentes pblicas y privadas. Desde el ao 2006, el CERT/CC recoge, analiza y cataloga todos y cada uno de los cdigos maliciosos que han sido distribuidos a travs de Internet o encontrados en los sistemas informticos. Si bien muchos artefactos maliciosos tienen una funcionalidad similar, cada uno de ellos se considera una variante singular si genera un nico MD5 o funcin hash SHA1.153 Por tanto, algunas de las variedades de malware que se propagan libremente, tales como los virus y gusanos que producen miles de rplicas idnticas, se consideraran una nica variante154. As pues, las cifras del CERT/CC citadas a continuacin (aunque no necesariamente completas) proporcionan una descripcin importante de las tendencias del malware, mostrando un crecimiento exponencial de los artefactos maliciosos155 desde enero de 2006 hasta marzo de 2007. Como se muestra a continuacin en la Figura 2, el nmero total de artefactos pas de 50.000 en enero de 2006 a 350.000 en marzo de 2007.
150 La categora gusanos incluye informes sobre la progacin de gusanos y bots, p. ej. el escaneo de los puertos ms comunes utilizados para su propagacin (445, 135, 5900, etc). Estos informes suelen ser enviados por los administradores de cortafuegos e incluso por usuarios domsticos que utilizan cortafuegos personales. Es importante sealar que esta categora no tiene en cuenta los equipos infectados de gusanos, sino las incidencias relacionadas con intentos de propagacin. 151 Segn la clasificacin del [Link], una intrusin es una violacin del sistema determinada por el propietario/administrador del sistema y de la cual se informa al [Link]. Por ejemplo, un administrador del servidor Linux enva un informe al [Link] notificando que su equipo ha sido atacado, que ha encontrado un rootkit, etc. 152 La categora fraude incluye diversos tipos de fraude: violacin de los derechos de autor, fraude con tarjetas de crdito y los fraudes tradicionales relacionados con el phishing y el malware. Estos ltimos se dan en la mayora de los casos de Brasil. 153 Normalmente, los atacantes generan una nueva variante de malware partiendo del malware existente con un simple cambio en la manera en la que el cdigo est comprimido y empaquetado, en lugar de cambiar el propio cdigo malicioso. Vase [Link] A estas nuevas variantes no se les asigna un nmero CME. Mltiples variantes, consideradas idnticas en funcionalidad y forma, tienen asignado el mismo nmero CME, mientras que incluso a las variantes mnimas del cdigo byte del malware se les asigna un nuevo nmero CME. Vase: [Link] 154 Este enfoque es importante, ya que el recuento de cada una de las infecciones, desde un simple gusano a un brote de virus, puede sesgar los resultados y no reflejar el nivel real de desarrollo de las nuevas variantes generadas por los atacantes para evitar que sean detectadas por los productos antivirus. 155 Un artefacto es un archivo o conjunto de archivos usado durante ataques que comprometen sistemas informticos en red, Internet y tecnologas similares.

57

DSTI/ICCP/REG(2007)5/FINAL La Figura 3 muestra la proporcin mensual de artefactos descubiertos recientemente por el CERT/CC durante el mismo perodo. A pesar de que el aumento representado en la Figura 3 es menos constante, el descubrimiento de nuevos artefactos alcanz un mximo histrico en marzo de 2007 de 90.000.
Figura 2 Nmero mensual de artefactos desde enero de 2006 a marzo de 2007
400000 350000 300000 250000 200000 150000 100000 50000 0
2006-01 2006-03 2006-05 2006-07 2006-09 2006-11 2007-01 2007-03

Mes

Figura 3 Nmero mensual de nuevos artefactos de enero de 2006 a marzo de 2007

100000 90000 80000 70000 60000 50000 40000 30000 20000 10000 0
2006-01 2006-03 2006-05 2006-07 2006-09 2006-11 2007-01 2007-03

Mes

CERT-FI, Finlandia El CERT-FI es el Equipo Nacional de Respuesta a Emergencias Informticas de Finlandia encargado de promover la seguridad en la sociedad de la informacin mediante la prevencin, anlisis y resolucin de incidencias de seguridad informtica, as como de difundir informacin sobre las amenazas contra la seguridad de la informacin. La Figura 4 representa los casos atendidos por el sistema AutoRegistrador del Abuso del CERT-FI, un procesador automatizado de casos de abuso. El grfico a continuacin muestra la correlacin casos-meses, normalizada con respecto a 100 = 1/2006.

58

DSTI/ICCP/REG(2007)5/FINAL
Figura 4

KrCERT/CC El KrCERT/CC rene datos de honeynets156 e informes de incidencias. Entre los aos 2005 y 2006, los datos procedentes de los informes de incidencias y honeynets reflejaron una disminucin de gusanos y un aumento en el nmero de troyanos (vanse las Figuras 5 y 6).

159 En terminologa informtica, un honeypot (tarro de miel) es una especie de trampa utilizada para detectar o contrarrestar de alguna manera los intentos de utilizar sistemas de informacin sin autorizacin. Normalmente, un honeypot consiste en un ordenador, datos o un sitio de red que aparentemente pertenece a una red, pero que en realidad est aislado, (des)protegido y controlado y que supuestamente contiene informacin o un recurso que resultara de gran ayuda para los atacantes. Dos o ms honeypots de una red forman una honeynet (red de miel).

59

DSTI/ICCP/REG(2007)5/FINAL
Figura 5: Incidencias mensuales notificadas al KrCERT/CC (2005-2006)

Figura 6: Informacin obtenida de las honeynets del KrCERTr

2005

2006

6.49 Virus 39.24 33.42 20.85 Worm Trojan horse Other 33.68

8.32

8.15

Virus Worm Trojan horse Other

49.84

NorCERT, Noruega El NorCERT es el Equipo de Respuesta a Emergencias Informticas de Noruega que coordina la prevencin y la respuesta a las violaciones de seguridad de las tecnologas de la informacin dirigidas a la infraestructura vital del pas. NorCERT es un departamento de la Autoridades Noruegas encargadas de la Seguridad Nacional (Nasjonal sikkerhetsmyndighet - NSM).

60

DSTI/ICCP/REG(2007)5/FINAL
Figura 7

Equipo de Disponibilidad ante Emergencias Informticas de Estados Unidos (US-CERT) El US-CERT es una asociacin entre el Departamento de Seguridad Nacional y los sectores pblico y privado. Creado en 2003 para proteger la infrestructura de Internet del pas, el US-CERT coordina la defensa y respuesta ante ciberataques en toda la nacin. Esta organizacin interacta con organismos federales, administraciones regionales y locales, profesionales de la industria y otras organizaciones con el fin de mejorar el intercambio de informacin y la coordinacin de la respuesta a incidentes y reducir as las ciberamenazas y vulnerabilidades. La Figura 8 muestra la distribucin general de las incidencias de ciberseguridad de acuerdo a las notificaciones enviadas al US-CERT a travs de las seis categoras principales sealadas en la Publicacin Especial 800-61157 del Instituto Nacional de Normas y Tecnologa (NIST). El nmero de incidencias relacionadas con el malware ha aumentado de manera significativa durante el perodo de 2006 a 2007.

157

United States Computer Emergency Response Team (US-CERT).

61

DSTI/ICCP/REG(2007)5/FINAL
Figura 8: Tendencias de las Incidencias notificadas al US-CERT en los meses de enero de 2006 a agosto de 2007 Distribucin general de incidencias de ciberseguridad en las seis categoras principales Aos 2006-2007 (pasando por el 31 de agosto)

Acceso no autorizado Denegacin de servicio Cdigo malicioso Uso inadecuado Escanes, sondeo e intentos de acceso Bajo investigacin / Otros Total:

10.8% 3.2% 11.8% 9.7% 29.0% 35.5% 100.0%

Acceso no autorizado Denegacin de servicio Cdigo malicioso Uso inacdecuado Escaneo, sondeo e intentos de acceso Bajo investicgacin / Otros Total:

7.1% 0.9% 35.3% 4.5% 22.6% 29.6% 100.0%

La Figura 9 describe las cinco subcategoras principales de malware notificadas al USCERT. La categora denominada Malware incluye troyanos, gusanos y virus. Este grfico muestra las pginas web maliciosas como la categora con el mayor nmero de notificaciones.
Figura 9: Las 5 Subcategoras principales de malware - 2007

Sitios Web maliciosos Malware Bot/Botnet Spyware/ A dware Otros Total:

58.2% 19.3% 17.5% 3.6% 1.5% 100.0%

Datos de vendedores de software y antivirus Asociaciones de servicios de pago La Asociacin de Servicios de Pago y Compensacin (APACS) del Reino Unido es una asociacin de comercio cuyas funciones estn dirigidas a instituciones que prestan servicios de pago a consumidores finales. Esta asociacin facilita un foro para abordar aspectos cooperativos de pagos y su desarrollo. Asimismo, es la representante principal de la industria en cuestiones relacionadas con tarjetas de crdito, fraudes con tarjetas, la seguridad de la banca electrnica, pagos electrnicos y dinero en efectivo. Los Grupos de Trabajo se encargan de reas cooperativas, como, por ejemplo, el desarrollo de soluciones de autentificacin y la respuesta a ataques contra clientes de banca electrnica. La Figura 10 muestra el nmero de incidentes con troyanos dirigidos a bancos del Reino Unido de febrero de 2005 a diciembre de 2006.

62

DSTI/ICCP/REG(2007)5/FINAL
Figura 10

Kaspersky Lab Kaspersky Lab es un proveedor internacional de software de seguridad de la informacin con sede en Mosc. Este Laboratorio inform de un aumento exponencial de programas maliciosos antes desconocidos de 2001 a 2006, como se puede observar en la Figura 11. Asimismo, tambin comunicaron un aumento constante en el nmero de programas espa diseados para robar informacin de las cuentas de los clientes online.158
Figura 11: Aumento en el nmero de nuevos programas maliciosos

100000 80000 Cantiidad 60000 40000 20000 0 2001 2002 2003

Ao

2004

2005

2006

158 159

Kaspersky Labs (2006). Mashevsky, Yury (2007).

63

DSTI/ICCP/REG(2007)5/FINAL Microsoft Microsoft recopila datos de varios productos y servicios anti-malware utilizados por los sistemas de informacin que ejecutan sus productos.160 Basndose en la actividad observada de enero a junio de 2006, Microsoft inform de la existencia de ms de 43.000 nuevas variantes de malware entre enero y junio de 2006.161 Esto puede deberse, al menos en parte, a la posibilidad de comprar malware en Internet, ya que para los atacantes es ms fcil modificar una parte del cdigo malicioso ya existente que crear una nueva familia de cdigo malicioso. Microsoft tambin inform de que las puertas traseras (backdoors) representaban el nmero ms alto de las nuevas variantes de malware (vase la Figura 12). El Figura 12 muestra que las cuatro categoras ms comunes en las que se han creado las nuevas variantes no pertenecen a variedades autopropagables, las cuales estn normalmente asociadas a ciberataques de menor escala dirigidos a obtener ganancias financieras ilcitas entre las que destaca el fraude financiero.
Figura 12: - Actividad del Software Malicioso de enero a junio de 2006
45000 Nuevas variantes de malware 40000 35000 30000 25000 20000 15000 10000 5000 0
Backdoor Keyylogger Downloader Troyano Correo masivo Peer to Peer Exploit IM Rootkit Virus

162

Categoras de Malware

SOPHOS SOPHOS recopila datos de 35 millones de usuarios de 150 pases que utilizan sus productos. El 80% de todo el malware detectado por esta empresa en 2006 fue atribuido a troyanos (vase la Figura 13). 163

160 161 162 163

Microsoft (2006a) pg. 1. Microsoft (2006a) pg. 1. Microsoft (2006a) pg. 6. Supra Sophos (2007a) pg.

64

Figura 13: losTroyanos contra los Gusanos y Virus de Windows en 2006

Troyanos Gusanos de Windows Otros

Symantec Symantec recopila informacin de los 40.000 sensores con los que cuenta en 180 pases, los 120 millones de antivirus instalados y los 2 millones de cuentas trampa de su red de sondeo (Symantec Probe Network). Las operaciones de Symantec se llevan a cabo desde cuatro centros de operaciones de seguridad y ocho centros de investigacin. A nivel mundial, el Software Symantec est implementado en ms de 370 millones de ordenadores o cuentas de correo electrnico.

Recientemente, Symantec elabor un informe sobre la disminucin de la cantidad de gusanos164 y puertas traseras, y el aumento de virus y troyanos (vase la Figura 14).
Figura 14 Tipos de cdigo malicioso por volumen165

164

Esta cada puede atribuirse en gran medida a la disminucin de la informacin en los informes sobre los gusanos ms importantes, tales como Sober.X, Blackmal y Netsky.P75 desde el primer semestre del ao 2006. Symantec (2007) pg. 55.

165

65

DSTI/ICCP/REG(2007)5/FINAL Adems de estos datos, Symantec elabor un informe sobre el aumento de malware previamente indito o familias nuevas. Entre julio y diciembre de 2006, los honeypots de Symantec descubrieron 136 familias de cdigo malicioso antes desconocidas, as como 98 de ellas a lo largo de estos seis meses166. Cabe destacar que si bien la informacin obtenida de los honeypots y honeynets es til, no es

necesariamente representativa de la tendencia global.

Observaciones sobre los datos Los datos sobre malware previamente mencionados provienen de fuentes distintas e incomparables (CSIRT nacionales y proveedores de software y de seguridad). Las definiciones, tipos de incidentes, dao, margen de tiempo y campo de aplicacin no estn estandarizados en todas estas organizaciones y, por tanto, es necesario ser prudentes en las comparaciones de estos datos tan dispares. Sin embargo, es ms o menos posible destacar ciertas tendencias que parecen ser compartidas: a) un importante y notable aumento de los incidentes de seguridad relacionados con el cdigo malicioso; y b) los troyanos que cada vez predominan ms en comparacin con otros tipos de malware. Como se ha informado en muchas ocasiones, el nmero de brotes importantes de gusanos y virus es menor y, por tanto, la mayor parte del aumento de las variantes de malware se debe en general a las variedades que no se reproducen, los efectos y funcionalidades de las cuales, por lo general, son ms dainos y tienden a tener una motivacin econmica.

Un acuerdo por parte de ciertos participantes interesados en la medicin del malware por definiciones y metodologa general para la recopilacin de datos, ayudara a evaluar ms sistemticamente la magnitud de esta realidad y su papel en el siempre cambiante universo de Internet y de las TIC.
Partiendo de algunos datos, se pueden resumir y destacar varios aspectos con el objetivo de demostrar que el problema del malware se hace cada vez ms importante.
Cuadro 8. Resumen de los datos de muestra sobre malware Tabla 1: Nmero total de incidencias notificadas ~ +225% Figura 2: Nmero total de artefactos en el pasado ao ~ +250% Figura 6: Disminucin de incidentes con los gusanos ~ -25%/; Aumento de los incidentes con troyanos: ~ + 30% Figura 11: Incremento de un 800% de los programas maliciosos en los ltimos 5 aos

A pesar de que la mayora de las tendencias de ataques va en aumento, no est clara la relacin de estas tendencias con el dao global causado por el malware. El hecho de que se haya detectado un nmero alto de variantes de troyanos no significa necesariamente que exista ms dao, y podra explicarse como una respuesta a la mejora de las defensas de seguridad. De la misma manera, la reduccin de tamao de las botnets de gran escala no manifiesta necesariamente la eficacia de las contramedidas. Esto podra atribuirse a que los atacantes han encontrado botnets ms pequeas y focalizadas para que sean ms rentables, es decir, que debido al gran dinamismo de las tendencias de los ataques maliciosos, se hace difcil sacar conclusiones fiables de las propias tendencias.

166

Symantec (2007) pg.

66

DSTI/ICCP/REG(2007)5/FINAL

ANEXO B INFORMACIN ADICIONAL SOBRE LOS TIPOS DE ATAQUES DE MALWARE Ataques contra el DNS

Al igual que otros sistemas, los servidores de nombres de dominio (DNS) pueden ser vulnerables a los ataques de malware. Por ejemplo, los agentes maliciosos pueden intentar saturar los servidores DNS perpetrando un ataque DDoS. Si una parte de los servidores DNS se cae o se pierde la conexin, se perder el acceso a pginas web y al correo electrnico. Las amenazas contra la infraestructura de los DNS incluye prdida de servicio, hijacking y prdida de coherencia.167 Aunque se est realizando un esfuerzo considerable para proteger la infraestructura, la tarea de abordar el problema plenamente es muy costosa. Los ataques contra los DNS no son nuevos y pueden ser lanzados contra objetivos de alto valor, tales como los servidores raz DNS. Por ejemplo, en 2002, se perpetr un ataque de gran magnitud contra los servidores raz DNS. Sin embargo, el sistema en su conjunto segua funcionando, a pesar de la degradacin o deterioro en el rendimiento de los principales servidores individuales. Ms recientemente, el 5 de febrero de 2007, varios de los principales servidores raz DNS experimentaron un aumento significativo de trfico, causando que 2 de los 13 servidores no enrutados168 sucumbieran al ataque. A pesar de la enorme capacidad y la aparentemente coordinada naturaleza del ataque, el sistema DNS mostr ser resistente. Aunque ambos ataques contra los servidores raz fracasaron en su mayor parte, es bien sabido que la continuacin de los ataques de esta naturaleza podra perjudicar el funcionamiento del sistema DNS y el backbone crtico de Internet. Ataques que utilizan el DNS Asimismo, recientemente han tenido lugar una serie de ataques contra el DNS que utilizan resolvedores recursivos. Aunque estos ataques usan resolvedores recursivos para multiplicar su fuerza, no tienen por qu ser dirigidos a los objetivos de los DNS, si bien es all donde causan el mayor dao, ya que pueden simplemente usar los DNS para llevar a cabo ataques DDoS contra otros objetivos. Este tipo de ataque utiliza los DNS como arma contra otros servidores, mientras que el ataque contra los servidores raz DNS, descrito anteriormente, utiliza otros servidores como arma contra los DNS. Estos ataques se producen a menudo debido a una mala configuracin del servidor DNS de la organizacin, lo cual permite gestionar peticiones DNS desde cualquier lugar de Internet y no slo desde su propia red. Los ataques DNS de tipo recursivo estn relacionados indirectamente con el malware slo en caso de que utilicen un pequeo nmero de sistemas de informacin comprometida para el envo de peticiones DNS falsas. A diferencia de otros tipos de ataques DDoS, la eficacia del trabajo no depende del gran nmero de bots. Cabe sealar que el propsito de los ataques de amplificacin o recursivos no consiste en denegar el servicio al sistema DNS en s, sino ms bien al servidor DNS de la organizacin. Esto provoca que el enrutamiento IP quede sin resolver para el nombre de dominio de la entidad y dificulta las peticiones de DNS salientes debido al consumo de los recursos del servidor DNS de la organizacin. A pesar de que el malware no siempre est involucrado directamente, esto tambin sirve de ejemplo de cmo la configuracin de un usuario o entidad puede tener un impacto negativo sobre su seguridad.
167 168

Twomey, Paul pg. 8-9. Anycast es una forma de direccionamiento en la que la informacin es enrutada al destino mejor o ms cercano desde el punto de vista de la topologa de la red.

