El Volumen XIII del Informe sobre las amenazas a la seguridad en Internet (ISTR) publicado por Symantec, concluye que la Web es ahora el principal conducto de los ataques a la seguridad, al contrario de los ataques a las redes, y que los usuarios de Internet pueden infectarse de forma cada vez más simple, visitando todos los días sitios Web. El informe se deriva de datos recogidos por millones de sensores en Internet, investigación de primera mano y monitoreo activo de las comunicaciones de los hackers, y ofrece una visión mundial del estado de la seguridad en Internet.
El director de marketing de la compañía, Luis Fuertes, explicó a los periodistas en su presentación que en el pasado, los usuarios tenían que visitar de forma intencionada sitios maliciosos o hacer clic en archivos adjuntos maliciosos de correo electrónico para ser víctimas de las amenazas a la seguridad. “Hoy en día, los hackers están atacando sitios Web legítimos y los están utilizando como medio de distribución para entrar en los ordenadores empresariales y del hogar. Symantec observó que los atacantes están vulnerando los sitios probablemente de confianza para los usuarios finales, como los sitios de redes sociales”.
Los hackers están utilizando vulnerabilidades específicas de las páginas web que luego pueden ser utilizadas como un medio para lanzar otros ataques. En el último semestre de 2007, se detectaron 11.253 vulnerabilidades cross-site scripting específicas de los sitios en Internet, lo que representa vulnerabilidades en sitios Web individuales. Sin embargo, únicamente 473 de ellas (cerca del 4%) habían sido recuperadas con parches por el administrador del sitio Web afectado en el mismo periodo, lo que representa una enorme oportunidad para que los hackers perpetren los ataques.
El Phishing también sigue siendo un problema. En el último semestre de 2007, Symantec detectó 87.963 servidores host que podían alojar uno o más sitios Web phishing. Esta cifra correspondió a un incremento del 167% con respecto al primer semestre de 2007. De hecho, el 80% de las marcas vulneradas por los ataques de phishing en el periodo del estudio estaban en el sector financiero.
El informe también revela que los piratas informáticos están buscando información confidencial de los usuarios finales que pueda ser utilizada fraudulentamente con fines económicos y se centran menos en el equipo o dispositivo que tiene la información. En el último semestre de 2007, el 68% de las amenazas maliciosas más predominantes detectadas por Symantec intentaron comprometer la información confidencial.
Finalmente, los atacantes han creado una economía clandestina estable, donde poder comprar, vender y comercializar la información robada. Esta economía se caracteriza ahora por una serie de rasgos comunes de las economías tradicionales. Por ejemplo, las fuerzas del mercado de la oferta y la demanda tienen un impacto directo en los precios. La información de las tarjetas de crédito, que es abundante en este entorno, representa el 13% del total de bienes publicitados —es decir que descendió con respecto al 22% del periodo anterior y se vendió a un bajo precio de USD $0.40. El precio de una tarjeta de crédito en este mercado clandestino está determinado por factores como la ubicación del banco emisor. Las tarjetas de crédito de la Unión Europea, por ejemplo, cuestan más que las de los Estados Unidos probablemente debido a la menor oferta de tarjetas que circulan en la UE lo cual hace que las tarjetas sean más valiosas para los delincuentes. Las credenciales de las cuentas bancarias se han convertido en el producto más frecuentemente que se ofrece, con un 22% de los bienes y se vende por tan solo USD $10.
RESULTADOS ADICIONALES IMPORTANTES
• En el año 2007, Symantec detectó 711.912 nuevas amenazas en comparación con 125.243 amenazas en el 2006 — un incremento del 468%; que suman un total de 1.122,311 amenazas de códigos maliciosos detectadas por Symantec durante el año 2007.
• Symantec midió el impacto en el mercado del software legítimo y malicioso durante una parte del periodo analizado y encontró que el 65% de las 54.609 aplicaciones disponibles al público fueron catalogadas como maliciosas. Esta es la primera vez que Symantec observó que el software malicioso superó a las aplicaciones legítimas.
