Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul    
     
Artículos analíticos más populares



Impostores en las redes sociales



¡Felicidades, acabas de ganar! La realidad detrás de las loterías online



Keyloggers: Qué son y cómo detectarlos (primera parte)



El spam en junio de 2014



Evolución de las amenazas informáticas en el primer trimestre de 2014
 
Información para autores potenciales
¡Escríbanos!

¿Quiere usted ser uno de nuestros autores y ver su trabajo publicado en nuestro sito web Viruslist.com? ¡Escríbanos!

 

  Home / Análisis

Informe de Kaspersky Lab: Evaluación del nivel de amenaza de las vulnerabilidades en programas

1.02.2013   |   Comentar

Generalidades

Los programas vulnerables son la forma más utilizada para lanzar ataques y robar información confidencial. Los exploits o códigos maliciosos que aprovechan las vulnerabilidades en programas populares para infectar el sistema, se usan en programas maliciosos diseñados para robar los datos personales de los usuarios, pero también se constituyen en la piedra filosofal de la hechicería que usan los ciberdelincuentes para lanzar ataques o desatar ciberguerras. Todas las ciberarmas conocidas, como Stuxnet y Duqu se han valido de los exploits para penetrar en infraestructuras informáticas con sólidas defensas, con fines de sabotaje y ciberespionaje.

El principal objetivo de los expertos y del equipo de seguridad de Kaspersky Lab es identificar y neutralizar todas las nuevas ciberamenazas, incluyendo los exploits. Además de los tradicionales métodos de detección y neutralización en base a las signaturas de determinados programas maliciosos, se están empleando nuevas e inteligentes técnicas para neutralizar incluso los exploits desconocidos o los que explotan vulnerabilidades día-cero o aquellas recientemente descubiertas. Automatic Exploit Prevention es un típico ejemplo de esta innovadora tecnología. Detecta y neutraliza exploits según su comportamiento, antes de que lleguen a causar daños a los usuarios. Para desarrollar este tipo de tecnologías, necesitamos comprender de verdad lo que nuestros clientes necesitan, los programas que usan y cómo encaran sus vulnerabilidades.

Hemos recopilado esta información mediante nuestra red en nube Kaspersky Security Network, y a cambio de esta valiosa información, nuestros clientes en esta red se benefician recibiendo notificaciones actualizadas y casi en tiempo real sobre las últimas amenazas. Antes de llegar a los servidores de Kaspersky Lab, se limpia de toda información personal la información sobre incidentes locales de seguridad y el uso de datos, manteniendo un estricto anonimato.

Este informe se basa en información sobre programas vulnerables instalados en los equipos de los usuarios. El análisis de vulnerabilidades es una de las funciones estándar en los productos de Kaspersky Lab, como Kaspersky Internet Security 2013 que ayuda a los usuarios a identificar y reparar programas con vulnerabilidades críticas. El propósito de esta investigación es comprender cómo reaccionan los usuarios ante programas vulnerables, y analizar los peligros potenciales que representan los programas vulnerables.