67

DSTI/ICCP/REG(2007)5/FINAL

Otra de las tendencias en las que el malware puede estar implicado, aunque no directamente, es la prctica de la prueba de nombres de dominio. La prueba de nombres de dominio es una prctica empleada por usuarios registrados para hacer uso del perodo de gracia (add-grace period)169 y registrar nombres de dominios para comprobar su rentabilidad. Durante el perodo de prueba, los usuarios registrados realizan un anlisis coste-beneficio para determinar si los nombres de dominio devuelven suficiente trfico como para compensar la tasa de inscripcin pagada al registrarse. La prueba del dominio permite a los usuarios registrados hacer uso del perodo de gracia. Si el dominio tiene una rentabilidad insatisfactoria, es devuelto antes del quinto da y reembolsado en su totalidad. Originariamente, el perodo de gracia se cre con el propsito de permitir a los usuarios registrados recibir un reembolso en caso de error o compensar a los registradores en el supuesto de que la tarjeta de crdito del usuario fuera denegada. El proceso se ha utilizado para permitir el registro masivo de los nombres de dominios. Aunque difcil de demostrar, es probable que los dominios implicados en esta prueba se utilicen para distribuir malware.
Cuadro 9. Un anlisis ms detallado del DNS
170

El Sistema de Nombre de Dominio (DNS) es como una agenda de direcciones de Internet. Con su ayuda, el usuario puede navegar, enviar y recibir informacin a travs de Internet. Todos los ordenadores conectados a Internet utilizan una nica direccin, en forma de cadena de nmeros, denominada direccin IP (entendiendo por IP Protocolo de Internet (Internet Protocol))
171

Dado que las direcciones IP son difciles de recordar, el DNS simplifica el uso de Internet, permitiendo el uso de una cadena familiar de letras, denominada nombre de dominio, en lugar de una direccin IP numrica. Por ejemplo, en lugar de teclear [Link], el usuario puede teclear [Link]. Se trata de un dispositivo mnemnico que hace que las direcciones de los ordenadores hosts sean ms fciles de recordar. Un dominio consta de varias partes, tales como dominios de nivel superior (TLD) y subdominios. Los TLD son nombres que encabezan la jerarqua de los nombres DNS. Los dominios genricos de nivel superior, comnmente utilizados, incluyen .com, .net, .edu, etc. Adems, actualmente existen 244 dominios de nivel superior correspondientes a cdigos de pases (ccTLD), tales como .jp, .au, .de, etc. El administrador de TLD controla los nombres de segundo nivel reconocidos en estos TLD. Los administradores del dominio raz o de la zona raz supervisan el proceso de reconocimiento de los TLD por los DNS. Los servidores raz contienen las direcciones IP de todos los registros TLD, entre ellos registros globales tales como .com o .org y las 224 de los registros nacionales especficos, tales como .fr (Francia) o .cn (China). Esta es una informacin crtica: si los datos no son correctos al 100% o son ambiguos, tal vez no sea posible localizar un servicio clave en Internet. En el DNS, la informacin debe ser nica y autntica. Los datos de los DNS se almacenan en conjuntos de mquinas jerrquicos y ampliamente distribuidos, denominados servidores de nombres, los cuales pueden ser consultados a travs de un resolvedor. Los resolvedoresson con frecuencia parte del sistema operativo o del software del ordenador del usuario y se utilizan para responder a la peticin del usuario de resolver el nombre de dominio, es decir, encontrar la direccin IP correspondiente.

Ataques que modifican datos

Debido a su naturaleza, cuando el malware infecta o compromete un sistema informtico se produce un ataque contra la integridad del sistema de dos formas fundamentales. En primer lugar, las medidas utilizadas para comprometer el sistema dan lugar a cambios no autorizados en el propio sistema y, potencialmente, en todos los datos almacenados que han sido incorporados o a los que se ha accedido a travs de este sistema, incluyendo dispositivos de entrada (teclado o ratn), de salida (pantalla o impresora) y de almacenamiento (USB, disco duro o memoria). En segundo lugar, una vez que el sistema es atacado, se produce una prdida completa de integridad y de fiabilidad.
169 El periodo de gracia (Add Grace Period o AGP) hace referencia a un periodo de cinco das naturales, que comienza a contarse a partir de la operacin de Registro de un nombre de dominio, en los cuales el registrdor puede cancelar el registro del dominio y recibir un reembolso. 170 Informacin disponible en [Link] 171 El Protocolo de Internet (IP) permite que las grandes y heterogneas redes de ordenadores, distribuidas geogrficamente, se comuniquen entre ellas de manera rpida y econmica travs de direfentes vnculos fsicos. Una direccin IP es una direccin numrica por la que se identifica un ordenador anfitrin o dispositivo de Internet. Los ordenadores conectados a Internet utilizan las direcciones IP para encaminar el trfico y establecer conexiones entre ellos.

68

DSTI/ICCP/REG(2007)5/FINAL

Los ataques contra la integridad son, por lo general, precursores de otros ataques, como el robo de informacin sensible, pero tambin podran ser indicio de un ataque contra la autenticacin. Sin embargo, estos ataques pueden tener un objetivo final. Por ejemplo, la modificacin de las entradas de la base de datos para facilitar el fraude, la eliminacin de la base de datos de los clientes de la compaa como parte del sabotaje comercial o la modificacin de la configuracin del sistema SCADA, utilizado para la distribucin de gas, pueden ser diseados para causar el mal funcionamiento del sistema.172 Otro de los ataques ms habituales hoy en da que modifica datos consiste en comprometer un sitio web e insertar un IFrame173 para atraer a los visitantes habituales de ese sitio. Los Iframes pueden insertarse en sitios web legtimos para enlazar con los que almacenan malware para posteriormente comprometer al usuario. Ataques contra la identidad Existen diferencias sustanciales entre la informacin estadstica sobre los robos de identidad, recopilada con fines polticos por las autoridades pblicas, y la informacin recogida con fines comerciales por las empresas privadas. Algunas fuentes indican que el nmero de robos de identidad se ha reducido en los ltimos aos, dando lugar a un aumento de confianza del consumidor. Por otro lado, los datos proporcionados por otras fuentes reflejan un crecimiento de los robos de identidad. Adems, algunas de las instituciones financieras que declaran que los precios son relativamente mdicos, no desean revelar sus propias prdidas econmicas. Por otra parte, otros organismos privados proporcionan cifras que reflejan el crecimiento de los robos de identidad. Para complicar ms el panorama, algunas instituciones financieras afirman incluso que ninguno de sus clientes ha sido jams afectado por un ataque de phishing.174 Los datos abajo indicados describen el debate en torno al robo de identidad: En 2006, la barra de herramientas Netcraft, una herramienta antiphishing, desarrollada por Netcraft Toolbar Community,175 bloque ms de 609.000 URL de phishing confirmadas, lo cual fue un salto sustancial de las tan slo 41.000 existentes en 2005.176 Netcraft considera que este espectacular aumento, concentrado principalmente entre noviembre y diciembre de 2006, se debe a las recientes tcnicas aplicadas por los phishers con el fin de automatizar y propagar las redes de pginas fraudulentas para permitir un rpido despliegue de redes enteras de pginas de phishing en los servidores web atacados por crackers. 177 En 2006, el Grupo de Trabajo Anti-Phishing (APWG) notific un aumento de los ciberataques de julio a agosto de 2006.178 En noviembre de 2006, fueron detectados 37.439 nuevos sitios web de phishing, lo que supone un incremento del 90% desde septiembre de 2006. Sin embargo, en su informe de diciembre de 2006, el APWG seala una disminucin en el nmero de nuevos sitios phishing (que se redujeron a 28.531).179
172 Slo se trata de una propuesta terica. Los autores no son conscientes de que tales ciberataques han sido causados por el uso del malware. 173 IFrame resulta de la union de inline frame y describe un elemento HTML que permite embedir otro documento HTML en el documento principal. Normalmente se usa para insertar contenido, p. ej. publicidad, de un sitio web en la pgina actual. 174 Devillard, Arnaud (2006). 175 La Netcraft Toolbar Community es una red de vigilancia de la comunidad digital en la que los miembros expertos trabajan para proteger a todos los usuarios de Internet contra el phishing. Una vez que los primeros receptores de un correo electrnico de phishing notifican la URL, sta se bloquea para que los usuarios de la barra de herramientas no puedan tener acceso a ella. 176 Netcraft Toolbar Community (2007). 177 Cada uno estos paquetes, conocidos como Rockphish o R11, incluyen docenas de sitios web destinados a cometer fraude contra los principales bancos. 178 APWG, 2006a pg. 1. 179 APWG, 2006b pg. 1.

69

DSTI/ICCP/REG(2007)5/FINAL

La Comisin Federal de Comercio de los Estados Unidos elabor un informe en 2003 constatando que el robo de identidad afect aproximadamente a 10 millones de estadounidenses cada ao.180 En 2007, otro informe revel que el fraude de identidad se redujo en un 12% pasando de 55,7 a 49,3 millones de dlares.181 Sin embargo, el informe de Javelin fue criticado por intentar convencer de que las empresas estn haciendo un trabajo adecuado al proteger los datos personales de los consumidores y de que son los consumidores los que deben protegerse a s mismos.182 Un reciente estudio de McAfee tom nota de esta discrepancia y seal que los porcentajes de Javelin son sorprendentemente bajos, comparndolos con la estadstica de Gartner, segn la cual, en 2007, 15 millones de estadounidenses fueron vctimas de robo de identidad.183 Ataques contra la autentificacin uni y multifactorial Los ataques de malware contra la autentificacin unifactorial, tales como el nombre de usuario o la contrasea reutilizable, estn muy extendidos y son bastante eficaces. Estos ataques, al igual que los ataques contra la integridad, son precursores del robo de informacin de valor a travs del ordenador comprometido. Las credenciales unifactoriales de las cuentas de ordenador, las cuentas bancarias online o el acceso remoto a la red privada virtual (Virtual Private Network o VPN) son vulnerables a la hora de ser capturados a travs del teclado, pantalla, ratn o desde un almacenamiento protegido (o reas similares) dentro del sistema de informacin, y pueden ser utilizados con facilidad por los atacantes con el objetivo de acceder a las cuentas o sistemas relevantes. Los ataques contra algunos tipos de autentificacin multifactorial tambin son posibles y han tenido lugar. Por ejemplo, las formas ms simples de autentificacin multifactorial, incluyendo el uso del token de seguridad, que genera una contrasea de un solo uso y un desafo-respuesta de un corto perodo de vida, son vulnerables a los ataques de malware. As pues, los troyanos, una vez instalados en el ordenador del usuario, simplemente esperan a que ste inicie sesin con su banco, usando sus credenciales multifactoriales. A continuacin, los troyanos llevan a cabo una transferencia de fondos sin la autorizacin ni conocimiento del usuario. Para la institucin financiera, los fondos aparecen como transferidos con la autorizacin del usuario de cuenta. 184 La primera y la ltima muestra de la viabilidad de este tipo de ataque de malware tuvieron lugar en 2005 y en mayo de 2007185 respectivamente. De esta forma, los troyanos fueron capaces de comprometer el sistema E-gold payment 186 al esperar que la vctima se autentificase con xito en el sitio web de E-gold para despus crear una sesin de navegacin oculta y vaciar la cuenta de la vctima con ayuda de diversos trucos de spoofing. Debido a que el robo y el spoofing se iniciaron despus de que la autentificacin se completara, no se tuvieron en cuenta las autenticaciones posteriores. Aunque el troyano e-gold no atac la autentificacin multifactorial per se, se considera un ejemplo precoz de cmo el malware es capaz de transferir fondos de forma no autorizada despus de que el usuario se registre legtimamente en la cuenta e-gold, lo cual podra haber inhabilitado cualquier tipo de autentificacin de acceso multifactorial que no implementara la firma de la transaccin.187
180 US FTC, 2003, pg. 4 (Nota: se incluye cualquier tipo de robo de identidad, online y offline). 181 Javelin Research and Strategy pg. 1. 182 Shin, Anneys (2007). 183 McAfee (2007) pg. 11. 184 F-Secure (2007b). 185 Dearne, Karen (2007). 186 E-Gold es dinero digital cuyo valor est garantizado en forma de oro y plata almacenados en bancos de Europa y Oriente Medio. E-Gold puede utilizarse como un intermediario de confianza a travs del cual el dinero se transfiere slo cuando el producto o servicio comprado se haya recibido. 187 Stewart, Joe (2004).

70

DSTI/ICCP/REG(2007)5/FINAL
Cuadro 10. El ataque del token bifactorial Al parecer, recientemente tuvo lugar una ligera variacin del ataque del token bifactorial contra los clientes online del grupo bancario ABN AMOR, en el que se combinaba un ataque de phishing y malware. El atacante envi a las posibles vctimas un correo electrnico aparentando ser el representante de su banco (es decir, ABN AMRO). Si los destinatarios abran el archivo adjunto al correo, el malware se instalaba en el ordenador sin su conocimiento. Cuando, posteriormente, los clientes visitaban su sitio web de banca, el malware les rediriga al sitio web controlado por el atacante, el cual les peda sus datos de seguridad, p. ej. el PIN y la contrasea de un solo uso (OTP) generada por el token de seguridad. Tan pronto como los atacantes reciban estos datos, podan acceder a la cuenta del cliente del verdadero sitio web de ABN AMRO antes de que caducara el nmero generado automticamente, el cual les permita transferir el dinero del cliente. 188 Debido a que la autentificacin unifactorial, utilizada para transacciones de alto valor, se ha sustituido por una multifactorial, este tipo de ataque ser cada vez ms habitual.

Ataques contra certificados digitales y capas de conexin segura (SSL) Los certificados digitales y las conexiones SSL (Secure Socket Layer) se utilizan, por lo general, para proteger la confidencialidad y la integridad de los datos enviados a travs de Internet y para verificar la autenticidad del anfitrin remoto (ms comnmente para autentificar el servidor remoto). Si bien estas protecciones son de utilidad, no ofrecen seguridad en los puntos finales de la transaccin, limitndose, por lo general, al canal del medio. Mientras se establece la sesin SSL, es necesario cifrar y descifrar los datos, dado que son transferidos continuamente entre ambos puntos de la transaccin. Si el ordenador del usuario es atacado por el malware189, los datos enviados pueden ser capturados antes de ser cifrados, al igual que los datos recibidos, despus de ser descifrados. Los esfuerzos para proporcionar un nivel mayor de garanta para algunos tipos de certificados digitales no abordan este problema. Los certificados SSL ofrecen a los consumidores la posibilidad de verificar la identidad de un sitio web. Sin embargo, existen varios problemas asociados al uso actual de estos certificados, entre ellos: Errores y advertencias a causa de certificados SSL no vlidos, o a menudo muy tcnicos, y que, por lo tanto, confunden al usuario. Segn un estudio de usabilidad, los consumidores generalmente hacen caso omiso a la falta de conexin SSL y a las advertencias antes de introducir sus datos personales. 190 En caso de que las organizaciones usen certificados autofirmados, pueden aparecer advertencias de un firmante no fiable que puede generar confusin en los usuarios.

188 [Link] y The Registar. 189 La mayora (si no todas) de las variantes de troyanos que se utilizan para obtener ganancias econmicas de forma ilcita poseen la capacidad de capturar datos transmitidos durante una sesin y no slo aquellos que incluyen la funcin de inyeccin HTML. 190 Dhamija, Rachna (2007). 191 Krebs, Brian (2006). 192 Una Autoridad de Certificacin es una entidad, como por ejemplo Verisign, que expide certificados.

