Contenido
RESUMEN EJECUTIVO Y PRINCIPALES CONCLUSIONES.......3 COMPORTAMIENTO DEL DEFENSOR ....................................42
INTRODUCCIÓN........................................................................8 Vulnerabilidades en disminución en el 2016.......................42
LA EXPANSIÓN DE LA SUPERFICIE DE ATAQUE...................10 Middleware: los adversarios ven una oportunidad
en el software sin parches..................................................44
COMPORTAMIENTO DEL ATACANTE.................................... 13
Tiempo de implementación de parches: cierre del
La fase de reconocimiento..................................................13 plazo de recuperación.........................................................45
Métodos de ataque web: las amenazas
ESTUDIO COMPARATIVO SOBRE LAS
de “cola corta” permiten que los adversarios
CAPACIDADES DE SEGURIDAD DE 2017 DE CISCO.............49
sienten las bases para las campañas..................................13
Percepciones: los profesionales de seguridad
La fase armamentista..........................................................15 confían en las herramientas, pero tienen dudas
Vectores de ataque web: el uso de Flash está respecto a si las usan en forma eficaz................................49
disminuyendo, pero los usuarios deben Restricciones: el tiempo, el talento y el dinero afectan
mantenerse alertas..............................................................15 la capacidad de responder ante las amenazas....................51
Seguridad de las aplicaciones: administración Impacto: más organizaciones sufren pérdidas
del riesgo de la conexión OAuth en medio de a causa de las infracciones.................................................55
una explosión de aplicaciones............................................16
Resultados: un mayor escrutinio influirá en las
La fase de distribución........................................................20 mejoras de seguridad..........................................................58
La desaparición de los principales kits de ataques Confianza frente a costo: ¿qué factor impulsa
presenta oportunidades para usuarios más pequeños las compras de seguridad?.................................................61
y nuevos participantes.........................................................20 Resumen: aportes del Estudio comparativo.........................62
Publicidad maliciosa: los adversarios usan
agentes para aumentar la velocidad y la agilidad................22 SECTOR...................................................................................64
De acuerdo con la investigación, el 75 % de las Seguridad de la cadena de valor: el éxito en
organizaciones se ven afectadas por infecciones un mundo digital depende de la mitigación
por adware..........................................................................23 de los riesgos de terceros...................................................64
El volumen de correos electrónicos no deseados Actualización geopolítica: encriptación,
a nivel mundial está creciendo del mismo modo confianza y necesidad de transparencia..............................65
que lo hace el porcentaje de archivos Cifrado de alta velocidad: una solución escalable
adjuntos maliciosos.............................................................25 para proteger los datos en tránsito.....................................66
APÉNDICE...............................................................................78
2 Contenido
Informe anual sobre ciberseguridad de 2017 de Cisco
Resumen ejecutivo
A medida que la superficie de ataque aumenta de tamaño, los defensores
deben centrarse en su objetivo más importante: reducir el espacio operativo
de los adversarios.
Los adversarios tienen más herramientas que nunca a su reunidos por los investigadores de Cisco y otros expertos.
disposición. También tienen una idea clara de cuándo utilizar Nuestra información de investigación y consideraciones están
cada una de ellas para lograr el máximo efecto. El intenso diseñadas para ayudar a las organizaciones a responder con
crecimiento de terminales móviles y del tráfico en línea juega eficacia a las amenazas en rápida evolución y sofisticadas de
a su favor. Tienen más espacio en el que pueden operar y más la actualidad.
opciones de objetivos y enfoques.
Los defensores pueden usar una variedad de estrategias Este informe se divide en las siguientes secciones:
para afrontar los desafíos de un panorama de amenazas
en expansión. Pueden adquirir las mejores soluciones que Comportamiento del atacante
funcionan por separado para brindar información y protección. En esta sección, analizamos cómo los atacantes reconocen
Además, pueden competir por personal en un mercado en redes vulnerables y distribuyen malware. Explicamos de qué
el que el personal talentoso escasea y los presupuestos manera las herramientas, como el correo electrónico, las
son ajustados. aplicaciones de la nube de terceros y el adware, se convierten
en un arma. Además, describimos los métodos que los
Quizás no sea posible detener todos los ataques. Sin embargo,
ciberdelincuentes utilizan durante la fase de la instalación
sí es posible minimizar el peligro y el impacto de las amenazas
de un ataque. En esta sección, también presentamos nuestra
al limitar el espacio operativo de los adversarios y, así, su
investigación “tiempo de desarrollo” (TTE), a través de la cual
capacidad para poner en riesgo los recursos. Una medida
se muestra cómo los adversarios mantienen sus tácticas al día
que usted puede tomar consiste en simplificar su conjunto de
y evaden la detección. También ofrecemos una actualización
herramientas de seguridad convirtiéndolo en una arquitectura
sobre nuestros esfuerzos para reducir el tiempo medio de
de seguridad integrada e interconectada.
detección (TTD) promedio. Además, presentamos la última
Las herramientas de seguridad integrada que funcionan juntas investigación de Cisco sobre el riesgo de malware para
en una arquitectura automatizada pueden optimizar el proceso diversos sectores y regiones geográficas.
para detectar y mitigar amenazas. De este modo, tendrá
tiempo para abordar problemas más complejos y persistentes. Comportamiento del defensor
Muchas organizaciones usan por lo menos media docena de En esta sección, ofrecemos actualizaciones sobre las
soluciones de diversos proveedores (página 53). En muchos vulnerabilidades. Un enfoque es en las debilidades emergentes
casos, los equipos de seguridad pueden investigar solo la en las bibliotecas de middleware que presentan oportunidades
mitad de las alertas que reciben en un día determinado. para que los adversarios utilicen las mismas herramientas
En el Informe anual sobre ciberseguridad de 2017 de Cisco en varias aplicaciones, lo que reduce el tiempo y el costo
se incluye información sobre investigación, consideraciones necesarios para poner en riesgo a los usuarios. También
y perspectivas obtenidas por Cisco Security Research. compartimos la investigación sobre las tendencias de
Resaltamos la incesante dinámica de “tira y afloja” entre los implementación de parches de Cisco. Observamos el beneficio
adversarios que intentan conseguir más tiempo para operar de ofrecerles a los usuarios un flujo regular de actualizaciones
y los defensores que trabajan para eliminar las oportunidades para fomentar la adopción de versiones más seguras de
que los atacantes intentan aprovechar. Analizamos los datos navegadores web y soluciones de productividad comunes.
Principales conclusiones
●● En el 2016, tres principales kits de ataque (Angler, ●● De acuerdo con una investigación de Cisco que incluyó
Nuclear y Neutrino) desaparecieron del panorama y, 130 organizaciones de mercados verticales, el 75 % de
en consecuencia, dieron lugar a que usuarios más dichas empresas sufren infecciones por adware. Los
pequeños y nuevos dejen su huella. adversarios pueden llegar a utilizar estas infecciones
para facilitar otros ataques de malware.
●● De acuerdo con el Estudio comparativo sobre
capacidades de seguridad de 2017 de Cisco, la mayoría ●● Cada vez en mayor medida, los operadores que están
de las empresas utilizan más de 5 proveedores de detrás de las campañas de publicidad maliciosa utilizan
seguridad y más de 5 productos de seguridad en su agentes (también denominados “puertas”). Los agentes
entorno. El 55 % de los profesionales de seguridad les permiten moverse con mayor velocidad, mantener su
utiliza al menos 6 proveedores, el 45 % utiliza de espacio operativo y evadir la detección. Estos enlaces
1 a 5 proveedores y el 65 % utiliza 6 productos o más. intermediarios permiten que los adversarios pasen
rápidamente de un servidor malicioso a otro sin cambiar
●● Los principales obstáculos a la hora de adoptar los el redireccionamiento inicial.
productos y las soluciones de seguridad avanzada, según
el Estudio comparativo, son el presupuesto (mencionado ●● El correo electrónico no deseado representa casi dos
por el 35 % de los encuestados), la compatibilidad de los tercios (65 %) del volumen total de correos electrónicos.
productos (28 %), la certificación (25 %) y profesionales De acuerdo con nuestra investigación, el volumen de
capacitados (25 %). correos electrónicos no deseados a nivel mundial está
creciendo debido a botnets extendidos y en crecimiento
●● Según el Estudio comparativo sobre capacidades de que envían correos electrónicos no deseados. Según
seguridad de 2017 de Cisco, las organizaciones, debido los investigadores de amenazas de Cisco, alrededor
a los distintos obstáculos, pueden investigar solo el 56 % del 8 al 10 % de los correos electrónicos no deseados
de las alertas que reciben en un día determinado. La observados en 2016 en todo el mundo podrían
mitad de las alertas investigadas (28 %) se consideran clasificarse como maliciosos. Además, el porcentaje de
legítimas y menos de la mitad (46 %) de las alertas correos electrónicos no deseados con archivos adjuntos
legítimas se corrigen. Además, el 44 % de los gerentes maliciosos está aumentando, y los adversarios parecen
de operaciones de seguridad ven más de 5000 alertas estar probando una amplia variedad de tipos de archivos
de seguridad por día. para que sus campañas resulten exitosas.
●● El 27 % de las aplicaciones de la nube de terceros ●● Según el Estudio comparativo sobre capacidades de
conectadas introducidas por los empleados en entornos seguridad, las organizaciones que aún no han sufrido una
empresariales en el 2016 plantearon un alto riesgo de infracción a la seguridad pueden creer que sus redes son
seguridad. Las conexiones de autenticación abierta seguras. Probablemente esta confianza sea inadecuada,
(OAuth) entran en contacto con la infraestructura si se tiene en cuenta que el 49 % de los profesionales de
corporativa y pueden comunicarse libremente con las seguridad encuestados indicaron que sus organizaciones
plataformas de la nube y de software como servicio han tenido que enfrentarse al escrutinio público tras una
(SaaS) corporativas después de que los usuarios infracción a la seguridad.
otorgan acceso.
●● Conforme al Estudio comparativo sobre capacidades ●● Las vulnerabilidades en el middleware (software que
de seguridad de 2017 de Cisco, casi un cuarto de las funciona como un puente o conector entre plataformas
organizaciones que han sufrido un ataque perdieron o aplicaciones) están siendo más evidentes, lo que
oportunidades de negocio. Cuatro de cada diez genera inquietudes respecto a que el middleware se está
expresaron que esas pérdidas fueron importantes. convirtiendo en un vector de amenaza popular. Muchas
Una de cada cinco organizaciones perdió clientes empresas utilizan middleware, de modo que la amenaza
debido a un ataque, y casi el 30 % perdió ingresos. podría afectar a todos los sectores. Durante el transcurso
de un proyecto de Cisco®, nuestros investigadores de
●● De acuerdo con los encuestados en el estudio amenazas descubrieron que una importante cantidad de
comparativo, cuando se produjeron infracciones, las nuevas vulnerabilidades analizadas se debían al uso de
operaciones y las finanzas eran las funciones con más middleware.
probabilidades de verse afectadas (el 36 % y el 30 %,
respectivamente), seguidas por la reputación y la ●● El flujo de actualizaciones de software puede afectar
retención de clientes (26 % en ambos casos). el comportamiento del usuario cuando se trata de
instalar parches y actualizaciones. Según nuestros
●● Las interrupciones en la red que se deben a las investigadores, las actualizaciones periódicas
infracción a la seguridad pueden, a menudo, tener un y previsibles conllevan una actualización de software
impacto duradero. Según el estudio comparativo, el 45 % más rápido de parte de los usuarios, y esto reduce
de las interrupciones duró de 1 a 8 horas, el 15 % duró el tiempo durante el cual los adversarios pueden
de 9 a 16 horas y el 11 % duró de 17 a 24 horas. El 41 % aprovechar vulnerabilidades.
(consulte la página 55) de las interrupciones afectó entre
el 11 % y el 30 % de los sistemas. ●● Según el Estudio comparativo sobre capacidades de
seguridad de 2017, la mayoría de las organizaciones
dejan en manos de proveedores de terceros al menos
el 20 % de la seguridad, y las que utilizan estos recursos
en mayor medida tienen más probabilidades de expandir
su uso en el futuro.
Introducción
Los adversarios disponen de un amplio y variado portafolio de les resultará extremadamente difícil obtener acceso a recursos
técnicas para tener acceso a recursos de las organizaciones valiosos de la empresa y llevar a cabo sus actividades sin que
y para obtener tiempo ilimitado para operar. Sus estrategias sean detectados.
cubren todos los aspectos básicos e incluyen lo siguiente:
La automatización es fundamental para lograr este objetivo.
●● Aprovechar los intervalos en la implementación de parches y las Esta permite comprender qué se considera actividad normal
actualizaciones. en el entorno de red, para que usted pueda destinar pocos
●● Hacer caer a los usuarios en trampas de ingeniería social.
recursos a la investigación y resolver las verdaderas amenazas.
Simplificar las operaciones de seguridad también le permite
●● Introducir malware en contenido en línea supuestamente ser más eficaz a la hora de eliminar el espacio operativo
legítimo, como en las publicidades. ilimitado de los adversarios. Sin embargo, de acuerdo con
el Estudio comparativo, la mayoría de las organizaciones
A su vez, cuentan con muchas otras funcionalidades: desde el
utilizan más de cinco soluciones de más de cinco proveedores
aprovechamiento de las vulnerabilidades de middleware hasta
(página 53).
el envío de correos electrónicos no deseados maliciosos.
Una vez que alcanzan sus objetivos, pueden apagar sus Una red compleja de tecnología de este tipo y la enorme
operaciones en forma rápida y silenciosa. cantidad de alertas de seguridad son los ingredientes de una
receta para menos protección, no para más. Naturalmente,
Los adversarios trabajan sin cesar para desarrollar
incorporar más personas talentosas en materia de seguridad
sus amenazas, se mueven incluso con más velocidad
puede ser de ayuda. Con más expertos incorporados,
y encuentran maneras de ampliar el espacio operativo.
según la lógica, mejor la capacidad de la organización para
El intenso crecimiento del tráfico de Internet (impulsado,
administrar la tecnología y obtener mejores resultados. Sin
en gran parte, por velocidades móviles más rápidas y la
embargo, con el escaso personal capacitado en materia
proliferación de dispositivos en línea) juega a su favor, ya
de seguridad y los presupuestos de seguridad limitados,
que contribuye con la expansión de la superficie de ataque.
contratar desaforadamente es muy poco probable. En cambio,
A medida que eso sucede, los riesgos para las empresas
la mayoría de las organizaciones debe conformarse con el
son cada vez mayores. Según el Estudio comparativo sobre
personal capacitado que tengan. Utilizan personal capacitado
capacidades de seguridad de 2017 de Cisco, más de un tercio
tercerizado para agregar consistencia a sus equipos de
de las organizaciones que han sufrido un ataque perdió el
seguridad sin salirse del presupuesto.
20 % de sus ingresos o más. El 49 % de los encuestados dijo
que su empresa se ha enfrentado al escrutinio público debido La respuesta real para superar estos desafíos, como
a una infracción a la seguridad. explicamos más adelante en este informe, es poner en
funcionamiento a personas, procesos y tecnología de
¿Cuántas empresas pueden sufrir un daño de este tipo en
forma integrada. Poner en funcionamiento la seguridad es
su aspecto más fundamental sin perder su solidez? Los
comprender realmente lo que la empresa necesita proteger,
defensores deben centrar sus recursos en reducir el espacio
así como las medidas que deben tomarse para proteger esos
operativo de los adversarios. De esta manera, a los atacantes
recursos fundamentales.
