Año 2011 Panorama del ciberdelito en Latinoamérica

Registro de Direcciones de Internet para Latinoamérica yel Caribe (LACNIC)

Centro Internacional de Investigaciones para elDesarrollo (IDRC)

Proyecto Amparo

Panorama del ciberdelito en Latinoamérica

“You cannot manage what you cannot measure”Atribuida a Bill Hewlett (1930-2001), Cofundador de Hewlett-Packard

Autores: Patricia Prandini

Marcia L. Maggiore

Director del Proyecto: Ing. Eduardo Carozo

Año 2011

Patricia Prandini – Marcia L. Maggiore Junio 2011 – Pág. Nº 2/84


Índice

Resumen ..............................................................................................................................5Capítulo I – Presentación del Informe ................................................................................6

Introducción.................................................................................................................................6

Objetivo del informe....................................................................................................................7

Principales dificultades ................................................................................................................8

Etapas del análisis ........................................................................................................................9

Estructura del informe.................................................................................................................9

Capítulo II – Evolución y Marco Conceptual de los Ciberdelitos.......................................11La prehistoria .............................................................................................................................11

Actualidad de los ciberataques..................................................................................................12

Quiénes son los delincuentes ....................................................................................................13

Objeto del ciberdelito ................................................................................................................14

Una cuestión de confianza.........................................................................................................15

Capítulo III – Panorama General de las Ciberamenazas ...................................................16Introducción...............................................................................................................................16

Objetivo y alcance del capítulo..................................................................................................17

Metodología...............................................................................................................................17

Una aproximación sobre la actividad global..............................................................................18

Correo Electrónico...............................................................................................................................18

Sitios Web............................................................................................................................................18

Nombres de dominio...........................................................................................................................18

Usuarios de Internet............................................................................................................................19

Redes Sociales .....................................................................................................................................19

Videos..................................................................................................................................................19

Imágenes .............................................................................................................................................19

Las amenazas en su conjunto ....................................................................................................20

Situación global ...................................................................................................................................20

Situación en Latinoamérica .................................................................................................................24



Actividad maliciosa discriminada por tipo de amenaza ............................................................25

Código malicioso (MALICIOUS CODE).......................................................................................................25

¿Para qué se usan los códigos maliciosos? .........................................................................................26



Spam ..........................................................................................................................................31

Situación Global...................................................................................................................................31


Phishing......................................................................................................................................35

Botnet ........................................................................................................................................40



Otras actividades maliciosas......................................................................................................43

Código malicioso multiplataforma ......................................................................................................43

Búsquedas en la web llevan a sitios maliciosos ..................................................................................44

Las amenazas de las redes sociales.....................................................................................................44

Falsos antivirus (rogueware) ...............................................................................................................45

Violación de datos...............................................................................................................................45

Explotación de vulnerabilidades .........................................................................................................46

Ataque distribuido de denegación de servicio (DDoS – DoS) .............................................................49

Tendencias 2011 ........................................................................................................................50

Capítulo IV - Impacto Económico ......................................................................................52Introducción...............................................................................................................................52

Porqué medir el impacto económico ........................................................................................52

Dificultades para la estimación..................................................................................................53

Costos asociados a los incidentes informáticos.........................................................................55

Objetivo y alcance del capítulo..................................................................................................55

Informes internacionales ...........................................................................................................56

Fuentes de datos y metodología ...............................................................................................57

Fraudes Financieros ...................................................................................................................58



Estimaciones........................................................................................................................................59

Otros valores de interés ......................................................................................................................61

Fraude en el comercio electrónico ............................................................................................62

Estimaciones........................................................................................................................................62


Fraudes vinculados a la identidad .............................................................................................65

Estimaciones........................................................................................................................................66


Otros tipos de incidentes...........................................................................................................67

Los valores de la ciberdelincuencia ...........................................................................................68

Capítulo V – Conclusiones .................................................................................................71Capítulo VI – Recomendaciones ........................................................................................74

Para los Gobiernos .....................................................................................................................74

Para la Academia .......................................................................................................................74

Para el Sector Privado................................................................................................................75

Para los Usuarios........................................................................................................................75

Especialistas y Fuentes Consultados .................................................................................77Glosario..............................................................................................................................81



Resumen

Latinoamérica ha ingresado al mundo de las Tecnologías de la Información y las Comunicaciones al ritmode otras sociedades modernas del planeta. Como inevitable consecuencia, se ve obligada a enfrentar unimportante desafío para proteger la información de las personas y organizaciones, garantizar ladisponibilidad de los servicios y evitar accesos no autorizados a las infraestructuras y sistemas.