• El robo o pérdida de un ordenador u otro dispositivo, constituyó el 57% de todas las brechas de datos en el último semestre de 2007 y correspondió a un 46% de todas las brechas reportadas en el periodo anterior.
• El gobierno fue el principal sector que sufrió ataques a la identidad con un 60% del total de ataques, lo que significó un incremento con respecto al 12% del periodo anterior reportado.
• Se puede comprar una identidad completa por USD $1 en la economía clandestina.
((FICHA DE ESTA NOTICIA
Encuentro: Rueda de prensa
Hora: 12,30
Periodistas: 26
Lugar: MOMA))
Principales Hallazgos sobre España en el Vol. XII del Informe de Symantec sobre Amenazas a la Seguridad en Internet
• Madrid fue la ciudad con más ordenadores infectados con bots, con un 3% del total mundial.
• Durante el segundo semestre de 2007, España ocupó el 5º puesto en el ránking de actividad maliciosa por países a nivel mundial, con un 4%.
o Ránking de Redes Bots: 4º puesto
o Ránking de Servidores Comando y Control: 19º
o Ránking de Host que Albergan Sitios Web para Phishing: 15º
o Ránking de Códigos Maliciosos: 9º
o Ránking de Zombies para Spam: 9º
o Ránking de Países Orígenes de Ataques: 4º
• El dominio “.es” de España, ocupa el lugar número 10 en el ránking de Principales Dominios de Sitios para Phishing, con el 1% del total global.
• España originó el 2% de todo el spam producido a nivel mundial durante la segunda mitad de 2007, duplicando el porcentaje registrado por Symantec en el primer semestre de 2007, con lo cual ha subido del puesto 15º al puesto 10º.
Acerca del Informe de Symantec sobre Amenazas a la Seguridad en Internet, Vol. XIII
El Informe de Symantec sobre Amenazas a la Seguridad en Internet (Internet Security Threat Report, ISTR) ofrece un análisis actualizado cada semestre sobre la actividad de las amenazas en Internet, incluyendo un examen de los ataques basados en red, una revisión de los ataques conocidos, y los códigos maliciosos más destacados. También se ocupa de numerosos asuntos relacionados con los fraudes que se producen en la Red, incluyendo los ataques mediante phishing y spam. Este resumen del ISTR da a conocer las amenazas más recientes y los peligros inminentes. Asimismo, ofrece sugerencias para protegerse y para reducir estas actividades. Este volumen abarca el período de seis meses comprendido desde el 1 de julio al 31 de diciembre de 2007.
Symantec ha establecido varias de las fuentes más completas de datos sobre amenazas en Internet que existen en todo el mundo. La Symantec™ Global Intelligence Network, formada por el Symantec DeepSight™ Threat Management System y los Symantec™ Managed Security Services y por otras fuentes de terceras partes, realiza el seguimiento de la actividad de los ataques en más de 180 países y cuenta con más de 40.000 sensores que monitorizan la actividad de la red en todos estos territorios.
Symantec recopila datos sobre códigos maliciosos, junto con informes de spyware y de adware en más de 120 millones de equipos cliente, servidores y pasarelas de acceso que llevan instalados productos antivirus de Symantec. Asimismo, Symantec mantiene una de las bases de datos más completas del mundo sobre vulnerabilidades, que contiene ahora más de 25.000 vulnerabilidades (abarcando más de dos décadas) que afectan a más de 55.000 tecnologías de más de 8.000 proveedores. Symantec también gestiona uno de los foros más populares en donde los usuarios dan a conocer y se ocupan de las vulnerabilidades en Internet, la lista de mensajes BugTraq™ , que cuenta con unos 50.000 abonados directos que contribuyen, reciben y se ocupan a diario de las investigaciones sobre vulnerabilidades.