Metodología

  • Origen de los datos: clientes individuales de los productos de seguridad de Kaspersky Lab que aceptaron participar en la red Kaspersky Security Network
    • Se recogió información sólo de los PCs con Windows
    • Número total de usuarios: más de 11 millones
  • Periodo de estudio: enero a diciembre de 2012, semanalmente, 52 semanas en total
  • Se realizaron análisis generales de todas las vulnerabilidades, bajo los siguientes criterios:
    • Año en que se descubrió la vulnerabilidad
    • Nivel de seguridad
  • Se seleccionaron las 37 vulnerabilidades más peligrosas bajo los siguientes criterios:
  • Más del 10% de los usuarios tenía programas con una determinada vulnerabilidad durante al menos una semana en 2012. Se seleccionaron las ocho vulnerabilidades que los ciberdelincuentes explotaban con mayor frecuencia y las analizamos en detalle a fin de ver cómo cambiaba su relativa preponderancia en el transcurso del año.
  • Analizamos también los patrones que se usaron para Oracle Java a través de datos anónimos de Kaspersky Security Network, en las versiones que se lanzaron en septiembre y octubre 2012.Se registró un total de 132 millones de aplicaciones vulnerables.
  • Un promedio de 12 vulnerabilidades por usuario.
  • Se encontraron 806 vulnerabilidades únicas. 37 de ellas se detectaron en al menos el 10% de los equipos durante al menos una semana de análisis. Se trata de vulnerabilidades que pueden llamar la atención de los ciberdelincuentes.
  • Estas 37 vulnerabilidades se encuentran en 11 diferentes familias de programas. Entre los programas con mayor cantidad de vulnerabilidades están Adobe Shockwave/Flash Player, Apple iTunes/QuickTime y Oracle Java.
  • Un análisis más profundo de esta lista reveló que los ciberdelincuentes suelen explotar sólo ocho vulnerabilidades en paquetes de exploits muy difundidos.  
  • Las vulnerabilidades de Oracle Java tienen el mayor impacto: cinco de estas ocho se encuentran en programas Java; otras dos pertenecen a Adobe Flash, y la última se encuentra en Adobe Reader.  
  • El nivel promedio de amenazas de las Top 37 vulnerabilidades es de 3,7, calculado en base al nivel de severidad de cada vulnerabilidad, y cae entre "Moderadamente crítico" y "Muy crítico".
  • El resultado más alarmante de esta investigación es que los usuarios de los tres programas más vulnerables (Java, Flash Player y Adobe Reader) se resisten a realizar las correspondientes actualizaciones. Un análisis con detenimiento del uso real de Oracle Java reveló la gravedad de la situación: siete semanas después de la publicación de una nueva versión, menos del 30% de los usuarios había actualizado el programa, a pesar del gran riesgo de que les roben sus datos. Los principales navegadores web sólo tardan entre 5 y 7 días para alcanzar la misma cifra en cuanto a sus actualizaciones más recientes.

Resultados principales

  • Se registró un total de 132 millones de aplicaciones vulnerables.
    • Un promedio de 12 vulnerabilidades por usuario.
  • Se encontraron 806 vulnerabilidades únicas. 37 de ellas se detectaron en al menos el 10% de los equipos durante al menos una semana de análisis. Se trata de vulnerabilidades que pueden llamar la atención de los ciberdelincuentes.
  • Estas 37 vulnerabilidades se encuentran en 11 diferentes familias de programas. Entre los programas con mayor cantidad de vulnerabilidades están Adobe Shockwave/Flash Player, Apple iTunes/QuickTime y Oracle Java.
  • Un análisis más profundo de esta lista reveló que los ciberdelincuentes suelen explotar sólo ocho vulnerabilidades en paquetes de exploits muy difundidos.  
  • Las vulnerabilidades de Oracle Java tienen el mayor impacto: cinco de estas ocho se encuentran en programas Java; otras dos pertenecen a Adobe Flash, y la última se encuentra en Adobe Reader.  
  • El nivel promedio de amenazas de las Top 37 vulnerabilidades es de 3,7, calculado en base al nivel de severidad de cada vulnerabilidad, y cae entre "Moderadamente crítico" y "Muy crítico".
  • El resultado más alarmante de esta investigación es que los usuarios de los tres programas más vulnerables (Java, Flash Player y Adobe Reader) se resisten a realizar las correspondientes actualizaciones. Un análisis con detenimiento del uso real de Oracle Java reveló la gravedad de la situación: siete semanas después de la publicación de una nueva versión, menos del 30% de los usuarios había actualizado el programa, a pesar del gran riesgo de que les roben sus datos. Los principales navegadores web sólo tardan entre 5 y 7 días para alcanzar la misma cifra en cuanto a sus actualizaciones más recientes. 

Cifras generales

Durante las 52 semanas detectamos un total de 806 vulnerabilidades únicas en los PCs de nuestros usuarios. La más antigua se detectó en febrero de 2003; la más reciente en diciembre de 2012.