El presente informe, realizado por iniciativa del Registro de Direcciones de Internet para Latinoamérica yel Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC), analizó lasituación de los países latinoamericanos desde la perspectiva del ciberdelito, considerando la regióntanto origen como blanco de ataques. Para ello se consultaron fuentes de datos públicas producidas porentidades gubernamentales y de investigación y empresas proveedores de servicios y productos deseguridad localizadas en la región y en otros países del mundo. El trabajo fue desarrollado con elobjetivo de favorecer un mayor conocimiento de la incidencia del ciberdelito en Latinoamérica y degenerar un marco para futuras estimaciones y proyecciones, que pueda ser actualizado y mejoradocuando se disponga de información más precisa.

Los distintos informes consultados muestran que tanto globalmente como a partir de casos particularesde ataques, Latinoamérica siempre se encuentra presente, representada en primer término por Brasil.Esta situación se aprecia para casos de spam, phishing, código malicioso y botnets, entre otrasactividades maliciosas. En general, cuando estos listados se amplían aparecen otros países tales comoArgentina, Bolivia, Colombia, Ecuador, Chile, Perú o México. Los casos más resonantes de ataques, comopor ejemplo los ocurridos a partir de las botnets Mariposa y Rustock o las infecciones de Conficker oSality.AE, también se muestran en la región con fuerte incidencia.

La tarea de determinar el impacto económico del ciberdelito es sumamente compleja principalmentepor la ausencia de reportes concretos de ataques tanto de organizaciones como de usuarios. A pesar deello, a partir de metodologías empleadas en informes internacionales, pero utilizando datos locales, serealizaron algunas estimaciones de lo que serían las pérdidas anuales en Latinoamérica por phishingtanto para los clientes como para las instituciones bancarias, el fraude en el comercio electrónico y elrobo de identidad. Los valores calculados fueron presentados y deben ser interpretados comoindicativos ya que ante la ausencia de datos reales, resulta imposible un cálculo más preciso.

Los informes y especialistas consultados estiman que el campo de las plataformas móviles, los serviciosque soportan las infraestructuras críticas de los países y las redes sociales serán blanco de ataques en elfuturo cercano, y que continuará creciendo el robo de identidad a través de ataques combinados.

El trabajo concluye con una serie de recomendaciones para países, gobiernos, academia y usuarios ycierra destacando la necesidad de desarrollar estrategias organizacionales, nacionales y regionales parala implementación de instancias de reporte, la generación de confianza entre usuarios y organizacionesen cuanto a la voluntad de combatir el ciberdelito y el establecimiento de condiciones de francacolaboración entre el sector público y el privado y entre los países, favoreciendo de esta manera eldesarrollo de una cultura de la ciberseguridad a nivel regional y global.



Capítulo I – Presentación del InformeIntroducciónLas sociedades modernas alrededor del mundo funcionan en la actualidad sobre la base de una ampliagama de tecnologías que garantizan su actividad continua, confiable y efectiva. En efecto, serviciosesenciales para el bienestar de la población y el desarrollo económico de las naciones se sustentan enun empleo creciente de servicios tecnológicos que mejoran la calidad de vida y facilitan las laborescotidianas de las personas y las organizaciones.

Es indudable que el alto nivel de penetración de estas tecnologías de la información y lascomunicaciones ha traído múltiples beneficios, extendiendo las posibilidades de incorporación deconocimiento, mejorando la gestión de los gobiernos, agilizando la realización de trámites, facilitando elacceso a servicios bancarios y de comunicaciones, favoreciendo contactos globales y hasta influyendo enlas actividades de esparcimiento, solo por nombrar algunas ventajas.

Latinoamérica no ha sido ajena a este fenómeno y hoy la habita el 10,4% de los usuarios de Internet delmundo, con una penetración del 34,5% sobre el total de sus habitantes, muy por encima del promediomundial (28,7%) y del de otras regiones del planeta. Estos valores provistos por “Internet WorldStats”1 muestran además una tendencia positiva a lo largo de la primera década de este milenio, con uncrecimiento del 1.032,8% entre los años 2001 y 2010, superando también a otras áreas geográficas.

Un informe de VISA2 del año 2010 concluía que el comercio electrónico en Latinoamérica y el Caribehabía registrado un crecimiento de más del 39% durante el año 2009, alcanzando los 21.800 millones dedólares en dicho período. Diversos informes señalan que Latinoamérica se convirtió en el segundomercado de telefonía celular más grande del mundo, desplazando a Europa de Este3.

Sin embargo, estas mismas tecnologías que facilitan la vida cotidiana y potencian el desarrolloeconómico, presentan importantes desafíos frente a la necesidad de proteger la información de laspersonas y organizaciones, garantizar la disponibilidad de los servicios y evitar accesos no autorizados alos datos y sistemas. La naturaleza global de Internet implica que los ataques o las fallas puedanimpactar en cualquier punto de su estructura y complejiza la posibilidad de identificar a sus autores ydeterminar su verdadero alcance e impacto.