En último lugar, Symantec Probe Network, un sistema con más de dos millones de cuentas “anzuelo” para atraer mensajes de correo electrónico de 30 países diferentes en todo el mundo, permite a Symantec valorar la actividad de los ataques realizados mediante técnicas de phishing y spam a escala mundial. Symantec también recopila información sobre phishing a través de Symantec Phish Report Network, una amplia comunidad contra fraude formada por empresas y por particulares. Los miembros de la red aportan y reciben direcciones de sitios Web fraudulentos para alertar y actuar como filtro en una amplia gama de soluciones. Estos recursos ofrecen a los analistas de Symantec una fuente de datos inigualables con la que identificar las tendencias más recientes en ataques y la actividad de códigos maliciosos, phishing y spam. El Informe de Symantec sobre Amenazas a la Seguridad en Internet ofrece a empresas y a particulares la información esencial que precisan para garantizar la seguridad de sus sistemas tanto ahora como en el futuro.
Aspectos generales
A medida que los administradores encargados de la seguridad y los usuarios finales incorporan nuevas medidas para hacer frente a las amenazas, los atacantes se ven obligados a crear tácticas innovadoras para lograr sus objetivos. Como resultado de ello, el panorama de las amenazas está en cambio constante. Las transformaciones permanentes han sido evidentes durante los últimos seis meses de 2007. Basándose en los datos recopilados durante este período, Symantec ha observado que el panorama actual para las amenazas a la seguridad se caracteriza especialmente por lo siguiente:
• La actividad maliciosa se centra ahora en la Web
• Los atacantes se están enfocando en los usuarios finales, en vez de dirigirse a los equipos
• El mercado negro está incrementando su madurez y consolidación
• Rápida capacidad de adaptación de los atacantes y de los ataques
En el pasado, las amenazas tradicionales solían utilizar predominantemente ataques generalizados dirigidos a los ordenadores instalados en la red. Sin embargo, a medida que los administradores y los proveedores fortalecen sus defensas perimetrales empleando herramientas como, por ejemplo, firewalls y sistemas para detección/prevención de intrusiones (IDS/IP S), los atacantes responden con nuevas tácticas. En vez de intentar penetrar en las redes utilizando ataques en grandes cantidades, los atacantes han adoptado técnicas más sigilosas, centrándose en objetivos específicos, dirigidos a ordenadores específicos y a través de Internet. Esto se puede ver impulsado, en parte, porque estas acciones aumentan la probabilidad para dejar al descubierto y explotar las vulnerabilidades que afectan a los equipos instalados en redes empresariales. Por otra parte, la actividad que tiene lugar en los ordenadores de los usuarios finales y/o en sitios web tiene una menor probabilidad de ser detectada. Como resultado de todo ello, Symantec ha observado que la mayoría de la actividad maliciosa efectiva se basa ahora en la Web, ya que este medio se ha convertido en la vía principal de los ataques.
Las vulnerabilidades específicas a una serie de sitios determinados son quizá el indicador más elocuente de esta tendencia. Estas vulnerabilidades afectan al código propietario o personalizado para un sitio Web específico. Durante los últimos seis meses de 2007, se documentaron 11.253 vulnerabilidades de scripts que afectan a sitios específicos de forma total , un incremento frente a las 2.134 vulnerabilidades tradicionales documentadas por Symantec en este período.
Estas vulnerabilidades son una preocupación porque permiten a los atacantes poner en peligro sitios Web específicos, pudiéndolas utilizar posteriormente para lanzar ataques a otros usuarios. Se ha mostrado que ésta es una estrategia efectiva para el lanzamiento de ataques en varias etapas y para la explotación de vulnerabilidades en equipos cliente.
Symantec ha observado también que los atacantes se están centrando especialmente en sitios de confianza para los usuarios, como por ejemplo las redes sociales. De esta forma, aumenta la probabilidad de éxito en los ataques, porque un usuario puede permitir con mayor probabilidad que un sitio de confianza ejecute código en su ordenador, o puede favorecer la apertura de un archivo descargado de un sitio de este tipo. Los atacantes centrados en sitios de confianza pueden también apoderarse de la identidad de un usuario, además de lanzar ataques masivos, permitiendo la propagación rápida de los ataques a través de la red social de la víctima. Esta es una razón para explicar el cambio para centrarse en las vulnerabilidades específicas de sitios determinados.