Porcentaje de vulnerabilidades por año de descubrimiento, todas las vulnerabilidades

La mejor estrategia para evitar riesgos potenciales de seguridad relacionados con programas vulnerables consiste en mantener todos tus programas actualizados (aunque esta medida por sí sola no es suficiente). La antigüedad de estas vulnerabilidades demuestra que los usuarios no lo están haciendo, salvo en las pocas excepciones en las que es el fabricante el que no ha publicado la actualización. Por supuesto que a veces uno se olvida de un programa que no suele usar, o ignora molestosas notificaciones. El análisis de las fechas de descubrimiento para todas las vulnerabilidades revela un cuadro más bien sombrío: casi dos tercios (64%) de las fallas descubiertas se encuentran en programas que son más o menos obsoletos (publicados en 2010 y antes). Pero para tener una imagen más precisa, hay que tomar en cuenta la "popularidad” de ciertos programas vulnerables. Para ello, hemos contado sólo las vulnerabilidades que se encontraron en al menos el 10% de los equipos en algún momento en el año.


Las principales vulnerabilidades por año de descubrimiento

Y aquí sí podemos apreciar la diferencia. Sólo 37 vulnerabilidades estaban lo suficientemente propagadas para pasar nuestro filtro artificial. El detalle por antigüedad es también algo diferente: la aplastante mayoría de vulnerabilidades populares se descubrió en 2011 y 2012, y sólo tres programas vulnerables datan de 2010 o antes (entre las vulnerabilidades más notables se encuentra la detectada en Microsoft Office 2007).

  • Las 37 vulnerabilidades que aparecen en este cuadro representan más del 70% de todas las detecciones de programas vulnerables en 2012.

Sin embargo, hay que tener en cuenta que en los ataques dirigidos contra compañías podrían usarse cientos de vulnerabilidades poco corrientes.

Programas afectados


Diferencias entre las vulnerabilidades más importantes por familias de programas. Para cada familia de programas se muestra la cantidad de vulnerabilidades importantes y el periodo de su descubrimiento

Las 37 vulnerabilidades más importantes se encuentran en 10 familias diferentes de programas. Los productos más vulnerables son Adobe Shockwave/Flash Player, Apple iTunes/QuickTime y Oracle Java. Ellos concentran 28 vulnerabilidades entre las detectadas en el 10% o más de PCs durante 2012.  

Nivel de amenazas

Una de las características más importantes de una vulnerabilidad es su severidad. En la base de datos de vulnerabilidades de Kaspersky Lab, el menor nivel de severidad es 1 (no crítico) y el mayor es 5 (extremadamente crítico). Las vulnerabilidades con un nivel 5 se consideran las más peligrosas ya que en teoría se pueden explotar fácilmente y pueden ocasionar la pérdida de datos confidenciales.

En base al nivel de severidad para cada una de las 37 vulnerabilidades más importantes, hemos obtenido un promedio del nivel de amenaza del 3,7, es decir, entre moderadamente y muy crítico.

Fallas extremadamente peligrosas en los programas

En esta sección analizaremos ocho vulnerabilidades seleccionadas entre las 37 fallas de seguridad en programas que los ciberdelincuentes explotan activamente mediante paquetes de exploits muy difundidos. Aunque la mayoría de las vulnerabilidades más comunes se encuentran en los productos Adobe, las fallas explotadas con más frecuencia en realidad se encuentran en Oracle Java.


Cantidad de vulnerabilidades explotadas activamente, por programa en el que se detectó la vulnerabilidad

Analicemos en detalle estas vulnerabilidades agrupándolas por su respectivo programa.

Vulnerabilidades en Oracle Java

Java es el "líder” indiscutible en cuanto a las vulnerabilidades descubiertas, y 2012 fue un año muy duro para Oracle. Se detectaron seis importantes vulnerabilidades en este programa; la primera se descubrió en octubre 2011, y la más reciente en octubre 2012. La evolución de las vulnerabilidades de Java y su predominio se muestra en el siguiente cuadro.


Predominio de las vulnerabilidades en Oracle Java en 2012

Un análisis de vulnerabilidades sólo detecta una debilidad potencial para cada programa, aunque existan otras más. Sin embargo, en el caso de Oracle Java, los ciberdelincuentes estaban explotando activamente estas cinco vulnerabilidades. Esto significa que tenemos que considerarlas a todas para evaluar la cantidad de usuarios afectados. Como podemos ver, en cualquier momento de 2012 hubo grandes cantidades de usuarios en riesgo por las vulnerabilidades en Java. En el punto más bajo, en febrero, más de uno de cada tres (34,5%) se vieron afectados; el nivel más crítico se presentó en octubre cuando una combinación de tres vulnerabilidades afectó al 61,1% de los usuarios.