71

DSTI/ICCP/REG(2007)5/FINAL
Cuadro 11. Un anlisis ms detallado de los certificados digitales y de las conexiones de capa segura (SSL) Un certificado digital193 es un mecanismo utilizado para establecer las credenciales de la persona o de la entidad que lleva a cabo operaciones o transacciones online. El uso frecuente de los certificados digitales en las sesiones SSL194 protegidas es un medio para fomentar confianza en las transacciones del comercio electrnico y de la eAdministracin. Sin embargo, algunas formas de malware, una vez instaladas en el ordenador del usuario, pueden esperar a que se establezca una sesin SSL legtima con un sitio web concreto (p. ej. el sitio de un banco online) e inyectar cdigo HTML dentro de la interfaz del navegador antes de que la pgina del sitio web remoto aparezca en el ordenador del usuario. A consecuencia de esto, se cambia el contenido y apariencia de la pgina web (aun cuando el sitio web remoto no haya sido modificado), al mismo tiempo que el ordenador del usuario sigue manteniendo una conexin SSL vlida con el anfitrin remoto. Una comprobacin por parte del usuario del certificado digital SSL mostrar que se trata de un certificado vlido para el host remoto. Lo que el usuario ve en pantalla, al igual que los datos introducidos por ste al ser incitado, no coinciden con la informacin del sitio remoto legtimo. Al manipular la interfaz del navegador del ordenador comprometido, los atacantes hacen que a los usuarios les sea prcticamente imposible saber con certeza si existe una conexin segura con el host remoto, al igual que tener la seguridad de que el contenido que aparece en la ventana del navegador es enviado por el anfitrin remoto legtimo. Por lo tanto, el uso de los certificados digitales en las sesiones SSL protegidas, como un medio fiable para verificar la identidad del dominio web remoto, ha sido prcticamente descartado. 195

193 Un certificado digital es un medio para autentificar una entidad que lleva a cabo negocios u otras transacciones en Internet u online. Los certificados digitales son parte de la infraestructura de clave pblica (PKI) que utiliza la criptografa de clave pblica y la infraestructura jerrquica asociada de las Autoridades de Certificacin y de Registro para procesar peticiones y expedir y revocar certificados. Incluso si el certificado digital es vlido, no se debe confiar por igual en todos los certificados. Algunos certificados son autofirmados y, por tanto, no poseen un tercero independiente para verificar si realmente representan una entidad comercial legtima o si poseen un dominio particular. Otro tipo de certificados, que podran ser expedidos por las Autoridades de Certificacin (AC), poseen niveles bajos de calidad, es decir, la AC slo ha ofrecido una verificacin muy bsica para comprobar que la entidad es verdadera. Un certificado contiene el nombre de la entidad, el nmero de serie, la fecha de caducidad, una copia de la clave pblica del titular del certificado (utilizada para cifrar mensajes y verificar firmas digitales) y la firma digital de la autoridad que lo expidi para que el destinatario pueda comprobar que el certificado es autntico y que ha sido expedido por una Autoridad de Certificacin. 194 SSL es un protocolo criptogrfico utilizado para proporcionar comunicaciones seguras en Internet al, por ejemplo, navegar por la web, utilizar el correo electrnico, enviar un fax por Internet, hacer uso de la mensajera instantnea o transmitir datos. 195 Las versiones ms recientes del troyano Haxdoor tambin tienen la capacidad de usar la inyeccin HTML. Vase AusCERT (2006).

72

DSTI/ICCP/REG(2007)5/FINAL

ANEXO C INSTRUMENTOS DE MUESTRA, ESTRUCTURAS E INICIATIVAS PARA COMBATIR EL MALWARE

Esta seccin incluye un ejemplo ilustrativo, o mejor dicho, una lista de instrumentos, estructuras e iniciativas, a nivel nacional e internacional, para hacer frente al malware.
Concienciacin

La concienciacin es una parte importante de la defensa ante el malware y ante los delitos derivados de su uso. Tanto el sector pblico como el privado, actuando por separado o de forma conjunta, han tomado medidas para educar a los usuarios de Internet sobre esta amenaza.
Australia Agenda Nacional de eSeguridad (ESNA)

El gobierno australiano cre la ESNA (E-Security National Agenda) en 2001 con el fin de establecer un entorno electrnico seguro y de confianza, tanto para el sector pblico como para el privado. El estudio, realizado por la ESNA en 2006, descubri que el entorno online est altamente interconectado y que no se puede hacer frente de forma aislada a las amenazas contra la eSeguridad de diferentes sectores de la economa australiana. En relacin con esto, el gobierno australiano proporcion 73,6 millones de dlares durante un perodo de cuatro aos para adoptar nuevas medidas con el fin de fortalecer el entorno electrnico para empresas, usuarios domsticos y administraciones.196 Adems, el gobierno australiano est llevando a cabo las siguientes iniciativas: La Semana Anual de la Sensibilizacin sobre eSeguridad (Anual National E-Security Awareness Week) se celebrar en colaboracin con organizaciones industriales y comunitarias. La semana promueve el comportamiento inteligente online entre los usuarios domsticos y las Pymes. La semana piloto de sensibilizacin se celebr en octubre de 2006. La mejora del sitio web de la eSeguridad del gobierno [Link] es un mecanismo clave para difundir informacin bsica sobre la eSeguridad, as como para asesorar a los usuarios domsticos y a las pequeas empresas sobre las medidas para proteger sus ordenadores y adoptar buenas prcticas online. El desarrollo del mdulo educacional sobre eSeguridad para colegios de Australia facilitar el aumento de sensibilizacin entre jvenes australianos con respecto a la eSeguridad. La creacin de un servicio asequible y gratuito denominado el Servicio Nacional de Alerta de eSeguridad (National E-Security Alert Service), que ser proporcionado a travs del sitio web de eSeguridad del gobierno, y difundir informacin sobre amenazas actuales contra la eSeguridad y sus vulnerabilidades.

Asimismo, el gobierno australiano ha elaborado una serie de folletos para promover la proteccin contra las amenazas hacia la eSeguridad entre los consumidores y las pequeas empresas del pas.197
196 La versin revisada de la ESNA se encuentra disponible en: [Link] 197 Informacin disponible en :[Link]

73

DSTI/ICCP/REG(2007)5/FINAL Australia Netalert198

Puesta en marcha en agosto de 2007 por el gobierno de Australia, Netalert es una iniciativa de seguridad en Internet que combina una campaa de informacin sobre la seguridad en la web (el Proyecto Nacional de Filtrado, orientado a proporcionar el acceso gratuito a los filtros de contenidos de Internet con el fin de bloquear los contenidos no deseados), un sitio web y una lnea directa de asesoramiento para la proteccin de los menores en la red, y el acceso a filtros gratuitos provistos de la informacin sobre su funcionamiento.
Australia Stay Smart Online

El sitio web Stay Smart Online ofrece asesoramiento sencillo y gradual para usuarios domsticos y Pymes sobre la proteccin online.
El Programa de la Unin Europea Safer Internet Plus199

A nivel europeo, el programa Safer Internet Plus promueve un uso ms seguro de Internet y de las nuevas tecnologas online, especialmente para los menores.
Get Safe Online200

Get Safe Online (GSO) es el sitio web del gobierno britnico, cuyo objetivo es concienciar sobre las prcticas seguras online para usuarios domsticos de Internet y las Pymes. Este sitio complementa al sitio web Itsafe y se centra en actividades de sensibilizacin con enlaces a populares sitios web. El material educativo ofrece informacin sobre el correo electrnico, el malware, el phishing y el spyware. Este sitio web fue puesto en marcha a raz del acuerdo comn entre el gobierno del Reino Unido y el sector privado, los cuales actan como patrocinadores en el campo de la tecnologa, del comercio minorista y de las finanzas. La semana Get Safe OnlineWeek (GSOW) comenz en octubre de 2006, incluyendo diversas actividades de sensibilizacin. Las actividades de esta semana incluan una cumbre sobre la seguridad en Internet, con el objetivo de establecer un vnculo entre el gobierno, la industria y el sector pblico, con especial enfoque en el tema de la delincuencia en Internet. Tambin se firm el Memorndum de Entendimieno (MOU), cuyos firmantes se comprometan a asesorar a los usuarios sobre la seguridad en el uso de Internet, as como a difundir el sitio web GSO como una fuente de asesoramiento e informacin libre y actualizada. El servicio est financiado por el Ministerio del Interior del Reino Unido y utiliza informacin proporcionada por el Centro para la Proteccin de la Infraestructura Nacional (CPNI). Este departamento gubernamental proporciona defensa electrnica al Gobierno del pas. El objetivo del sitio web ITsafe es asesorar sobre los mejores mtodos de proteccin de los datos personales y empresariales. ITsafe est dirigido por un equipo de gobierno en representacin del CPNI, el Patrocinador Central de la Seguridad de la Informacin (CSIA).

198 Informacin disponible en: [Link]. 199 Informacin disponible en: [Link] 200 Informacin disponible en: [Link]

74

DSTI/ICCP/REG(2007)5/FINAL New Zealand Netsafe201

Netsafe es una asociacin formada por el Grupo de Seguridad en Internet (ISG), una organizacion independiente sin nimo de lucro, el responsable de la educacin sobre la ciberseguridad en Nueva Zelanda y el Ministerio de Educacin de Nueva Zelanda, con la representacin y colaboracin de la industria, la polica, la banca, etc. El objetivo de Netsafe es hacer llegar informacin sobre el abuso sexual online y otras amenazas a menores. El sitio web tambin dispone de informacin sobre el malware, el mantenimiento de ordenadores, el intercambio de archivos P2P, los riesgos de seguridad del IRC, los hackers y otros contenidos relacionados con la eSeguridad. Los temas que abarca Netsafe son los siguientes: la seguridad online, tanto para nios y adolescentes como para empresas, el fraude en Internet y el cumplimento de la ley, los juegos de azar online, los derechos de autor, el comercio electrnico y la ley. Adems, incluye un sitio web de dibujos animados, Hectors World, diseado para educar a los nios acerca de la seguridad online. ITsafe, Reino Unido202 La iniciativa Itsafe es un sitio web del Reino Unido que facilita alertas de amenazas contra la seguridad, simples y fciles de entender, tanto para los usuarios domsticos de Internet como para pequeas empresas. El asesoramiento y la informacin que forman parte del sitio web son gratuitos e incluyen diversas formas de alertas de amenazas contra la seguridad y advertencias que proporcionan un entorno electrnico ms seguro para los usuarios de Internet.
Onguard Online, EstadosUnidos203

El sitio web [Link] est mantenido por la Comisin Federal de Comercio de los Estados Unidos y cuenta con los siguientes socios: el Servicio de Inspeccin Postal, el Departamento de Seguridad Nacional, el Departamento de Comercio y la Comisin de Bolsa y Valores. Su objetivo es facilitar consejos prcticos desde el gobierno federal y desde la industria de la tecnologa para ayudar a los usuarios a protegerse del fraude en Internet. Adems, [Link] proporciona informacin sobre cmo los usuarios pueden proteger sus sistemas de informacin y su informacin personal.
StaySafeOnline, Estados Unidos204

El sitio web StaySafeOnline fue puesto a disposicin del pblico por la Alianza Nacional de Ciberseguridad, una coalicin industrial de Estados Unidos que cuenta con el apoyo del Departamento de Seguridad Nacional, con el objetivo de difundir la sensibilizacin hacia la ciberseguridad entre los usuarios domsticos, las pequeas empresas, los centros de enseanza superior y los nios y/o adolescentes. StaySafeOnline facilita ciberseguridad y fuentes de proteccin para el pblico, incluyendo alertas, consejos e informes, de manera que los consumidores, las pequeas empresas y los educadores sepan cmo evitar la ciberdelincuencia.
Semana Nacional de Sensibilizacin, Estados Unidos

El gobierno de los Estados Unidos, en colaboracin con la industria, celebra el Mes Nacional de Sensibilizacin sobre la Ciberseguridad (NCSAM). Su objetivo es aumentar la concienciacin sobre la seguridad online y los mtodos de adopcin de prcticas seguras en Internet.
201 [Link] de NetSafe es una iniciativa del Grupo de Seguridad en Internet (The Internet Safety Group o el ISG). 202 Informacin disponible en: [Link] 203 Informacin disponible en: [Link] 204 Informacin disponible en: [Link]

75

DSTI/ICCP/REG(2007)5/FINAL

Las actividades y eventos celebrados durante ese mes estaban orientados a usuarios domsticos de Internet, Pymes, gobiernos y sectores educativos y corporativos.
Teenangels205

Teenangels es un grupo de voluntarios entre 13 y 18 aos de Estados Unidos formado en todos los campos de la seguridad (incluyendo la seguridad online y los programas espa) y de la privacidad por las autoridades locales y muchos otros destacados expertos en seguridad. Despus de completar la formacin necesaria, Teenangels lleva a cabo programas especiales en colegios, promoviendo una navegacin responsable y segura entre otros adolescentes, nios, padres y profesores. Convenios
Convenio sobre la Ciberdelincuencia del Consejo de Europa

El Convenio sobre la Ciberdelincuencia del Consejo de Europa es el primer y nico tratado multilateral jurdicamente vinculante que aborda los problemas causados por la difusin de la actividad delictiva online. Firmado en Budapest (Hungra) en 2001, el Convenio entr en vigor el 1 de julio de 2004. Orientado hacia la digitalizacin, convergencia y globalizacin continua de las redes de ordenadores, obliga a sus firmantes a adoptar una legislacin que penalice las violaciones de seguridad causadas por el hacking, la intercepcin ilegal de datos y las interferencias del sistema que comprometen la integridad y disponibilidad de la red. Este instrumento, que menciona las acciones de la OCDE como un medio para fomentar la comprensin internacional y la cooperacin en la lucha contra la ciberdelincuencia, tiene por objeto llevar a cabo una poltica penal comn, encaminada a proteger a la sociedad de la ciberdelincuencia, adoptando una legislacin adecuada y fomentando la cooperacin internacional. Para alcanzar estos objetivos, los firmantes se comprometen a introducir ciertas alteraciones sustantivas en su legislacin para aplicarlas al delito informtico. Aunque el malware no ha sido mencionado en el Convenio como una de las actividades ilegales que debe ser penalizada por los firmantes, est encubierto indirectamente por un listado de delitos, estrechamente relacionados, entre los que figuran el acceso ilcito a los sistemas de informacin, los datos informticos y el fraude informtico. 206 El Convenio fomenta un enfoque ms coherente en la lucha contra los ciberataques, incluyendo la creacin de una red para la lucha contra la delincuencia disponible 24 horas al da y 7 das a la semana, y facilitando la cooperacin de los sectores pblico y privado. El Convenio tambin establece disposiciones para los tratados de extradicin y asistencia legal mutua (en caso de ausencia) entre los firmantes. Hasta la fecha, el Convenio ha sido ratificado por 21 pases y firmado por otros 22.207 Algunas empresas del sector privado han tomado determinadas iniciativas para garantizar la aplicacin de los principios del Convenio. 208
Deteccin y respuesta

Muchos pases tienen la obligacin de observar, prevenir y responder a los incidentes, presentados en forma de CSIRT o CERT. Es importante sealar que no todos los CSIRT o CERT son similares.
205 Informacin disponible en: [Link] 206 Consejo de Europa (2001) Artculos 2, 3, 8. 207 Consejo de Europa. 208 En 2006, Microsoft ofreci una contribucin substancial al Cosejo de Europa para financiar el programa de implementacin del Convenio.

76

DSTI/ICCP/REG(2007)5/FINAL

Los hay representados por entidades pblicas, que forman parte de la estructura del gobierno, entidades financiadas por los sectores pblico y privado y organismos asociados con instituciones acadmicas.209 Est ampliamente aceptada la buena prctica del gobierno orientada a asignar la responsabilidad nacional a los CSIRT o CERT210. En algunos casos, las entidades de un pas estn obligadas a comunicar incidencias de seguridad a las autoridades competentes del gobierno central para gestionarlas. En determinados casos, esta entidad est representada por un CSIRT/CERT. Por ejemplo, en Finlandia es obligatorio comunicar al CSIRT nacional del pas, CERT-FI211, las violaciones importantes de seguridad de informacin, los fallos y las interferencias en las telecomunicaciones pblicas. Como ejemplo de una violacin importante, se encuentra la activacin del malware en los propios sistemas del proveedor de telecomunicaciones. Con el fin de cumplir con esta normativa de notificacin externa de incidencias, el proveedor de telecomunicaciones tiene que contar con procesos internos adecuados para la deteccin y notificacin de stas, as como para la recuperacin de datos sobre los incidentes y amenazas de seguridad de la informacin. Este modelo ha tenido xito en Finlandia, ya que el gobierno ha demostrado que las entidades son dignas de confianza y aptas para manejar informacin sensible y compartirla con los portadores principales en sesiones presenciales. En los Estados Unidos, todos los organismos gubernamentales civiles estn obligados a comunicar incidencias de seguridad al US-CERT.212. Tanto en Finlandia como en Estados Unidos, se elabor un formulario estndar para la notificacin de incidencias.
Iniciativas internacionales Foro de los Equipos de Respuesta a Incidentes de Seguridad (FIRST)

El FIRST congrega a varios Equipos de Respuesta a Incidentes de Seguridad Informtica (CSIRT) procedentes de organizaciones gubernamentales, comerciales y educativas de 37 pases. El objetivo del FIRST es fomentar la cooperacin y la coordinacin en la prevencin de incidencias, estimular una reaccin rpida ante su aparicin y promover el intercambio de informacin entre los miembros y dentro de la comunidad en general213. Al ser miembros del FIRST, los equipos de respuesta a incidentes tienen la posibilidad de contactar con sus homlogos en otros pases, lo cual puede ayudarles a responder con ms eficacia ante los incidentes de seguridad.