Symantec ha observado que cada vez más la actividad maliciosa ha pasado de dirigirse a los ordenadores a centrarse en los usuarios finales. Los atacantes están enfocando sus acciones de manera específica en la información confidencial de los usuarios finales, para utilizarla en actividades fraudulentas con el fin de obtener beneficios financieros. Esto es un efecto colateral del cambio de las actividades para obtener ganancias económicas que el ISTR ha observado a lo largo de los últimos dos años.
Muchas amenazas a la información confidencial se han diseñado especialmente para dirigirse a los usuarios finales. Por ejemplo, un programa para registrar las teclas pulsadas (keystroke logger) puede apoderase de todos los datos confidenciales que pueda teclear la víctima, afectando directamente a la información personal del usuario, en vez de al ordenador o sistema en donde se almacena o transmite dicha información.
A lo largo del último semestre de 2007, Symantec observó que los datos relacionados con identidades, tarjetas de crédito e información financiera representaron el 44% de los bienes publicitados en los servidores del mercado negro en este período de tiempo. Las cuentas bancarias fueron los artículos que más aparecen a la venta en los servidores del mercado negro conocidos por Symantec, representando el 22% de todos los artículos, un aumento desde el 21% del total registrado en el primer semestre de 2007.
Una razón para la popularidad permanente de los datos de cuentas bancarias se puede deber, en parte, al aumento de las infecciones por troyanos en los bancos producidas durante el segundo semestre de 2007. La cantidad de ataques de este tipo aumentó un 86% respecto al informe anterior, lo que probablemente incrementó la cantidad de datos de cuentas bancarias robadas y su venta en servidores del mercado negro a lo largo de este período.
En el volumen anterior del Informe de Symantec sobre Amenazas a la Seguridad en Internet, uno de los temas más tratados por Symantec fue el incremento de la profesionalización y la comercialización de las actividades maliciosas. Durante el período correspondiente al volumen actual del informe, esta tendencia ha seguido hasta el punto de pensar que ha evolucionado para convertirse en una especie de mercado negro maduro y consolidado. Este mercado clandestino se caracteriza por una serie de características presentes también en los mercados tradicionales, incluyendo:
• Especialización en producción y suministro de bienes y servicios
• Externalización de la producción
• Diferenciación de precios
• Modelos empresariales adaptables
La especialización para la producción de bienes y servicios indica un mercado maduro y consolidado. Esta producción especializada implica que los individuos van a centrarse en una tarea o trabajo específico, realizado generalmente por dos motivos: porque un mercado ha evolucionado lo bastante para hacer que los individuos se especialicen con éxito en un campo específico y para aprovechar al máximo las eficiencias económicas que se presentan cuando una persona o un grupo realiza una única actividad.
En el anterior ISTR, Symantec indicó que las amenazas maliciosas que los atacantes realizaron por separado, se están consolidando en todo el mundo a través de redes encargadas de ejecutar actividades maliciosas coordinadas y llevadas a cabo gracias a la producción especializada de una serie de bienes y servicios maliciosos.
En el segundo semestre de 2007, Symantec detectó 499.811 nuevas amenazas de códigos maliciosos, un aumento del 136% respecto al período anterior, cuando se detectaron 212.101 nuevas amenazas, y un aumento del 571% frente a lo registrado en el segundo semestre de 2006. En total, Symantec detectó 711.912 nuevas amenazas en el año 2007, comparadas con 125.243 en 2006, un aumento del 468%. Esto hace que el total de códigos maliciosos identificados por Symantec ascienda a 1.122.311 a finales de 2007, lo que significa que casi dos tercios de estas amenazas detectados actualmente se crearon durante el año 2007.
El importante aumento de las nuevas amenazas a lo largo del año pasado se puede deber a la aparición de autores especializados en códigos maliciosos y a la existencia de organizaciones que emplean programadores dedicados a la producción de dichas amenazas, reflejando la profesionalización cada vez mayor en actividades maliciosas, creando una demanda suficiente como para crear un nuevo espacio para los desarrolladores profesionales de este tipo de códigos.
