El Informe X-Force 2011 de Tendencias y Riesgos, realizado por IBM, muestra mejoras en varias áreas de la seguridad de Internet, como reducciones en vulnerabilidades a la seguridad de las aplicaciones, código de ataque y correo no deseado.
El informe reveló una disminución de 50% en spam de correo electrónico en comparación con 2010, una actividad más diligente en la aplicación de parches de vulnerabilidades de seguridad por parte de los proveedores de software (sólo 36% de las vulnerabilidades de software quedaron sin parche en 2011, en comparación con 43% en 2010), y una mayor calidad en el código de aplicaciones de software (percibida en vulnerabilidades de aplicaciones web llamadas cross-site scripting, que tienen la mitad de probabilidad de existir en software cliente, en comparación con la situación hace cuatro años).
Frente a estas mejoras, pareciera que los atacantes están adaptando sus técnicas. El informe revela un aumento en tendencias de ataque emergentes, que incluyen ataques móviles, descifrado automático de contraseñas y un aumento de los ataques de phishing. Por ejemplo, un aumento en los ataques automatizados de inyección de comandos shell dirigido contra servidores web puede ser una respuesta a esfuerzos exitosos por cerrar otros tipos de vulnerabilidades de aplicaciones web.
El Informe IBM X-Force 2011 de Tendencias y Riesgos se basa en los hallazgos de divulgaciones de vulnerabilidades públicas que cubren 4,000 clientes, y realiza el monitoreo y análisis de un promedio de 13 mil millones de eventos por día en 2011.
Según el informe, hay tendencias positivas, ya que se percibe que las compañías pusieron en marcha mejores prácticas de seguridad durante 2011:
· Disminución de 30% en la disponibilidad de código de ataque – Cuando las vulnerabilidades de seguridad se divulgan, a veces se libera código de ataque que los atacantes pueden bajar y usar para ingresar a las computadoras en forma no autorizada. En 2011 hubo una disminución de aproximadamente 30% en la liberación de ataques, en comparación con el promedio de los últimos cuatro años. Esta mejora puede atribuirse a cambios de arquitectura y procedimiento llevados a cabo por desarrolladores de software que ayudan a dificultar más a los atacantes poder explotar con éxito las vulnerabilidades.
· Disminución de las vulnerabilidades de seguridad que no tienen parche – Cuando las vulnerabilidades de seguridad se divulgan públicamente, es importante que el proveedor de software responsable proporcione un parche o arreglo en forma oportuna. Algunas vulnerabilidades de la seguridad nunca se parchan, pero el porcentaje de vulnerabilidades que quedan sin parche viene disminuyendo firmemente durante los últimos cinco años. En 2011 este número bajó a 36%, frente a 43% en 2010.
· Reducción de 50% en vulnerabilidades cross site scripting (XSS) debido a mejoras en la calidad del software – El equipo IBM X-Force está viendo una mejora significativa en la calidad de software producido por organizaciones que utilizan herramientas como el servicio IBM AppScan OnDemand para analizar, encontrar y arreglar vulnerabilidades en su código. Sin embargo, las vulnerabilidades XSS siguen apareciendo en un 40% de los scans de aplicaciones realizados por IBM. Este es un porcentaje que sigue siendo alto para algo que es bien comprendido y se puede abordar.
· Disminución del spam – La red global de monitoreo de spam de IBM ha registrado aproximadamente la mitad del volumen de correos no deseados en 2011 en comparación con 2010. Parte de esta disminución puede atribuirse al desmantelamiento de varios grandes botnets de spam, lo cual probablemente afectó la capacidad de los spammers de enviar correos.
Los atacantes adaptaron sus técnicas en 2011
Incluso con estas mejoras, se ha producido un aumento en nuevas tendencias de ataque y una gama de violaciones de seguridad y de redes externas generalizadas y muy significativas. A medida que los atacantes maliciosos afilan sus habilidades, IBM X-Force documentó aumentos en tres áreas de actividad de ataque:
· Los ataques contra vulnerabilidades de inyección de comando shell crecieron a más del doble – Los ataques de inyección de comandos shell aumentaron el doble o el triple durante 2011. Los desarrolladores de aplicaciones web deberían prestar mucha atención a este vector de ataque, que es cada vez más popular.