El informe anual de ciberseguridad 2017 de Cisco presenta nuestros últimos avances en el sector de seguridad, diseñados
para ayudar a organizaciones y usuarios a defenderse contra ataques. También observamos las técnicas y estrategias que
los atacantes utilizan para penetrar estas defensas. El informe además resalta importantes descubrimientos del Estudio
comparativo de capacidades de seguridad 2017 de Cisco, el cual examina la postura de seguridad de las empresas
y sus percepciones respecto de su preparación para defenderse de los ataques.
8 Introducción
La expansión de la
superficie de ataque
Informe anual sobre ciberseguridad de 2017 de Cisco
La expansión de la
superficie de ataque
Dispositivos móviles. Nube pública. Infraestructura de la nube. y analizado los factores dinámicos que facilitan el crecimiento
Comportamiento del usuario. Los profesionales de seguridad de la red. Analice las siguientes estadísticas del informe más
que participaron en el tercer Estudio comparativo sobre reciente La era del zettabyte: tendencias y análisis:²
capacidades de seguridad anual de Cisco citaron todos esos
elementos como principales fuentes de preocupación cuando ●● El tráfico IP global anual superará el umbral de zettabyte en
piensan en el riesgo de exposición a un ataque cibernético el 2016 y alcanzará los 2,3 zettabytes por año para el 2020.
que corre su organización (figura 1). Esto es comprensible: Un zettabyte corresponde a mil exabytes o a mil millones de
la proliferación de dispositivos móviles genera más terminales terabytes. Eso significa que el tráfico IP global en los próximos
para proteger. La nube está expandiendo el perímetro de 5 años será 3 veces mayor.
seguridad. Y los usuarios son, y siempre serán, un punto ●● El tráfico de dispositivos móviles e inalámbricos representará dos
débil en la cadena de seguridad. tercios (66 %) del tráfico IP total para el 2020. Los dispositivos
cableados representarán solo el 34 %.
A medida que las empresas adoptan la digitalización, y que
●● De 2015 a 2020, las velocidades de banda ancha promedio
Internet de todo (IdT)¹ comienza a tener forma, los defensores
prácticamente se duplicarán.
tendrán incluso más cosas por las que preocuparse. La
superficie de ataque también se expandirá y, en consecuencia, ●● Para el 2020, el 82 % de todo el tráfico de Internet de
los adversarios tendrán más espacio para operar. consumidores a nivel mundial será tráfico de video IP, en
comparación con un 70 % registrado en el 2015.
Durante más de una década, Cisco® Visual Networking
Index (VNI) ha proporcionado pronósticos de tráfico IP global
Figura 1 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los
ataques informáticos
Figura 1. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos
Además, el informe técnico de Previsión y metodología de Las organizaciones deben realizar lo siguiente:
2015 a 2020 de Cisco VNI™³ arroja la previsión de que el
volumen del tráfico de Internet global en el 2020 será 95 veces ●● Integrar la tecnología de seguridad.
más grande que en el 2005. ●● Simplificar las operaciones de seguridad.
noticias falsas y los engaños. Los críticos sugieren que ese 5995 Descargadores de troyanos (JS)
contenido podría haber tenido influencia en los votantes en 5510 Troyanos, heurísticos (Win32)
la decisión presidencial de 2016 en los Estados Unidos.⁵
5467 Ataques a los iFrame del navegador
4970 Android (Axent)
4584 Troyanos Android (Loki)
4398 Malware (FakeAvCn)
3646 Troyanos (HideLink)
⁴ Estadísticas de Facebook, septiembre de 2016: http://newsroom.fb.com/company-info/.
⁵ “Zuckerberg Vows to Weed Out Facebook ‘Fake News,’” por Jessica Guynn y 3006 Malware (HappJS)
Kevin McCoy, USA Today, 14 de noviembre de 2016:
http://www.usatoday.com/story/tech/2016/11/13/zuckerberg-vows-weed-
out-facebook-fake-news/93770512/. Fuente: Cisco Security Research
El malware de redireccionamiento de navegador completó los últimos 2 años. Se ubicaron entre los 10 tipos principales
los cinco tipos de malware principales observados con más de malware observados con mayor frecuencia en el 2016.
frecuencia en el 2016. Como se analizó en el Informe semestral El malware Loki, que aparece al final de la “cola corta” que
sobre ciberseguridad de 2016 de Cisco,⁶ las infecciones en se muestra en la figura 2 (consulte la página anterior), es
el navegador pueden exponer a los usuarios a publicidad muy molesto porque puede replicar e infectar otros archivos
maliciosa, que los adversarios utilizan para configurar el y programas.
ransomware y otras campañas de malware. Los investigadores
de amenazas de Cisco advierten que el adware malicioso, que La figura 3 ayuda a ilustrar las tendencias de malware que los
incluye herramientas que introducen anuncios, secuestradores investigadores de amenazas de Cisco han observado desde
de las configuraciones del navegador, utilidades y aplicaciones finales del 2015. Revela que los adversarios hicieron un cambio
de descarga, es un problema cada vez mayor. De hecho, preciso en la fase de reconocimiento de ataques en línea.
hemos identificado infecciones por adware en el 75 % de las Más amenazas ahora buscan específicamente navegadores
empresas que investigamos recientemente como parte de y complementos vulnerables. Este cambio coincide con
nuestra investigación sobre el problema del adware. (Para el creciente uso de publicidad maliciosa por parte de los
obtener más información sobre este tema, consulte “De adversarios, ya que se torna más difícil aprovechar una gran
acuerdo con la investigación, el 75 % de las organizaciones se cantidad de usuarios a través de vectores de ataque de la
ven afectadas por infecciones por adware”, en la página 23). red tradicionales. (Consulte la sección siguiente “Vectores
de ataque web: el uso de Flash está disminuyendo, pero los
Otros tipos de malware que se enumeran en la figura 3, como usuarios deben mantenerse alertas”, en la página 15).
el malware de abuso de JavaScript en el navegador y malware
de abuso de IFrame en el navegador, también están diseñados El mensaje para los usuarios individuales, los profesionales
para facilitar las infecciones en el navegador. Los troyanos de seguridad y las empresas es claro: asegurarse de que
(instaladores de malware y aplicaciones de descarga) también los navegadores sean seguros y desactivar o eliminar los
se encuentran entre los cinco tipos de malware principales complementos de navegador innecesarios son medidas
observados con mayor frecuencia, lo que indica que siguen que pueden hacer mucho para prevenir las infecciones por
siendo herramientas populares para obtener acceso inicial malware. Estas infecciones pueden provocar ataques más
a las computadoras de los usuarios y a las redes de las importantes, disruptivos y costosos, como las campañas
organizaciones. de ransomware. Estos pasos simples pueden reducir
significativamente su exposición a amenazas basadas en
Otra tendencia para observar: el uso constantemente alto de la Web comunes y evitar que los adversarios encuentren el
malware que apunta a usuarios de la plataforma operativa espacio operativo para implementar la fase siguiente de la
Android. Los troyanos de Android han escalado de posición cadena de ataque: la fase armamentista.
continuamente en la lista de amenazas de “cola corta” durante
Figura 3. Malware más comúnmente observado, 4T 2015-3T 2016
Figura 3 Malware más comúnmente observado, Q4 2015-Q3 2016
50K
40K
Conteo de muestra
30K
20K
10K
0K
Bloques heurísticos
(Win32)
Troyanos de
los iFrame
Troyanos
Android
(lop)
Redireccionamiento
de las descargas
del navegador
Enlaces de
suplantación
de identidad
Redireccionamiento
del navegador (JS)
Descargadores
de troyanos
(JS)
Secuestro
de Facebook
PUA y binarios
sospechosos
múltiples paquetes)
Redireccionamiento
del navegador
Instalador troyano
de malware (VBS)
Descargadores
troyanos (script)
Enlaces fraudulentos
de Facebook
Descargadores
de iFrame
En paquete (en
Método
Reconocimiento Armamentización Instalación
de entrega
Los atacantes combinan malware de acceso remoto con ataques en cargas útiles entregables.
Vectores de ataque web: el uso de Flash está disminuyendo, pero los usuarios deben
mantenerse alertas
Adobe Flash ha sido por mucho tiempo un atractivo vector Los usuarios deben ser prudentes y desinstalar Flash, a menos
de ataque web para los adversarios que desean aprovechar que lo necesiten por motivos comerciales. En ese caso, deben
y comprometer los sistemas. Sin embargo, debido a que mantenerse al día con las actualizaciones. Usar navegadores
la cantidad de contenido de Adobe Flash en la Web sigue web que ofrecen capacidades de implementación de
disminuyendo y a que el conocimiento sobre vulnerabilidades parches automática puede ser de ayuda. Como se observa
de Flash aumenta, es cada vez más difícil para los en “Métodos de ataque web: las amenazas de “cola corta”
ciberdelincuentes aprovechar a los usuarios en un nivel permiten que los adversarios sienten las bases para las
que alguna vez alcanzaron. campañas”, en la página 13, usar navegadores seguros
(y deshabilitar o eliminar complementos de navegadores
Adobe mismo está abandonando el desarrollo y soporte innecesarios) reducirá significativamente su exposición a las
completos de la plataforma de software y ha alentado a los amenazas basadas en la web.
desarrolladores a adoptar nuevos estándares, como HTML5.⁷
Los proveedores de navegadores web populares también
Java, PDF y Silverlight
están tomando una posición sólida respecto a Flash. Por
ejemplo, Google anunció en el 2016 que eliminará el soporte El tráfico de Internet de Java y PDF experimentó una
completo de Adobe Flash en su navegador Chrome.⁸ Firefox disminución considerable en el 2016. El tráfico de Silverlight
continúa admitiendo contenido Flash heredado, pero está ya ha alcanzado un nivel al que, para los investigadores
bloqueando “contenido Flash que no es esencial para la de amenazas, ya no vale la pena realizarle un seguimiento
experiencia del usuario”.⁹ con regularidad.
El uso de Flash puede estar disminuyendo, pero los Java, que en un momento fue el vector de ataque web
desarrolladores de kits de ataque colaboran para que se dominante, ha experimentado una mejora considerable en
mantenga como vector de ataque. Sin embargo, hay indicios el estado de la seguridad en los últimos años. La decisión de
de que esto puede estar cambiando. Después de que Oracle a principios del 2016 de eliminar el complemento de
tres principales kits de ataque (Angler, Nuclear y Neutrino) navegador Java colaboró para que Java se convierta en un
desaparecieron del panorama de amenazas en el 2016, vector de ataque web menos atractivo. Los ataques de PDF
nuestros investigadores de amenazas observaron una también son cada vez más escasos. Por ese motivo, pueden
disminución significativa en el tráfico de Internet relacionado detectarse más fácilmente; por lo tanto, muchos adversarios
con Flash. (Consulte “La desaparición de los principales ahora utilizan esta estrategia con menos frecuencia.
kits de ataques presenta oportunidades para usuarios más
Sin embargo, como con Flash, los ciberdelincuentes aún
pequeños y nuevos participantes”, en la página 20). Los
utilizan Java, PDF y Silverlight para aprovecharse de los
creadores del kit de ataque Angler recurrieron en gran medida
usuarios. Los usuarios individuales, las empresas y los
a las vulnerabilidades de Flash para poner en riesgo a los
profesionales de seguridad deben ser conscientes de estas
usuarios. El kit de ataque Nuclear tuvo un enfoque similar
posibles vías de riesgo. Para reducir el riesgo de exposición
en Flash. Neutrino, por su parte, usaba archivos Flash para
a estas amenazas, deben hacer lo siguiente:
trasmitir ataques.
●● Descargar parches.
⁷ “Flash, HTML5 and Open Web Standards,” Adobe News, noviembre de 2015: https://blogs.adobe.com/conversations/2015/11/flash-html5-and-open-web-standards.html.
⁸ “Flash and Chrome,” por Anthony LaForge, The Keyword blog, Google, 9 de agosto de 2016: https://blog.google/products/chrome/flash-and-chrome/.
⁹ “Reducing Adobe Flash Usage in Firefox,” por Benjamin Smedberg, Future Release blog, Mozilla, 20 de julio de 2016:
https://blog.mozilla.org/futurereleases/2016/07/20/reducing-adobe-flash-usage-in-firefox/.
Por ejemplo, una aplicación que obtenga una puntuación de 1 en la escala puede tener alcances de acceso mínimo
(puede ver el correo electrónico únicamente), un índice de confianza colectivo del 100 por ciento, y ningún historial
de amenazas.
Una aplicación que obtenga una puntuación de 5 en la escala puede que tenga acceso completo a las cuentas
(puede ver todos los correos electrónicos y documentos, el historial de navegación, el calendario y más), un índice
de confianza del 8 por ciento (es decir, solo el 8 por ciento de los administradores confía en ésta), y ninguna
certificación de seguridad.
15%
riesgo bajo
222,000
aplicaciones
de terceros
58%
riesgo medio
COMPARTIR
12 10 11
15
31 30 32 30
América América Europa, Medio APAC
del Norte Latina Oriente y África (Asia y Pacífico)
54 58 58 59
8 10 16 16 17 8
35 33 28 31 31 31
57 57 56 53 52 61
16 10 14 12 16
28 32 30 30 32
56 58 56 58 52
Comportamiento de
todos los usuarios
Anomalías
Actividades sospechosas
0,02% de todas las actividades
Amenaza
113 veces
verdadera
más fallas de inicio 58% de conductas anormales
de sesión que
227 veces el promedio
más descargas 31% de actividades de
1000 Millones de actividades
de archivos que inicio de sesión
del usuario por mes
el promedio
141 veces
más eliminaciones 11% de acciones
de activos de datos del administrador
que el promedio
to
adas ntex
ntraliz el co
as ce sis d
a d Polític Análi
guri d a d
iberse unid
n de c com
gació en la
Investi b asada
ia
enaza
s genc
de am Inteli
encia la nu
be
Intelig en
es
idad
rabil
ulne
b re las v
o
ión s
mac
Infor
COMPARTIR
Método
Reconocimiento Armamentización Instalación
de entrega
Con el uso malicioso del correo electrónico, archivos adjuntos, sitios web y demás herramientas,
los atacantes transmiten sus armas informáticas a sus blancos.
Número de bloqueos
Neutrino y RIG fueron, entre los kits de ataque, líderes claros. 5K
En noviembre, RIG era el único de ese grupo aún en actividad.
Como se muestra en la figura 10, la actividad de los kits de 4K
ataque disminuyó considerablemente alrededor de junio.
3K
Nuclear fue el primero en desaparecer: en mayo dejó de
2K
funcionar repentinamente. El motivo por el cual sus creadores
lo abandonaron es un misterio. El kit de ataque Neutrino, 1K
1051
que también salió de la escena en el 2016, utilizaba archivos
Flash para trasmitir vulnerabilidades. (Consulte la figura 11 0
en la página siguiente para ver una lista de las principales
Ene
Feb
Mar
Abr
Jul
Ago
Sep
Oct
Nov
May
Jun
vulnerabilidades en kits de ataque conocidos en el 2016).