Un grupo de programadores especializados puede crear una mayor cantidad de nuevas amenazas, en comparación con un único autor de códigos maliciosos, aprovechando la economía a escala y, por lo tanto, teniendo un mayor rendimiento sobre las inversiones realizadas. Muchas de estas amenazas se pueden utilizar para obtener ganancias económicas, realizando acciones como el robo de información confidencial que puede ser vendida a través de la Red. Con estas ganancias se puede pagar a los programadores para que sigan creando nuevas amenazas. La combinación de estos factores puede dar como resultado una gran cantidad de nuevas muestras de códigos maliciosos para atacar a los usuarios a través de Internet.
La producción especializada de bienes y servicios maliciosos se realiza frecuentemente gracias al desarrollo de un modelo para la externalización de esta actividad, haciendo que personas u organizaciones externas lleven a cabo ciertos servicios. Esto se hace a menudo para maximizar las eficiencias económicas o para adquirir conocimientos que, en caso contrario, no podrían encontrarse a disposición de la organización.
Existen, al menos, dos señales para indicar que esto es lo que ocurre en el mercado negro. En primer lugar, el importante aumento en la cantidad de nuevas amenazas mediante códigos maliciosos, tal y como hemos mencionado antes, indica que se está pagando a los autores de códigos para crear nuevas muestras. En segundo lugar, indica el uso permanente de toolkits automáticos para phishing, que es un conjunto de scripts para permitir al atacante la creación automática de sitios web para phishing, los cuales imitan webs legítimas de diferentes marcas, incluyendo las imágenes y logotipos asociados a éstas. Dichos kits han sido desarrollados por grupos o individuos para venderlos en el mercado negro, aunque son difíciles de conseguir y muy caros, por lo que es muy probable que los adquieran y utilicen grupos bien organizados de delincuentes dedicados a este tipo de actividades fraudulentas, en vez de usuarios particulares.
Un mercado maduro y consolidado se caracteriza por el desarrollo y la implementación de modelos empresariales específicos, apropiados para las condiciones económicas imperantes. Symantec ha observado que las organizaciones y los particulares que realizan ahora operaciones comerciales en el mercado negro parecen dispuestos y son capaces de cambiar sus modelos empresariales, llegando incluso a adoptar nuevos modelos, para responder a las transformaciones que se producen en el entorno de las amenazas.
El mercado negro parece estar ahora caracterizado por unos precios establecidos por una serie de fuerzas de mercado, especialmente por la oferta y la demanda. Los precios fijados en el mercado negro también parecen estar sujetos a unos incentivos de valor añadido. Por ejemplo, la información sobre cuentas bancarias poderosas, como las empresariales o las de la Unión Europea, se venden a un precio mucho mayor que otro tipo de cuentas. Asimismo, y en algunos casos, las cuentas bancarias que combinan información personal – incluyendo nombres, direcciones y fechas de nacimiento – se ofrecen a unos precios mucho mayores que las que no contienen información adicional.
Se puede decir que el entorno de las amenazas ha alcanzado ahora su máximo dinamismo, algo que se ha visto impulsado por la rápida adaptabilidad de los atacantes y por la actividad de los ataques, en respuesta a las medidas de seguridad desarrolladas constantemente para proteger a los ordenadores que utilizan los usuarios finales y las organizaciones.
Existen pruebas que indican que los atacantes se están trasladando a regiones en donde las prácticas, legislaciones y/o las infraestructuras de seguridad no están muy desarrolladas. Symantec ha advertido que, en las zonas en donde la conectividad mediante banda ancha es nueva o se encuentra en rápida expansión, los ISPs pueden estar más centrados en satisfacer la creciente demanda existente que en garantizar la puesta en marcha de medidas de seguridad adecuadas. Asimismo, es probable que en estas áreas los usuarios y los administradores tengan un menor conocimiento de las buenas prácticas de seguridad. Como la infraestructura de Internet no existía o es relativamente nueva en estas zonas, puede que no se hayan establecido unas legislaciones adecuadas o las medidas correctas para hacer cumplir las normativas dictadas.
