DiarioTi.com - el diario del profesional TI

Miércoles 24 Abr 2019 | Año 19 | Edición 4946
Menu
letter


Compartir información es básico en la lucha contra las ciberamenazas

Según el informe de Akamai sobre el estado de Internet en materia de seguridad para operadores, el análisis por capas de ciberdatos, incluidas las consultas de DNS, lleva a una mayor protección frente a ataques de DDoS, de malware y de botnets.

Diario TI 20/04/18 6:11:18

Akamai Technologies anunció el 19 de abril su Informe sobre el estado de Internet en materia de seguridad para operadores en la primavera de 2018, que muestra que el intercambio de información es un factor importante en la defensa frente a las ciberamenazas. En el documento se analizan los datos procedentes de más de 14 billones de consultas de DNS que Akamai ha recopilado entre septiembre de 2017 y febrero de 2018 a partir de redes de proveedores de servicios de comunicación (CSP) de todo el mundo.

Durante más de 19 años, Nominum, adquirida por Akamai en 2017, ha utilizado datos detallados de DNS para mejorar la protección general frente a ciberataques sofisticados como los ataques distribuidos de denegación de servicio (DDoS), el ransomware, los troyanos y las botnets. El informe detallado para operadores de Akamai se basa en la experiencia de Nominum y pone de relieve la eficacia de la seguridad basada en DNS que está enriquecida con datos procedentes de otras capas de seguridad. Este enfoque de seguridad por capas implica el uso de diversas soluciones de seguridad para proteger de manera colectiva los datos de una organización.

“Tener conocimientos aislados de los ataques a sistemas individuales no es suficiente para que los equipos de seguridad puedan enfrentarse al complicado panorama de amenazas de hoy en día”, indica Yuriy Yuzifovich, director de Ciencia de Datos e Inteligencia ante Amenazas en Akamai. Y añade: “Comunicarse con diversas plataformas es esencial para la adquisición de conocimientos en todos los equipos, sistemas y conjuntos de datos. Creemos que las consultas de DNS que nuestro servicio proporciona actúan como un componente estratégico para dotar a los equipos de seguridad de los datos necesarios para obtener esa visión general del panorama de amenazas”.

Cómo hacer frente a la botnet Mirai: la colaboración en acción

La colaboración entre equipos dentro de Akamai ha desempeñado un papel fundamental en el descubrimiento de los dominios de mando y control (CnC) de Mirai para que las futuras detecciones de esta botnet sean más exhaustivas. El equipo de respuesta a incidentes e inteligencia en seguridad (SIRT) de Akamai no ha perdido de vista a Mirai desde sus inicios, utilizando cebos para detectar sus comunicaciones e identificar sus servidores CnC.

A finales de enero de 2018, los equipos de Nominum y SIRT de Akamai compartieron una lista en la que se enumeraban más de 500 dominios CnC de Mirai sospechosos. El objetivo era entender si, mediante los datos de DNS y la inteligencia artificial, se podía aumentar esta lista de CnC para, de este modo, conseguir una detección de Mirai más completa en el futuro. A través de varias capas de análisis, los equipos combinados de Akamai pudieron aumentar el conjunto de datos CnC de Mirai y descubrieron una conexión entre sus botnets y los distribuidores del ransomware Petya.

Este análisis colaborativo indica una evolución de las botnets del IoT, desde un caso de uso casi exclusivo del lanzamiento de ataques DDoS hasta actividades más sofisticadas, como la distribución de ransomware y la criptominería. Las botnets del IoT son difíciles de detectar porque hay muy pocos indicadores de riesgo para la mayoría de los usuarios. Aun así, gracias a la investigación colaborativa que estos equipos llevaron a cabo, ahora se pueden detectar y bloquear muchos nuevos dominios CnC para controlar la actividad de la botnet.

Equipos de criptominería de JavaScript: un turbio modelo de negocio

El aumento exponencial del empleo de la criptominería por parte de los usuarios se ha reflejado en un drástico y visible aumento del número de cepas de malware basado en criptominería, así como del número de dispositivos infectados por ellas.