Flash sigue siendo un vector de ataque web atractivo para Fuente: Cisco Security Research
los adversarios, pero es probable que pierda protagonismo
con el tiempo. Menos sitios y navegadores están admitiendo
Flash en forma total o directamente no lo admiten; además,
hay un conocimiento general mayor sobre las vulnerabilidades
de Flash. (Para obtener más información sobre este tema, Descargue los gráficos de 2017 en:
www.cisco.com/go/acr2017graphics
consulte “Vectores de ataque web: el uso de Flash está
disminuyendo, pero los usuarios deben mantenerse alertas”,
en la página 15).
Figura 11
11. Principales
Principalesvulnerabilidades
vulnerabilidadesdel
dekit
losde vulnerabilidad
kits de ataque de la seguridad Angler
Angler
Neutrino (1,2)
Magnitude
RIG
Nuclear
Sundown
Hunter
CVE- 2015- 2015- 2015- 2016- 2016- 2016- 2016- 2016- 2015- 2015- 2015- 2015- 2015- 2015-
7645 8446 8651 0034 1019 1001 4117 0189 5119 5122 3043 0318 3113 2419
COMPARTIR
¹⁰ “Russian Hacker Gang Arrested Over $25M Theft,” BBC News, 2 de junio de 2016: http://www.bbc.com/news/technology-36434104.
¹¹ Para más información sobre este tema, consulte la publicación del blog Cisco Talos de julio de 2016, Al realizar asociaciones, se descubre un cambio drástico en el Crimeware.
Publicidad maliciosa: los atacantes usan agentes para aumentar la velocidad y agilidad
Se dirige a los usuarios a kits de ataque a través de afectados en América del Norte, Europa, Asia Pacífico
dos formas principales: sitios web comprometidos y Medio Oriente. Son notables el alcance global de la
y publicidad maliciosa. Los atacantes colocan un enlace campaña y el uso de varios idiomas.
a una página de acceso a un kit de ataque en un aviso
malicioso o un sitio web comprometido, o utilizan un ShadowGate, el cual utilizó seguimiento de dominio,
enlace intermedio, conocido como agente. (Estos se observó por primera vez a principios de 2015. Por
enlaces, colocados entre sitios web comprometidos momentos permanecía inactivo, para luego comenzar
y servidores de kits de ataque, también se denominan aleatoriamente a dirigir el tráfico hacia páginas de
“portales”). El agente sirve como intermediario entre acceso a kits de ataque. En un principio, ShadowGate
el redireccionamiento inicial y el kit de ataque que se utilizaba para dirigir a los usuarios únicamente al
transmite la carga útil del malware a los usuarios. kit de ataque Angler. Pero después de que Angler
desapareciera en el verano de 2016, los usuarios
Esta última táctica se está haciendo más popular empezaron a ser dirigidos al kit de ataque Neutrino,
a medida que los atacantes perciben que deben actuar hasta que éste desapareciera también algunos meses
con mayor rapidez para mantener su espacio operativo después. (Para más información sobre esta historia,
y evadir la detección. Los agentes permiten que los consulte la “Desaparición de los principales kits de
atacantes cambien rápidamente de un servidor malicioso ataque presenta oportunidades para empresas más
a otro sin cambiar el redireccionamiento inicial. Debido pequeñas y nuevas empresas”, en la página 20).
a que no necesitan modificar sitios web o anuncios
maliciosos constantemente para iniciar la cadena de Aunque ShadowGate tuvo un alto volumen de tráfico
infección, los operadores de kits de ataque pueden web, solo una pequeña fracción de interacciones
realizar campañas más extensas. provocó que un usuario fuera dirigido a un kit de
ataque. Los anuncios maliciosos eran principalmente
impresiones, anuncios que aparecen en la página y no
ShadowGate: una campaña rentable
requieren ninguna interacción del usuario. Este modelo
A medida que se torna más difícil poner en riesgo de publicidad en línea permitió que los responsables de
a un gran número de usuarios únicamente mediante ShadowGate dirijan su campaña en forma más rentable.
vectores de ataque tradicionales de la web (consulte
la página 15), los atacantes están utilizando cada Nuestra investigación de ShadowGate condujo a un
vez más la publicidad maliciosa para exponer a los esfuerzo conjunto con una importante empresa de
usuarios a kits de ataque. Nuestros investigadores de alojamiento web. Trabajamos juntos para mitigar la
amenazas denominaron “ShadowGate” a una campaña amenaza recuperando cuentas de usuarios inscriptos
de publicidad maliciosa global reciente. Esta campaña que los atacantes habían utilizado para alojar la
muestra cómo la publicidad maliciosa está brindando actividad. Luego, desactivamos todos los subdominios
a los atacantes más flexibilidad y posibilidades de correspondientes.
atacar a los usuarios a lo largo de regiones geográficas
a gran escala. Para más detalles sobre la campaña de ShadowGate,
consulte la publicación del blog de Cisco Talos
ShadowGate involucró a sitios web que van de la cultura de septiembre de 2016 Desactivación de Talos
popular al comercio minorista, y de la pornografía a las ShadowGate: campaña global de publicidad
noticias. Millones de usuarios se vieron potencialmente maliciosa frustrada.
COMPARTIR
En la figura 13, se muestran los tipos de incidentes que Todos los componentes de adware que identificamos durante
observamos en las organizaciones incluidas en nuestra nuestra investigación pueden exponer a los usuarios y a las
investigación. Las herramientas que introducen anuncios eran organizaciones al riesgo de actividad maliciosa. Los equipos
la fuente principal de infecciones. Este hallazgo indica que de seguridad deben reconocer la amenaza que plantean las
la mayoría de estas aplicaciones no deseadas apuntan a los infecciones por adware y asegurarse de que los usuarios de
navegadores web. También hemos observado un aumento de la organización tengan pleno conocimiento de los riesgos.
las infecciones basadas en el navegador durante los últimos
años, lo que sugiere que los adversarios están obteniendo Para obtener más información sobre este tema, consulte la
buenos resultados con esta estrategia para poner en riesgo entrada del blog de seguridad de Cisco realizada en febrero
a los usuarios. de 2016: Ataques de DNSChanger vinculados con la base
instalada de adware.
2.0%
1.5%
1.0%
0.5%
0
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
Porcentaje de usuarios infectados con adware
60%
50%
40%
30%
20%
10%
0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
El volumen de correos electrónicos no deseados a nivel mundial está creciendo del mismo
modo que lo hace el porcentaje de archivos adjuntos maliciosos
En el 2016, los investigadores de amenazas de Cisco no deseados. Además, a través de nuestro análisis,
realizaron dos estudios en el que emplearon telemetría de determinamos que alrededor del 8 al 10 % de los correos
clientes que decidieron participar para calcular qué porcentaje electrónicos no deseados observados en 2016 en todo el
del total de correos electrónicos es correo electrónico no mundo podrían clasificarse como maliciosos.
deseado. Descubrimos que el correo electrónico no deseado
representa casi dos tercios (65 %) del volumen total de Desde agosto hasta octubre del 2016, hubo un aumento
correos electrónicos. Nuestra investigación también sugiere considerable en la cantidad de bloqueos de conexiones IP
que el volumen de correos electrónicos no deseados a nivel (figura 14).¹² Esta tendencia puede atribuirse a un aumento
mundial está aumentando, principalmente, debido a botnets general del volumen de correos electrónicos no deseados, así
extendidos y en crecimiento que envían correos electrónicos como a sistemas de reputación que se adaptan a información
sobre los emisores de correos electrónicos no deseados.
Alemania
414K | 548K Rusia
343K | 352K
Francia
Estados Unidos 222K | 467K
1351K | 2046K Japón
China 194K | 286K
903K | 760K
Vietnam
México 990K | 1684K
214K | 495K
Brasil India
252K | 587K 254K | 1662K
COMPARTIR
¹² L
os bloqueos de la conexión IP son correos electrónicos no deseados bloqueados inmediatamente por una tecnología de detección de los mismos, la cual se basa en la mala
reputación del remitente de este tipo de correos electrónicos. Entre éstos, se incluyen mensajes que se han originado a partir de botnets conocidos por enviar correos electrónicos
no deseados o redes comprometidas, conocidas por participar en este tipo de ataques.
El gráfico de cinco años de la Lista de bloqueo compuesto La figura 16 es un gráfico interno generado por el servicio
(CBL), una “lista negra” basada en DNS de posibles infecciones SpamCop de Cisco que ilustra el cambio en el volumen de
de computadoras que envían correos electrónicos no deseados,¹³ correos electrónicos no deseados observado en el 2016.
también revela un importante aumento en el volumen total de Este gráfico muestra el tamaño total de la lista de bloqueo de
correos electrónicos no deseados en el 2016 (figura 15). SpamCop (SCBL) de noviembre de 2015 a noviembre de 2016.
Cada fila de la SCBL representa una dirección IP diferente.
De acuerdo con una revisión de datos de 10 años de la CBL
(no se muestra), en el 2016, el volumen total de correos De noviembre de 2015 a febrero de 2016, el tamaño de
electrónicos no deseados está cerca de los más altos niveles las SCBL se mantuvo en menos de 200 000 direcciones IP.
registrados en el 2010. Las nuevas tecnologías de protección En septiembre y octubre, el tamaño de la SCBL superó
contra correos electrónicos no deseados y los desmontajes las 400 000 direcciones IP antes de disminuir en octubre,
destacados de botnets relacionados con correo electrónico hecho que nuestros investigadores de amenazas atribuyen
no deseado han colaborado para que los niveles de correo a que los operadores de Necurs simplemente se tomaron
electrónico no deseado se mantengan bajos en los últimos un tiempo. También observe la disminución significativa que
años. Nuestros investigadores de amenazas atribuyen el se produjo en junio. A fines de mayo, ocurrieron arrestos en
aumento reciente del volumen global de correos electrónicos Rusia relacionados con el troyano bancario Lurk (consulte la
no deseados al botnet Necurs. Necurs es un vector principal página 21). Posteriormente, varias amenazas destacadas,
para el ransomware Locky. También distribuye amenazas como incluido Necurs, desaparecieron. Sin embargo, 3 semanas
el troyano bancario Dridex. más tarde, Necurs volvió al ruedo y agregó más de
200 000 direcciones IP a la SCBL en menos de 2 horas.
Figura 15. Volumen total de correo electrónico no deseado
Figura 15 Volumen total de correos electrónicos no deseados
3,5K
3K
Correos electrónicos/
2,5K
segundos
2K
1,5K
1K
0,5K
0
2012 2013 2014 2015 2016
Fuente: CBL
Figura 16.Tamaño
Figura 16 Tamañototal
totaldede SCBL
SCBL
500k
400k
Filas
300k
200k
100k
0
Nov Dic Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov
2015 2016
Fuente: SpamCop
COMPARTIR
Muchas de las direcciones IP de host que enviaba el correo Los patrones con archivos .wsf durante el 2016 (consulte la
electrónico no deseado de Necurs han estado infectadas figura 17) proporcionan un ejemplo de cómo los adversarios
durante más de 2 años. Para mantener el alcance total del desarrollan las tácticas de correo electrónico no deseado
botnet oculto, Necurs enviará correo electrónico no deseado malicioso con el tiempo. Antes de febrero de 2016, este
solo de un subconjunto de hosts infectados. Un host infectado tipo de archivo muy rara vez se usó como archivo adjunto
puede utilizarse durante 2 o 3 días y luego, algunas veces, no malicioso. Luego, el uso de este tipo de archivo comenzó
volver a usarse durante 2 o 3 semanas. Este comportamiento a aumentar a medida que el botnet Necurs cobraba más
complica el trabajo del personal de seguridad que responde a actividad. En julio, los archivos .wsf representaron el 22 % de
ataques por correo electrónico no deseado. Pueden creer que todos los archivos adjuntos de correo electrónico no deseado
han identificado y limpiado correctamente un host infectado, malicioso. Esto también sucedió en torno al momento en que
pero los actores detrás de Necurs solo están haciendo tiempo la actividad de correo electrónico no deseado a nivel mundial
hasta poner en marcha otro ataque. aumentó notablemente (consulte la sección anterior), un
incremento que se debió en gran parte al botnet Necurs.
El 75 % del total de correos electrónicos no deseados
observado en octubre de 2016 contenía archivos adjuntos Durante agosto, septiembre y octubre, vimos fluctuaciones
maliciosos. El botnet Necurs envió la mayoría de los correos en los porcentajes de archivos .wsf. Esto indica que los
electrónicos no deseados. (Consulte la figura 17). Necurs adversarios se retiraban en los momentos en que el tipo de
envía los archivos adjuntos en formato .zip maliciosos que archivo se detectaba con mayor frecuencia.
incluyen archivos ejecutables integrados, como JavaScript,
.hta, .wsf y aplicaciones de descarga VBScript. Para calcular
el porcentaje del total de correos electrónicos no deseados
Figura 17 Porcentaje del total de correos
que contienen archivos adjuntos maliciosos, contamos tanto
Figura 17. Porcentaje
electrónicos del totalque
no deseados del correo electrónico
contienen archivos
el archivo “contenedor” (.zip) como los archivos “secundarios” no deseado que contiene archivos adjuntos maliciosos
incluidos en él (como un archivo JavaScript) como archivos adjuntos maliciosos
adjuntos maliciosos individuales.
80%
Los atacantes prueban con los tipos de archivos Con archivos adjuntos maliciosos
adjuntos para mantener actualizadas las campañas Contiene .hta malicioso
de correo electrónico no deseado malicioso
60%
Porcentaje de correos electrónicos
Jul
Ago
Sep
Oct
Nov
Dic.
2016 Ene
Feb
Mar
Abr
May
Jul
Ago
Sep
Oct
Jun
Jun
Ataques por correo electrónico no deseado: Compare el ataque de tipo hailstorm con una campaña de
hailstorm y snowshoe correo electrónico no deseado de tipo snowshoe, que también
se muestra en la figura 18, en la que los atacantes intentan
Dos tipos de ataques maliciosos por correo electrónico
pasar desapercibidos ante las soluciones de detección
no deseado son especialmente problemáticos para los
basadas en volúmenes. La cantidad de búsquedas de DNS
defensores: los ataques denominados “hailstorm” (granizada)
es constante, pero solo hay unas 25 consultas por hora.
y “snowshoe” (calzado para la nieve). Ambos recurren a la
Estos ataques de bajo volumen permiten que los adversarios
velocidad y al punto al que se dirigen, y ambos son altamente
distribuyan correo electrónico no deseado en forma silenciosa
eficaces.
a partir de una amplio rango de direcciones IP.
Los ataques de tipo hailstorm se dirigen a sistemas contra
Si bien estos ataques por correo electrónico no deseado
correo electrónico no deseado. Los operadores detrás de
funcionan de manera diferente, tienen aspectos en común.
estos ataques hacen uso del poco tiempo que hay entre el
Con cualquiera de estos dos enfoques, los adversarios pueden
momento en que inician su campaña de correo electrónico
hacer lo siguiente:
no deseado y el momento en que los sistemas de protección
contra correo electrónico no deseado la detectan e impulsan ●● Evadir una mala reputación mediante envíos desde dominios
la cobertura con los análisis de protección contra correo y dirección IP limpios.
electrónico. Generalmente, los adversarios tienen unos solos
segundos o minutos para actuar antes de que sus campañas ●● Emular correo de marketing con contenido profesional y
sean detectadas y bloqueadas. administración de suscripciones.
Figura
Figura 18.