El movimiento de los atacantes en zonas con pocas medidas de seguridad permite una mayor regionalización en los ataques. De esta manera, varios países que no han estado asociados tradicionalmente con actividad maliciosa aparecen en varios de los primeros puestos de diferentes listas en este último informe.
Aspectos destacados
Tendencias de los ataques
• Durante el segundo semestre de 2007, EE.UU. registró el 31% de toda la actividad maliciosa, un incremento desde el 30% registrado en los primeros seis meses de 2007.
• Entre el 1 de julio y el 31 de diciembre, EE.UU. fue el principal país desde el que se originó actividad maliciosa, con un 24 % del total a nivel mundial, un descenso desde el 25% registrado en la primera mitad de 2007.
• En lo que se refiere a actividad maliciosa por usuario de banda ancha, Perú fue el país con mayor tasa de actividad a lo largo del segundo semestre de 2007, con un 9%.
• Los equipos con direcciones IP registradas con Telecom Italia representaron el mayor porcentaje de actividad maliciosa en el mundo, con un 6% del total.
• El sector educativo representó el 24% de las brechas de datos que podrían producir suplantaciones de identidad en este período, más que cualquier otro sector, lo que representa una disminución desde el informe anterior, en donde registró un 30% del total.
• El sector gobierno fue el principal dejando al descubierto las identidades, representando el 60% del total, un aumento importante desde el 12% registrado en el primer semestre del 2007.
• Las pérdidas y robos de ordenadores y otros medios de almacenamiento de datos, siguen siendo la principal causa de la fuga de datos, que ha podido causar robos de identidades durante este período, con un 57% del total, representando el 61% de las identidades expuestas en el segundo semestre de 2007, más que cualquier otro sector.
• EE.UU. fue el principal país a la hora de albergar servidores del mercado negro, representando un 58% del total identificado por Symantec, un descenso desde el 64% registrado durante el primer semestre de 2007.
• Las cuentas bancarias fueron los artículos más ofrecidos en los servidores del mercado negro conocidos por Symantec, con un 22% del total de los artículos, un incremento desde el 21% registrado en los primeros seis meses de 2007.
• Symantec observó una media de 61.940 ordenadores activos infectados por bots al día, durante el segundo semestre de 2007, un incremento desde el 17% del período anterior.
• La vida media de un ordenador infectado por bot, durante los últimos seis meses de 2007, fue de cuatro días, sin cambios desde el período anterior.
• EE.UU. contó con la mayor cantidad de ordenadores infectados por bots, con un 14% del total mundial, un ligero descenso desde el 13% registrado en la primera mitad de 2007.
• Madrid fue la ciudad con más ordenadores infectados con bots, con un 3% del total mundial.
• En los últimos seis meses de 2007, Symantec identificó 4.091 servidores de bots para comando y control, un descenso del 11% respecto al período anterior, cuando se identificaron 4.622 servidores de este tipo. En este campo, un 45% de dichos servidores se encontraban en los EE.UU., una proporción mayor que en cualquier otro país.
• EE.UU. fue el país preferido por los atacantes para realizar acciones para denegación de servicio, con un 56% del total mundial, lo que representa un descenso desde el 61% registrado en la primera mitad de 2007.
Tendencias de las vulnerabilidades
• Sin incluir las vulnerabilidades de sitios específicas, Symantec documentó 2.134 vulnerabilidades en el período del informe actual, un 13% menos que el período del informe anterior.
• Un 3% de las vulnerabilidades documentadas en este período se clasificaron como muy graves, un 61% de gravedad media, y un 36% de gravedad baja. En cambio, durante la primera mitad de 2007, un 9% de las vulnerabilidades documentadas se clasificaron como muy graves, un 51% como de gravedad media, y un 40% como de gravedad baja.
• Un 58% de las vulnerabilidades registradas en la segunda mitad de 2007 afectaron a las aplicaciones Web, un descenso desde el 61% registrado en la primera mitad de 2007.
• Un 73% de las vulnerabilidades documentadas en este período se clasificaron como fáciles de explotar, comparadas con el 72% del período anterior.
