Ataques por email: Ésta vez es personal

En el paisaje complejo y siempre cambiante de la delincuencia en línea, los ciberdelincuentes han

hecho un cambio fundamental en la estrategia, abandonando los ataques de spam tradicionales de
masas en favor de ataques personalizados con un mayor impacto financiero en las organizaciones
específicas, (siendo el correo electrónico el principal eje de ataque) de acuerdo con un nuevo
informe de seguridad de Cisco. Las investigaciones realizadas por Cisco® Security Intelligence
Operations muestra la tendencia hacia el aumento de los ataques dirigidos que ofrecen las
amenazas altamente personalizados que contienen malware que están dirigidos a un usuario o
grupo de usuarios para el robo de propiedad intelectual.

El aumento de estos ataques agravados por tendencias hacia la movilidad y los puntos finales no
controlados, apunta a la necesidad de poner en práctica un nuevo enfoque de seguridad a la red.
Muchas organizaciones capacitan a los usuarios para identificar mensajes peligrosos y evitar hacer
clic en direcciones que podrían conducir a descargas de algún malware o sitios web que
comprometen la seguridad, pero la educación de los usuarios no puede proteger completamente a
las organizaciones de estas amenazas. En su lugar, se necesita una arquitectura de seguridad
altamente distribuida que gestione los elementos de aplicación, tales como firewalls, web proxies,
y sensores de prevención de intrusiones.

El negocio de la ciberdelincuencia

Los modelos de negocio del cibercrimen ha dado lugar este último año a un cambio importante en
cuanto amenazas se refieren. Menos ataques en masa se ponen en marcha (80 % menos volúmenes
de spam). En su lugar, los cibercriminales se centran en ataques maliciosos, ataques spearphishing
y ataques dirigidos.

El Spearphishing es una estafa focalizada por correo electrónico cuyo único propósito es obtener
acceso no autorizado a datos confidenciales. A diferencia de las estafas por phishing, que pueden
lanzar ataques amplios y dispersos, el spearphishing se centra en un grupo u organización
específicos. La intención es robar propiedad intelectual, datos financieros, secretos comerciales o
militares y otros datos confidenciales.

 La rentabilidad de los ataques basados en correo electrónico en masa se redujo en más del
50 por ciento de los US $ 1,1 mil millones en junio de 2010 para $ 500 millones en junio de
2011.
 El volumen de spam en masa se desplomó de 300 mil millones de mensajes de spam diarios
a tan sólo 40 millones de dólares entre junio de 2010 y junio de 2011.
 El costo total de los ataques dirigidos a organizaciones en todo el mundo es de $ 1.29 mil
millones al año.
 Los ataques spearphishing han aumentado tres veces, mientras que otras estafas y ataques
maliciosos se han multiplicado por cuatro.

Beneficio Cibercriminial (MDD) Hace un año Actual

 Spam $1,000 $300
Estafas y ataques maliciosos $50 $200
TOTAL $1,050 $500

Clasificaciones de ataque

A medida que la actividad criminal cibernética sigue evolucionando, los ataques específicos y su
impacto en las organizaciones también cambian.

Ataques masivos: han sido la base de las amenazas desde los primeros días de las redes
distribuidas. Gusanos, denegación de servicio distribuida (DDoS) y el spam son algunos métodos
para lograr ganancias financieras o interrupción del negocio. El criminal crea una carga útil común y
lo coloca en lugares que las víctimas puedan acceder, a menudo inadvertida y homogénea.

Los métodos anti-amenazas tradicionales se basan en la identificación de la amenaza cuando se

informó por primera vez en la red y luego se hace el bloqueo de amenazas similares.

Cuando los delincuentes son específicos los perfiles de las víctimas, estas amenazas son referidas
como ataques spearphishing.

El correo electrónico spearphishing puede que se refiera a algún tema en específico y de importancia
personal o un asunto relevante de una empresa. De acuerdo con la investigación de Cisco SIO, más
del 80 % de los ataques spearphishing contiene enlaces a sitios web con contenido malicioso.