209 La Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA) facilita un directorio global de los CSIRT/CERT de Europa: [Link] 210 En 2006, CERT/CC empez a celebrar un encuentro anual de los CSIRT de responsabilidad nacional, informacin disponible en: [Link] Tambin se encuentra disponible un listado de los CSIRT de responsabilidad nacional en: [Link] 211 Autoridad Reguladora y de las Comunicaciones de Finlandia (FICORA) 9 B/2004 M; Informacin disponible en: [Link] 213 Ley Federal de Gestin de la Seguridad de la Informacin (FISMA). Informacin disponible en: [Link] 214 Informacin disponible en: [Link]

77

DSTI/ICCP/REG(2007)5/FINAL CSIRT regionales CERT Asia-Pacfico (APCERT)214

APCERT es una red de contacto de los expertos en seguridad informtica de la regin de Asia-Pacfico, creada para mejorar la sensibilizacin y el conocimiento regional en relacin con los incidentes de seguridad informtica. APCERT trabaja para aumentar la cooperacin en la seguridad de la informacin, facilitar el intercambio de informacin y tecnologa y promover la colaboracin en la investigacin sobre temas de inters para sus miembros. Adems, APCERT colabora en la resolucin de cuestiones legales relacionadas con la seguridad de la informacin y la respuesta ante emergencias ms all de las fronteras regionales. Unin de Telecomunicaciones del Caribe La Unin de Telecomunicaciones del Caribe (CTU), en representacin de la Comunidad Caribea (CARICOM), ha participado en el desarrollo del Sistema de Gestin de Internet para el Caribe. La CTU ha celebrado una serie de foros importantes sobre la Gestin de Internet, en los que los delegados plantearon la cuestin de la creacin del Equipo de Respuesta a Emergencias Informticas del Caribe (CERT) para la deteccin oportuna de los incidentes de seguridad en redes locales de ordenadores, as como la correcta gestin de las mismas y la realizacin de actividades posteriores a la deteccin de incidencias. Adems, existe un creciente grupo de expertos en TIC que han manifestado la necesidad de crear un CERT en el Caribe. En respuesta, en los prximos meses, la CTU har participar a los profesionales de las TIC en el anlisis de los requisitos de seguridad de la localidad, as como a investigar la necesidad y los medios para crear el CERT. Grupo de CERT gubernamentales europeos (EGC) El EGC215 es un grupo informal de CERT gubernamentales que desarrolla una cooperacin eficaz entre sus miembros en materia de respuesta a incidentes, basndose en la similitud de las circunscripciones y conjuntos de problemas entre los CSIRT gubernamentales europeos. Para lograr este objetivo, los miembros del EGC desarrollan conjuntamente medidas para hacer frente a los incidentes de seguridad en redes locales o globales, facilitan el intercambio de informacin y tecnologas relacionadas con las incidencias de seguridad, amenazas de cdigo malicioso y vulnerabilidades dentro de las tecnologas de la informacin, comparten conocimientos y experiencia, identifican reas de colaboracin en la investigacin y desarrollo de temas de inters mutuo y fomentan la creacin de CSIRT gubernamentales en los pases europeos. CERT del Consejo de Coordinacin del Golfo (GCC CERT) El objetivo del GCC CERT es supervisar la creacin de equipos de respuesta nacionales en Arabia Saudita, los Emiratos rabes Unidos, Qatar, Bahrein, Kuwait y Omn.

214 Sitio web del APCERT: [Link] 215 Entre los miembros del EGC se encuentran: Finlandia (CERT-FI), Francia (CERTA), Alemania (CERT-Bund), Hungra (CERT/Hu), los Pases Bajos ([Link]) Noruega (NorCERT), Suecia (SITIC), Suiza (SWITCHCERT) y Reino Unido (UNIRAS/NISCC).

78

DSTI/ICCP/REG(2007)5/FINAL Task Force CSIRT (TF CSIRT)216

La actividad del TF CSIRT se centra en Europa y los pases vecinos, conforme a los Trminos de Referencia aprobados por el Comit Tecnolgico de Terena el 15 de septiembre de 2004. TF CSIRT ofrece a los CSIRT europeos un foro de comunicacin, el intercambio de experiencia y conocimientos, la implantacin de los servicios piloto y la colaboracin en la creacin de nuevos CERT. Otros objetivos del TF CSIRT incluyen: Promover normas y procedimientos comunes para responder a los incidentes de seguridad. Colaborar en la creacin de nuevos CSIRT y en la formacin de sus equipos.

Cumplimiento normativo Estructuras nacionales

En virtud de la legislacin europea, las disposiciones detalladas en la pgina 85 pueden ser aplicadas por los organismos administrativos y/o las autoridades penales. Debido a esto, la Comisin ha hecho hincapi en que las responsabilidades de las distintas autoridades y los procedimientos de cooperacin a nivel nacional deben estar claramente definidos. Hasta la fecha, los cada vez ms entrelazados aspectos penales y administrativos del spam y otras amenazas no han sido reflejados en el respectivo crecimiento de los procedimientos de cooperacin de los Estados Miembros, el cual rene las destrezas tcnicas y de investigacin de diferentes organismos. As pues, se necesitan protocolos de cooperacin para cubrir reas como el intercambio de informacin e inteligencia, datos de contacto, la asistencia y la transferencia de casos. En los Estados Unidos, tanto el FBI como los Servicios Secretos tienen autoridad para investigar los delitos de malware relacionados con el incumplimiento de la Ley de Fraude y Abuso Informtico (Computer Fraud and Abuse Act, Ttulo 18, Art. 1030 del Cdigo de los Estados Unidos,). Las infracciones de esta Ley son procesadas en los Tribunales Federales por el Departamento de Justicia a travs de la Fiscala y la Seccin de Propiedad Intelectual y Ciberdelincuencia de la Divisin Penal. El Departamento de Justicia tambin procesa delitos relacionados con el malware, como, por ejemplo, el incumplimiento de la Ley CAN-SPAM (Ttulo 18, Art. 1037 del Cdigo de los Estados Unidos), el fraude de dispositivos de acceso (Ttulo 18, Art. 1029 del Cdigo de los Estados Unidos) y el Robo de Identidad Agravado (Ttulo 18, Art. 1028A del Cdigo de los Estados Unidos).
Mecanismos internacionales

Varios de los foros internacionales orientados hacia la seguridad, privacidad y cuestiones de proteccin del consumidor, dedican importantes esfuerzos para hacer frente a las mltiples facetas de la ciberdelincuencia.
La Red de Contacto de las Autoridades Competentes en materia de Spam (CNSA217)

A travs de esta iniciativa de la Comisin Europea, se ha creado un grupo informal, formado por Autoridades Nacionales involucradas en la aplicacin del Artculo 13 de la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrnicas, denominado la Red de Contacto de las Autoridades Competentes en materia de Spam (CNSA). Dentro de esta red, las Autoridades Nacionales intercambian informacin con respecto a las prcticas habituales para combatir el spam, incluyendo mejores prcticas para recibir y tramitar informacin y datos sobre reclamaciones, as como la investigacin y la lucha contra este fenmeno.
216 Informacin disponible en: [Link] 217 Informacin disponible en: [Link]

79

DSTI/ICCP/REG(2007)5/FINAL

La red CNSA ha elaborado un procedimiento de cooperacin que tiene como objetivo facilitar la transmisin de informacin sobre reclamaciones y otros datos de inters entre Autoridades Nacionales, as como la tramitacin transfronteriza de denuncias relacionadas con el spam, trabajando al mismo tiempo en cuestiones de spyware y malware.
Red de Ciberdelincuencia G8 24/7

El subgrupo del G8 sobre delincuencia de alta tecnologa dispone de la red 24/7, que ofrece asistencia a las investigaciones que requieren pruebas electrnicas y la cooperacin inmediata de las autoridades extranjeras competentes en materia de justicia penal. Esta red, que incluye casi 50 pases, fue creada en 2007 por los pases del subgrupo G8 con la finalidad de abordar los desafos excepcionales que las investigaciones sobre la delincuencia de alta tecnologa suponan para el cumplimiento normativo. La red ha sido diseada para complementar, y no sustituir, el marco tradicional de asistencia legal mutua a travs de un mecanismo para facilitar la preservacin de pruebas electrnicas. Adems, su papel ha sido decisivo en la preservacin de pruebas para el hacking, el fraude y la investigacin de delitos violentos, as como en la formacin sobre temas como las botnets.
Interpol

Interpol218 es una organizacin policial internacional, cuya misin es prevenir o combatir la delincuencia internacional. Interpol ha distribuido sus equipos de expertos en ciberdelincuencia por todo el mundo, creando Grupos de Trabajo regionales especializados en delincuencia informtica para Europa, Amrica Latina, Asia, el Pacfico del Sur y frica219. El Grupo de Trabajo Europeo especializado en Delincuencia Informtica (EWPITC), perteneciente a la Interpol, ha elaborado una gua de buenas prcticas para los investigadores expertos de las autoridades competentes220. Asimismo, el grupo estableci un rpido sistema de intercambio de informacin, basado en el esquema internacional de respuesta en 24 horas compuesto por expertos de ms de 100 pases. El esquema recibi una aprobacin especial por parte de red de ciberdelincuencia del G8, la G8 24/7 HTCN. Plan de Accin de Londres (LAP)221 El objetivo del Plan de Accin de Londres (LAP) es promover la puesta en prctica de la cooperacin internacional contra el spam y hacer frente a sus variantes, tales como el fraude y las estafas online, el phishing y la difusin de virus. El LAP cuenta con la participacin de los gobiernos, organismos pblicos y el sector privado de ms de 27 pases.
Red Internacional de Cumplimiento Normativo y Proteccin de los Consumidores (ICPEN)

La Red Internacional de Cumplimiento Normativo y Proteccin de los Consumidores (ICPEN) consiste en una red de organismos gubernamentales involucrados en el cumplimiento del comercio justo y de otras actividades relacionadas con la proteccin de los consumidores. La ICPEN fue creada en 1992 por 20 pases, con la colaboracin de la OCDE y la UE, y actualmente cuenta con 29 pases participantes. El Memorndum sobre la Creacin y el Funcionamiento de la ICPEN es la norma que regula esta red. El objetivo principal de la ICPEN es facilitar un intercambio prctico de accin e informacin entre sus miembros para prevenir y subsanar prcticas comerciales engaosas a travs de las fronteras internacionales.
218 La Interpol incluye 186 pases miembros. Informacin disponible en: [Link]/public/icpo/[Link]. 219 Informacin disponible en: [Link]/Public/TechnologyCrime/WorkingParties/[Link]#europa. 220 El Manual sobre la Investigacin en materia Ciberdelincuencia (Information Technology Crime Investigation Manual) est disponible en versin digital a travs del sitio web restringido de la Interpol. 221 Informacin disponible en: [Link]

80

DSTI/ICCP/REG(2007)5/FINAL

Para lograr este objetivo, la ICPEN promueve esfuerzos conjuntos para abordar los problemas a los que se enfrentan los consumidores a la hora de realizar transacciones transfronterizas de bienes y servicios. La cooperacin de la ICPEN no incluye la regulacin de los servicios financieros ni la seguridad del producto, ni tampoco proporciona una plataforma para la obtencin de una compensacin especfica para los consumidores individuales. La ICPEN ha creado varios grupos de trabajo, entre los que se encuentran el Grupo de Trabajo del Fraude de Comercializacin Masiva, el Grupo de Trabajo de Mejores Prcticas y el Grupo de Trabajo ScamWatch, que cubren algunas de las cuestiones asociadas con el malware. Adems, su iniciativa Internet Sweep (Barrido de Internet) trata de encontrar y eliminar sitios web fraudulentos y engaosos.
Legislacin

Aunque el malware rara vez es mencionado como tal en la legislacin, numerosas reas de la ley contemplan las actividades que utilizan este cdigo malicioso, incluyendo las leyes penales y la normativa correspondientes a la proteccin del consumidor, la proteccin de datos, las telecomunicaciones y el spam. Una encuesta realizada a finales del ao 2004 por el Grupo de Trabajo sobre Spam de la OCDE, indic que la mayora de los pases miembros de esta organizacin haba establecido en los ltimos aos un marco legislativo para combatir el spam, el cual tambin podra aplicarse al malware en algunos casos. En la Unin Europea, en virtud de la Directiva sobre la Privacidad y las Comunicaciones Electrnicas y de la Directiva General de Proteccin de Datos, las autoridades nacionales tienen la facultad de actuar en contra de las siguientes prcticas ilegales:

Envo de comunicaciones no solicitadas (spam).222 Acceso no autorizado a equipos terminales, bien sea para almacenar informacin (programas adware y spyware), o para acceder a la informacin almacenada en ese equipo223. Infeccin del equipo a travs de la insercin de malware (gusanos y virus), de la transformacin de ordenadores personales en botnets o de su uso con otros fines224. Engaar a los usuarios para que faciliten informacin sensible, como contraseas y datos de la tarjeta de crdito, por medio de los llamados mensajes de phishing225. Algunas de estas prcticas tambin son sancionadas por las leyes penales226, incluyendo la Decisin Marco sobre ataques contra los sistemas de informacin. Segn esto ltimo, los Estados Miembros debern prever una pena mxima de al menos tres aos o de cinco aos de prisin, en caso de crimen organizado.

Otros referentes legales ms recientes son:

El Proyecto de Ley de la Polica y Justicia del Reino Unido (The Uk Police and Justice Bill), aprobado en 2006227. Esta normativa modific, entre otras, la Ley de Uso Indebido del Ordenador de 1990 (the Computer Misuse Act o CMA) con el fin de prohibir el acceso a un programa o a los datos almacenados en un ordenador, as como causar daos en el funcionamiento de los programas o datos almacenados en el equipo. La Ley tambin aument la pena mxima para estos delitos de cinco a diez aos y se enmend la definicin de abuso informtico para incluir los ataques de denegacin de
servicio.

222 Diario Oficial de la Unin Europea (2002). 223 Diario Oficial de la Unin Europea (2002) Artculo. 5 (3). 224 Ibdem. 225 Diario Oficial de la Unin Europea (1995) Artculo 6 (a). 226 Diario Oficial de la Unin Europea (2005). 227 Introducido en la legislacin del Reino Unido en noviembre de 2006.

81

DSTI/ICCP/REG(2007)5/FINAL La legislacin alemana en materia de piratera, en vigor desde agosto de 2007, considera el hacking228, la denegacin de servicio y los ataques de sabotaje informtico contra las personas229, como conductas ilegales. Las disposiciones legales amplan la responsabilidad penal a la preparacin deliberada de los delitos, que consiste en la produccin, venta y obtencin de dispositivos informticos, diseados para tal propsito. Los delincuentes podran enfrentarse a penas de hasta diez aos de prisin en caso de delitos mayores. El Congreso de los Estados Unidos est contemplando una legislacin que crear una ley, segn la cual el uso del spyware con el fin de recopilar informacin personal o de cometer una infraccin penal ser considerado un delito federal. En el supuesto de que esta ley se apruebe, se autorizar la asignacin de 40 millones de dlares para el perodo de 2008 a 2011230 para procesar las infracciones cometidas contra la nueva ley. Adems, la Comisin Federal de Comercio (FTC) de Estados Unidos ha perseguido activamente a las empresas que utilizan software espa, haciendo uso de su autoridad segn establece el Art. 5 de la Ley de la FTC. Esta Comisin ha llevado a cabo once acciones ejecutorias a lo largo de los dos ltimos aos contra distribuidores de spyware. Estas acciones han reafirmado tres principios fundamentales. En primer lugar, el ordenador pertenece al consumidor y no al distribuidor de software. En segundo lugar, las revelaciones ocultas sobre el software y sus efectos no son adecuadas, al igual que nunca lo han sido, en las reas tradicionales de comercio. Y en tercer lugar, si un distribuidor instala un programa no solicitado en el ordenador del consumidor, tiene que ser capaz de desinstalarlo o deshabilitarlo.

Estructuras pblica y privadas Iniciativas nacionales Australia Iniciativa de Seguridad en Internet231

La iniciativa de Seguridad en Internet de Australia, llevada a cabo por la Autoridad Australiana de Medios de Comunicacin, facilita informacin de forma gratuita a los proveedores de servicios de Internet sobre los ordenadores zombie que operan en sus redes. El programa funciona mediante la transmisin de informacin sobre los ordenadores infectados por bots a los Proveedores de Servicios de Internet232 (ISP) del pas, quienes a continuacin se ponen en contacto con sus clientes, ayudndoles a desinfectar sus ordenadores.
El proyecto inicial de la Iniciativa de Seguridad en Internet comenz en noviembre de 2005, con la participacin de seis Proveedores de Servicios de Internet. El proyecto puso de relieve que la gran mayora de los clientes no se percatan de que sus ordenadores estn infectados por programas maliciosos y agradecen la ayuda para proporcionar seguridad a sus ordenadores. Dado que el proyecto puso en marcha el Cdigo de Conducta sobre la Industria del Spam en Internet, el 16 de julio de 2006 entr en vigor un Cdigo de Instrucciones para los Proveedores de Internet y de Servicios de Correo Electrnico. El cdigo complementa la iniciativa de Seguridad en Internet, ya que incluye clusulas que permiten a los ISP desconectar el ordenador del cliente en caso de que este ltimo no resuelva el problema.

228 La ley define el hacking como la penetracin en un sistema de seguridad informtico y el acceso a datos seguros sin que sea necesario el robo de los mismos. 229 La legislacin vigente limita el sabotaje a empresas y autoridades pblicas. 230 Resumen de Costes de la Oficina Presupuestaria del Congreso, pg 1. 231 Informacin disponible en: [Link] 232 Los siguientes proveedores de servicios tambin se han unido a la iniciativa: Access Net Australia; AUSTARnet, Bekkers, Chariot, iinet, OzEmail, Powerup, ihug, SeNet, Internode, Agile, Neighbourhood Cable, iPrimus, Primusonline, Hotkey, AOL, Reynolds Technology, Riverland Internet y Soul.

