ACERCA DE SYMANTEC

News Release

Symantec Connect

Symantec Intelligence – Mayo de 2012: el malware pasa a utilizarse fuera del entorno del sistema operativo Windows

Durante años, los atacantes se han centrado en PC equipados con sistemas operativos Windows debido a tres factores: eran sencillos de explotar, se encontraban en todos los lugares y el rendimiento de las inversiones realizadas resultaba lucrativo para los delincuentes.  Ahora estamos presenciando un cambio de dirección por parte de los atacantes; a medida que nuestras vidas informáticas se han desplazado desde el - hasta ahora - entorno amplio y exclusivo de los PC equipados con Windows a otros dispositivos, aplicaciones y sistemas operativos, los atacantes también han experimentado un cambio para, de esta forma, continuar explotando nuestras vulnerabilidades.


En el Informe de Symantec Intelligence  de este mes hemos examinado con más detenimiento esta tendencia, explorando algunas de las amenazas que están teniendo lugar fuera del ámbito del entorno de Windows.  También hemos estudiado algunas de las recientes estafas de phishing que intentan aprovecharse del interés que despiertan los momentos previos a las Olimpiadas de Londres, las que ofrecen espacio de almacenamiento gratuito online y los descuentos falsos de productos de Apple.


De diversas maneras, el informe de mayo empieza donde acabó el volumen 17 del Informe de Symantec sobre Amenazas a la Seguridad en Internet (ISTR). En especial, el ISTR indicó que, con la proliferación de las amenazas centradas en el sistema operativo Android en 2011, se puso en marcha el cambio del uso del malware desde Windows a otros sistemas operativos y, por esta razón, estas amenazas pasaron de ser algo novedoso para convertirse en hechos habituales.  Esta tendencia ha continuado a lo largo de 2012 a un ritmo que sigue aumentando con gran rapidez. A finales de mayo de 2011, se observaron 11 nuevas familias de amenazas relacionadas con el sistema operativo Android y, a finales de mayo de 2012, esta cantidad ya  había superado las 30 familias, lo que supone un aumento de, prácticamente, casi el triple de forma interanual.


Debemos destacar una familia de amenazas llamada Opfake. Esta amenaza se dirige a una amplia gama de dispositivos con diversos sistemas operativos, desde Symbian a Windows Mobile, Android e incluso dispositivos basados en iOS, utilizando para ello estafas de phishing muy elaboradas.


Asimismo, las nuevas amenazas se dirigen a otros dispositivos no móviles. Aunque los ordenadores Macintosh de Apple han sido el objetivo de amenazas de diversa índole, los expertos en seguridad en Internet han estado avisando durante años que esta plataforma informática podía convertirse en un objetivo para este tipo de amenazas masivas y, ahora,  podemos afirmar que ese momento ya ha llegado.  El año pasado apareció por vez primera un troyano con el nombre de Flashback, que registró su punto máximo de infecciones en el mes de abril, cuando logró infectar con éxito a, aproximadamente, 600.000 equipos Mac. Descubrimos que los autores detrás de esta amenaza pueden haber tenido una cierta dificultad a la hora de obtener beneficios con los ataques realizados, posiblemente por la sorpresa causada tras su aparente éxito.  Sin embargo, otros atacantes siguieron rápidamente sus pasos, esperando también explotar las mismas debilidades antes de que se cerrara la vulnerabilidad que les permitía realizar con éxito los ataques.


En estos momentos, resulta evidente que los atacantes están centrándose más en otras plataformas fuera del entorno de Windows, aunque lo que resulta preocupante es que estamos comenzando a observar un cambio hacia las amenazas que funcionan independientemente de las plataformas utilizadas en los dispositivos.


Neloweg es un bot con todas las prestaciones y funcionalidades que usted puede esperar de un bot—algo nada extraño en ese sentido. La novedad es dónde reside este  bot, ya que realiza todas sus acciones dentro del navegador, aunque debemos destacar que la principal peculiaridad de este bot es su capacidad para funcionar independientemente del navegador que se utiliza, ya que los atacantes han creado esta amenaza para que pueda utilizarse tanto en Internet Explorer como en Firefox.