Ataques dirigidos: similar al ataque spearphishing, con la diferencia de que los ataques dirigidos son
altamente personalizados y dirigidos a un usuario o grupo de usuarios típicamente para el robo de
propiedad intelectual.

Un ejemplo de un ataque dirigido es el gusano Stuxnet, descubierto en julio del 2010 y que tenía el
potencial de perturbar gravemente los sistemas informáticos industriales y podría atravesar
sistemas sin conexión a red, poniendo así en peligro incluso los sistemas no conectados a las redes
o Internet.

Impacto de los ataques spearphishing

Los ataques spearphishing, aunque menor son en cantidad con relación a otro tipo de amenaza,
tienen graves consecuencias para las empresas. La mayoría de los ataques spearphishing en última
instancia conducen a la pérdida financiera.

Spearphishing utiliza métodos de personalización superiores de los utilizados en las estafas masivas
y ataques maliciosos. Estos factores de éxito han hecho que un ataque spearphishing sea más eficaz
y por lo tanto más común, que es corroborado por los cálculos de la Comisión Federal de Comercio
(las identidades de 9 millones de estadounidenses son robadas cada año).

Impacto de los ataques dirigidos

La naturaleza maliciosa de los ataques dirigidos hace que sean muy caros para la sociedad en general
y para las organizaciones. El beneficio de un cibercriminal que usa un ataque dirigido, aunque es
sustancial, no es fácil de estimar porque es muy variable, en base a la víctima específica y propiedad
intelectual comprometida. Sin embargo, el beneficio del ciberdelincuente es un subconjunto del
coste global para la organización víctima, que también depende en gran medida de la reputación de
la organización y el estado.

Beneficio Cibercriminal (mdd) Hace un año Actual

Ataques masivos $1,050 $500
Ataques spearphishing $50 $150
Ataques dirigidos varía Varía
TOTAL $1,100 $650

Los impactos de los ataques en las organizaciones pueden ser categorizados como:

Financiera: la pérdida directa financiera puede variar ampliamente basado en el ataque

específico; como resultado, las organizaciones no pueden estimar la pérdida.

Remediación: Los costos de remediación de spearphishing y ataques dirigidos son incurridos por las
organizaciones víctima. El equipo administrativo debe identificar y remediar los hosts
comprometidos.

Basado en la investigación de Cisco SIO, organizaciones estimaron que el costo de remediación por
usuario infectado es de $640, o 2.1 veces mayor que la de la pérdida monetaria directa.

Reputación: la determinación de los costos reales del impacto adverso en la reputación de una
organización puede ser un reto, ya que se estima el valor de una organización de marca. Las
organizaciones han dejado claro que eventos adversos pueden afectar su reputación, que a su vez
puede crear un descenso significativo en los negocios y el valor del accionista. Basado en la
investigación de Cisco SIO, organizaciones estimaron que el coste por usuario infectado reputación
es $ 1,900 o 6,4 veces el de la pérdida monetaria directa.

Tamaño de la Pérdida Costos de Costos de

organización monetaria remediación reputación
Arriba de 1,000 $327 $558 $2,346
usuarios
Entre 1,000 y 5,000 $233 $484 $1,436
usuarios
Más de 5,000 usuarios $290 $833 $1,553

Los costos generales a las organizaciones pueden ser significativos. Además, la reputación, los
esfuerzos de manejo y remediación pueden crear una tensión en la organización.
La prevalencia de los ataques dirigidos ha causado un aumento relacionado en beneficio financiero
penal y un impacto duro en organizaciones víctima. Las organizaciones tienen que soportar la carga
de no sólo la pérdida monetaria sino también del costo de remediación de los usuarios infectados y
el impacto negativo en su reputación de marca. Se espera que aumenten los ataques dirigidos y que
la actividad cibercriminal continuará evolucionando, al igual que su impacto.