· Aumento vertiginoso en el descifrado automático de contraseñas – Las malas contraseñas y las políticas de contraseñas dieron lugar a un aumento de las violaciones de alto perfil ocurrido en 2011. También se observa una gran actividad de ataques automatizados en Internet, en los cuales los ataques exploran la red para encontrar sistemas que tengan contraseñas de acceso débiles. IBM observó un importante aumento de este tipo de actividad de descifrado de contraseñas dirigido a secure shell servers (SSH) en la segunda mitad de 2011.
· Aumento en ataques phishing que se hacen pasar por sitios de redes sociales y servicios de encomiendas postales – El volumen de email atribuido a phishing fue relativamente menor durante 2010 y la primera mitad de 2011, pero el phishing volvió con renovados bríos en la segunda mitad de 2011 y alcanzó volúmenes que no se habían visto desde 2008. Muchos de estos emails se hacen pasar por sitios de redes sociales populares y servicios de encomiendas postales, y atraen a las víctimas a hacer clic en vínculos a páginas web que pueden tratar de infectar sus PCs con software malicioso. Parte de esta actividad también puede atribuirse a publicidades de clic fraudulentas, en las que los spammers utilizan emails confusos para llevar tráfico a sitios web de minoristas.
· Tecnologías emergentes crean nuevas vías de ataque – Las nuevas tecnologías, como la computación móvil y la nube, continúan creando desafíos para la seguridad de la empresa.
· Los ataques móviles enviados públicamente aumentaron 19% – El informe de IBM X-Force de este año se concentró en una serie de tendencias emergentes y mejores prácticas para manejar la tendencia creciente entre los empleados de usar sus propios dispositivos en la empresa (“Bring your Own Device” o BYOD). IBM X-Force informó un aumento del 19% con respecto al año anterior en la cantidad de ataques enviados públicamente que pueden usarse para atacar dispositivos móviles. Hay muchos dispositivos móviles en las manos de consumidores que tienen vulnerabilidades que no han sido parchadas y por lo tanto están expuestos a ataques liberados públicamente, creando una oportunidad para los atacantes. Los gerentes de TI deben estar preparados para abordar este riesgo en alza.
· Los ataques se relacionan cada vez más con medios sociales – Con la amplia adopción de las plataformas de medios sociales y las tecnologías sociales, esta área se ha convertido en un blanco de la actividad de atacantes. IBM X-Force observó un aumento de los emails de phishing que se hacen pasar por sitios de medios sociales. Los atacantes más sofisticados también han tomado nota. La cantidad de información que las personas ofrecen en redes sociales sobre sus vidas personales y profesionales ha comenzado a intervenir en la recopilación de inteligencia previa a un ataque, para la infiltración de redes de computación del sector público y privado.
· La computación en nube presenta nuevos desafíos – La computación en nube está pasando rápidamente de ser considerada una tecnología emergente a ser una tecnología establecida, y se prevé un crecimiento repentino hasta finales de 2013. En 2011, hubo muchas violaciones de la seguridad de nube de alto perfil que afectaron a organizaciones reconocidas y a grandes poblaciones de sus clientes. El personal de seguridad de TI debería considerar cuidadosamente qué cargas de trabajo se envían a terceros proveedores de servicios de nube y cuáles deberían mantenerse en el ámbito de la empresa (in-house) debido a la sensibilidad de los datos. La forma más eficaz de administrar la seguridad en la nube puede ser a través de Acuerdos de Nivel de Servicio (SLA) debido al impacto limitado que una organización realistamente puede ejercer sobre el servicio de computación en nube. Por lo tanto, cuestiones como propiedad, administración de accesos, gobernabilidad y terminación deben someterse a una cuidadosa consideración cuando se diseñan acuerdos SLA.