Hasta ahora, el Neloweg ha sido un bot del navegador específico de Windows que ha utilizado el registro de Windows para almacenar sus datos de configuración. Pero, como los navegadores a los que se dirige no se basan todos en Windows, resulta lógico que podamos verlo en otras plataformas en el  futuro. También hemos detectado información que nos indica que el Neloweg se está dirigiendo al Webkit, el motor del navegador que utilizan Chrome y Safari.


¿Por qué está teniendo lugar este cambio? Un argumento podría ser que la seguridad del sistema operativo Windows ha mejorado drásticamente, aumentando así el esfuerzo necesario para atacar estos equipos.  Por lo general, se podría decir que conocemos mejor todo lo que rodea a la seguridad de Windows, aunque también es bastante probable que los atacantes se centren en los nuevos dispositivos porque son los más utilizados por los usuarios.  Debemos tener en cuenta lo siguiente:

  • Los smartphones se encuentran en todos los lugares y, en numerosas ocasiones, son los primeros dispositivos que utilizan los usuarios para realizar diversas tareas informáticas.
  • Está aumentando la base de usuarios de dispositivos Mac, alcanzando ya el 10% del mercado de EE.UU.
  • Los navegadores funcionan en cualquier plataforma y, además, cualquier dispositivo con conexión a Internet tiene un navegador. Asimismo, la coincidencia de las bases de códigos en las diferentes plataformas de un navegador específico, puede– en teoría – permitir a las amenazas pasar de una plataforma a otra sin grandes esfuerzos.


Todo esto no indica  que Windows haya dejado de convertirse en el objetivo preferido de los hackers, ya que todavía supera a otros objetivos de infección en el entorno de las amenazas. Lo que observamos es que los atacantes no solo han cambiado su centro de atención hacia las nuevas plataformas informáticas, sino que también están comenzando a recoger los frutos de estas nuevas iniciativas, unos beneficios que justifican las mayores inversiones realizadas para explotar otras plataformas.


Ya hemos visto en el pasado  cambios de este tipo.  La popularidad de los virus que infectaron a archivos a finales de los  90 y en los primeros años del Siglo XXI dieron paso a la “era de los gusanos”, en donde observamos amenazas como las de Blaster y Sasser, que se expandieron por Internet de una manera desenfrenada. Posteriormente, aunque se produjo un descenso en los gusanos de rápida proliferación, pudimos ver una oleada de  amenazas encubiertas impulsadas por beneficios económicos.


En estos momentos, el entorno está cambiando de nuevo, aunque lo que resulta ahora diferente es que, por vez primera, observamos un cambio notable desde las amenazas basadas en Windows a las centradas en otras plataformas, dispositivos e incluso aplicaciones.  Tenemos por delante unos momentos muy interesantes.


En lo que se refiere a otras noticias, el reciente descubrimiento del W32/Flamer, nos da  a conocer una amenaza muy sofisticada y dirigida a objetivos específicos centrada principalmente en varios cientos de organizaciones e individuos en Oriente Medio.  Según los últimos análisis de Symantec, Flamer parece actuar también como un programa espía de uso general, diseñado específicamente para el ciberespionaje y para apropiarse de todo tipo de información almacenada en las máquinas atacadas. Para arrojar algo de luz sobre este asunto, el último  Informe de Symantec Intelligence también nos ofrece un rápido resumen sobre todo lo que sabemos de este tema hasta la fecha.


Para más información o si desea hablar con un experto de Symantec, no dude en ponerse en contacto con nosotros.


Agencia Fleishman Hillard
Teléfono: 91 788 32 70
Jose Dominguez, jose.dominguez@fleishman.es
Mario Paradinas, mario.paradinas@fleishman.es

@Symantec