18 Comparación
Comparación de
de los
los ataques
ataques de
de correo
correo electrónico
electrónicono
nodeseado
deseadotipo Hailstorm yy Snowshoe
de Hailstorm Snowshoe
50,000
25,000
0
16 18 20 22 24 26 28 30 2 4 6 8 10 12 14
Sep Oct
Consultas DNS/hora
COMPARTIR
Los adversarios también pueden afectar la detección de En la figura 19 se muestran las principales alertas de ataques
contenido al transformar el texto y alternar entre distintos de amenazas. Esta es una descripción general de los mensajes
tipos de archivo. (Para obtener más información sobre cómo de correo electrónico no deseado y de suplantación de
los ciberdelincuentes desarrollan sus amenazas para evadir identidad que observamos que los adversarios con frecuencia
a los defensores, consulte la sección “Tiempo de desarrollo”, actualizaron en el 2016 para sortear los controles y las reglas
en la página 34). Para obtener más información sobre cómo de seguridad de correo electrónico. Es importante saber
hacen pruebas con archivos adjuntos maliciosos para el correo qué tipos de amenazas de correo electrónico son los más
electrónico no deseado, consulte la sección anterior. predominantes para que pueda evitar ser engañado por estos
mensajes maliciosos.
Figura 19
Figura 19. Alertas principales
Principales alertasdede
brotes de amenazas
ataques de amenazas
Orden de compra,
74 38971 RuleID15448 pago, recibo .zip, .gz Inglés 08/08/2016
Pedido, pago,
72 41513 RuleID18688 seminario
.zip Inglés 01/09/2016
Orden de compra,
70 40056 RuleID6396 pago, recibo
.rar Inglés 07/06/2016
Inglés, alemán,
64 39317 RuleID4626 (cont) Factura, pago, envío .zip 28/01/2016
español
Confirmación, pago/
64 36917 RuleID4961KVR transferencia, pedido, envío
.zip Inglés 08/07/2016
Método
Reconocimiento Armamentización Instalación
de entrega
Una vez que la amenaza se establece, instala una puerta trasera en el sistema de un blanco, lo que les brinda
a los atacantes un acceso persistente.
Riesgo vertical de hallazgos de malware: los atacantes ven el valor en todos los ámbitos
En el Informe semestral sobre ciberseguridad de 2016 de Si observamos los mercados verticales y sus tasas de bloqueo
Cisco, un mensaje clave sobre el riesgo de malware fue que con el tiempo (figura 21), vemos que, en algún momento a lo
“no hay ningún mercado vertical seguro”. A partir del análisis largo de varios meses, cada sector ha sufrido tráfico de ataque
periódico que realizan nuestros investigadores sobre el tráfico en diversos niveles. Está claro que los ataques aumentan
de ataque (“tasas de bloqueo”) y el tráfico “normal” o previsto y disminuyen, y afectan a distintos mercados verticales en
para cada sector, este mensaje sigue teniendo vigencia en la diversos momentos, pero ninguno es inofensivo
segunda mitad del año.
Figura
Figura21
21. Porcentaje
Porcentajededeíndices de bloqueos
las tasas verticales
mensuales mensuales
de bloqueo vertical
0% 0% 0% 0%
Contabilidad Agricultura y minería Automóviles Aeronáutica
0% 0% 0% 0%
Banca y finanzas Instituciones benéficas Educación Electrónica
y ONG
40% 40% 40% 40%
0% 0% 0% 0%
Energía, petróleo y gas Ingeniería y construcción Entretenimiento Alimentos y bebidas
0% 0% 0% 0%
Gobierno Atención médica Calefacción, plomería y A/A Industrial
0% 0% 0% 0%
Seguros TI y telecomunicaciones Legales Fabricación
0% 0% 0% 0%
Medios de comunicación Productos farmacéuticos Servicios profesionales Bienes raíces y gestión
y editoriales y químicos de tierras
40% 40% 40% 40%
0% 0% 0% 0%
Comercio minorista Transporte y navegación Viajes y ocio Servicios públicos
y mayorista
COMPARTIR
3.88 Alemania
0.94 Rusia
Francia 0.87
Canadá 2.11
1.47 Ucrania
Belice 1.54
1.07 Vietnam
Panamá 1.46 1.15 Venezuela
2.84 Indonesia
Perú 1.43
1.60 Australia
1.00 Turquía
Chile 0.83
Malasia 3.52
Rumania 2.77
COMPARTIR
Tiempo de detección: una métrica fundamental para medir el progreso de los defensores
Cisco redefine continuamente el enfoque para medir el La revisión de datos retrospectivos es importante no solo
tiempo de detección para que podamos asegurarnos de que para determinar una medida más precisa de nuestro tiempo
realizamos el seguimiento y el informe del cálculo más preciso de detección medio, sino también para estudiar cómo las
de nuestro tiempo de detección medio. Los ajustes recientes amenazas se desarrollan con el tiempo. Las numerosas
en nuestro enfoque han incrementado nuestra visibilidad de amenazas en el panorama son particularmente evasivas
archivos que se clasificaron como “desconocidos” al ser vistos y puede llevar mucho tiempo identificarlas aunque la
por primera vez y, luego, como “malos conocidos” después comunidad de seguridad las conozca.
del análisis continuo y de la observación global. Gracias a una
mirada más integral de los datos, podemos identificar mejor Los adversarios desarrollarán algunas familias de malware
cuando surgió una amenaza por primera vez y exactamente para evitar la detección y aumentar su tiempo para operar.
cuánto tiempo necesitaron los equipos de seguridad para Esta táctica dificulta el progreso de los defensores de lograr,
determinar que se trataba de una amenaza. y luego mantener, una ventaja en la detección de muchos tipos
de amenazas conocidas. (Para obtener más información sobre
Este nuevo conocimiento nos ayudó a determinar que nuestro este tema, consulte “Tiempo de desarrollo: en el caso de
tiempo de detección medio era de 39 horas en noviembre de algunas amenazas, el cambio es constante”, en la página 34).
2015. (Consulte la figura 23). Para enero del 2016, habíamos Sin embargo, el hecho de que los ciberdelincuentes se
reducido el tiempo de detección medio a 6,9 horas. Después ocupen de un rápido y frecuente desarrollo de sus amenazas
de recopilar y analizar datos para octubre de 2016, nuestros indica que enfrentan una presión intensa y sistemática
investigadores de amenazas determinaron que los productos para encontrar formas de mantener las amenazas en
de Cisco habían alcanzado un tiempo de detección medio de funcionamiento y rentables.
14 horas para el período de noviembre de 2015 a octubre
Figura 23. TTD medio por mes
de 2016. (Nota: La figura del tiempo de detección medio
Figura 23 TTD medio por mes
para el 2016 es el promedio de los tiempos medios del
período observado). 40
39,16
Dic.
2016 Ene
Feb
Mar
Abr
May
Jun
Jul
Ago
Sep
Oct
recopilados de noviembre de 2015 a abril de 2016. No se
obtuvo mediante el uso de nuestro enfoque modificado para
analizar información retrospectiva más detallada sobre los
archivos. Con la nueva cifra de tiempo de detección semestral,
podemos informar que el tiempo de detección disminuyó
a unas 9 horas para el período de mayo a octubre de 2016. Fuente: Cisco Security Research
Cisco define el tiempo de detección (TTD) como la ventana de tiempo entre un riesgo y la detección de una amenaza.
Determinamos este período mediante la telemetría de seguridad de inclusión voluntaria reunida de los productos de
seguridad de Cisco implementados en todo el mundo. A través de nuestra visibilidad global y un modelo de análisis
continuo, podemos realizar mediciones desde el momento en que el código malicioso se ejecuta en un terminal hasta
el momento en que se determina que es una amenaza para todo el código malicioso que no se clasificó cuando
se detectó.
35
nemucod
Porcentaje de detecciones totales
30
25 bayrob
20
15
10
docdl
locky dridex
5 donoff
insight
fareit kryptik
mabezat adwind
mydoom cerber mamianune razy upatre
0 hancitor adnel zbot zusy
0 5 10 15 20 25 30 35 40 45 50
COMPARTIR
Figura 25
Figura 25.La extensiónde
Extensión del archivoyycombinaciones
archivo las Figura 26 Antigüedades de hash para la familia del
Figura 26. Años de hash de malware de Locky
MIME para la familia de amenazas e de
combinaciones de MIME para la familia amenazas
indicadores malware Locky y porcentaje de volumen total de
Familia y el porcentaje
e indicadores que condujeron a, e incluyen, la carga hash obtenido por mes de volumen total
que generan e incluyen la carga de Locky de hash observado por mes
útil de Locky (vectores web y de correo electrónico)
(vectores de correo electrónico y web)
Porcentaje de hash de Locky,
100%
años de hash < 24 horas
May
Ago
Sep
Nov
Mar
Feb
Ene
Ene
Jun
Oct
Jul
jsp y aplicación/zip
lib y texto/sin formato
10%
total de hash
COMPARTIR
Horas medianas
100 89,3
continuamente estas amenazas si desean que sigan siendo
80
activas y eficaces. (En la figura 24, mencionada anteriormente,
se muestran los productos de Cisco que detectaron el 60
ransomware Locky y de Cerber dentro del tiempo de 40
detección medio en el 2016). 20 7,1 5,9
4,7
0
En la figura 27 se muestra el tiempo de detección medio del
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
ransomware Locky, que disminuyó considerablemente de 2015 2016
aproximadamente 116 horas en noviembre de 2015 a menos
de 5 horas en octubre de 2016. Fuente: Cisco Security Research
Análisis del tiempo de desarrollo: Nemucod Un motivo por el cual el malware Nemucod fue tan predominante
En el 2016, Nemucod fue el malware detectado con mayor en el 2016, según nuestros investigadores de amenazas, es que
frecuencia entre las 20 familias principales que se muestran en sus creadores desarrollaron con frecuencia esta amenaza. Cisco
la figura 24. Los adversarios usan este malware de aplicación identificó más de 15 combinaciones de MIME y de extensiones
de descarga para distribuir el ransomware y otras amenazas, de archivos asociadas con la familia Nemucod que se usaban
como troyanos de puerta trasera que facilitan los fraudes para distribuir malware por la Web. Muchas otras combinaciones
mediante un clic. Algunas variantes de Nemucod también se utilizaron para distribuir la amenaza a los usuarios a través del
funcionan como motores para distribuir la carga útil del correo electrónico (figura 28).
malware de Nemucod.
Varios combinaciones de MIME y de extensiones de archivos
(de distribución por la Web y por correo electrónico) fueron
diseñadas para dirigir a los usuarios a archivos o ficheros
Figura 28 Extensión del archivo y combinaciones
Figura 28. Extensión de archivo y combinaciones MIME .zip maliciosos. Los adversarios también reutilizaron varias
MIME para Nemucod
para Nemucod (vectores
(vectores de correoweb y de y web)
electrónico combinaciones durante los meses que observamos.
correo electrónico)
Como se muestra en la figura 29, muchos algoritmos hash de
May
Ago
Sep
Nov
Mar
Abr
Jun
Oct
Jul
Vectores exclusivos
detectan. En septiembre y octubre del 2016, prácticamente
js y aplicación/javascript
html y texto/html cada archivo binario relacionado con la familia de Nemucod
zip y aplicación/zip tenía menos de un día de antigüedad.
sin extensión y aplicación/zip
zip y aplicación/x-zip-comp… Figura 29. Años de hash para la familia de
Figura 29 Antigüedades de hash para la familia del
html y aplicación/zip
php y aplicación/zip malware de Nemucod
malware Nemucod y porcentaje
y porcentaje de volumen
de volumen total de
zip y texto/sin formato
js y texto/sin formato
total de hash observado
hash observado por mes por mes
js y texto/x-pascal
js y texto/javascript
Porcentaje de hash de Nemucod,
aspxx y aplicación/zip
xls y aplicación/zip 75%
aspx y aplicación/zip
cgi y aplicación/zip
50%
wsf y texto/html
sin extensión y aplicación/archivo
html y aplicación/archivo 25%
cgi y aplicación/archivo
js y texto/x-makefile
js y texto/x-c 0%
jsp y aplicación/zip
sin extensión y texto/html
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
jse y texto/sin formato 2015 2016
zip y aplicación/archivo
Porcentaje de volumen
lib y texto/x-c
lib y texto/x-pascal
gif y aplicación/zip 25%
jpg y aplicación/zip
pdf y aplicación/zip
docx y aplicación/zip 0%
tiff y aplicación/zip Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
zip y aplicación/x-rar 2015 2016
wrn y texto/sin formato
wrn y texto/x-c
wrn y texto/x-pascal Fuente: Cisco Security Research
vbs y texto/sin formato
js y texto/html
tgz y aplicación/x-gzip Figura
Figura 30.
30 TTD
TTDde
delalafamilia
familiade malware
del deNemucod
malware Nemucod
wsf y aplicación/xml
docx y aplicación/vnd.open…
doc y aplicación/zip
85,0
rar y aplicación/zip
Horas medianas
php y aplicación/javascript
80
zip y aplicación/x-gzip 60
cab y aplicación/vnd.ms-cab…
hta y texto/html 40 46,3
asp y aplicación/zip
21,8
13,9
cgi y audio/wav 20 7,3
hta y aplicación/zip
0
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
Correo electrónico Web 2015 2016
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores exclusivos
años de hash < 24 horas
1,5%
total de hash
1%
Descargue los gráficos de 2017 en:
0,5%
www.cisco.com/go/acr2017graphics
0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
80 70,7
60
40
20 30,0 25,3 13,0
0 16,2
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
Análisis del tiempo de desarrollo: Kryptik En nuestro análisis de las seis familias de malware,
Kryptik, como el malware Adwind RAT, tenía una tiempo de descubrimos que los adversarios deben cambiar de táctica
detección medio constantemente más alto (aproximadamente con frecuencia para aprovechar el poco tiempo durante el
20 horas) que otras familias de malware que Cisco analizó cual las amenazas pueden funcionar correctamente. Estos
para el estudio sobre el tiempo de detección de noviembre de ajustes se indican que los defensores están teniendo un mejor
2015 a octubre de 2016 (figura 36). Sin embargo, en octubre, desempeño en la rápida detección de malware conocido,
los productos Cisco habían reducido el tiempo de detección incluso después de que una amenaza se haya desarrollado.
Los atacantes tienen la presión de encontrar nuevas maneras
medio del malware Kryptik a menos de 9 horas (figura 36).
de evitar la detección y de mantener sus campañas rentables.
La familia de malware Kryptik también utilizó una gama más
En este panorama complejo de rápido desarrollo, en el
amplia de antigüedades de hash en comparación con las otras
que todas las familias de malware se comportan de una
familias de malware que analizamos, especialmente durante
manera diferente, la experiencia humana y las soluciones
la primera mitad del 2016. La capacidad de los creadores
puntuales no son suficientes para identificar y responder
de Kryptik de utilizar algoritmos hash antiguos durante tanto
rápidamente a las amenazas. Para mejorar el tiempo de
tiempo indica que a los defensores les resultada difícil detectar
detección y garantizar una rápida solución cuando se producen
este tipo de malware.
infecciones, es fundamental contar con una arquitectura
Durante el período que observamos, los creadores de Kryptik de seguridad integrada que proporcione conocimientos en
emplearon una amplia gama de métodos de distribución de tiempo real sobre amenazas, junto con detección y defensa
carga útil mediante el vector de ataque web. Los creadores automatizadas.
utilizaron archivos JavaScript y archivos de almacenamiento, Figura
como .zip, en las combinaciones de MIME y de extensiones Figura 35.