82

DSTI/ICCP/REG(2007)5/FINAL Estados Unidos Un ejemplo de la cooperacin entre los sectores pblico y privado de los Estados Unidos se encuentra en la proteccin de la infraestructura crtica bajo el marco del Plan Nacional de Proteccin de la Infraestructura (NIPP), gestionado por el Departamento de Seguridad Nacional. Dentro del marco del NIPP se encuentra el Consejo de Coordinacin Gubernamental (GCC), formado por organismos gubernamentales y entidades industriales (Consejo de Coordinacin del Sector, SCC) para cada uno de los sectores importantes de la infraestructura, incluyendo el sector de las Tecnologas de la Informacin y de la Comunicacin. El NIPP consiste en un marco para evaluar y gestionar el riesgo para cada uno de los sectores, incluyendo amenazas, vulnerabilidades y sus consecuencias233. Otro ejemplo de la colaboracin nacional entre los sectores pblico y privado es el programa

INFRAGARD del FBI, dirigido a mejorar y ampliar el intercambio de informacin entre la industria privada y el gobierno, incluyendo el cumplimiento normativo en lo referente a la infraestructura crtica
nacional. Por ltimo, la Alianza Nacional de Formacin e Informtica Forense representa una colaboracin conjunta entre las autoridades policiales, los medios acadmicos y la industria para tratar conjuntamente cuestiones relacionadas con la ciberdelincuencia. Esta Alianza facilita una formacin avanzada, promueve la concienciacin sobre la seguridad para reducir vulnerabilidades informticas y lleva a cabo anlisis forenses y predictivos, as como simulaciones de laboratorio234. Iniciativas internacionales Consejo de Europa/Microsoft En agosto de 2006, el Consejo de Europa y Microsoft se asociaron para promover la

implementacin del Convenio sobre la Ciberdelincuencia.

Grupo de Trabajo Anti-Phishing El Grupo de Trabajo Anti-Phishing (APWG) es un consorcio entre la industria y las autoridades policiales, gestionado por voluntarios y orientado a eliminar las consecuencias de todos los tipos de phishing, pharming235 y spoofing del correo electrnico. El APWG cuenta con ms de 2.600 miembros, entre ellos 1.600 empresas y organismos, as como representantes de las autoridades nacionales y locales. El grupo ofrece un foro para examinar cuestiones sobre el phishing, definir el alcance del problema a nivel de costes y compartir informacin y mejores prcticas para eliminarlo236. El sitio web del APWG facilita recursos pblicos para informar de los ataques de phishing. Cuando se recibe un aviso sobre el ataque, el APWG procede a analizar la informacin recibida y la aade a su archivo online de phishing. El trabajo del grupo tambin incluye, en su caso, el intercambio de informacin sobre ataques de phishing con las autoridades policiales. Adems, el APWG mantiene el registro de troyanos, keyloggers y otras formas de malware relacionadas con el phishing.

233 Ms informacin sobre el NIPP en: [Link] 234 Informacin disponible en: [Link] 235 El pharming o warkitting utiliza tcnicas similares a las de un ataque clsico de phishing, pero, adems, redirige a los usuarios desde un sitio web autntico (p. ej. el sitio web de un banco) a otro fraudulento, que en realidad es una rplica del sitio original. Cuando el usuario se conecta, por ejemplo, al servidor de su banco, empieza el proceso de bsqueda del nombre del host, cuyo objetivo final es convertir el nombre de dominio del banco (p. ej. [Link]) en una direccin IP que contiene una serie de nmeros (p. ej. [Link]). Y es precisamente durante ese proceso cuando los agentes maliciosos interfieren y cambian la direccin IP. Vase el Informe de Factibilidad sobre el Robo de Identidad Onlinet, El Comit de Poltica del Consumidor de la OCDE y el DSTI/CP(2007)3/FINAL. 236 Informacin disponible en: [Link]

83

DSTI/ICCP/REG(2007)5/FINAL Grupo de Trabajo contra el Abuso de la Mensajera (MAAWG)237

El Grupo de Trabajo contra el Abuso de la Mensajera (MAAWG) es una organizacin global encargada de proteger la mensajera electrnica del abuso online, cuya finalidad es aumentar la confianza del usuario, as como asegurar una transmisin segura de los mensajes legtimos. Gracias a una amplia red de proveedores de servicios de Internet y operadores de redes (que representan ms de 600 millones de buzones de correo), as como proveedores de tecnologa clave y emisores, el MAAWG trabaja para combatir el abuso de la mensajera, centrando sus actividades en la tecnologa, la colaboracin industrial e iniciativas de polticas pblicas. Grupo de Trabajo contra las Botnets de Microsoft A travs de su grupo de trabajo internacional para combatir las botnets, reunido por primera vez en 2004, Microsoft ofrece formacin a los agentes de la autoridad a escala mundial en cuestiones relacionadas con la investigacin de los abusos de las botnets. PhishTank PhishTank es un sitio comunitario de acceso libre, creado para enviar, verificar, seguir y compartir datos sobre phishing. Este sitio web es un centro de tratamiento de datos que ofrece informacin exacta y procesable para todos los que tratan de identificar a agentes maliciosos, ya sea para s mismos o para otros, es decir, el desarrollo de herramientas de seguridad. PhishTank es un consorcio liderado por OpenDNS, un proveedor comercial de servicios DNS recursivos de acceso pblico. Coalicin Anti-Spyware (ASC) La ASC es un grupo compuesto por empresas de software anti-spyware, cientficos y grupos de consumidores, que se dedica al desarrollo de definiciones estndares relacionadas con el spyware. El 25 de enero de 2007, la ASC public los documentos de trabajo sobre buenas prcticas239 que describen el proceso utilizado por las empresas anti-spyware para identificar programas espas u otras tecnologas potencialmente no deseadas dentro de las aplicaciones de software. Asociaciones del sector privado Un ejemplo de asociacin del sector privado en Estados Unidos es la creacin y el desarrollo continuo del Centro IT-SAC (Information Technology Information Sharing and Analysis Center). El IT-ISAC es un centro de confianza formado por especialistas en seguridad de diferentes empresas de la industria de las tecnologas de la informacin, cuyo objetivo es proteger la infraestructura de las tecnologas de la informacin (que mueve la actual economa global) mediante la identificacin de las amenazas y vulnerabilidades que pueda sufrir, as como compartir buenas prcticas sobre cmo hacerles frente usando mtodos rpidos y adecuados240. Normas y directrices Instituto de Ingenieros Elctricos y Electrnicos (IEEE)241 El IEEE es una organizacin sin nimo de lucro dedicada a los avances tecnolgicos. A travs de su afiliacin global, el IEEE es lder en reas que abarcan desde los sistemas aeroespaciales, ordenadores y telecomunicaciones hasta la ingeniera biomdica, la energa elctrica o la electrnica de consumo.
237 Informacin disponible en: [Link]. 238 Charney, Scott (2005). 239 Informacin disponible en: [Link]/documents/[Link]. 240 Informacin disponible en: [Link] 241 Informacin disponible en: [Link].

84

DSTI/ICCP/REG(2007)5/FINAL

Los miembros depositan su confianza en el IEEE, como fuente de recursos, servicios e informacin tcnica y profesional. El IEEE es un lder en el desarrollo de estndares para las telecomunicaciones y las tecnologas de la informacin.
Organizacin Internacional para la Estandarizacin (ISO)

La Organizacin Internacional para la Estandarizacin (ISO) es una federacin mundial de institutos de normas nacionales de ms de 145 pases (un miembro por pas). La ISO, con sede en Ginebra (Suiza), es una organizacin no gubernamental creada en 1947. Su misin es promover el desarrollo de la normalizacin, y otras actividades relacionadas, a nivel mundial, con miras a facilitar el intercambio internacional de bienes y servicios, as como desarrollar la cooperacin en el mbito de la actividad intelectual, cientfica, tecnolgica y econmica. Los trabajos de esta organizacin derivan, entre otros, en acuerdos mundiales que son publicados como Normas ISO. Entre las normas ISO/IEC ms relevantes se encuentran: ISO/IEC 17799:2005. Tecnologas de la Informacin Tcnicas de Seguridad Cdigo de Conducta para la gestin de la seguridad de la informacin. ISO/IEC 19770-1 Gestin de los Activos de Software: Ests Preparado? En junio de 2007, el Comit Tcnico Conjunto ISO/IEC JTC 1 y el Subcomit SC 27 ISO/IEC (entendiendo por IEC la Comisin Electrotcnica Internacional) propusieron un nuevo tema de trabajo sobre las Directrices para la Ciberseguridad (27032)242. Esta normativa establecer pautas generales en materia de ciberseguridad243, tanto para los proveedores de servicios como para los usuarios (organizaciones y usuarios finales), y abordar, en particular, cuestiones de conducta, organizacin y procedimientos. Ms concretamente, se ofrecer asesoramiento de buenas prcticas para usuarios de diferentes sectores, con la finalidad de lograr y mantener la seguridad en Internet, y se atendern los requisitos para lograr un nivel alto de cooperacin, el intercambio de informacin y acciones conjuntas dirigidas a abordar cuestiones tcnicas en materia de ciberseguridad. Todos estos objetivos deben lograrse tanto entre los individuos como las organizaciones a los niveles nacional e internacional. Instituto Nacional de Estndares y Tecnologa (NIST) Creado en 1901, el NIST es un organismo federal no regulador del Departamento de Comercio de los Estados Unidos. Su misin es promover la innovacin y la competitividad industrial del pas, haciendo uso de los avances de la ciencia, normas y tecnologa para mejorar la seguridad econmica y la calidad de vida. En noviembre de 2005, el NIST public la Gua para la prevencin y gestin de los incidentes de malware en su publicacin especial (SP) 80083244.
Consorcio World Wide Web (W3C)

El Consorcio World Wide Web (W3C)245 es un consorcio internacional en el que las organizaciones miembro, personal a tiempo completo y el pblico en general trabajan conjuntamente para desarrollar estndares web.
242 Este tema de trabajo se encuentra en fase de desarrollo desde abril de 2008. Ms informacin en: [Link] 243 Como se define en la norma propuesta, la ciberseguridad hace referencia a la proteccin de activos pertenecientes tanto a las organizaciones como a los usuarios del ciberentorno. El ciberentorno se define en este contexto como el entorno pblico online (generalmente Internet) por contraposicin al ciber espacio empresarial (redes internas cerradas propias de organizaciones individuales o grupos de organizaciones). 244 Informacin disponible en: [Link] 245 Informacin disponible en: [Link].

85

DSTI/ICCP/REG(2007)5/FINAL Su misin es guiar la Web hacia su mximo potencial a travs del desarrollo de protocolos y

directrices que aseguren su crecimiento futuro.

Soluciones y recursos tcnicos Ejemplos de iniciativas nacionales Japn - Cyber Clean Center (CCC) En 2006, el gobierno japons puso en marcha un proyecto para reducir el nmero de ordenadores infectados por bots con el fin de prevenir el spam en los correos electrnicos y los ciberataques. Para lograr este objetivo, Japn ha creado una herramienta de eliminacin de software malicioso, conocida como CCC cleaner, que se descarga gratuitamente en esta direccin: [Link] Los resultados actuales del proyecto incluyen 31.000 programas bot capturados (hash nico) y 1.300 programas bot reflejados en la herramienta de eliminacin. Hasta la fecha, un total de 57.000 usuarios en Japn han descargado esta herramienta. Los prximos pasos para mejorar el proyecto podran incluir el cambio en la composicin de los honeypots y la ampliacin del alcance de los proveedores de servicios de Internet (ISP). Corea Programa Automatizado de Actualizacin de la Seguridad (ASUP) Con el objetivo de reducir los daos producidos por las vulnerabilidades en Microsoft Windows, el Centro para la Seguridad de Internet de Corea (KrCERT/CC) y Microsoft Corea colaboraron para desarrollar e implementar el Programa Automatizado de Actualizacin de la Seguridad (ASUP) para las Pymes y usuarios domsticos. El programa tiene por objeto lograr que, una vez instalado el ASUP, sea posible instalar los parches de seguridad de Windows en todos los sistemas de informacin conectados a Internet, sin intervencin del usuario. Cuando los usuarios visitan los principales sitios web de Corea, tales como portales o sitios de juegos online, en la pantalla van apareciendo ventanas pop-ups que confirman la instalacin del ASUP. Adems de ofrecer las mismas actualizaciones automticas de Windows, ASUP permite a los usuarios confirmar la instalacin del programa con un solo clic, sin la modificacin previa de la configuracin de las actualizaciones Windows246. Microsoft Corea ha distribuido el programa en conformidad con la poltica centralizada de parches de Microsoft, equiparando la comodidad del usuario y la filosofa de empresa en materia de seguridad. El Sistema Sinkhole El sistema Sinkhole intenta prevenir que los bots se conecten a los servidores de comando y control (C&C) de botnets, modificando la direccin IP del servidor C&C. Cuando un zombie, infectado por bots, enva una consulta al servidor DNS, como respuesta (o lo que es lo mismo, la direccin IP para el servidor C&C de la botnet) se recibir la direccin del Sistema Sinkhole. La conexin es redirigida al sistema Sinkhole del KrCERT/CC y no al servidor C&C. El sistema sinkhole puede rastrear y analizar todas las actividades de las botnets conectadas. Segn la Figura 15, despus de adoptar este sistema en 2005, el ndice de infecciones por botnets en Corea ha descendido a casi una tercera parte a finales de 2005, comparado con los datos de enero y febrero de 2005.

246 Durante la instalacin de Windows XP, a los usuarios se les pide especificar la configuracin de las actualizaciones de Windows (Utilizar las actualizaciones automticas de Windows o Informar ms tarde). Para proteger a los usuarios que eligieron voluntariamente la opcin Informar ms tarde, el Kr CERT/CC, con la colaboracin de Microsoft Corea, desarroll el programa ASUP. Slo instalando el control ActiveX, los usuarios reciben proteccin contra las vulnerabilidades del sistema.

86

DSTI/ICCP/REG(2007)5/FINAL
Fig. 15: ndice de infecciones por botnets en Corea (2005 ~ 2006)

MC Finder

Una contramedida adicional utilizada por KrCERT/CC es la implementacin de MC Finder para localizar malware en sitios web comprometidos. MC Finder identifica cada mes un promedio de 500 sitios web explotados en Corea. KrCERT/CC comparte con Google y tres de las principales empresas de portales de Internet del pas los patrones para hacer frente al malware. Muchas soluciones y medios tcnicos eficaces han sido desarrollados para combatir las amenazas, relacionadas directa o indirectamente con el malware. A continuacin se adjuntan algunos de los ejemplos de estas soluciones y recursos:
Extensiones de Seguridad del DNS (DNSSEC) Las extensiones de seguridad del DNS (DNSSEC) aplican la criptografa al Sistema de Nombres de Dominio para autentificar la informacin recibida, permitiendo que los servidores DNS y los sistemas de resolucin verifiquen que las respuestas DNS provienen de un sitio correcto y que son autnticas. Para ello, el sistema proporciona un mecanismo de seguridad y autenticidad para el DNS, conocido como DNSSEC. Las DNSSEC utilizan claves pblicas y firmas digitales para autentificar la informacin DNS. Muchos pases estn trabajando para implementar DNSSEC en los ccTLD (nombres de dominio correspondientes a cdigos de pases). Por ejemplo, Suecia, Bulgaria y Puerto Rico han transferido el TLD del cdigo del pas a las DNSSEC. Sin embargo, es importante contar con la cooperacin del gobierno, banca, y entidades de negocio y registro para implementar con xito las DNSSEC. Actualmente, se estn llevando a cabo varias pruebas experimentales de las zonas DNS seguras. Es un hecho reconocido que las DNSSEC no eliminarn los malos usos del DNS. Existen opiniones de que esto podra revelar informacin privada de las bases de datos DNS y, por tanto, se plantean desafos legales a su implementacin en algunos pases. Autentificacin del nivel de dominio La autentificacin del nivel dominio es un medio para permitir que el servidor receptor de correo pueda verificar que el mensaje de correo electrnico realmente procede del dominio del emisor. En otras palabras, si el mensaje afirma ser de abc@[Link], los medios de autentificacin privados podran autentificar que el mensaje ha llegado del dominio "[Link]", pero en cambio, no podran certificar que este mensaje proviene de un correo electrnico particular abc de este dominio.

87

DSTI/ICCP/REG(2007)5/FINAL

Hipotticamente, en el caso de que un phisher enve correo afirmando ser de [Link], el mensaje pasara por un filtrado del ISP, ya que en este caso el correo no hubiera llegado de un determinado servidor de Citibank. Por consiguiente, los ISP junto con otros operadores de los servidores receptores de correo podrn optar por rechazar el correo no autentificado o someter este tipo de mensajes a un filtrado ms riguroso.
Filtrado de spam247

El filtrado es la tecnologa antispam ms popular. Los principales beneficios de filtrado son la facilidad de implementacin y la flexibilidad con la que los usuarios deciden qu tipo de mensajes deben ser tratados como spam. Los filtros heursticos requieren que los usuarios especifiquen criterios, tales como palabras clave o la direccin del emisor, con la finalidad de que el filtro pueda bloquear la llegada de ciertos mensajes a la bandeja de entrada del consumidor. Los spammers, quienes escriben palabras mal a propsito o en otro idioma, tienen muchas ventajas frente a la estrategia de palabras clave. El funcionamiento de los ltimos filtros se basa en la experiencia y consiste en lo siguiente: se crea una estadstica de todos los mensajes del usuario en forma de una tabla de reconocimiento, como una futura referencia para diferenciar el spam del correo legtimo. Como segundo paso, el filtro permite que slo entren los mensajes que se asemejan al correo legtimo anterior del usuario.
Vulnerabilidades y Exposiciones Comunes (CVE)248

El proyecto CVE (Common Vulnerabilities and Exposures) es un diccionario de nombres normalizados de vulnerabilidades y otros riesgos en materia de seguridad disponible de forma gratuita para todos los usuarios. El objetivo del CVE es normalizar los nombres de todas las vulnerabilidades y riesgos de seguridad conocidos pblicamente. Este diccionario constituye un esfuerzo a nivel comunitario, patrocinado por el gobierno de los Estados Unidos.
Enumeracin Comn de Malware (CME)249

La iniciativa CME (Common Malware Enumeration) ofrece identificadores nicos y comunes de amenazas de malware en estado salvaje, para reducir la confusin del pblico durante incidentes con cdigo malicioso. El propsito de la CME no consiste en sustituir los nombres utilizados actualmente por los proveedores para identificar los virus y otros tipos de malware, sino facilitar la adopcin de un mtodo de identificacin de malware compartido y neutral.
Grupo de Trabajo de Ingeniera de Internet (IETF)

El IETF es una de las mayores comunidades internacionales de diseadores de redes, operadores, vendedores e investigadores dedicados a la evolucin de la arquitectura y del buen funcionamiento de Internet. Actualmente, la labor tcnica del IETF se lleva a cabo en grupos de trabajo organizados por reas (por ejemplo, encaminamiento, transporte, seguridad, etc.). Gran parte del trabajo est se lleva a cabo a travs de listas de correo. El IETF celebra encuentros tres veces al ao.
Consorcio World Wide Web (W3C) El Consorcio World Wide Web (W3C)250 es un consorcio internacional en el que las organizaciones miembro, personal a tiempo completo y el pblico en general trabajan conjuntamente para desarrollar estndares web. Su misin es guiar la Web hacia su mximo potencial a travs del desarrollo de protocolos y directrices que aseguren su crecimiento futuro.
247 Vase DSTI/CP/ICCP/SPAM(2005)3/FINAL 248 Informacin disponible en: [Link] 249 Informacin disponible en: [Link] / 250 Informacin disponible en: [Link].