• Todos los proveedores de sistemas operativos – excepto Apple y Sun – han reducido sus tiempos medios para desarrollo de parches. Microsoft ha registrado el menor tiempo medio para desarrollo de parches, con tan sólo 6 días, mientras que Sun ha tenido el más prolongado, con 157 días.
• Más de la mitad de las vulnerabilidades de tipo medio y muy grave parcheadas de sistemas operativos para Microsoft, HP y Sun en el segundo semestre de 2007, tenían relación con el navegador y con equipos cliente. Durante el primes semestre de 2007, estas vulnerabilidades representaron la mayoría de las vulnerabilidades parcheadas de sistemas operativos para todos los proveedores, con la excepción de Apple.
• El período de exposición de la vulnerabilidad (W.O.E.) para proveedores empresariales fue de 46 días, un descenso desde la media de 55 días durante la primera mitad de 2007.
• Safari registró el período de exposición más reducido para cualquier navegador en el segundo semestre de 2007, con una media de menos de un día, en un conjunto de muestras de 18 vulnerabilidades parcheadas. Safari también registró un período de exposición reducido durante el segundo semestre de 2007, con una media de tres días, en un conjunto de muestras de 13 vulnerabilidades parcheadas.
• Durante la segunda mitad de 2007, se registraron 88 vulnerabilidades en los navegadores Mozilla, 22 en Safari, 18 en Internet Explorer y 12 en Opera. En los seis meses anteriores, Internet Explorer fue objeto de 39 vulnerabilidades, Mozilla de 34, Safari de 25 y Opera de 7.
• En la segunda mitad de 2007, se documentaron 239 vulnerabilidades que afectan a los plug-in del navegador, frente a las 237 registradas en el primer semestre de 2007. Un 79% de las vulnerabilidades en los plug-in del navegador afectaron a los componentes de ActiveX para Internet Explorer, un descenso desde el 87% del período anterior.
• En la segunda mitad de 2007, las aplicaciones web constituyeron un 58% de todas las vulnerabilidades documentadas, un descenso desde el 61% registrado en la primera mitad de 2007.
• Symantec identificó 11.253 vulnerabilidades de scripts que afectan a la totalidad de sitios específicos en los últimos seis meses de 2007, comparadas con las 6.961 de la primera mitad de 2007 (aunque las mediciones comenzaron a realizarse en el mes de febrero).
• Del 1 de julio al 31 de diciembre de 2007, Symantec documentó 9 vulnerabilidades del día cero, afectando todas a aplicaciones de terceras partes para la plataforma Windows, un aumento desde las 6 registradas en el primer semestre de 2007.
• Un 88% de las vulnerabilidades que afectaron a suministradores empresariales durante el segundo semestre de 2007 siguieron sin ser parcheadas a finales del período, un aumento frente a las 81 registradas en la primera mitad de 2007. Microsoft contó con la mayor cantidad de vulnerabilidades sin parchear en ambos períodos.
• Symantec documentó 92 vulnerabilidades que afectaron a productos de seguridad durante el segundo semestre de 2007, un descenso desde 113 registrados en la primera mitad del año. De las 92 vulnerabilidades, 15 se clasificaron como muy graves, 48 como de gravedad media, y 29 como de gravedad baja.
Tendencias de los códigos maliciosos
• En el segundo semestre de 2007, Symantec detectó 499.811 nuevos códigos maliciosos, un aumento del 136% respecto al período anterior.
• De las 10 principales familias de nuevos códigos maliciosos detectadas durante los últimos seis meses de 2007, cinco fueron troyanos, una fue un gusano, dos fueron gusanos con un componente de puerta trasera, y dos fueron gusanos con un componente de virus.
• Durante la segunda mitad de 2007, los troyanos representaron el 71% de las principales 50 muestras de códigos maliciosos, un descenso desde el 73% registrado en el semestre anterior.
• Un 43% de los gusanos se originaron en Europa, Oriente Medio y África.
• Norteamérica contó con el 46% de los troyanos en este período.
• Las amenazas a la información confidencial representaron el 68% de las 50 infecciones potenciales de códigos maliciosos conocidos por Symantec.