35 Años de hash para
Antigüedades la familia
de hash parade
lamalware
familia del
de Kryptik y porcentaje de volumen total de hash
de archivos para la distribución tanto por la Web como por malware Kryptik y porcentaje de volumen total de
observado por mes
correo electrónico. (Consulte la figura 34). Algunas de las hash observado por mes
combinaciones se remontan al 2011.
100%
Porcentaje de hash de Kryptik,
años de hash < 24 horas
75%
Figura 34 Extensión del archivo y combinaciones
MIME para
Figura Kryptik (vectores
34. Extensión de archivoweb y de correo MIME
y combinaciones 50%
electrónico)
para Kryptik (vectores de correo electrónico y web)
25%
May
Ago
0%
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores exclusivos Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
js y aplicación/javascript 2015 2016
gif e imagen/gif
Porcentaje de volumen
jpg e imagen/jpeg
html y texto/html 2%
total de hash
js y texto/javascript
sin extensión y texto/html 1%
htm y texto/html
php y texto/html
0%
ico y texto/html
png e imagen/png Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
zip y aplicación/x-zip-comp… 2015 2016
zip y aplicación/zip
exe y aplicación/msdownload Fuente: Cisco Security Research
doc y aplicación/msword
sin extensión y aplicación/exe
sin extensión y aplicación/zip Figura 36. TTD de la familia de malware de Kryptik
js y texto/sin formato
rar y aplicación/x-rar
Figura 36 TTD de la familia del malware Kryptik
scr y aplicación/x-dosexec
exe y aplicación/x-dosexec
Horas medianas
Figura
Figura37
37. Alertas
Totalesacumulativas totales anuales
de alertas anuales acumuladas
9K
8K
7K
6380
6K 5976
5483
4969
Alertas
5K
4407
4K 3811
3K 2992
2193
2K
1327
1K
634
0
Ene Feb Mar Abr May Jun Jul. Ago. Sep. Oct. Nov. Dic.
Cisco ahora utiliza las calificaciones de gravedad/efecto (SIR), en las cuales los niveles de calificación son “crítico”, “alto”, “medio” y “bajo”. Las
calificaciones reflejan una priorización simplificada de puntuaciones del sistema de puntuación de vulnerabilidades comunes (CVSS). Asimismo, Cisco ha
adoptado CVSS v3.0, el sucesor de CVSS v2.0. Debido a este cambio, algunas vulnerabilidades pueden tener puntuaciones más elevadas que antes, por lo
que los profesionales de la seguridad pueden ver un pequeño aumento en la cantidad de vulnerabilidades calificadas como “críticas” y “altas” en lugar de
“medias” y “bajas”. Para más información con respecto a este cambio de puntuación, consulte la publicación del blog Seguridad de Cisco,
Evolución de la puntuación de vulnerabilidades de seguridad: la secuela.
Por supuesto, una disminución de las vulnerabilidades no Vulnerabilidad de desbordamiento de operaciones Martes, 23 de
debe conllevar una confianza excesiva respecto al panorama de Adobe Acrobat y Acrobat Reader mayo de 2016
de amenazas: nadie debe pensar que la atención a las Vulnerabilidad de ejecución del código remoto 8 de febrero
de corrupción de la memoria de Adobe Acrobat
amenazas puede interrumpirse, incluso cuando no hay y Acrobat Reader de 2016
ataques destacados
Vulnerabilidad de corrupción de la memoria de Adobe 28 de julio
Acrobat y Acrobat Reader de 2016
Tal como lo hemos sugerido en informes anteriores, los
profesionales de seguridad deben hacer un esfuerzo conjunto Vulnerabilidad de corrupción de la memoria de Adobe 18 de julio
por priorizar los parches. Si la falta de personal y de recursos Acrobat y Acrobat Reader de 2016
de otro tipo impide la instalación oportuna de todos los Vulnerabilidad de corrupción de la memoria de Adobe Jun 23, 2016
parches disponibles, evalúe cuáles son los más críticos para Acrobat y Acrobat Reader
la seguridad de la red y póngalos arriba de la lista.
Vulnerabilidad de corrupción de la memoria de Adobe Martes, 24 de
Acrobat y Acrobat Reader mayo de 2016
20 12 10 9 11
COMPARTIR
Para evitar ser la víctima de un ataque iniciado a través de ●● Con qué frecuencia se utiliza el software.
una vulnerabilidad de middleware, usted debería adoptar las
Hay distintos tiempos en que los usuarios probablemente
siguientes medidas:
instalen una actualización cuando la lanza el proveedor.
●● Mantener en forma activa una lista de dependencias y de Nuestros investigadores observaron las instalaciones de
bibliotecas conocidas en las aplicaciones que utiliza. software en las terminales usadas por nuestros clientes.
Su software se divide en tres categorías:
●● Monitorear en forma activa la seguridad de estas aplicaciones
y mitigar los riesgos tanto como sea posible. ●● Nuevas versiones: la terminal ejecuta la versión del software
●● Insertar un acuerdo de nivel de servicio en contratos con más nueva disponible.
proveedores de software para proporcionar parches en forma
●● Versiones recientes: la terminal ejecuta una de las tres
oportuna.
versiones anteriores del software, pero no la más nueva.
●● Realizar auditorías regularmente y revisar las dependencias de
●● Versiones anteriores: la terminal ejecuta una versión
software y el uso de las bibliotecas.
del software más antigua que las tres versiones anteriores
●● Solicitarles a los proveedores de software detalles sobre cómo a la actual.
mantener sus productos y someterlos a prueba.
Por ejemplo, si un proveedor de software lanza la versión 28
En síntesis: las demoras en la implementación de parches en enero del 2017, la versión 28 sería nueva; la versión 26
aumenta el espacio operativo para los atacantes y les da sería reciente y la versión 23 sería anterior. (Las cifras que
más tiempo para tener el control de sistemas críticos. En la figuran en la página siguiente contienen los avisos en los
siguiente sección, analizaremos este impacto y las tendencias períodos semanales en que se lanzaron una o más versiones
en la implementación de parches de soluciones comunes de de software).
productividad, como navegadores web.
Al analizar los usuarios de Adobe Flash (figura 42), Al analizar las actualizaciones del navegador web
descubrimos que, durante la semana posterior al lanzamiento Google Chrome, vemos un patrón distinto. Refleja un flujo
de una actualización, casi el 80 % de los usuarios instala la regular de actualizaciones, además de una política sólida de
última versión del software. En otras palabras, solo les lleva exclusión voluntaria que hace que a los usuarios le resulte
alrededor de una semana a los usuarios realizar la actualización difícil ignorar las notificaciones de actualización. Como se
con la última versión. Este período de “recuperación” de una muestra en la figura 42, los terminales que ejecutan la versión
semana de duración es la oportunidad que tienen los hackers. más reciente permanecen relativamente estables durante
varias semanas.
Si observamos el último trimestre de 2015 en el cuadro de
Adobe Flash, vemos una disminución brusca en la cantidad Los datos de Chrome revelan que los usuarios tienen un
de usuarios que poseen la versión más reciente de la solución. tiempo de recuperación relativamente rápido. En el caso de
En el período que analizamos, Adobe lanzó cinco versiones de actualizaciones regulares, el tiempo de recuperación es de
Flash rápidamente una detrás de otra, con una combinación prácticamente una semana. En un período de 9 semanas
de incorporaciones de funcionalidad, reparaciones de errores durante el segundo y el tercer trimestre de 2016, sin embargo,
y actualizaciones de seguridad. Un estallido de actualizaciones hubo siete actualizaciones. Durante este período, los usuarios
de este tipo puede confundir a los usuarios. Pueden se recuperaron, pero comenzaron a cansarse. El porcentaje
preguntarse si necesitan descargar tantas actualizaciones, de usuarios que se quedan con una versión anterior aumenta
cansarse por la cantidad de notificaciones de actualización continuamente, a pesar de que la mayoría se recupera.
y pensar que ya han descargado una actualización importante
y pueden ignorar nuevas notificaciones. Independientemente El navegador Mozilla Firefox también ofrece actualizaciones
del factor que los lleve a perder el interés en instalar una en forma regular, pero el período de recuperación después de
actualización, los defensores se ven frente a una mala noticia. que se lanza una actualización parece ser de un mes. Es decir,
los usuarios no descargan ni instalan actualizaciones con la
misma frecuencia con la que lo hacen los usuarios de Chrome.
Un motivo posible es que algunos usuarios quizás no utilicen el
navegador regularmente y, por lo tanto, no vean ni descarguen
actualizaciones. (Consulte la figura 43 en la página siguiente).
Adobe
Flash
Versiones 83% 67% 99% 94% 88%
63% 69% 67% 70% 68% 76% 77% 94% 88% 80% 88% 94% 94% 92% 82% 86%
obsoletas: 78% 93%
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
Mayo de 2015
Google
Chrome
Versiones 97% 70% 95%
8% 63% 48% 87% 54% 94% 98% 94% 97%
obsoletas: 98% 54% 98% 97% 98%
Semana: 0 5 10 15 20 25 30 35 40 45 50 55
Mayo de 2015
COMPARTIR
Descubrimos que Firefox actualizó sus versiones 2 meses para que los usuarios instalen actualizaciones
aproximadamente una vez cada quince días, y la frecuencia de después de un lanzamiento. En un momento, había dos
las actualizaciones aumentó durante el transcurso del período versiones en 5 semanas, lo que afectaba a los usuarios
de observación. Este aumento en la frecuencia se refleja durante más de 3 meses, como se puede ver entre el
en la creciente cantidad de versiones antiguas de Firefox cuarto trimestre de 2015 y el primer trimestre de 2016.
dentro de los usuarios. El tiempo de recuperación es de casi
1,5 semanas, pero los tiempos se superponen. De la base de Microsoft anunció el fin de vida útil de Silverlight en el 2012,
usuarios, solo el 30 % intenta mantenerse actualizado. En algún aunque aún se siguen lanzando parches y reparaciones
momento, dos tercios de los usuarios han recurrido a ejecutar de errores. Sin embargo, representa el mismo problema
simplemente una versión del navegador más de cuatro veces que Internet Explorer: el software desactualizado y sin
anterior a la más reciente. Entonces, pese a que Firefox aborda parches implementados invita a los atacantes a que lo
los problemas y corrige los errores rápidamente, la base de aprovechen fácilmente.
usuarios no realiza las actualizaciones y los reinicios con la
El período de recuperación para los usuarios de Java muestra
misma frecuencia.
que la mayoría utiliza versiones del software una o tres veces
En el caso del software, el nivel de uso también parece ser anteriores a la versión más reciente. El tiempo de recuperación
un indicador de esta vulnerabilidad. Cuando los usuarios no es de alrededor de 3 semanas. Un patrón inusual con Java
acceden al software a menudo y, en consecuencia, no se es que los usuarios dominantes son los que utilizan versiones
enteran de la necesidad de implementar parches y actualizarlo, recientes. El ciclo de actualización de Java es de 1 a 2 meses.
el software ignorado les da tiempo y espacio a los atacantes
La lección general de los ciclos del tiempo de implementación
para operar.
de parches es que los patrones de lanzamiento de
Podemos ver esto en la investigación sobre Microsoft actualizaciones son un factor que contribuye al estado de la
Silverlight, que muestra un período de recuperación de seguridad del usuario, que puede poner en riesgo las redes.
Firefox
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
Mayo de 2015
Silverlight
Versiones 26% 88% 93% 91%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55
Mayo de 2015
Java
Versiones 84% 99% 93% 99% 96% 91% 98% 97% 99% 98%
obsoletas:
Semana: 0 5 10 15 20 25 30 35 40 45 50 55 60 65 70 75
Mayo de 2015
Los profesionales de seguridad quieren que sus mayoría de los profesionales de seguridad sienten la confianza
organizaciones sean más seguras, pero de una manera que de que su infraestructura de seguridad está actualizada,
responda al panorama complejo de los atacantes y a los aunque esa confianza pareciera estar decayendo en
esfuerzos de los adversarios por expandir su espacio comparación con años anteriores. En el 2016, el 58 % de los
operativo. Muchas organizaciones utilizan muchas soluciones encuestados indicó que su infraestructura de seguridad está
de diversos proveedores. Esta táctica aumenta la complejidad
y la confusión de asegurar las redes, ya que Internet continúa
Figura 44. Porcentajes de profesionales
creciendo en términos de velocidad, dispositivos conectados Figura 44 Porcentaje de profesionales de
y tráfico. Las organizaciones, si desean protegerse, deben
de seguridad que sienten que su infraestructura
seguridad que consideran que su infraestructura
proponerse como objetivos la simplicidad y la integración. de seguridadestá
de seguridad estáactualizada
actualizada
Figura 47
47. Los
Mayores obstáculos
mayores para
obstáculos la seguridad
para la seguridad Figura 48. Número
Figura 48 Cantidaddede profesionales
profesionales dede
seguridad
seguridad empleados por organizaciones
empleados por organizaciones
Cantidad de profesionales dedicados a la seguridad
40-49 6
Falta de personal capacitado 22% 25%
50-99 19
30 25 33
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
100-199 9
2014 2015 2016
200+ 12
COMPARTIR
0% 5% 10% 15% 20%
Figura 49.Número
Figura 49 Cantidad
de de profesionales
profesionales de seguridad
de seguridad por tamaño
por tamaño de la organización
de la organización
5%
5% 15%
7%
11%
20% 10% 33%
17%
14% 12% 7%
6%
21% 7% 12%
4%
10% 7% 22%
15% 16%
7% 17%
COMPARTIR
Descargue los gráficos de 2017 en: Cantidad de productos de seguridad en el entorno de seguridad
www.cisco.com/go/acr2017graphics 2016 (n=2860), gráficos redondeados al número entero más cercano
El 7% El 93%
no experimentó experimentó alertas
ninguna alerta de seguridad
de seguridad
El 44% El 56%
de las alertas de las alertas
NO se investigan se investigan
El 46%
de alertas legítimas
se solucionan
El 28%
El 54% de las alertas
investigadas
de alertas legítimas
son legítimas
no se solucionan
2016 (n=2796)
Si el cumplimiento de los objetivos de puesta en operación El hecho de que casi la mitad de las alertas no se investigue
está fallando, si el uso de las herramientas no alcanza la debería generar preocupación. ¿Cuál es el grupo de alertas
eficacia máxima y si la mano de obra no es sólida, el resultado que no se atienden?: ¿son amenazas de bajo nivel que pueden
es el fracaso de la seguridad. Los profesionales de seguridad distribuirse exclusivamente a través del correo electrónico
se ven forzados a pasar por alto la investigación de alertas no deseado o podrían generar un ataque de ransomware
simplemente porque no tienen el talento, las herramientas o paralizar una red? Para investigar y comprender una
ni las soluciones automatizadas disponibles para determinar mayor parte del panorama de amenazas, las organizaciones
cuáles son críticas y por qué se producen. deben confiar en la automatización, así como en soluciones
correctamente integradas. La automatización puede ayudar
Quizás debido a varios factores, como la falta de un sistema a ampliar los recursos valiosos y a eliminar la carga de
de defensa integrado o la falta de tiempo del personal, las la detección y la investigación que recae en el equipo
organizaciones pueden investigar apenas un poco más de la de seguridad.
mitad de las alertas que reciben en un día determinado. Como
se muestra en la figura 52, el 56 % de las alertas se investigan La incapacidad para ver tantas alertas plantea preguntas
y el 44 % no; de las alertas que se investigan, el 28% se sobre su impacto en el éxito general de una organización.
consideran alertas legítimas. El 46 % de las alertas legítimas ¿Cómo podrían estas amenazas sin investigar afectar la
son atendidas. productividad, la satisfacción del cliente y la confianza en
la empresa? Tal como los encuestados nos dijeron, incluso
Para definir el problema en términos más específicos, si una las pequeñas interrupciones de la red o las infracciones a la
organización registra 5000 alertas por día, esto significa: seguridad pueden tener efectos a largo plazo en el balance.