88

DSTI/ICCP/REG(2007)5/FINAL ANEXO D EJEMPLOS DE VECTORES DE PROPAGACIN DEL MALWARE Correo electrnico: el malware puede enviarse en forma de correo masivo a travs de grandes cantidades de mensajes de correo electrnico que adjuntan o incorporan cdigo malicioso. Existen numerosos ejemplos de malware que ha sido satisfactoriamente propagado a travs del correo masivo, en gran parte debido a la capacidad de los agentes maliciosos que utilizan la ingeniera social para difundirlo rpidamente por todo el mundo. Web: los atacantes utilizan cada vez ms los sitios web para distribuir malware a posibles vctimas. Para ello, se enva directamente correo spam a los usuarios de un sitio web en el que el atacante ha instalado cdigo malicioso capaz de comprometer un ordenador, permitiendo simplemente que el navegador se conecte al sitio. Si es legtimo y popular, los usuarios accedern al sitio web de forma voluntaria, lo que permitir que sus ordenadores resulten potencialmente infectados o comprometidos sin que sea necesario el envo de correo spam para llevarlos al sitio web malicioso. Existen dos focos de infeccin a travs de la web: comprometer el sitio web para que aloje malware o crear uno que aloje cdigo malicioso en un dominio registrado especialmente para tales fines. Mensajera instantnea: el malware puede propagarse a travs de los servicios de mensajera instantnea. Para ello, el cdigo malicioso enva copias de s mismo a travs de la opcin de transferencia de archivos que contienen la mayora de estos programas. Los mensajes instantneos tambin pueden contener enlaces que dirigen al usuario a otro sitio web que aloja malware descargable. Una vez que el usuario hace clic en el enlace que aparece en el cuadro de dilogo del mensaje instantneo, una copia del malware es descargada automticamente y ejecutada en el sistema afectado. Dispositivos porttiles: si el malware se instala en un dispositivo porttil (memoria USB o CD-ROM), puede infectar y/o propagarse ejecutndose de manera automtica al conectarse a otro ordenador. Sistemas de archivos compartidos en red: una red compartida es un almacn de archivos digitales, accesibles de forma remota, ubicada en una red informtica. Sin embargo, puede entraar un riesgo de seguridad para todos los usuarios de la red si el acceso a los archivos compartidos es controlado por agentes maliciosos o por el malware, o si el almacn de archivos del sistema operativo del equipo de un usuario ha sido comprometido. Programas P2P: algunos tipos de malware se autopropagan a travs de copias de s mismos en carpetas que el cdigo malicioso considera como compartidas (como, por ejemplo, todas aquellas que incluyen la palabra compartido en su nombre) o que activa para que sean compartidas, utilizando adems un nombre de archivo oculto o invisible (hacindose pasar normalmente por un software legtimo o por una imagen comprimida). Internet Relay Chat (IRC): el IRC es una forma de chat diseada especficamente para comunicaciones en grupo a travs de canales temticos, los cuales estn disponibles de forma continua y annima desde cualquier punto de Internet. Muchos bot masters (nombre que reciben los agentes maliciososo que controlan redes de ordenadores infectados o comprometidos con malware; vase el captulo El Malware en Internet: las Botnets) utilizan el IRC como un canal central de comunicaciones de comando y control para coordinar y dirigir las acciones de los sistemas de informacin de su botnet que han sido infectados o comprometidos. Bluetooth: Bluetooth es un protocolo para redes inalmbricas que permite que dispositivos, tales como telfonos mviles, impresoras, cmaras digitales, videoconsolas, ordenadores porttiles u ordenadores personales, se conecten entre s a corta distancia a travs de radiofrecuencia. Dado que se intenta eludir los mecanismos de seguridad instalados en los dispositivos Bluetooth, tales dispositivos son vulnerables al malware a travs de tcnicas de ataque denominadas bluejacking o bluesnarfing. Un dispositivo Bluetooth es ms vulnerable a este tipo de ataques si la conexin del usuario est en modo visible, lo que permite que pueda ser encontrada por otros dispositivos cercanos. Red Inalmbrica de rea Local (WLAN): WLAN es una red inalmbrica de rea local que ne dos o ms ordenadores sin utilizar cables. Esta red utiliza una tecnologa OFDM (802.11a), o de espectro disperso, basada en ondas que permiten la comunicacin entre dispositivos en un rea limitada, conocida como conjunto de servicio bsico, que proporciona a los usuarios movilidad dentro de una amplia rea de cobertura y que les permite seguir conectados a la red.

89

DSTI/ICCP/REG(2007)5/FINAL ANEXO E GLOSARIO DE TRMINOS Tipos de malware Existen diversas formas de malware capaces de daar sistemas informticos. A continuacin, se ofrece una descripcin de algunos de los principales tipos de malware. Puertas traseras (backdoors).251Una puerta trasera es cdigo malicioso que permite un acceso no autorizado a una red o sistema informtico aceptando comandos remotos de un atacante desde otro punto de Internet. Las backdoors permiten a los atacantes ejecutar comandos remotos e instalar software, que, a su vez, puede comprometer contraseas u otros datos personales, o permitir que el equipo se use con fines maliciosos. La funcionalidad backdoor o de acceso remoto suele incluirse en la actualidad en la mayora de programas troyanos o bots. Un programa bot es un tipo de programa backdoor que permite a los atacantes controlar de manera remota un gran nmero de sistemas de informacin (a menudo miles) de forma simultnea o individual. Las puertas traseras se incluan intencionadamente, aunque de forma imprudente, en productos de software legtimo para controlar el servicio de atencin al cliente de forma remota, permitiendo a los agentes maliciosos descubrir vulnerabilidades explotables. Registradores de teclas (Keystroke loggers o Keyloggers).252 Un keylogger es un programa oculto que guarda y registra las pulsaciones que el usuario legtimo realiza sobre el teclado del sistema comprometido, almacenando datos personales como nombres de usuario, contraseas o nmeros de tarjetas de crdito o cuentas bancarias. Los registradores de teclas almacenan de forma secreta los datos en ficheros ocultos que son finalmente transmitidos a un punto remoto de la red que los recopila. La funcionalidad keylogging suele estar incluida en la mayora de los programas troyanos. Los expertos han sealado que la popularidad de los keyloggers ha decrecido significativamente en los ltimos dos aos (slo pruebas anecdticas). En la actualidad, la tcnica ms popular, utilizada por el malware para capturar datos, es interceptar los datos enviados antes de que el navegador web los transmita. Los beneficios que esto reporta a los ciberdelincuentes son numerosos: datos ms claros (no se perciben teclas mal pulsadas en los datos o en los de otras aplicaciones), se ha desechado el uso de un sencillo teclado virtual que requera slo los clics del ratn, los datos pueden ser identificados a nivel semntico para cada institucin especfica ([Link]. el nombre de usuario y la contrasea pueden ser identificados por parte del cliente) y existen vnculos ms estrechos con la aplicacin del navegador web. Normalmente, la definicin de registrador de teclas se ampla para aceptar esta tcnica, aunque a veces se define como un tipo de spyware, o lo que es lo mismo, como un rootkit: un rootkit es un conjunto de programas diseados para ocultar el ataque de un ordenador al nivel raz ms privilegiado, modificando los archivos del sistema operativo o insertando cdigo en la memoria de los procesos en ejecucin. Como ocurre con la mayora de tipos de malware, los rootkits necesitan acceso administrativo para ejecutarse de forma efectiva y, una vez instalados, ser prcticamente imposible detectarlos. 253 El papel de los rootkits consiste simplemente en ocultar las pruebas del ataque al usuario, sistema operativo y otras aplicaciones (productos antivirus y antiespa) diseadas para detectar la presencia de archivos maliciosos que han sido instalados en el ordenador. En la mayora de los casos, si un rootkit se instala, los programas antivirus y antiespa no funcionarn. Sin embargo, un rootkit no tiene por qu ocultar de forma efectiva la presencia de malware. Diversos tipos de malware deshabilitan o poseen mecanismos para eludir las contramedidas de seguridad instaladas en el equipo sin hacer uso de los rootkits.

251 NIST pp. 2-12. 252 Ibdem. 253 AusCERT (2005).

90

DSTI/ICCP/REG(2007)5/FINAL Spam: el trmino spam hace referencia a mensajes electrnicos masivos, no solicitados, no deseados y potencialmente dainos.254 Sin embargo, parece existir una creciente relacin entre malware y spam. An as, hay que sealar que este documento slo hace referencia al spam que se utiliza como un vector de distribucin del malware. Programa espa (spyware): Un spyware es una forma de malware capaz de capturar datos de los dispositivos de entrada (teclado, ratn), de salida (pantalla) u otros dispositivios de almacenamiento (memoria, disco duro), y enviar esta informacin al atacante sin la autorizacin o conocimiento del usuario. Algunos programas espa recopilan los sitios web que visita el usuario y envan esta informacin a las agencias publicitarias, mientras que otras variantes maliciosas intentan interceptar contraseas o los nmeros de la tarjeta de crdito que el usuario introduce en un formulario web u otro tipo de aplicacin. Caballos de Troya: un caballo de Troya o troyano es un programa informtico aparentemente legtimo pero que en realidad tiene una funcionlidad oculta que se usa para eludir las medidas de seguridad y perpetrar ataques. Un troyano puede introducirse en el ordenador del usuario con la apariencia de una herramienta irresistiblemente atractiva que el usuario descarga e instala intencionadamente sin ser consciente de sus consecuencias posteriores. Estos programas suelen incorporar la funcionalidad de los keyloggers y de otros programas espa, as como otras funciones para deshabilitar la seguridad del sistema. Virus: al igual que su homlogo biolgico, un virus es cdigo oculto que se propaga infectando otro programa e insertando una de sus copias en ese programa. Un virus necesita un programa anfitrin para ejecutarse antes de volverse activo, necesitando normalmente la interaccin humana para activarse. Los virus liberan una carga daina que puede contener un simple mensaje o imagen, lo que supone un consumo de espacio de almacenamiento y memoria, as como la degradacin del rendimiento general del ordenador (en caso de una mayor carga daina), la destruccin de archivos, el formateo255 del disco duro o daos de otra ndole. Los virus fueron la primera forma de malware, teniendo su origen en los aos 70 con experimentos por parte de laboratorios de informtica y adolescentes experimentales, juzgando al principio sus efectos de algo que no est bien visto en lugar de intento malicioso. Gusano: un gusano es un tipo de malware que se autoreplica sin que sea necesaria la interaccin humana o de un programa anfitrin. Los gusanos suelen explotar las vulnerabilidades del sistema operativo de un ordenador, u otro software instalado, y propagarse rpidamente de un equipo a otro a travs de una red y/o Internet. Los gusanos y los virus son los nicos tipos de malware que pueden autopropagarse. Cada vez es ms frecuente intercambiar indistintamente los trminos virus y gusano. Ms informacin de utilidad sobre trminos de seguridad Disponibilidad Es la propiedad de asegurar que los datos digitales de un sistema de informacin (o el propio sistema) estn disponibles a usuarios autorizados. Autenticacin o Autentificacin/Autenticidad La autenticacin, tambin conocida como autentificacin, es un objetivo de seguridad que consiste en ser capaz de probar o verificar la identidad de un individuo o entidad con cierto nivel de certeza. Los mecanismos de autenticacin se utilizan para ofrecer control de acceso a los sistemas de informacin.

254 OCDE (2006). 255 El formateo consiste en el proceso de borrado completo del sistema operativo, as como de todas las aplicaciones y datos existentes en un ordenador.

91

DSTI/ICCP/REG(2007)5/FINAL La autenticidad es un objetivo de seguridad que consiste en ser capaz de probar o verificar que un mensaje electrnico o transaccin procede de un individuo o fuente particular con cierto nivel de certeza. Confidencialidad La confidencialidad es un objetivo de seguridad que consiste en ser capaz de proteger informacin y datos de accesos no autorizados. Nombre de Dominio Un Nombre de Dominio es el identificador o direccin de una entidad en Internet. Sistema de Nombres de Dominio Un sistema de nombres de dominio es la forma en la que los nombres de dominio de Internet estn ubicados y traducidos en un Protocolo de Internet, conocido como direccin IP. Por ejemplo, el nombre de dominio [Link] es una alternativa ms usable y fcil de recordar que la direccin IP [Link]. Integridad La proteccin de la integridad es un objetivo de seguridad fundamental de los sistemas de informacin, cuya finalidad consiste en asegurar que el sistema en general (personas, datos y programas) no sean comprometidos y sigan siendo fiables. La integridad de los datos hace referencia especficamente a la capacidad de detectar si los datos han sido modificados sin autorizacin. Existe una amplia gama de mecanismos diseados para comprobar la integridad de los datos que van desde mecanismos dbiles de deteccin de errores y simples funciones hash256 a mecanismos ms fuertes que hacen uso de la criptografa de clave pblica, como, por ejemplo, las firmas digitales. Los mecanismos comunes y efectivos de deteccin de cambio de datos deliberados consisten en calcular y comparar funciones hash y verificar una firma digital, que es un tipo especial de funcin hash codificada. Cualquier ataque de malware contra un ordenador es tambin un ataque contra los datos e integridad del sistema, ya que el malware modifica los archivos clave del sistema y puede insertar otro programa o archivo por deseo del atacante, quien tiene la posibilidad de daar o modificar los archivos del sistema, generar datos o realizar transacciones online que supuestamente utilizan la identidad del usuario del equipo. Protocolo de Internet (IP) El Protocolo de Internet es el lenguaje nativo de la comunicacin en Internet. El protocolo IP permite a grandes redes de sistemas de informacin, distribuidas geogrficamente, comunicarse entre s rpida y econmicamente a travs de una variedad de enlaces fsicos. Una direccin IP es una direccin numrica a travs de la cual se identifica un ordenador conectado a Internet. Los sistemas de informacin de Internet utilizan direcciones IP para encaminar el trfico y establecer conexiones entre ellas. No repudio El no repudio es un objetivo de seguridad que intenta evitar que una persona niegue haber realizado una transaccin electrnica cuando s la ha llevado a cabo. Un mecanismo que proporciona un servicio de no repudio es la firma digital, que combina en el mensaje la criptografa de clave pblica y un sellado de tiempo para que ste sea seguro. Una firma digital es una cadena nica que puede usarse para verificar la autenticidad e integridad de una transaccin o mensaje online.

236 Una funcin hash es un mtodo de reproduccin para convertir algunos datos en un nmero relativamente pequeo que sirve de huella dactilar.

92

DSTI/ICCP/REG(2007)5/FINAL La firma, o hash codificado, es una funcin matemtica derivada de la clave privada o secreta del usuario y de los detalles de la transaccin o mensaje. Si el no repudio funciona, tiene en cuenta la afirmacin de que slo el firmante tiene acceso a la clave privada o frase de contrasea (passphrase). Sin embargo, un atacante puede usar malware para potencialmente daar el ordenador en el que se encuentra la clave privada o passphrase y apropiarse del proceso de firmado sin el conocimiento o autorizacin del propietario de la clave. De esta forma, el mecanismo de no repudio puede ser destruido. Vase tambin firma de la transaccin. La firma de la transaccin, en la manera descrita, proporciona servicios de no repudio, ya que existe un nivel alto de certeza de que el usuario llev a cabo la operacin online. Sistema operativo (OS) Un sistema operativo (OS) es un programa informtico que administra el hardware y software de un ordenador. Este sistema lleva a cabo tareas bsicas como el control y asignacin de la memoria, la priorizacin de las peticiones del sistema, el control de los dispositivos de entrada y salida, la creacin de conexiones de red y la administracin de ficheros. Adems de esto, tambin puede proporcionar una interfaz grfica de usuario para funciones de nivel superior y se considera el entorno subyacente dentro del cual se encuentra el resto de programas del equipo. Parche/Workaround Un parche es una pequea pieza de cdigo software desarrollada y diseada para corregir o rectificar fallos o defectos de un sistema operativo o aplicacin. La mayora de los parches se crean para corregir agujeros de seguridad que podran ser explotados por un atacante para comprometer la seguridad de un sistema. Un workaround es un conjunto de acciones que los gestores o administradores de la seguridad de la red pueden adoptar para reducir la exposicin a un tipo particular de vulnerabilidad. Por ejemplo, un workaround puede bloquear el trfico de o hacia ciertos puertos o deshabilitar servicios que podran acarrear una vulnerabilidad. Normalmente, slo se aplica en caso de que no exista un parche. Paquete Un paquete es la cantidad mnima de datos, encaminables de manera autnoma, que pueden transmitirse a travs de un mdem digital de red de conmutacin de paquetes. Consiste en una cabecera (header) de encaminamiento, direccionamiento e informacin de protocolo seguida de una carga de datos (payload). Un paquete es un mensaje que contiene datos y la direccin de destino que se transmite por una red que transfiere paquetes o redes de conmutacin de paquetes. Carga til (Payload) La carga til son los datos esenciales que se transportan dentro de un paquete u otras unidades de transmisin. La carga til no incluye los datos de sobrecarga necesarios para que el paquete llegue a su destino. Hay que sealar que lo que constituye la carga til depende de diferentes factores: para una capa de comunicaciones que necesita algunos de los datos de sobrecarga para realizar su tarea, la carga til a veces incluye la parte de datos de sobrecarga que la capa necesita. Sin embargo, en un uso ms general, la carga til est formada por los bits que llegan al usuario final.