• De todas las amenazas a la información confidencial detectadas en este período, un 76% tenía un componente para registrar las teclas pulsadas, y un 86% prestaciones para acceso remoto, una disminución desde el 88% para cada partida en el informe anterior.
• El 40% de los códigos maliciosos propagados lo hicieron a través de la distribución de archivos ejecutables, un aumento importante desde el 14% registrado en la primera mitad de 2007, convirtiéndolo en el mecanismo de propagación más utilizado en este período.
• Un 7% de las 50 principales muestras de códigos maliciosos modificó páginas Web en este período, un aumento desde el 3% registrado en el semestre anterior.
• Durante el segundo semestre de 2007, el 10% de las 1.032 muestras de códigos maliciosos registrados explotaron vulnerabilidades, una reducción desde el 18% de las 1.509 muestras documentadas en el primer semestre de 2007.
• Siete de los 10 principales descargadores (downloaders) por etapas fueron troyanos en este período, dos fueron gusanos y uno fue un gusano con un componente viral.
• De los 10 principales componente descargados durante este período, 8 fueron troyanos y dos fueron puertas traseras.
• Los códigos maliciosos dirigidos a juegos en Internet representaron el 8% de las 50 principales infecciones mediante estos códigos, un aumento desde el 5% del informe anterior.
Tendencias de phishing
• La red Symantec Probe Network detectó un total de 207.547 mensajes únicos para phishing, un aumento del 5% respecto al primer semestre de 2007, lo que equivale a una media de 1.134 mensajes únicos de este tipo al día durante la segunda mitad de 2007.
• El 80% de todas las marcas utilizadas en ataques de phishing pertenecían al sector financiero, comparado con el 79% en el período anterior.
• Durante este período, un 66% de todos los sitios Web para phishing imitaban marcas de servicios financieros, un descenso desde el 72% registrado en la primera mitad de 2007.
• En la segunda mitad de 2007, el 66 % de todos los sitios Web para phishing identificados por Symantec se encontraban en los EE.UU. Dos sitios para redes sociales fueron víctimas del 91% de este tipo de ataques con sitios Web albergados en los EE.UU.
• El dominio de alto nivel (TLD) más utilizado en los sitios Web para phishing en este período fue .com, con un 44 %, seguido de .cn con un 23%.
• Symantec observó 87.963 hosts para phishing en todo el mundo durante este período, un aumento desde el 147% de lo s 32.939 observados en la primera mitad del año.
• El 63% de todos los hosts para phishing identificados se encontraban en EE.UU., una proporción mucho mayor que en cualquier otro país.
• Tres toolkits para phishing fueron responsables del 26% de todos los ataques de phishing registrados por Symantec en el segundo semestre de 2007.
Tendencias de spam
• Entre el 1 de julio y el 31 de diciembre de 2007, el spam representó el 71% de todo el tráfico del correo electrónico monitorizado en las pasarelas de entrada a la Red, un incremento del 16% a lo largo de los últimos seis meses de 2006, cuando el 61% del correo electrónico se clasificó como spam.
• El 80% de todo el spam se redacta en inglés, un incremento desde el 60% registrado en el informe anterior.
• Durante el período correspondiente al informe más reciente, el 0,16% del spam contenía un código malicioso – uno de cada 617 mensajes de spam-, lo que representa una disminución desde el 0,43% registrado en el informe anterior. Esto significa que uno de cada 617 mensajes spam bloqueados por Symantec Brightmail AntiSpam contenía algún código malicioso.
• El spam relacionado con productos comerciales representó el 27% del total durante este período, la mayor cantidad en cualquier categoría y un aumento desde el 22% en el semestre anterior.
• En el segundo semestre de 2007, un 42% de todo el spam tuvo como origen los EE.UU., una disminución desde el 50% registrado en el informe anterior.
• EE.UU. albergó la mayor cantidad de zombies para spam en todos los países del mundo, con un 10% del total mundial, una cifra idéntica a la registrada durante la primera mitad de 2007.
• En la segunda mitad de 2007, el porcentaje medio diario del spam con imágenes fue del 7%, un descenso desde la media diaria del 27% durante el primer semestre de 2007.