Aun cuando las pérdidas eran relativamente menores y los
●● Un total de 2800 alertas (56 %) se investiga, mientras
sistemas afectados eran bastante sencillos de identificar
que 2200 (44 %) no.
y de aislar, los líderes de seguridad consideran que tales
●● De las alertas investigadas, 784 (28 %) son legítimas, infracciones son significativas debido a la presión que ejercen
mientras que 2016 (72 %) no lo son. en la organización.
●● De las alertas legítimas, 360 (46 %) son atendidas,
mientras 424 (54 %) no.
COMPARTIR
COMPARTIR
Divulgado Informe
Divulgado
accidentalmente necesario
voluntariamente
(tercero) (normativo/legal)
Figura
Figura55
55.Funciones
Funcionesque
conprobablemente se vean de
mayor probabilidad afectadas por una infracción
verse afectadas por unapública
infracción pública
COMPARTIR
El daño que sufren las organizaciones excede por mucho A las operaciones les siguen las finanzas como función con
el tiempo que les lleva lidiar con una infracción o con una más probabilidades de verse afectada (mencionada por el
interrupción. Hay impactos reales e importantes que las 30 % de los encuestados), seguida por la reputación de la
empresas deberían, en gran medida, intentar evitar. marca y la retención de clientes (26 % en ambos casos).
Como se muestra en la figura 55, el 36 % de los profesionales Ninguna organización que planee crecer y lograr el éxito
de seguridad dijo que las operaciones fueron la función desea estar en una posición de tener departamentos críticos
con más probabilidades de verse afectadas. Esto significa afectados por infracciones a la seguridad. Los profesionales
que los sistemas centrales de productividad, que afectan de seguridad deben ver los resultados de la encuesta con
a distintos sectores (desde transporte hasta servicios de salud sus propias organizaciones en mente y preguntarse: “si mi
y fabricación), pueden volverse lentos o incluso detenerse. organización sufre este tipo de pérdida como consecuencia de
una amenaza, ¿qué sucederá con el negocio con el futuro?”.
Las pérdidas de oportunidades para las empresas que sufren Figura 57.Porcentaje
Figura 57 Porcentajedede ingresos
ingresos de de la
la organización
ataques en línea son enormes. El 23 % de los profesionales organización como resultado de un
perdidos como resultado de un ataque ataque
de seguridad encuestados afirmó que en el 2016 sus
organizaciones experimentaron una pérdida de oportunidades
debido a ataques (figura 56). De ese grupo, el 58 % dijo que
Experimentó una
la pérdida de oportunidades total fue inferior al 20 %; el 25 % 29% pérdida de ingresos
afirmó que la pérdida de oportunidad fue del 20 % al 40 %;
y el 9 % indicó que la pérdida de oportunidades llegó a ser Personal de seguridad
del 40 % al 60 %. de TI (n=2912)
(n=778)
Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida Pérdida
menor de entre un de entre un de entre un de entre un menor de entre un de entre un de entre un de entre un
al 20% 20% y un 40% 40% y un 60% 60% y un 80% 80% y un 100% al 20% 20% y un 40% 40% y un 60% 60% y un 80% 80% y un 100%
42% 39%
Experimentó una importante pérdida de oportunidad Experimentó una importante pérdida de clientes
(n=625) (n=641)
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
COMPARTIR
El 72%
Dependencia depende de
de entre 31% proveedores de terceros
el 40% y el 80% para entre el 20%
6% 2%
y el 80% de
25% 25%
la seguridad
39% 43%
24%
6%
41% 5%
25%
Dependencia de entre
el 20% y el 40%
Compañías
Reguladores Inversionistas Oprima
de seguros
70% 69% 67% 60%
2016 (n=2912)
Ya que las organizaciones toman medidas para fortalecer El 74 % de los profesionales de seguridad dijo que el escrutinio
el estado de la seguridad, pueden esperar que se preste provendrá de liderazgo ejecutivo; el 73 %, de clientes; y el
más atención a sus esfuerzos. Este escrutinio provendrá de 72 %, de empleados, como se muestra en la figura 62.
un público influyente y, por lo tanto, no se puede ignorar. El
modo en que se manejan las preocupaciones de este público
puede tener un impacto significativo en la capacidad de una
organización para defenderse.
24% 33%
Implementar los 4%
productos puntuales 18%
según sea necesario Las mejores soluciones de su clase El enfoque de la arquitectura empresarial
son más rápidas de implementar es más rápido de implementar
Sector
Seguridad de la cadena de valor: el éxito en un mundo digital depende de la mitigación
de los riesgos de terceros
La seguridad de la cadena de valor es un componente ●● Desarrollar una arquitectura de seguridad flexible que pueda
esencial del éxito en una economía conectada. Es fundamental compartirse con todos los terceros en el ecosistema y ser
garantizar que la seguridad correcta esté en el lugar correcto implementada por ellos.
en el momento indicado durante todo el ciclo de vida de la ●● Evaluar si los terceros trabajan dentro de los niveles de tolerancia
cadena de valor: el ciclo de vida correcto para hardware, establecidos por la arquitectura de seguridad de la organización.
software y servicios.
●● Estar alerta a nuevos riesgos de seguridad que el ecosistema
En la figura 64 se muestran las ocho etapas de la cadena puede presentar a medida que la digitalización aumenta.
de valor. Las organizaciones también deben pensar en la seguridad
antes de introducir un nuevo modelo comercial o una oferta
La tecnología de la información (TI) y la tecnología operativa
que requiera la participación del ecosistema de terceros
convergen en este mundo digitalizado. No basta con que
o que lo afecte de otra manera. Cualquier valor potencial
las organizaciones se centren únicamente en proteger los
y aumento en la productividad debe evaluarse en relación
modelos comerciales, las ofertas y la infraestructura internos.
con los posibles riesgos, particularmente en la seguridad
Las organizaciones deben observar la cadena de valor en
de los datos y la privacidad.
forma integral y determinar si los terceros que participan en su
modelo comercial o en contacto con sus ofertas representan La conciencia respecto a la importancia de la cadena de
un riesgo para la seguridad. valor global está aumentando tanto a nivel mundial como
en sectores específicos. La legislación reciente sobre la
La respuesta breve es que probablemente lo hagan: de
adquisición de TI de los EE. UU ordenó una evaluación de
acuerdo con una investigación realizada por el Instituto
un año del Departamento de Defensa de los EE. UU respecto
SANS, el 80 % de las violaciones de datos provienen de
a las normas abiertas de tecnología para las adquisiciones de
otros proveedores.¹⁵ Para reducir el riesgo, las organizaciones
productos de tecnología de la información y ciberseguridad.¹⁶
deben fomentar una cadena de valor en la que la confianza
En el sector muy convergente de energía, la Corporación
no sea implícita y la seguridad sea responsabilidad de todos.
Norteamericana de Confiabilidad Eléctrica (NERC) desarrolla
Como paso fundamental hacia el logro de este objetivo, las
activamente requisitos nuevos en relación con su cadena de
organizaciones deben hacer lo siguiente:
valor cibernética.¹⁷
●● Identificar a los principales participantes en el ecosistema de
terceros y comprender qué ofrecen.
Fuente: Cisco
COMPARTIR
¹⁵ Combatting Cyber Risks in the Supply Chain, SANS Institute, 2015: https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252.
¹⁶ Ley Pública 114-92 §
¹⁷ NERC ordenó que la Comisión Federal Reguladora de Energía de los Estados Unidos lleve a cabo este esfuerzo 18 CFR Parte 40 [Rótulo N° RM15-14-002; Orden N° 829].
64 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco
Las organizaciones, junto con los terceros que participan en En la era posterior a Snowden, los gobiernos han hecho
ellas, deben responder preguntas como “¿cómo se generarán hincapié cada vez con más vehemencia en su deseo de
los datos y quiénes estarán a cargo de hacerlo?” y “¿los datos regular las comunicaciones digitales y de acceder a los datos
deben obtenerse digitalmente?”. Para una mayor claridad, es cuando sea necesario. Sin embargo, los usuarios demostraron
necesario responder otras preguntas, tales como “¿quién la misma pasión al pedir privacidad. Eventos como el reciente
posee los recursos digitales que recopilamos o creamos?” enfrentamiento entre Apple y el FBI por un iPhone que
y “¿con quién debemos compartir esa información?”. pertenecía a un terrorista no han contribuido a apaciguar las
Otra pregunta esencial para responder es “¿quién tiene inquietudes de los usuarios sobre la privacidad. Si sirvió de
determinada responsabilidad y obligación cuando se produce algo fue que le enseñó a una generación de usuarios digitales,
una infracción?”. especialmente en los Estados Unidos, sobre la encriptación
integral. Muchos usuarios ahora exigen encriptación integral
Este enfoque que se centra en la cadena de valor ayuda a sus proveedores de tecnología y quieren tener las claves
a garantizar que las consideraciones de seguridad se de cifrado.
incorporen en cada etapa del ciclo de vida de las soluciones.
La arquitectura adecuada, en combinación con el cumplimiento Esto marca un cambio fundamental en el panorama de
de las normas de seguridad correspondientes, ayudará ciberseguridad tal como lo conocíamos. Las organizaciones
a impulsar la seguridad generalizada de toda la cadena de van a necesitar diseñar sus entornos de modo que puedan
valor y a generar confianza en ella. dirigir y responder a las agendas de la competencia.
¹⁸ Para más información sobre este tema, consulte “Data Localization Takes Off as Regulation Uncertainty Continues,” por Stephen Dockery, 6 de junio de 2016, The Wall Street Journal:
http://blogs.wsj.com/riskandcompliance/2016/06/06/data-localization-takes-off-as-regulation-uncertainty-continues/.
65 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco
Una solución es la seguridad de la capa de aplicaciones, ●● ¿Cuál es la política para eliminar datos, cuando, y si,
en donde las aplicaciones se modifican para cifrar datos. deben eliminarse?
La implementación de este tipo de seguridad puede ser
Nuevamente, estar preguntas son solo un punto
compleja y demandar muchos recursos, además de ser
de partida para un diálogo más amplio acerca de
costosa a nivel operativo, dependiendo de la cantidad de
la protección de datos, el cual debe progresar para
aplicaciones que usa una organización.
abarcar la discusión de temas como la recuperabilidad
y la disponibilidad de los datos.
66 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 65.Madurez
Figura 65 Madurezdey latasas de crecimiento
seguridad de la seguridad
y tasas de crecimiento
300%
250%
Porcentaje de crecimiento
200%
150%
100%
50%
0%
Australia Brasil Canadá China Francia Alemania India Italia Japón México Rusia Reino Estados General
Unido Unidos
Madurez de la seguridad Tráfico total Dispositivos Usuarios fijos de Internet Tráfico de Internet móvil Velocidad móvil
Fuente: Cisco Security Research, Cisco VNI y el Estudio comparativo de capacidades de seguridad 2017 de Cisco
COMPARTIR
67 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco
Ciertos sectores también quedan rezagados en términos se adopte 5G en forma generalizada. El tráfico global de datos
de desarrollo de la seguridad en comparación con otros, móviles representó el 5 % del tráfico IP total en el 2015 y, de
como se muestra en la figura 66. En particular, los sectores acuerdo con la previsión de VNI, se espera que represente el
de productos farmacéuticos, servicios de salud y transporte 16 % del tráfico IP total para el 2020.
están detrás de otros.
Está claro que las organizaciones de seguridad deben redoblar
Es importante señalar que el enorme aumento en las sus esfuerzos de madurez, y rápidamente, si pretenden estar
velocidades móviles es el resultado de la adopción a la altura del crecimiento del tráfico de Internet, el cual se
generalizada de redes 4G y LTE de parte de los proveedores prevé que aumentará en la superficie de posibles ataques.
de telecomunicaciones. Cuando las implementaciones a gran Asimismo, las organizaciones deben responder al crecimiento
escala de redes 5G pasen a estar disponibles al final de en el uso de terminales que no son fijas o conectadas por
esta década, se espera que las velocidades móviles sean cable a redes corporativas. También deben admitir un uso
similares a las velocidades de red fija. Según la previsión de más amplio de dispositivos personales, desde los cuales los
VNI móvil actual, el tráfico global de datos móviles ganará trabajadores tengan acceso a datos corporativos.
probablemente una mayor parte del tráfico IP total cuando
5 4 7 14 5
36 29
30 31 39 30
39 27
48
31
18 27 29
29 23
9 5 3 5 5
30 32 30
30 42 24 38 33
38
39
21 27
34 28 24
68 Sector
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 67.Madurez
Figura 67 Madurezdede
la la seguridad
seguridad porpor
paíspaís
4 4 7 5 5
28 28
41 25 25 34
41 31 36 Reino 38
EE. UU. Brasil Alemania Italia Unido
29 30 31 29
28
5 13 3 7 4
31 31 17
35 21
31
Australia China 47 India Japón
32 47 México
35
31 26
34 21 26
4 6 7
32 33
39 30
35
Rusia Francia Canadá 36
27 26 23
Las mayores velocidades no son el único factor que impulsa el Para más información sobre la Previsión VNI de Cisco, visite el
crecimiento del tráfico de Internet. La IdC cuenta con cada vez sitio web de Cisco o consulte la publicación de blog de Cisco
más dispositivos que se conectan a Internet, lo cual no solo en la previsión VNI anual para el período de 2015 a 2020.
hace crecer el tráfico, sino que también aumenta las posibles
rutas de acceso de los atacantes.