93

DSTI/ICCP/REG(2007)5/FINAL Carga daina de malware Hace referencia a la funcin principal del malware. Por ejemplo, un virus de correo masivo que se propaga a travs del correo electrnico tambin puede incluir la funcin adicional y esencial de borrar los archivos del usuario del ordenador infectado. Ingeniera social Hace referencia a tcnicas diseadas para engaar a los seres humanos con el fin de que proporcionen informacin o tomando medidas que provoquen la violacin de la seguridad de los sistemas de informacin. Ejemplos de ingeniera social son llamar por telfono a la Ayuda al Usuario de tecnologas de la informacin hacindose pasar por un empleado y pidiendo la contrasea para conseguir un acceso no autorizado a la cuenta bancaria de un empleado y a la red, o enviar un correo electrnico fingiendo ser vctima de un banco para hacer clic en una URL de phishing proporcionando la contrasea de la cuenta bancaria al sitio web falso que es controlado por el atacante. La ingeniera social es un trmino de la industria informtica que hace referencia a las estafas. El trmino pretende establecer una distincin entre la ingeniera informtica y la ingeniera de software, en la que la ingeniera social slo ataca al componente humano de un sistema de informacin. Firma de la transaccin La firma de la transaccin o la firma de la transaccin digital es el proceso para calcular una funcin hash codificada con el objetivo de generar una cadena nica que pueda usarse para verificar tanto la autenticidad como la integridad de las transacciones online. Un hash codificado es una funcin de la clave privada y secreta del usuario y de los detalles de la transaccin, tales como la transferencia al nmero de cuenta y la cantidad transferida. Para proporcionar un nivel alto de fiabilidad de la autenticidad e integridad del hash, resulta esencial calcularlo en un dispositivo de confianza, como, por ejemplo, un lector de tarjetas inteligentes. Calcular el hash en un ordenador conectado a Internet o en un dispositivo mvil, [Link]. un telfono mvil o una PDA, sera contraproducente, puesto que el malware y los atacantes pueden comprometer estas plataformas y destruir potencialmente el propio proceso de firma. Factores de autentificacin La autentificacin uni o multifactorial hace referencia al nmero de factores que utiliza un mecanismo de autentificacin. Un factor es un elemento que el usuario conoce ([Link]. un PIN reutilizable o una contrasea), posee ([Link]. una tarjeta de crdito o de dbito, o un token que genera una contrasea de un solo uso) o es (p. ej. biometra, una fotografa o una huella dactilar). Suele afirmarse de manera errnea que el nivel de seguridad de un mecanismo de autentificacin aumenta a medida que se incrementa el nmero de factores. Sin embargo, no es posible evaluar la seguridad por el nmero de factores que se usan, puesto que tambin juega un papel importante el modo en el que el mecanismo de autentificacin est implementado. As pues, este informe pone de manifiesto que incluso las formas fuertes de autentificacin bifactorial que utilizan la contrasea de un solo uso (OTP) y el desafo-respuesta pueden ser vctimas del malware. Vulnerabilidad Una vulnerabilidad es un defecto o fallo en el diseo del sistema, implementacin o funcionamiento y gestin de un programa, que puede ser explotado para incumplir la poltica de seguridad del sistema.

94

DSTI/ICCP/REG(2007)5/FINAL ANEXO F - REAS DE MEJORA Y MAYOR INVESTIGACIN Concienciacin Numerosos sitios web y recursos sirven de ayuda a usuarios finales y Pymes para proteger sus sistemas de informacin, aunque muy pocos abordan o explican de manera especfica los problemas del malware.257 Adems, el nmero de recursos puede resultar aplastante para el usuario, ya que la informacin y orientacin pueden variar entre las diferentes entidades. Del mismo modo, algunos consejos son inconsistentes e incluso inadecuados para hacer frente a la naturaleza rpidamente cambiante de esta amenaza, como, por ejemplo, los consejos que afirman que la nica contramedida necesaria es mantener actualizados los parches antivirus.
Los esfuerzos de concienciacin deberan seguir haciendo hincapi en la disponibilidad de informacin clara que pueda ser entendida por todos los participantes y, en especial, por aqullos que carecen o poseen mnimos conocimientos tcnicos. Dada la constante naturaleza cambiante del malware, las actividades de concienciacin deberan ser revisadas o actualizadas regularmente para que siguieran siendo efectivas, lo que ayudara a mejorar la conducta y prcticas online de usuarios y Pymes, as como su capacidad para protegerse del malware.

Mejorar los marcos legales Leyes y normativa La harmonizacin y/o interoperacin de las leyes contra la ciberdelincuencia es esencial. Una mayor adopcin del Convenio sobre la Ciberdelincuencia del Consejo de Europa puede resultar efectivo a este respecto. Aunque 25 de los 30 pases miembros de la OCDE han firmado el Convenio, slo 8 de esos 25 lo han ratificado. Adems, slo 3 de las 21 economas del APEC han firmado el Convenio y de esas 3, slo 1 lo ha ratificado. El Convenio proporciona un marco para la cooperacin y representa un compromiso para la colaboracin internacional en la lucha contra la ciberdelincuencia.
Adems de ratificar el Convenio sobre la Ciberdelincuencia del Consejo de Europa, las partes implicadas deberan prever futuras ciber-amenazas y mayores esfuerzos para desarrollar marcos legales de cooperacin ms especficos.

El anlisis del malware desempea un papel importante en la recuperacin de pruebas y en la elaboracin de mtodos por parte de las autoridades policiales para investigar la ciberdelincuencia. Este anlisis suele llevarse a cabo utilizando mtodos, tales como, la creacin de imgenes del disco duro, informtica forense en tiempo real, pruebas de antivirus y la ingeniera reversa.258 En algunos casos, estas prcticas estn prohibidas por las leyes de proteccin de la propiedad intelectual.
Debera tenerse en cuenta la revisin de las leyes que prohben el malware de ingeniera reversa para fines policiales y de investigacin, con las garantas adecuadas para la proteccin de los dueos de la propiedad intelectual.

Pueden existir controversias relativas a la proteccin de la privacidad y las acciones para combatir el malware. Por ejemplo, los CSIRT necesitan intercambiar informacin entre s y entre otros proveedores de servicios de Internet, como, por ejemplo, direcciones IP. Sin embargo, las direcciones IP pueden considerarse datos personales en algunos pases, lo que podra acarrear algunos problemas a la hora de intercambiar informacin que podran, a su vez, resultar un obstculo para llevar a cabo esfuerzos, tales como desmantelar botnets o investigar actividades maliciosas.

257 Organizaciones industriales, tales como la APACS, han informado de la no disminucin en los niveles de phishing, gracias a campaas de concienciacin y a cifras pblicas que sealan los problemas y la importancia de los ataques. Evaluacin de las vulnerabilidades y amenazas de los mecanismos de autentificacin utilizados para servicios financieros por Internet Revisin de 2006, pp. 3-4, APACS (2006). 258 CERT Coordination Center (2007) pg. 24.

95

DSTI/ICCP/REG(2007)5/FINAL
Las leyes de proteccin de datos no deberan aplicarse cuando se trata de prohibir el intercambio de direcciones IP, con las garantas adecuadas, u de otro tipo de informacin necesaria para combatir el malware.

Mejores prcticas y polticas Los datos de Whois son un importante recurso para atribuir incidentes de malware y, por tanto, deberan ser exactos y accesibles para las autoridades policiales.259 Asimismo, los agentes maliciosos suelen abusar de las polticas de registro de nombres de dominio, tales como el periodo de gracia de la ICANN o los requisitos mnimos de informacin establecidos por algunos registradores de nombres de dominio (DNR), para evitar ser detectados por las autoridades.
Los registradores de nombres de dominio deberan revisar las polticas de registro de nombres de dominio para evitar, a travs de medidas ms rigurosas (tales como unos requisitos de registro ms estrictos) el abuso potencial del sistema de nombres de dominio, preservando al mismo tiempo la privacidad.

Existen numerosos registradores de nombres de dominio que utilizan diferentes polticas y prcticas para abordar la actividad maliciosa online. Por ejemplo, en el mundo existen 250 dominios de nivel superior correspondientes a cdigos de pases (ccTLD) que establecen sus propias polticas que no tiene por qu resultar harmonizadas o coordinadas. Esta diferencia de prcticas y polticas puede dar lugar a diferentes resultados cada vez que un registrador toma medidas para combatir el malware.
Los registradores deberan elaborar cdigos de prcticas comunes a nivel nacional e internacional en colaboracin con otros participantes.

Como ocurre con los registradores, existen miles de proveedores de servicios de Internet (ISP) que utilizan polticas y prcticas diferentes para hacer frente a la actividad maliciosa online. Los ISP son quizs la parte mejor situada en la cadena que sirve de ayuda para acabar con ciertos tipos de ataques de malware, como, por ejemplo, los ataques DDoS o las botnets que envan spam. A pesar del trabajo de muchos proveedores para mejorar las polticas de seguridad, otros tienden a tener un nivel ms alto que medio de actividad maliciosa. Esta diferencia de prcticas y polticas puede dar lugar a diferentes resultados cada vez que un proveedor toma medidas para combatir el malware, lo que dificulta la capacidad de luchar contra este fenmeno de forma efectiva y consistente.
Los proveedores deberan elaborar cdigos de prcticas comunes a nivel nacional e internacional en colaboracin con otros participantes.

Intensificar el cumplimiento normativo Los agentes maliciosos se aprovechan del hecho de que muchos pases no poseen marcos legales apropiados ni leyes o una formacin adecuada para investigar la ciberdelincuencia. Asimismo, tambin se benefician de los complejos desafos a los que hacen frente las autoridades policiales y los equipos de respuesta a incidentes cuando desarrollan su trabajo fuera de sus jurisdicciones, las cuales estn limitadas por las fronteras geogrficas. El intercambio transfronterizo de informacin entre autoridades del orden pblico es un elemento esencial de la investigacin y procesamiento de los ciberdelincuentes. A pesar de los mecanismos, como, por ejemplo, la Red de Ciberdelincuencia G8 24/7, proporcionados por las autoridades policiales, sigue estando poco claro cmo cooperan entre s tales redes.

259 Los grupos de libertades civiles han recomendado que la ICANN limite el uso y el alcance de la base de datos de Whois a su objetivo original y que establezca sus propias polticas basadas en estndares de proteccin de datos aceptados internacionalmente. La disponibilidad pblica de los datos de Whois puede ser contraria a la Directiva de la Unin Europea relativa a la Proteccin de Datos, que limita el acceso y los derechos de recogida de datos a los propsitos tcnicos originales de la base de datos.

96

DSTI/ICCP/REG(2007)5/FINAL
Se deberan intensificar los esfuerzos del gobierno para facilitar asistencia mutua e intercambiar informacin para imputar y procesar satisfactoriamente a los ciberdelincuentes. Dada la creciente convergencia entre la respuesta a incidentes y la reunin de pruebas por parte de las autoridades policiales, se debera promover la cooperacin entre stas y los CSIRT. Es importante que los gobiernos destinen recursos adecuados a las autoridades encargadas de la lucha contra la ciberdelincuencia, en colaboracin con otros participantes pblicos y privados tambin implicados. Debido a la naturaleza altamente tcnica del malware, los gobiernos deberan promover la formacin regular de jueces, fiscales y agentes de la autoridad.

Mejorar la respuesta Los contactos personales dentro de redes informales de confianza permiten a la comunidad de respuesta a la seguridad obtener, por ejemplo, un proveedor de servicios para que acte rpidamente en caso de abuso. No existe una nica red informal, sino ms bien varias que se solapan. Un proveedor puede contactar con el CSIRT nacional de otro pas para ponerse en contacto con el representante de un proveedor de servicios de ese pas. Estos contactos son recprocos e informan del abuso en su propia red para que se tomen medidas al respecto. Los CSIRT desempean un papel fundamental como la primera defensa ante los ataques de malware. Una de las funciones posiblemente ms importante de un CSIRT nacional es la de Punto de Contacto (POC) para tratar incidentes informticos que afectan al gobierno, as como recibir peticiones de asistencia mutua entre jurisdicciones.
Deberan continuar los esfuerzos para establecer CSIRT por el mundo, especialmente en aquellos lugares donde no existen, a nivel nacional o gubernamental. Del mismo modo, se deberan considerar como Puntos de Contacto para la coordinacin nacional y la cooperacin internacional contra el malware.

El intercambio de informacin es un elemento esencial, para responder de manera efectiva contra el malware, que se basa en relaciones bien asentadas, a menudo personales o bilaterales. El intercambio en tiempo real de estadsticas y de informacin sobre otros incidentes entre CSIRT es limitado y la coordinacin del CSIRT con el gobierno vara segn las responsabilidades de cada CSIRT.
Se deberan promover los CSIRT con responsabilidad nacional para mejorar los mecanismos de intercambio de informacin transfronteriza para una proteccin, deteccin y respuesta ante el malware ms efectivas.

Medicin del malware Muchas entidades recogen, miden y, a veces, incluso publican datos sobre su experiencia con el malware y otras amenazas relacionadas.260 Sin embargo, proveedores, CSIRT y la comunidad empresarial poseen diferentes datos y formas de medir la magnitud del problema y sus correspondientes tendencias. Adems, existen muchos tipos de malware y muy poca consistencia por parte de la comunidad tcnica a la hora de buscar convenciones para tipos idnticos de cdigo malicioso. A pesar de que los datos que existen son tiles para entender aspectos del problema, no son fciles de comparar en trminos reales y absolutos.
Deberan llevarse a cabo esfuerzos ms precisos y consistentes para catalogar, analizar y medir la existencia, reaccin y consecuencias del malware.

Medidas para tratar las vulnerabilidades del software Las vulnerabilidades pueden ser descubiertas por investigadores, del sector privado o acadmico, o por agentes maliciosos, cuya motivacin es lucrativa o para perpetrar un ataque dirigido de espionaje o con otros fines.

256 Vase el Anexo A Datos sobre el Malware

97

DSTI/ICCP/REG(2007)5/FINAL La mayora de los proveedores261 defiende el uso de prcticas responsables de publicacin de vulnerabilidades, en las que los investigadores informan al proveedor de las nuevas vulnerabilidades encontradas en el software y retrasan la publicacin hasta que el desarrollador crea un parche adecuado para el software.
Se debera promover la conducta responsable por parte de los investigadores, como, por ejemplo, contactar en primer lugar con la empresa en lugar de publicar una solucin antes de que est disponible.

Los parches son una forma de solucionar el malware, pero tambin es una medida reactiva. Incorporar la seguridad en el proceso de desarrollo del software sera una solucin ms efectiva y completa a largo plazo. El software tiene que desarrollarse correctamente la primera vez para minimizar as que existan defectos de seguridad. El espacio de tiempo entre el descubrimiento de una vulnerabilidad y el tiempo de su explotacin se est reduciendo.
Deberan llevarse a cabo mayores esfuerzos para desarrollar un software que resista a los ataques, a travs de protecciones en capas y separacin de privilegios. Adems, debera promoverse, en su caso, el uso de revisiones de seguridad y metodologas de validacin para productos software.

Los gobiernos son grandes adquisidores de sistemas de informacin y el software desempea un papel muy importante para impulsar la produccin y adquisicin de sistemas seguros.
Los gobiernos deberan fomentar la seguridad en el desarrollo y produccin del software. Del mismo modo, tambin deberan beneficiarse de la adquisicin del software para promover el desarrollo de productos ms seguros.

Medidas tcnicas El malware presenta desafos tcnicos complejos y, por tanto, las soluciones para combatirlo necesitaran el apoyo de medidas tcnicas, como, por ejemplo, el filtrado, que puede resultar una forma efectiva de minimizar la cantidad ilegtima de trfico en la red. En el Anexo C, se exponen algunos ejemplos de soluciones y recursos tcnicos.
Deberan fomentarse ms esfuerzos para desarrollar e implementar soluciones tcnicas efectivas para detectar, prevenir y responder ante el malware. Los usuarios deberan disponer de mejores herramientas para controlar y detectar actividades con cdigo malicioso, tanto en el momento en el que se perpetra el ataque como despus.

Investigacin y desarrollo Aunque este informe no pretende examinar las actividades de la comunidad cientfica, es importante reconocer su importancia en la lucha contra el malware. Tanto los gobiernos como el sector privado desempean un papel importante en financiar y llevar a cabo investigacin y desarrollo (I+D) en una amplia gama de temas relacionados con las tecnologas de la informacin, incluyendo riesgos de seguridad.
Los programas I+D de los sectores pblico y privado, centrados en la seguridad de los sistemas y redes de informacin, tambin deberan tener en cuenta el malware.

261

Un ejemplo de esto es Microsoft: [Link]

98

DSTI/ICCP/REG(2007)5/FINAL Normas, directrices y buenas prcticas Las normas, directrices y buenas prcticas son herramientas importantes para la comunidad de la seguridad. Las que son especficas para el malware o las dirigidas a comunidades responsables de la lucha contra el malware son especialmente importantes para asegurar una solucin completa al problema. Por ejemplo, los Manuales de Seguridad del Grupo de Trabajo de Ingeniera de Internet (IETF), que ofrecen orientacin a usuarios y proveedores de servicios de Internet, podran ser revisados y actualizados para explicar la naturaleza cambiante del malware.
Se deberan realizar esfuerzos para desarrollar y actualizar continuamente normas, directrices y recursos de buenas prcticas.