También podemos observar que los usuarios son extremadamente reacios a actualizar sus programas, aun cuando esto signifique evitarles riesgos potenciales de seguridad. En un caso en particular con múltiples vulnerabilidades Java descubiertas en febrero 2012, la cantidad más elevada de usuarios afectados que se registró fue del 52,4% a fines de febrero 2012. La actualización de las versiones 6 y 7 de Java se había publicado el 14 de febrero. 16 semanas (o cuatro meses) después, disminuyó al 37,3%, que sigue siendo una cifra significativa. Durante este periodo, se publicó otra actualización de Java (26 de abril) con parches para otras fallas no relacionadas con la seguridad, y a fines de este lapso (12 de junio) se publicó otra actualización para arreglar una nueva falla de seguridad. Es decir, los usuarios tuvieron aproximadamente cuatro meses para cambiar a la nueva versión (segura en ese momento), pero su reacción tardó demasiado.

Análisis del uso real de Java

Profundizamos nuestro análisis en el uso real de los programas Java en el periodo comprendido entre dos actualizaciones. El 30 de agosto Oracle publicó Java SE 7 Update 7 y Java SE 6 Update 35. El 16 de octubre se publicaron Java SE 7 Update 9 y SE 6 Update 37. Todas estas actualizaciones reparaban vulnerabilidades peligrosas. Recurrimos a una fuente alternativa de datos de nuestros usuarios, una que se concentra en el uso real del programa y descubrimos que se usaban 41 versiones principales de Java 6 y 7. La vulnerabilidad reparada por la actualización del 30 de agosto (más detalles en Oracle website) también afecta a todas las versiones anteriores de Java. Entonces, combinamos la proporción de todas las versiones anteriores (Affected) y la comparamos con las dos versiones recién actualizadas (Fixed). Los resultados aparecen en el siguiente cuadro.


Porcentaje de usuarios de nuevas versiones de Java (Fixed) en comparación con versiones antiguas y vulnerables (Affected), semanalmente

Conociendo el gran impacto de las vulnerabilidades en Java, recurrimos a otro método para analizar la rapidez con la que los usuarios cambiaban a las nuevas versiones de este programa cuando se encontraban con una vulnerabilidad explotada activamente en la versión previa. En este caso, los usuarios tenían siete semanas para actualizar a la versión segura (en ese momento) de Java 6 o 7, pero menos del 30% de ellos lo hizo antes de que se publicara una nueva versión (que reparaba otro grupo de múltiples vulnerabilidades ). En un informe anterior sobre el uso de navegadores web, utilizamos datos similares para calcular la rapidez de actualización para Google Chrome, Firefox y Opera. En estos tres casos, el 30% o más de sus usuarios cambiaba a la nueva versión dentro de una semana tras la publicación inicial. Obviamente, podemos calificar como muy lento el proceso de actualización para Oracle Java.

Vulnerabilidades en Adobe Flash Player

En base a la cantidad de vulnerabilidades más frecuentes descubiertas en 2012, Adobe Flash Player supera a Java: detectamos 11 (!)

vulnerabilidades ampliamente extendidas durante este periodo (detectamos otras cinco en Shockwave Player, un programa diferente). Por suerte, los ciberdelincuentes sólo explotaban dos de ellas (en comparación a cinco en Java). Primero, queremos remarcar en particular una vulnerabilidad en Flash que sobresale entre todas.


Porcentaje relativo de vulnerabilidades descubiertas y reparadas en Adobe Flash Player en octubre de 2012, semanalmente

A diferencia de otras vulnerabilidades en Adobe Flash Player que analizaremos después, esta  se descubrió y se reparó hace más de dos años. Pero como podemos ver, a los usuarios que poseen esta versión en particular no se les informó sobre la actualización o fueron reacios a responder a las notificaciones automáticas de actualización. El obsoleto y vulnerable Adobe Flash Player se instaló en el 10,2% de equipos, una cifra impresionante considerando que existe un exploit para esta vulnerabilidad, pero que no se usaba activamente. Al parecer esta vulnerabilidad sólo desaparecerá cuando todos los equipos que tienen instalados programas obsoletos se reemplacen por unos nuevos.