69 Sector
Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco
Conclusión
Para abordar una superficie de ataque en rápida expansión se necesita un enfoque
interconectado e integrado de la seguridad
Al analizar los datos del Estudio de los parámetros de ●● Políticas: las políticas están profundamente relacionadas
funcionalidades de seguridad de Cisco (consulte la página 49), a la mitigación. El control de los derechos de acceso a redes,
podemos analizar patrones y decisiones que ayudan a las sistemas, aplicaciones, funciones y datos afectará la capacidad
organizaciones a minimizar el riesgo. Por lo tanto, podemos de mitigar el daño causado por infracciones a la seguridad.
determinar las áreas en las que deben realizar inversiones de Asimismo, las políticas para garantizar una revisión periódica
seguridad que puedan marcar una diferencia significativa en de las prácticas de seguridad ayudarán a prevenir ataques.
la exposición a riesgos. Hemos medido el riesgo analizando la ●● Protocolos: los protocolos correctos pueden ayudar a prevenir
duración de las infracciones y el porcentaje de interrupciones y detectar infracciones, aunque también están profundamente
del sistema (consulte la figura 53 en la página 55 con respecto relacionados a la mitigación. En particular, para garantizar que
a la duración de las infracciones y los sistemas afectados). las medidas de seguridad estén funcionando, las revisiones
periódicas de la actividad de conexión a redes son clave
Para comprender cómo las organizaciones desarrollan
tanto para la prevención como para la mitigación. También es
medidas de seguridad eficaces contra el riesgo, debemos
beneficioso revisar y mejorar a lo largo del tiempo las prácticas
analizar qué factores afectan su capacidad para evitar, detectar
de seguridad con regularidad y de manera formal y estratégica.
y mitigar el riesgo. (Consulte la figura 68). Los factores de
motivación deben incluir los siguientes elementos: ●● Herramientas: la aplicación cuidadosa y adecuada de las
herramientas es lo que más influye en la mitigación. Con la
●● Líderes ejecutivos: los altos dirigentes deben priorizar la implementación de herramientas, los usuarios pueden revisar
seguridad. Esto es fundamental para mitigar ataques, así como y aportar comentarios, lo cual es fundamental para la detección
para prevenirlos. El equipo ejecutivo también debe contar con y prevención, así como para la mitigación.
métricas claras y establecidas para evaluar la eficacia de un
programa de seguridad.
Figura
Figura68
68.Factores de motivación
Controladores y medidaspara
y protecciones de seguridad
minimizarpara
los minimizar
riesgos riesgos
Factores de impulso Medidas de seguridad
Mida la influencia de las políticas, el liderazgo Mida la influencia de la capacidad
ejecutivo, los protocolos y las herramientas sobre de la empresa para evitar, detectar
la capacidad de la empresa para evitar, detectar y mitigar los efectos de un riesgo
y mitigar los efectos de la infracción de infracción
Líderes
ejecutivos
Prevenir
Política
Detectar Riesgo mínimo
Protocolos
Mitigar
Herramientas
71 Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco
Las medidas de protección de la seguridad que aplican las ●● Mitigación: contar con procesos y procedimientos bien
organizaciones (prevención, detección y mitigación) se pueden documentados para la respuesta ante los incidentes, como
ver como medidas que influyen en la capacidad que tienen de también realizar un seguimiento, son factores clave para una
minimizar el riesgo. (Consulte la figura 68). mitigación efectiva de las infracciones. Las organizaciones
también deben contar con protocolos sólidos para administrar
Estas medidas de protección deben incluir los siguientes su respuesta ante las crisis.
elementos:
Todos estos factores de motivación y medidas de
●● Prevención: para minimizar el efecto de las infracciones a la seguridad están interconectados y son interdependientes.
seguridad, los empleados deben informar fallas y problemas Los profesionales de seguridad no pueden simplemente
relacionados con la seguridad. También es fundamental que seleccionar algunos factores de motivación y medidas de
los procedimientos y procesos de seguridad sean claros y se seguridad, y creer que han solucionado el problema de la
comprendan bien. seguridad. Necesitan tener en cuenta todos los factores
y todas las medidas. Los equipos de seguridad deben analizar
●● Detección: los mejores métodos de detección para minimizar
cuáles son sus puntos débiles (por ejemplo, niveles bajos de
el efecto de las infracciones son los que permiten que las
respaldo por parte de los líderes, o la falta de herramientas
organizaciones detecten puntos débiles en la seguridad antes
para mitigar infracciones) y calcular en qué áreas se deben
de que se conviertan en verdaderos incidentes. Para lograrlo,
realizar inversiones en seguridad.
es fundamental tener un buen sistema de categorización de la
información relacionada con los incidentes.
72 Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco
73 Conclusión
Informe anual sobre ciberseguridad de 2017 de Cisco
Acerca de Cisco
Cisco ofrece ciberseguridad inteligente para el mundo Nuestra sofisticada infraestructura y nuestros sistemas
real a través de uno de los portafolios de soluciones de consumen esta telemetría, lo que permite a los investigadores
protección avanzada contra amenazas más integrales del y los sistemas de aprendizaje automático seguir las amenazas
sector, que aborda la gama más amplia de vectores de ataque. de la red, los centros de datos, los terminales, los dispositivos
El enfoque sobre la seguridad implementado y centrado en las móviles, los sistemas virtuales, la web, los correos electrónicos
amenazas de Cisco reduce la complejidad y la fragmentación y la nube a fin de identificar las causas principales y examinar
mientras proporciona una visibilidad superior, control uniforme el alcance del daño causado. La inteligencia resultante se
y protección avanzada contra amenazas antes, durante traduce en protecciones en tiempo real para nuestra oferta
y después de un ataque. de productos y servicios que se distribuyen inmediatamente
a los clientes internacionales de Cisco.
Los investigadores especializados en amenazas del
ecosistema Cisco Collective Security Intelligence (CSI) Para obtener más información sobre el enfoque centrado en
reúnen, en una misma estructura, la inteligencia de amenazas amenazas de Cisco, visite www.cisco.com/go/security.
líder del sector; para ello, usan la telemetría obtenida de la
enorme impronta de dispositivos y sensores, fuentes públicas
y privadas, y la comunidad de código abierto. Esto equivale
a un ingreso diario de miles de millones de solicitudes web
y millones de correos electrónicos, muestras de malware
e intrusiones en las redes.
74 Acerca de Cisco
Informe anual sobre ciberseguridad de 2017 de Cisco
75 Acerca de Cisco
Informe anual sobre ciberseguridad de 2017 de Cisco
76 Acerca de Cisco
Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Apéndice
Estudio comparativo sobre capacidades de seguridad de 2017 de Cisco
Figura 69.Estudio
Figura 69 Estudio comparativo
comparativo de capacidades
sobre las capacidades
de la de encuesta
encuesta
Servicios 4%
3%
públicos/energía 7%
16%
Sector no clave 27%
21% 2016 (n=2912) 2015 (n=2432) 2014 (n=1738)
78 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 70.Cantidad
Figura 70 Cantidaddede profesionales
profesionales de seguridad
dedicados dedicados
a la seguridad
30-39 8% 9% 8%
40-49 4% 4% 6%
100-199 9% 9% 9%
Percepciones
79 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 72 Porcentaje de profesionales de seguridad que consideran que diferentes herramientas de seguridad
Figura
son muy 72. Porcentajes de profesionales de seguridad que perciben
efectivas
que varias herramientas de seguridad son muy efectivas
Bloquean contra amenazas de seguridad conocidas 2% <1% 24% 51% 23% 74%
Nos permiten hacer cumplir las políticas de seguridad. 2% <1% 28% 49% 22% 71%
Nos permiten evaluar los posibles riesgos de seguridad. 2% <1% 28% 49% 20% 69%
2016 (n=2912),
Nada eficaces No muy eficaces Algo eficaces Muy eficaces Extremadamente % Muy +
gráficos redondeados al
eficaces extremadamente eficaz
número entero más cercano
Figura 73 Porcentaje de profesionales de seguridad que consideran que la seguridad es una alta prioridad
Figura 73. Porcentajes de profesionales de seguridad que creen que
a nivel ejecutivo
la seguridad es una alta prioridad a nivel ejecutivo
Los líderes ejecutivos de mi Las funciones y responsabilidades Las evaluaciones de riesgos cibernéticos
organización consideran que en torno a la seguridad se aclaran se incorporan rutinariamente a nuestro
la seguridad es de absoluta prioridad. en el equipo ejecutivo de mi organización. proceso de evaluación de riesgos general.
2016 1% 4% 37% 59% 96% 1% 4% 41% 55% 96% 1% 4% 43% 53% 96%
2015 1% 4% 35% 61% 96% 1% 4% 36% 58% 95% 1% 4% 40% 55% 95%
2014 2% 4% 32% 63% 94% 2% 5% 35% 58% 94% 2% 4% 36% 57% 93%
2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco 51% 94%
80 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
2016 0% 4% 42% 53% 96% 0% 4% 41% 55% 95% 0% 4% 43% 53% 95%
2015 1% 4% 40% 56% 96% 1% 3% 40% 56% 96% 1% 3% 39% 57% 96%
2014 1% 4% 38% 56% 95% 1% 5% 37% 57% 94% 2% 4% 36% 58% 94%
Podemos incrementar los controles La seguridad está bien integrada Nuestras tecnologías de seguridad están
de seguridad de los activos de gran a las capacidades comerciales bien integradas a fin de que funcionen
valor si las circunstancias lo requieren. y los objetivos de nuestra organización. eficazmente en conjunto.
2016 0% 4% 45% 51% 95% 1% 4% 40% 55% 95% 0% 5% 42% 53% 95%
2015 1% 3% 41% 56% 96% 1% 4% 40% 56% 96% 1% 4% 43% 52% 95%
2014 1% 5% 40% 54% 94% 2% 5% 36% 58% 94% 2% 5% 38% 56% 93%
2016 0% 5% 41% 53% 95% 0% 5% 46% 49% 95% 1% 7% 49% 43% 92%
2015 1% 4% 40% 56% 96% 1% 4% 44% 52% 95% 1% 8% 46% 45% 91%
2014 2% 5% 38% 55% 93% 1% 5% 40% 53% 93% 2% 9% 43% 46% 89%
2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo
81 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Restricciones
Figura 77
77. Número
Cantidadde
deproveedores
proveedoresde deseguridad
seguridad Figura 78. Número
Figura 78 Cantidadde
deproductos
productosde deseguridad
seguridad
utilizados por
utilizados por tamaño
tamaño de
de la
la organización
organización utilizados por tamaño de la organización
utilizados por tamaño de la organización
Mercado de
Mercado de empresas Grandes
¿Cuántos diferentes proveedores empresas Grandes medianas Empresas empresas
medianas Empresas empresas ¿Cuántos productos de seguridad
de seguridad (es decir, marcas, entre 250 entre 1000 más de
entre 250 entre 1000 más de diferentes forman parte de su y 1000 y 10 000 10 000
fabricantes) forman parte de y 1000 y 10 000 10 000 entorno de seguridad? empleados empleados empleados
su entorno de seguridad? empleados empleados empleados
82 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Completamente independiente 6% 9% 9%
Figura 80.Disminución
Figura 80 Disminucióninteranual
interanualdel
delgasto
gastodeen seguridad
seguridad como
como una proporción
proporción del presupuesto
del presupuesto de TI de TI
Presupuesto de TI dedicado a la seguridad como función 2014 (n=1673) 2015 (n=2374) 2016 (n=2828)
0% 7% 9% 10%
1-5% 4% 3% 4%
51% o más 5% 4% 2%
83 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Efectos
Figura
Figura81.
81 Porcentajes
Porcentajededelaoportunidades
organización Oportunidades
perdidas Figura 82
Figura 82. Porcentaje
Porcentajesde
deingresos
ingresosperdidos
perdidosde
de
perdidas como resultado de los ataques
de una organización como resultado de ataques la organización como resultado de los ataques
una organización como resultado de ataques
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Ninguno (0%) 1%
Todos (100%) 1%
84 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Resultados
Figura 84.Porcentaje
Figura 84 Porcentajes de organizaciones
de dependencia que dependenende
de las organizaciones la tercerización
relación a la tercerización
¿Qué servicios de
seguridad se 2014 2015 2016 ¿Por qué se subcontratan 2015 2016
subcontratan? (n=1738) (n=2432) (n=2912) estos servicios? (n=2129) (n=2631)
Asesoramiento
51% 52% 51% Más rentable 53% 52%
y consultoría
Deseo de contar con una
Auditoría 41% 47% 46% perspectiva objetiva 49% 48%
Inteligencia
de amenazas N/D 39% 41% Falta de recursos internos 31% 33%
Ninguno/
Todos internos 21% 12% 10%
Figura
Figura 85.
85 Porcentajes de la
Porcentaje de seguridad de de
seguridad la organización
una
que depende de proveedores de terceros
organización que depende de proveedores terceros
Ninguno (0%) 4%
Todos (100%) 1%
Personal de seguridad de TI
(n=2595)
85 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
¿Qué servicios de seguridad se subcontratan? Empresas medianas (n=1459) Grandes empresas (n=1102) Corporaciones (n=351)
Figura 87.Fuentes
Figura 87 Fuentesdede mayor
análisis escrutinio
aumentado
2016 (n=2912),
gráficos redondeados al
Sin Con poco Algo Con mucho Con extremado % Con mucho +
número entero más cercano escrutinio escrutinio de escrutinio escrutinio escrutinio extremado escrutinio
86 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 88 Aumento de la nube privada fuera de las instalaciones y alojamiento en las instalaciones
Figura 88. Aumentoterceros
gestionado por de la nube privada fuera de las instalaciones y del alojamiento administrado de terceros en las instalaciones
Dónde se alojan las redes 2014 (n=1727) 2015 (n=2417) 2016 (n=2887)
En las instalaciones, como parte de una nube privada 50% 51% 50%
En las instalaciones, pero administradas por un proveedor externo 23% 24% 27%
No Sí
Gerente de seguridad 53%
2016 52%
8% 92%
(n=2754) (CSO) 53%
Director general de 8%
8%
tecnología (CTO) 9%
Director de riesgos 4%
y cumplimiento (CRO) o (CCO) N/A
N/A
Director de 3%
2%
operaciones (COO) 4%
1%
Otro cargo 1%
1%
87 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 90. Porcentaje de empresas que tiene una estrategia de seguridad formal para toda la organización
Figura 90 Porcentaje
y que respetan de compañías
las prácticas que cuentan
de la política con una
de seguridad estrategia de seguridad formal en toda
estandarizada
la organización y observan prácticas de política de seguridad estandarizadas
1%
Ninguna de las opciones anteriores 1%
1%
Se estimula a los empleados de mi Los procedimientos y procesos de Se estimula a los gerentes de la línea de
organización a informar las fallas seguridad de mi organización son negocios a contribuir a los procedimientos
y los problemas de seguridad. claros e inequívocos. y las políticas de seguridad.
2016 1% 4% 38% 58% 96% <1% 4% 40% 55% 96% 1% 4% 43% 52% 95%
2015 1% 4% 33% 62% 95% 1% 4% 39% 57% 95% 1% 5% 40% 55% 94%
2014 3% 5% 32% 61% 92% 3% 6% 36% 56% 91% 3% 5% 39% 53% 92%
Los procesos de seguridad de mi organización Los procesos de seguridad de mi Mi organización ha optimizado sus
nos permiten anticipar y mitigar los posibles organización se miden y controlan procesos de seguridad y ahora se
problemas de seguridad de forma proactiva. mediante datos cuantitativos. centra en la mejora de dichos procesos.
2016 1% 4% 43% 53% 96% 1% 4% 45% 50% 95% 1% 4% 43% 52% 95%
2015 1% 4% 43% 53% 95% 1% 4% 42% 53% 95% 1% 4% 42% 53% 95%
2014 3% 7% 38% 53% 91% 3% 6% 37% 54% 91% 3% 5% 39% 53% 92%
2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo
88 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 92.Porcentaje
Figura 92 Porcentajes de encuestados
de encuestados que están
que están completamente
totalmente de acuerdo
de acuerdo con con
las declaraciones
las afirmaciones de los
de procesos de seguridad procesos de seguridad
2016 <1% 3% 41% 55% 97% <1% 4% 40% 56% 96% <1% 4% 41% 55% 96%
2015 1% 3% 38% 59% 97% 0% 4% 38% 57% 96% 1% 4% 40% 56% 96%
2014 2% 4% 33% 61% 94% 2% 3% 35% 60% 95% 2% 4% 36% 57% 94%
Realizamos un buen trabajo en la
Revisamos regularmente nuestras herramientas integración de la seguridad en los
y prácticas de seguridad para garantizar que Realizamos un buen trabajo en la integración procedimientos de adquisición, desarrollo
estén actualizadas y sean eficaces. de la seguridad en los sistemas y las aplicaciones. y mantenimiento de los sistemas.