Intercambio de informacin y necesidad general de coordinacin y cooperacin transfronterizas Todas las reas de accin anteriormente mencionadas ilustran la necesidad transversal del intercambio de informacin y de la coordinacin y cooperacin transfronterizas. Sin embargo, las comunidades de actores anteriormente descritos no siempre colaboran de manera efectiva en la lucha contra el malware. El intercambio de informacin y la coordinacin entre el sector privado, el gobierno y otros participantes no son siempre adecuados para detectar, responder, mitigar y adoptar las medidas apropiadas para luchar contra el cdigo malicioso. Esto puede atribuirse, al menos en parte, al hecho de que no existe an ninguna asociacin internacional para colaborar contra el malware, a pesar del importante trabajo que se est llevando a cabo. (Vase el Anexo C). Podra tenerse en cuenta un enfoque ms holstico que incluya una combinacin de polticas, procedimientos funcionales y defensas tcnicas para asegurar que el intercambio de informacin y la coordinacin y cooperacin transfronterizas son integradas y abordadas de manera efectiva. Aspectos econmicos Un enfoque econmico del malware proporcionara a los legisladores y actores del mercado un anlisis ms potente y un posible punto de partida para nuevas polticas gubernamentales relacionadas con estructuras de incentivos y externalidades de mercado.
Los siguientes ejemplos podran ser considerados temas de mayor estudio: Efectividad y efectos econmicos de asignar formas y niveles de derechos y obligaciones legales alternativas (como, por ejemplo, la responsabilidad) a diferentes participantes. Esto incluira restricciones legales para que los proveedores de servicios controlaran y gestionaran sus redes ([Link]. aqullas relacionadas con la privacidad, la mera conducta o disposiciones de puerto seguro). Efectividad y efectos econmicos de las listas negras de proveedores de servicios y usuarios finales de seguridad. Efectividad y efectos econmicos de las medidas globales para intensificar el cumplimiento normativo en el rea del malware. Efectividad y efectos econmicos de las soluciones tecnolgicas al problema del malware ([Link]. la seguridad en la informtica en las nubes (cloud computing) y dispositivos atados (tethered devices) para usuarios finales)). Nmero de efectos de reputacin y otros feedbacks para mitigar el problema de la seguridad de la informacin. Esfuerzos para cuantificar la magnitud de la externalidad social general, debida a la falta de confianza en el sistema de comercio electrnico (efectos de crecimiento o consecuencias del PIB). Mejor valoracin del equilibrio entre usabilidad, disponibilidad, funcionalidad, rendimiento, coste y seguriad. El malware en futuras generaciones de redes y arquitecturas de sistemas ([Link]. ms mvil, todo por redes IP (EoIP), Web 2.0). Obstculos y medios para mejorar los incentivos para la seguridad de la informacin de usuarios individuales.

99

DSTI/ICCP/REG(2007)5/FINAL BIBLIOGRAFA 1. Anti-Phishing Working Group (APWG) (2006a), Phishing Activity Trends Report, disponible online en: [Link] (consultado el 14 de diciembre de 2007). Anti-Phishing Working Group (APWG) (2006b), Phishing Activity Trends Report, disponible online en: [Link] (consultado el 14 de diciembre de 2007). AusCERT (2005), Windows Rootkit, Prevention, Detection and Response, informe disponible en:[Link] n %2C+Detection+and+Respons&search=GO (consultado el 11 de diciembre de 2007). AusCERT (2006), Haxdoor An anatomy of an online ID theft trojan; informe disponible en :[Link] (consultado el 10 de diciembre de 2007) Australian Government, Office of the Privacy Commissioner (2004), Community Attitudes Towards Privacy 2004, disponible online en: [Link] (consultado el 11 de diciembre de 2007). BBC News online (2004), MyDoom virus biggest in months disponible online en: [Link] (consultado el 14 de diciembre de 2007). BBC News online (2007); Burgers paid for by mobile phone, disponible en: [Link] (consultado el 7 de diciembre de 2007) Brendler, Beau; Spyware/Malware Impact on Consumers; APEC-OECD Malware Workshop; April 2007 (Source: StopBadware Project); disponible online en: [Link] (consultado el 13 de diciembre de 2007). CERT Coordination Center (2006), List of CSIRTs with national responsibility, disponible online en [Link] (consultado el 10 de diciembre de 2007). CERT Coordination Center (2007), The Use of Malware Analysis in Support of Law Enforcement, disponible online en:[Link] lysis_in_Support_of_Law_Enforcement (consultado el 11 de diciembre de 2007). Charney, Scott (2005), Microsoft Corporation, Combating Cybercrime: A Public-Private Strategy in the Digital Environment, disponible online en: [Link] (consultado el 11 de diciembre de 2007). Computer Economics (2007), 2007 Malware Report: The Economic Impact of Viruses, Spyware, Adware, Botnets and other malicious code, informe disponible en: [Link] Congressional Budget Office Cost Summary, H.R. 1525 Internet Spyware (I-SPY) Prevention Act of 2007, disponible en: [Link] Consumer Reports WebWatch (2005), Leap of Faith: Using the Internet Despite the Dangers. Results of a National Survey of Internet Users for Consumer Reports WebWatch, disponible online en: [Link] ;

2.

3.

4. 5.

6. 7. 8.

9. 10.

11.

12.

13. 14.

100

DSTI/ICCP/REG(2007)5/FINAL 15. 16. Council of Europe (2001), Convention on Cybercrime, disponible en: [Link] Council of Europe, Status of Signatories and Parties to the Convention on Cybercrime, disponible online en:[Link] CL=ENG(consultado el 11 de diciembre de 2007). CSI/FBI Computer Crime and Security Survey (2006), disponible online en:[Link]/forms/fbi/csi_fbi_survey.jhtml;jsessionid=4SCJQ3Y0PCPTOQSNDLPCKHS CJUNN2JVN. Dancho Danchev (2006), Malware future trends, disponible online en:[Link]/docs/[Link] (consultado el 7 de diciembre de 2007) Dearne, Karen (2007), Online security begins at home, Australian IT News , disponible online en:[Link] (consultado el 11 de diciembre de 2007). Denning, Dorothy (2000), Statement by Dorothy Denning, disponible online en: [Link] Devillard, Arnaud (2006), Le phishing en France, peu de victimes mais une menace grandissante, 01net., disponible online en: [Link]/editorial/311785/cybercriminalite/lephishing-en-france-peu-de-victimes-mais-une-menace-grandissante/ (consultado el 11 de diciembr de 2007). Dhamija, Rachna; Fischer, Ian; Ozment, Andy; Schechter, Stuart E (2007); The Emperors New Security Indicators, An evaluation of website authentication and the effect of role playing on usability, disponible online en: [Link] Du, Yuejun Dr. (2007); APEC-OECD Malware Workshop; Presentation by CNCERT; disponible online en: [Link] (consultado el 10 de diciembre de 2007) Edwards, L., (2004), Reconstruction Consumer Privacy Protection Online, International Review of Law Computers & Technology, Volume 18, No. 3, page 315. European Commission Eurobarometer (2007), E-Communication Household Survey, disponible online en: [Link] (consultado el 10 de diciembre de 2007). F-Secure (2007a), APEC-OECD Joint Malware Workshop Summary Record, disponible online en:[Link]/sti/security-privacy. F-Secure (2007b), IT Security Threat Summary for H1 2007, disponible online en: [Link] Gartner (2005), Gartner Survey Shows Frequent Data Security Lapses and Increased Cyber Attacks Damage Consumer Trust in Online Commerce, disponible online en :[Link] Google Inc; The Ghost In The Browser Analysis of Web-based Malware; disponible online en: [Link] (consultado el 12 de diciembre de 2007).

17.

18. 19.

20. 21.

22.

23. 24. 25.

26. 27. 28.

29.

30.

101

DSTI/ICCP/REG(2007)5/FINAL 31. 32. [Link] (2007), APEC-OECD Malware Workshop, [presentacin disponible en: [Link] (consultado el 10 de diciembre de 2007). Greene, Tim (2007), Kapersky seeks help from international police to fight cybercrime, Network World, disponible online en: [Link] (consultado el 14 de diciembre de 2007). Hypponen, Mikko (2006); Malware goes mobile; Scientific American p.70-77; disponible en:[Link] (consultado el 13 de diciembre de 2007). iGillottResearch Inc (2006), The Trusted Computing Group Mobile Specification: Securing Mobile Devices on Converged Networks, disponible en:[Link] per_sept_2006.pdf (consultado el 7 de diciembre de 2007). International Telecommunications Union (ITU) (2007), World Information Society Report 2007, disponible online en:[Link] Javelin Strategy & Research; 2007 Identity Fraud Survey ReportConsumer Version How Consumers Can Protect Themselves; disponible online en:[Link] (consultado el 14 de diciembre de 2007). Kaspersky Labs (2006), Malware Evolution 2006: Executive Summary, disponible online en: [Link] Krebs, Brian (2006), The New Face of Phishing, The Washington Post, disponible online en: [Link] Lemos, Robert (2007), Estonia gets respite from web attacks; Security Focus, disponible online en [Link] Liu, Pei-Wen (2007), Information and Communication Security Technology Center, Chinese Taipei, OECD-APEC Tel Malware Workshop, disponible online en:[Link] (consultado el 10 de diciembre de 2007). Mashevsky, Yury (2007), The Virtual Conflict Who Will Triumph?, The Virtualist, disponible online en: [Link] McAfee Inc. (2006), Virtual Criminology Report 2007 Organized Crime and the Internet, disponible en: [Link] McAfee Inc. (2007), Identity Thef,; disponible en: [Link] McCarthy, Caroline (2007), Study: Identity theft keeps climbing, Cnet News, disponible online en:[Link] MessageLabs Intelligence (2006), 2006 Annual Security Report - A Year of Spamming Dangerously: The Personal Approach to Attacking, disponible online en:[Link] (consultado el10 de diciembre de 2007). Messagelabs (2007), 2007 Annual Security Report - A year of storms, spam and socializing; Disponible online en: [Link] (consultado el 10 De diciembre de 2007).

33.

34.

35.

36.

37. 38. 39. 40.

41. 42. 43. 44. 45.

46.

102

DSTI/ICCP/REG(2007)5/FINAL 47. Messaging Anti-Abuse Working Group (2007), Email Metrics Program: The Network Operators Perspective; Report #5 - First Quarter 2007 (Issued June 2007), disponible online en:[Link] (consultado el 10 De diciembre de 2007). Messmer, Ellen and Pappalardo, Denise (2005), Extortion via DDoS on the rise: Criminals are using the attacks to extort money from victimized companies; Computerworld: [Link] (consultado el 7 de diciembre de 2007). Microsoft (2006a), Security Intelligence Report; January June 2006; disponible online en: [Link] Microsoft (2006b), Security Intelligence Report; July December 2006, disponible online en:[Link] el 3 de diciembre de 2007) Netcraft Toolbar Community (2007), Phishing By The Numbers: 609,000 Blocked Sites in 2006, disponible online en: [Link] in_2006.html (consultado el 11 de diciembre de 2007). McNamara, Paul (2007), Survey: Identity theft on the decline, Network World, disponible online en: [Link]/community/?q=node/11009 (consultado el 11 de diciembre de 2007). NIST Special Publication 800-83, Guide to Malware and Incident Handling; page 2-10; disponible online en: [Link] Oberoi, Sabeena (2007); Addressing the malware Problem, APEC-OECD Malware Workshop, disponible online en: [Link]/sti/security-privacy. OECD (2005), Science, Technology, and Industry Scoreboard 2005, OECD, Paris; [Link] OECD (2006), OECD Anti-Spam Toolkit of Recommended Policies and Measures, disponible online en: [Link] (consultado el 13 de diciembre de 2007). OECD (2007a), Communications Outlook,OECD, Paris disponible online en:[Link] OECD (2007b), Bauer Johannes M., de Bruijne Mark, Groenewegen John P., Lemstra Wolter, and Van Eeten Michel, Delft University of Technology and Michigan State University, consultants to the OECD, Economics of Malware: Security Decisions, Incentives and Externalities (prximamente). OECD (2007c); Summary Record of the APEC-OECD Malware Workshop; disponible online en [Link] Official Journal of the European Communities (1995), Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, disponible online en: [Link] (consultado e 11 de diciembre de 2007). Official Journal of the European Communities (2002), Directive 2002/58/EC of the European Parliament and the Council of 12 July 2002 Concerning The Processing Of Personal Data And

48.

49.

50.

51.

52. 53. 54. 55. 56. 57. 58.

59. 60.

61.

103

DSTI/ICCP/REG(2007)5/FINAL at:[Link] (consultado el 11 de diciembre de 2007). 62. Official Journal of the European Communities (2005), Council Framework Decision 2005/222/JHA Of 24 February 2005 on attacks against information systems, disponible online en:[Link] ORF (2007), Spamhaus antwortet auf [Link]. futurezone, disponible online en: [Link] consultado el 25 de noviembre de 2007. [Link], Phishing attack evades ABN Amro's two-factor authentication, disponible online en: [Link]/page-7967(consultado el 11 de diciembre de 2007). Poulsen, Kevin (2003), Slammer worm crashed Ohio nuke plant network, Security Focus, disponible online en: [Link] (consultado el 11 de diciembre de 2007). RSA Security (2006), Internet Confidence Index Shows that for Businesses and Consumers Transactions are Outpacing Trust, disponible online en: [Link] (consultado el 14 de diciembre de 2007) Shin, Annys (2007a); Is Identity Theft Decreasing?; The Washington Post, disponible online en [Link] Shin, Annys (2007b), The Checkout, disponible online en:[Link] Sokolov, D. A. (2007) [Link] setzt sterreichs Domainverwaltung unter Druck; disponible online en: [Link] consultado el 25 de noviembre de 2007 Sophos (2006a), The Growing Scale of the Threat Problem, disponible online en:[Link] el 7 De diciembre de 2007). Sophos (2006b), Devious Arhiveus ransomware kidnaps data from victims' computers, disponible online en: [Link] el 7 de diciembre de 2007). Sophos (2006c), Married couple formally charged over spyware Trojan horse, disponible online en: [Link] (consultado el 13 de diciembre de 2007). Sophos (2007a), Security Threat Report disponible online en: [Link] (consultado el12 de diciembre de 2007). Sophos (2007b), Security Threat Report Update July 2007, disponible online en: [Link] (consultado el 12 de diciembre de 2007). Spamhaus (2007), Report on the criminal 'Rock Phish' domains registered at [Link]. disponible online en [Link] consultado el 25 de noviembre de 2007. Stewart, Joe (2004), [Link] E-Gold Account Siphoner Analysis; disponible online en [Link] (consultado el 11 de diciembre de 2007). Symantec (2006), Internet Security Threat Report Volume X, disponible en: [Link]

63. 64. 65. 66.

67. 68. 69. 70.

71.

72.

73. 74. 75.

76. 77.

104

DSTI/ICCP/REG(2007)5/FINAL 78. Symantec (2007), Internet Security Threat Report Volume XI, disponible online en [Link] The Economist (2007), A cyber riot, [Link] (consultado el 4 de diciembre de 2007). The Honeynet Project and Research Alliance (2007), Know your enemy: Fast-Flux Service Networks, available online at: [Link] (consultado el 13 de diciembre de 2007). The Sydney Morning Herald; Cyber attacks force Estonian bank to close website: [Link] (consultado el 4 de diciembre de 2007). The Register, Phishing attack evades bank's two-factor authentication, disponible online en: [Link] TriCipher (2007), Consumer Online Banking Study, disponible online en:[Link] (consultado el 14 de diciembre de 2007) Tippett, Peter (2006), The Fourth Generation of Malware, CIO Update, [Link] (consultado el 7 de diciembre de 2007) Twomey, Paul, Current Countermeasures and Responses by the Domain Name System Community, APEC-OECD Malware workshop; disponible online en: [Link] . Trend Micro (November 2005), Taxanomy of Botnet Threats; disponible en [Link] [Link] (consultado el 10 de diciembre de 2007). United Kingdom Centre for the Protection of the National Infrastructure (2005), NISCC Briefing Targeted Trojan, available online at: [Link] (consultado el 7 de diciembre de 2007). United States Canada Power System Outage Task Force (2003), Blackout in the United States and Canada: Causes and Recommendations; disponible online en: [Link] (consultado el 14 de diciembre de 2007). United States Computer Emergency Response Team (US-CERT), Federal Incident Reporting Guidelines: [Link] United States Department of Justice Computer Crime & Intellectual Property Section, Computer Crime Cases (as of 11 December 2007), disponible online en: [Link]/[Link] United States District Court Northern District Of Illinois Eastern Division (2007), US v. James Brewer: [Link] (consultado el 14 de diciembre de 2007). United States Federal Trade Commission (2003), ID Theft Survey Report, available online at:[Link] el 14 de diciembre de 2007)

79.

80.

81.

82. 83. 84. 85.

86.

87.

88.

89. 90. 91. 92. 93.

105

DSTI/ICCP/REG(2007)5/FINAL 94. United States Joint Council on Information Age Crime (2004), Computer-related Crime Impact: Measuring the Incidence and Cost January 2004: [Link] United States National Consumer League / National Fraud Information Center (2006), Top 10 Internet Scam Trends from NCLs Fraud Center, disponible online en: [Link] (last accessed 10 December 2007). United States Nuclear Regulatory Commision (NRC) (2003), Information Notice On Potential Of Nuclear Power Plant Network To Worm Infection, issued 2 September 2003, disponible online en: [Link] (consultado el11 de diciembre de 2007). Whittaker, Colin, APACS, APEC-OECD Malware Workshop presentation; disponible en:[Link] (consultado el 10 de diciembre de 2007).

95.

96.

97.

106