Akamai ha identificado dos modelos de negocio diferentes para la criptominería a gran escala. El primer modelo utiliza la capacidad de procesamiento de los dispositivos infectados para explotar tokens de criptomoneda. El segundo utiliza código incrustado en sitios de contenido que hacen que los dispositivos que visitan el sitio trabajen para el analizador criptográfico. Akamai realizó un exhaustivo análisis de este segundo modelo de negocio, ya que plantea un nuevo desafío de seguridad tanto para los usuarios como para los propietarios de sitios web. Después de analizar los dominios de analizadores criptográficos, pudo estimar el coste que supone esta actividad, en lo que se refiere a la potencia del equipo y a los beneficios económicos. Según una conclusión interesante de esta investigación, la criptominería podría convertirse en una alternativa viable a los ingresos por publicidad para financiar sitios web.

Amenazas en constante cambio: malware y vulnerabilidades reutilizados

La ciberseguridad no es un sector estático. Los investigadores han observado que los hackers reutilizan antiguas técnicas aplicándolas en el panorama digital actual. Durante los seis meses que Akamai ha dedicado a la recopilación de estos datos, algunas importantes campañas de malware y vulnerabilidades muestran notables cambios en sus procedimientos operativos, entre los que se incluyen los siguientes:

Se descubrió que el protocolo de detección automática de proxy web (WPAD) se estaba utilizando para exponer sistemas Windows a ataques de tipo intermediario entre el 24 de noviembre y el 14 de diciembre de 2017. WPAD está diseñado para utilizarse en redes protegidas (por ejemplo, LAN), por lo que los ordenadores quedan al descubierto ante importantes ataques cuando están expuestos a Internet.
Los desarrolladores de malware han añadido a sus métodos la recopilación de credenciales de inicio de sesión en redes sociales, además de información financiera. Terdot, una rama de la botnet Zeus, crea un proxy local y permite a los atacantes realizar ciberespionaje y difundir noticias falsas en el navegador de la víctima.

La botnet Lopai ilustra de qué manera estos desarrolladores están creando herramientas más flexibles. Este malware móvil ataca fundamentalmente dispositivos Android y utiliza un enfoque modular que permite a los propietarios crear actualizaciones con nuevas capacidades.

Akamai | Las expectativas aún superan a la realidad en el comercio móvil global

Descargue el informe (no requiere registro)

Puede descargar una copia gratuita del Informe sobre el estado de Internet en materia de seguridad para operadores en la primavera de 2018 <a href=”https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/spring-2018-state-of-the-internet-security-report.pdf”>aquí</a> (no requiere registro)

Metodología
El equipo de investigación en materia de seguridad de Akamai analiza a diario, semanal y trimestralmente conjuntos de datos para predecir los próximos pasos de los ciberdelincuentes. El objetivo es detectar señales de ataque en el mar de datos DNS, así como validar los tipos de ataque conocidos al tiempo que se detectan actividades maliciosas nuevas, desconocidas y anónimas. Además de utilizar fuentes de datos comerciales y públicas, el equipo analiza 100 000 millones de consultas diarias provenientes de clientes de Akamai. Akamai trabaja con más de 130 proveedores de servicios en más de 40 países y resuelve 1,7 billones de consultas diarias. Esta muestra representa aproximadamente el 3 % del total de tráfico DNS mundial generado por consumidores y empresas de todo el mundo.

Acerca de Akamai
Akamai, la mayor plataforma de entrega en la nube del mundo y en la que confían más usuarios, ayuda a los clientes a ofrecer las mejores y más seguras experiencias digitales en cualquier dispositivo, en cualquier momento y en cualquier lugar. La plataforma masivamente distribuida de Akamai no tiene parangón en términos de escala con más de 200.000 servidores repartidos en 130 países, lo que ofrece a los clientes un excelente rendimiento y protección contra las amenazas. La cartera de soluciones de rendimiento web y móvil, seguridad en la nube, acceso empresarial y distribución de vídeo de Akamai está respaldada por un servicio de atención al cliente excepcional y una supervisión ininterrumpida. Para descubrir por qué las principales instituciones financieras, líderes de comercio electrónico, proveedores de contenidos multimedia y de entretenimiento, y organizaciones gubernamentales confían en Akamai, visite www.akamai.com/es/es, blogs.akamai.com/es/, o siga a @AkamaiES en Twitter.

  • Seleccione su país -+

    Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.