2016 <1% 4% 40% 56% 96% <1% 4% 43% 53% 96% <1% 4% 43% 52% 96%
2015 1% 3% 37% 60% 97% 1% 4% 42% 54% 96% 1% 3% 41% 56% 96%
2014 2% 5% 35% 59% 93% 2% 5% 35% 58% 93% 2% 4% 38% 56% 94%
2016 <1% 4% 44% 51% 95% 1% 5% 45% 49% 94% 1% 6% 43% 51% 94%
2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo
89 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 93.Porcentaje
Figura 93 Porcentajes de encuestados
de encuestados que están
que están completamente
totalmente de acuerdo
de acuerdo con con
las declaraciones
las afirmaciones de los
de controles de seguridad controles de seguridad
Contamos con procedimientos y procesos bien Disponemos de buenos sistemas Realizamos un buen trabajo en la notificación
documentados para la respuesta ante los de comprobación de ocurrencia real a las partes interesadas y la colaboración con
incidentes y el seguimiento de estos. de incidentes de seguridad. ellas respecto de los incidentes de seguridad.
2016 <1% 4% 42% 53% 95% <1% 4% 42% 53% 95% 1% 5% 43% 52% 95%
2015 1% 4% 42% 54% 96% 1% 5% 41% 54% 95% 1% 4% 42% 53% 95%
2014 2% 5% 37% 56% 94% 1% 6% 38% 54% 93% 2% 5% 43% 51% 94%
Disponemos de un buen sistema Contamos con procesos eficaces para Seguimos prácticas de respuesta a incidentes
de categorización de información interpretar, priorizar y comprender los estandarizadas, como RFC2350, ISO/IEC
relacionada con incidentes. informes entrantes de incidentes. 27035:2011 o certificaciones de EE. UU.
2016 <1% 4% 44% 51% 96% <1% 4% 45% 50% 96% 1% 6% 44% 50% 93%
2015 1% 4% 43% 53% 96% 1% 5% 43% 52% 95% 1% 6% 44% 49% 93%
2014 2% 5% 40% 54% 93% 2% 5% 42% 51% 93% 2% 8% 41% 49% 90%
2015 N/D
2014 N/D
2016 (n=2912)
2015 (n=2432) Totalmente En desacuerdo De acuerdo Totalmente % De acuerdo +
2014 (n=1738) en desacuerdo de acuerdo Totalmente de acuerdo
Figura
Figura94
94.Administración
Administracióny eficacia de tecnologías
y eficacia de seguridad
de las tecnologías de seguridad
¿Cuáles son las tecnologías de seguridad ¿Cuáles son las tecnologías de
que consumen más tiempo y que son más seguridad más eficaces utilizadas
difíciles de administrar para el personal? por la organización?
(Menciones superiores al 10%) 2016 (n=2895) 2016 (n=2895)
90 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 95.Uso
Figura 95 Uso interanual
interanual dede la defensa
defensa ante amenazas
ante amenazas de seguridad
de seguridad
Defensas
Defensas contra Defensas Defensas contra a través de
amenazas de a través de amenazas de servicios
seguridad utilizadas servicios basados seguridad utilizadas basados
por la organización en la nube* por la organización en la nube*
2016 (n=2912) 2016 (n=2725) * Encuestados sobre seguridad que utilizan defensas
2015 (n=2432) 2015 (n=2268) contra amenazas de seguridad
2014 (n=1738) 2014 (n=1646) ** El firewall y la prevención de intrusiones constituían
un código en 2014: “Seguridad de la red, firewalls
y prevención de intrusiones”.
2016 2015 2014
91 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 96 Medida en la que los factores de protección de clientes influyen en la toma de decisiones
Figura 96. Alcance que tienen los factores de protección del cliente en la toma de decisiones de seguridad
de seguridad
2016 (n=2878)
Gráfico redondeado Para nada Poco De alguna manera Mucho Extremadamente eficaces % Mucho +
al número entero extremadamente
más cercano
Riesgos y vulnerabilidades
Figura 97 Los principales motivos de preocupación del personal de seguridad de TI en relación a los
Figura 97. Mayores fuentes de preocupación del personal de seguridad de TI relacionadas con los ataques cibernéticos
ataques informáticos
2016 (n=2912)
Gráfico redondeado
al número entero Sin riesgo Riesgo leve Riesgo moderado Alto riesgo % Moderado + alto riesgo
más cercano
92 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 98 Los principales motivos de preocupación de los profesionales de la seguridad en relación a los
Figura 98. Las mayores fuentes de preocupación de los profesionales de seguridad relacionadas con los ataques cibernéticos
ataques informáticos
93 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Respuesta a incidentes
Figura100
Figura 100.Porcentaje
Porcentajes de alertas
de alertas de seguridad
de seguridad que seoinvestigan
investigadas corregidaso solucionan
no ha experimentado
El 7% una alerta de seguridad
Entre 1 y 2 semanas 5%
De 1 a 3 meses 1%
1 año o más 0%
94 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 102.Grupos
Figura 102 Grupos notificados
notificados en en caso
caso deincidente
de un un incidente
31% 23%
Recursos humanos 33% Relaciones públicas 24%
36% 28%
Figura
Figura 103
103. KPI
KPI utilizados por las
utilizados por las organizaciones
organizaciones para
para
evaluar el rendimiento de la seguridad
evaluar el rendimiento de la seguridad
2016 (n=2912)
Tiempo de detección (por ejemplo, tiempo desde que
la amenaza ingresó al entorno hasta que se detectó) 59%
95 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 104.Uso
Figura 104 Uso interanual
interanual deldel proceso
proceso para analizar
de análisis los sistemas
de los sistemas afectados
en riesgo
Procesos de análisis de los sistemas en riesgo 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
Figura 105.Uso
Figura 105 Uso interanual
interanual deldel proceso
proceso parapara eliminar
eliminar la causa
las causas de los incidentes
de incidentes de seguridad
de seguridad
Procesos para eliminar las causas de incidentes de seguridad 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
96 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figure 106Uso
Figura 106 Year-over-Year Use of de
interanual del proceso Process to Restore
restauración de losAffected
sistemas Systems
afectados
Procesos de restauración de sistemas afectados 2014 (n=1738) 2015 (n=2432) 2016 (n=2912)
Restauración a partir de una copia de respaldo previa al incidente 57% 59% 55%
Nunca 4%
44% 47%
Semanal 28%
Mensual 33%
Trimestral 21%
Semestral 8%
Anual 4% 8%
0% 1%
Regularmente, 3%
pero menos de
una vez al año 1 2 3 4 5
Para nada En gran medida
Figura 108.Importancia
Figura 108 Importancia
dede asignar
atribuir el origen
el origen deinfracción
de una una infracción a la seguridad
a la seguridad
Personal de seguridad
de TI (n=2901), gráfico No es importante No muy Medianamente Muy Extremadamente % Muy + extremadamente
redondeado al número en absoluto importante importante importante importante importante
entero más cercano
97 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
Duración de las interrupciones en el sistema debido a una infracción Porcentaje de sistemas afectados por la infracción
61% o más 9%
98 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Separación del equipo Aumento de las capacitaciones Profundización del Aumento de las inversiones Aumento de las
de seguridad del para la concientización sobre enfoque sobre el análisis en tecnologías o soluciones inversiones en
departamento de TI la seguridad entre de riesgos y la para la defensa ante amenazas capacitación del
los empleados mitigación de riesgos de seguridad personal de seguridad
99 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
¿Qué procesos y políticas de protección de datos y de ¿Qué protección de datos, normas de privacidad y certificaciones
privacidad son más importantes para un proveedor? necesita un proveedor para trabajar con su organización?
Medición y supervisión/
cumplimiento de 9% Reglas corporativas obligatorias 23%
auditoría proactivos
Reglas fronterizas de
privacidad de APEC 18%
FedRAMP 18%
FISMA 17%
100 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
2016 4% 25% 29% 41% 4% 25% 30% 41% 7% 31% 28% 34% 5% 36% 31% 28%
2015 4% 22% 27% 45% 9% 24% 26% 40% 12% 24% 24% 39% 7% 36% 23% 34%
2014 10% 16% 27% 44% 5% 35% 24% 34% 4% 25% 27% 43% 23% 25%13% 38%
2016 5% 38% 29% 28% 5% 31% 34% 31% 13% 35% 21% 31% 5% 17% 31% 47%
2015 14% 32% 22% 32% 5% 29% 36% 29% 6% 37% 25% 32% 4% 21% 34% 40%
2014 16% 18% 25% 41% 16% 35% 19% 30% 3% 29% 32% 36% 10% 16% 20% 54%
2016 7% 32% 26% 35% 4% 21% 26% 47% 4% 30% 27% 39% 6% 35% 26% 32%
2015 16% 34% 16% 32% 14% 20% 16% 50% 14% 27% 26% 32% 15% 35% 20% 29%
2014 22% 40% 14% 24% N/D N/D N/D
Canadá
Figura 115. El modelo de madurez clasifica a las organizaciones Figura 116. Estimación de tamaño del segmento para el modelo de madurez
Figuralos115
según El modelo
procesos de madurez clasifica a las
de seguridad Figura 116 Estimación de tamaño del segmento para
organizaciones según el proceso de seguridad el modelo de madurez
Definido 6%
Nivel 3 Procesos caracterizado por la organización; Medio Medio-
bajo 9%
a menudo son proactivos
8%
1%
Repetible Medio-
Nivel 2 Procesos caracterizados por proyectos; Bajo 2%
bajo
a menudo son reactivos 4%
Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco Fuente: Estudio comparativo sobre capacidades de seguridad 2017 de Cisco
101 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura119
Figura 119.Las
Medidas
medidas dedeseguridad
seguridad más comunes entreentre
más implementadas los negocios de servicios
las empresas de de
de servicios salud
salud con
con redes
redes de de dispositivos
dispositivos médicosmédicos
¿Su organización tiene una red de dispositivos médicos ¿Cuál de estas medidas de seguridad, si existen, ha implementado su
incluida en la red de un hospital principal? empresa para proteger y asegurar su red de dispositivos médicos?
Empresas con una red de dispositivos médicos en su organización
(n=207)
102 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura120
Figura 120.Perfil
Perfildede muestra
muestra para
para telecomunicaciones
telecomunicaciones
Figura121
Figura 121.Factores
Factoresdede las estrategias
estrategias de seguridad
de seguridad para telecomunicaciones
para telecomunicaciones
Figura 122.Prioridades
Figura 122 Prioridadesdede seguridad
seguridad parapara telecomunicaciones
telecomunicaciones
103 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
No, y no
hay planes
inmediatos para
11%
implementar Empresas Empresas
un centro de de transporte de transporte
operaciones (n=179) (n=179)
de seguridad. 75% Sí 88% Sí
Vial 9%
Aeronáutica 7%
Marítima 5%
Vehículos 5%
104 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura124
Figura 124.Perfil
Perfildede muestra
muestra para
para servicios
servicios públicos/energía
públicos/energía
42% Nunca 0%
Organismos locales
31%
Empresas de o estatales
servicios públicos/
Empresas de servicios públicos/ Organismos federales 26%
energía (n=116)
58% energía (n=116)
Otros proveedores
de servicios públicos
20%
Ninguna de las
opciones anteriores
1%
Figura125
Figura 125.Perfil
Perfildede muestra
muestra para
para servicios
servicios financieros
financieros
¿De qué subsector de servicios financieros ¿En qué medida piensa que la seguridad se ve
participa principalmente su organización? influenciada por las siguientes tendencias?
Operaciones de 85%
Seguros 23% 0% 1% 13% 47% 39%
desarrollo (DevOps)
105 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Figura 126.Seguridad
Figura 126 Seguridaddede
loslos datos
datos parapara comercios
el comercio minoristas
minorista
106 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Familias de malware
100%
May
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
doc y aplicación/vnd.openxml…
doc y aplicación/xml
rtf y aplicación/xml
rtf y texto/sin formato
0.5%
rtf y aplicación/msword
pdf y aplicación/vnd.openxml…
dot y aplicación/vnd.openxml… 0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
Correo electrónico Web 2015 2016
20,4
Horas medianas
20 16,9
15
10,2
10 7,2
5,5
5
0
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
107 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
Ago
Sep
Nov
Mar
Feb
Ene
Abr
Jun
Oct
Jul
Vectores exclusivos
80%
zip y aplicación/zip
doc y aplicación/msword
vbs y texto/sin formato
60%
rtf y aplicación/vnd.openxml…
dotm y aplicación/vnd.open…
exe y aplicación/msdownload 40%
js y texto/sin formato
sin extensión y aplicación/zip
html y aplicación/zip 20%
jpg e imagen/jpeg
rtf y aplicación/msword
0%
Correo electrónico Web
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016
Fuente: Cisco Security Research
< 24 horas Entre 1 y 2 días Entre 3 y 10 días
Figura 131
131. TTD
TTD de la familia
familia de
delmalware
malwarede Cerber
Cerber Porcentaje de volumen
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
0.2%
total de hash
160
Horas medianas
120 0.1%
80
0%
116,1 Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
40 26,2
5,1 5,9 2015 2016
0
Fuente: Cisco Security Research
Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2016
100% 100%
Porcentaje de los hashes Nemucod
Porcentaje de los hashes Locky
80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct
2015 2016 2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 10 días < 24 horas Entre 1 y 2 días Entre 3 y 10 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
108 Apéndice
Informe anual sobre ciberseguridad de 2017 de Cisco
100% 100%
60% 60%
40% 40%
20% 20%
0% 0%
Nov Dic. Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct
2015 2016 2015 2016
< 24 horas Entre 1 y 2 días Entre 3 y 10 días < 24 horas Entre 1 y 2 días Entre 3 y 10 días
Entre 11 y 30 días Entre 31 y 90 días Más de 90 días Entre 11 y 30 días Entre 31 y 90 días Más de 90 días
Todos los gráficos incluidos en este informe pueden Para ver actualizaciones y correcciones
descargarse en: de la información de este informe, visite:
www.cisco.com/go/acr2017graphics www.cisco.com/go/acr2017errata
109 Apéndice
Sede central en América Sede central en Asia Pacífico Sede central en Europa
Cisco Systems, Inc. Cisco Systems (EE. UU.) Pte. Ltd. Cisco Systems International BV Ámsterdam,
San Jose, CA Singapur Países Bajos
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y de fax se pueden consultar en el sitio web de Cisco
www.cisco.com/go/offices.
Publicado en enero de 2017
Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o de sus filiales en EE. UU. y en otros países. Para ver
una lista de las marcas comerciales de Cisco, visite: www.cisco.com/go/trademarks. Todas las marcas comerciales registradas de terceros mencionadas
en este documento pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica una relación de asociación entre Cisco y cualquier
otra compañía. (1110R)
Adobe, Acrobat y Flash son marcas comerciales registradas o marcas comerciales de Adobe Systems Incorporated en los Estados Unidos y/o en otros países.