Vulnerabilidades en Flash. El escenario


Niveles relativos de vulnerabilidades en Adobe Flash Player en 2012

El escenario para las otras 10 vulnerabilidades en Flash es más complejo. Una vez más, el análisis de vulnerabilidades sólo detecta una vulnerabilidad por programa, por lo que este cuadro muestra nuevas vulnerabilidades que se solapan o sustituyen a otras. Aunque sólo se están explotando dos de las diez vulnerabilidades mostradas (las descubiertas en Mayo en Agosto de 2012), el cuadro también muestra solo una débil señal de que las vulnerabilidades estén disminuyendo, pues los usuarios tardan mucho en cambiar a nuevas versiones de programas, a pesar de la peligrosidad de las vulnerabilidades.  En futuros informes nos concentraremos en estadísticas de uso real de Adobe Flash Player para definir con exactitud la rapidez de actualizaciones de una versión a otra.

Vulnerabilidad en Adobe Reader/Acrobat


Variación en el porcentaje de la vulnerabilidad, por semanas

La única vulnerabilidad en Adobe Reader que fue popular y se explota activamente ahora se descubrió a principios de diciembre de 2011, y se detectó en un promedio del 13,5% de los equipos de usuarios en 2012. Aunque se reparó de inmediato, la cifra no varió mucho, alcanzando un pico del 16,8% en enero de 2012. Tal como sucedió con los otros programas que analizamos, hay poca evidencia de que esté disminuyendo.  Una vez más, esto sugiere que los usuarios son reacios a actualizar sus programas, quizás debido a un ineficaz sistema automático de actualización.

Conclusión

Esta investigación nos ha permitido mirar el nivel de amenaza de las vulnerabilidades en programas desde un singular punto de vista: las fallas de seguridad en los programas son una bomba de tiempo en manos de los ciberdelincuentes. Nuestros datos provienen de nuestros usuarios que gozan de la protección de nuestros productos y que por lo tanto tienen menos probabilidades de ser víctimas de un exploit. Aun así, el escenario es sombrío.

Incluso cuando un fabricante de programas se esfuerza en detectar una falla de seguridad y publica una actualización a tiempo, esto no significa nada para una gran cantidad de usuarios. Una grieta de seguridad conocida, peligrosa y explotable permanece abierta en millones de PCs meses después de que se la haya descubierto y se haya publicado el parche. Hay ejemplos de vulnerabilidades en programas que duraron años tras su descubrimiento y actualización.

En realidad no podemos culpar a los usuarios por ello: no son, y no tienen que ser, expertos en seguridad. Lo que se necesita es un proceso de actualización más dinámico y automatizado para todos los programas instalados y mejores prácticas de seguridad de los fabricantes en general. Lo que los usuarios tienen que entender es que la libertad de instalar cualquier versión de cualquier programa que deseen requiere ciertas precauciones, y el punto de inicio es una apropiada protección contra las amenazas modernas, incluyendo herramientas para detectar y actualizar programas vulnerables.

Recomendaciones para los consumidores

  • Uso permanente de soluciones de seguridad: tener instaladas las últimas versiones de todos los programas no te protege contra los últimos exploits que utilizan vulnerabilidades día-cero. Kaspersky Lab ofrece una nueva tecnología diseñada para detectar y neutralizar hasta los exploits nuevos y desconocidos, conocida como Automatic Exploit Prevention.
  • Usar un mismo ordenador por varios años sin reinstalar un sistema operativo es un hecho muy común. Si este fuese tu caso, realiza un inventario de tus programas instalados. Elimina los programas que nunca usas. Actualiza el resto a la más reciente versión, si es posible.
  • Usa un programa especial para buscar vulnerabilidades en los programas instalados. Asegúrate de actualizar los programas que sean críticamente vulnerables. La forma más sencilla de hacerlo es usando un paquete integral de seguridad como Kaspersky Internet Security.
  • Al hacerlo, presta particular atención a Oracle Java, Adobe Flash Player y Adobe Reader; estos programas son los más explotados.
  • Si eres usuario de un equipo Apple, no supongas que eres inmune a las vulnerabilidades. Por desgracia, las vulnerabilidades suelen ser multiplataforma. Por ejemplo, el célebre botnet Flashfake usaba una vulnerabilidad en Java.  Podemos decir lo mismo de Linux: aunque los usuarios de esta plataforma son menos atacados por los ciberdelincuentes, pueden ser usados para lanzar un ataque dirigido contra una compañía.
  • Los programas que tu compañía usa tienen que estar bajo control. Es decir, tienes que saber qué programas y qué versiones usan los empleados, y, por supuesto, si son seguros. En general, el control de los programas tiene que realizarse de forma centralizada, en tiempo real, como por ejemplo lo hace Kaspersky Endpoint Security for Business, en conjunción con la consola de gestión Kaspersky Security Center. Sus diversas herramientas hacen seguimiento a los programas, dispositivos y actividad en la web.
  • En cuanto a las vulnerabilidades, el primer paso es realizar un inventario. En realidad, para muchos departamentos de informática, esta tarea suele ser tan compleja y exigente como la protección contra los ciberdelincuentes. Por suerte, la nueva solución de seguridad corporativa de Kaspersky Lab te permite controlar todos los aspectos de la seguridad informática con un inventario de hardware y software y que incluye todo, hasta la sencilla configuración e instalación de endpoints y otros nodos en la red. La evaluación de vulnerabilidades y la versátil administración de parches están entre las funciones sobresalientes de este nuevo producto.
  • El primer análisis de vulnerabilidades puede revelar un escenario bastante desolador, ya que las políticas corporativas de seguridad informática suelen limitar la habilidad de los empleados para actualizar por sí mismos un programa. Como hemos visto en este informe, muchos usuarios ni siquiera piensan en actualizar un programa que parece funcionar con normalidad. Añadir privilegios limitados a esta ecuación puede resultar en que todos los empleados de la compañía usen por años programas obsoletos.
  • Entonces, ¿cuál es la solución? Primero, hay que mirar con detenimiento los programas vulnerables más usados que hemos descrito en este informe. Compararlos con los programas que se usan en la compañía. Estos son los blancos potenciales de un ataque dirigido; todos comienzan con un exploit dirigido a un programa concreto que los empleados usan. Pero también hay que prestar atención a las vulnerabilidades “antiguas” que se han propagado durante mucho tiempo. Las actualizaciones de programas corporativos, como el inventario, debería ser una tarea que se realice de forma centralizada recurriendo a una solución adecuada que administre los parches respectivos.  
  • Una forma adicional de mejorar la seguridad corporativa es el nuevo escenario Default Deny. En los productos corporativos de Kaspersky este escenario usa una extensa base de datos de más de 600 millones de programas legítimos para garantizar que sólo se ejecuten aquellos programas conocidos y con buena reputación. Este escenario restringe por completo los programas vetados por la compañía, los programas desconocidos y los programas maliciosos. Al mismo tiempo, una categoría especial (“Golden Image”) de aplicaciones especiales garantiza el funcionamiento de programas críticos para la misión y los componentes del sistema, y la alianza de Kaspersky Lab con más de 200 reconocidos fabricantes de software garantiza que las más recientes versiones de programas esenciales se añadan a la lista de programas “permitidos”.
  • La codificación de datos críticos puede reducir la posibilidad de fugas de información. Uno de los principales objetivos de un ataque dirigido contar una compañía es robar su información, por lo que la codificación ayudará a su protección incluso en caso de infección. 

Recomendaciones para las compañías

Fuente:
Kaspersky Lab
Enlaces sobre temas similares
Blog
Area41, antes conocido como...
Nuevo Flash Player día-cero (CVE-2014-0515) utilizado en ataques watering-hole
El futuro de Bitcoin después del incidente Mt. Gox
CVE-2014-0497 – una vulnerabilidad del día cero
Vulnerabilidad en Safari
Analysis
Kaspersky Security Bulletin 2013. Estadística principal de 2013
Kaspersky Security Bulletin 2013. Amenazas corporativas
Evolución de las amenazas informáticas en el tercer trimestre de 2013
Desarrollo de las amenazas informáticas en el tercer trimestre de 2012
 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com