Como agravante, la tecnología se desarrolla a un ritmo extremadamente rápido y el tiempo que mediaentre el descubrimiento de una nueva vulnerabilidad y la aparición de las técnicas que la explotan, escada vez menor. En la mayoría de los casos, la tecnología empleada en los ataques es simple, barata yfácil de conseguir en uno o más sitios de la propia Internet y los mecanismos utilizados pueden

1 Internet World Stats – World Internet Users and Population Stats - Consultado el 20/05/2011 -http://www.internetworldstats.com/stats.htm2 Ecommerce Journal - Artículo del 06/08/2010 - “Visa: e-commerce in Latin America and Caribbean has spikednearing 40% in 2009” - Consultado el 13/04/2011 - http://ecommerce-journal.com/news/29219_visa-e-commerce-latin-america-and-caribbean-has-spiked-nearing-40-20093 BBC Mundo - Artículo del 07/10/2010 por David Cuen “Latinoamérica es el segundo mercado de celulares másgrande del mundo” - Consultado el 13/04/2011 -http://www.bbc.co.uk/mundo/noticias/2010/10/101006_1046_telefonos_celulares_america_latina_dc.shtml



automatizarse por lo que aumentan las posibilidades de replicación del daño, a partir de una únicaacción.

Otra característica que acompaña este escenario es el encadenamiento de ataques, de manera quecombinando distintas herramientas tecnológicas y mecanismos de engaño, es posible llegar a unnúmero cada vez mayor de personas conectadas, desmaterializando el concepto de fronterasorganizacionales o nacionales. Se ha registrado también un desplazamiento del foco hacia lascomputadoras domésticas que a partir del fuerte desarrollo de la banda ancha, son utilizadas paracometer ataques sobre otros individuos o entidades, sin que la víctima siquiera lo perciba. El usuariocomún se transforma así en un partícipe involuntario de un ataque informático, pudiendo inclusiveverse afectado por acciones legales.

Nuevamente, los países de Latinoamérica no son ajenos a este fenómeno y como el resto del mundo,sus organizaciones, gobiernos y población en general, sufren las consecuencias de las actividades ilícitasy de las vulnerabilidades propias de las tecnologías y de Internet. Efectivamente, estos ataques sepresentan bajo las mismas formas que en otros países, ya sean casos de robo de identidad, “PHISHING”4,denegación de servicio, robo de información, violaciones a la propiedad intelectual, etc.

Un informe de la firma Symantec5 indica que Latinoamérica es fuente de una elevada proporción decomputadoras infectadas por botnets en el mundo, alcanzando un 15% del total global. La FederaciónBrasilera de Bancos del Brasil (Febraban)6 por su parte, informó que el volumen de fraudes electrónicosen el primer semestre del 2010 fue de aproximadamente el equivalente a 245 millones de dólares.

Frente a este panorama, aparecen diversos interrogantes a la hora de determinar la verdaderadimensión del problema. Cabe preguntarse cuál es la real situación de Latinoamérica frente a estefenómeno, cuál es el impacto que tienen los ataques cibernéticos sobre sus países y las personas que loshabitan, cuáles son las pérdidas estimadas a consecuencia de la ciberdelincuencia e inclusive, cómoparticipa la región en la realización de esos ataques.

Objetivo del informeEn este contexto, el objetivo general de este trabajo es analizar la situación de los paíseslatinoamericanos desde la perspectiva del ciberdelito, considerando que éstos puedan ser tanto origencomo blanco de ataques.

En consecuencia, el presente informe se propone:

• Revisar y exponer el panorama de los ciberdelitos que afectan en mayor medida a los países de laregión, compendiando para ello la información disponible en bases de datos de acceso público

4 El formato cursiva y versales identifica a las palabras cuyo significado se encuentra en el Glosario. Cabe señalarque se ha optado por mantener en el idioma de origen aquellas palabras que no tienen una adecuada traducción alCastellano.5 Symantec Corporation - LAM Bot-Infected Computers by Country for 2010 – Consultado el 15/05/2011 -http://www.symantec.com/business/threatreport/topic.jsp?id=lam&aid=lam_bot_infected_computers_by_country6 NOW!DIGITAL BUSINESS – Artículo del 31/08/2010 por Renato Rodrigues “Fraudes em internet banking deramprejuízo de R$ 900 milhões em 2009” – Consultado el 20/05/2011 -http://idgnow.uol.com.br/seguranca/2010/08/31/fraudes-online-deram-prejuizo-de-r-900-milhoes-em-2009-diz-febraban/



• Recoger las opiniones de especialistas en cuanto al estado de la ciberdelincuencia en la región

• Proyectar una serie de indicadores valorizados que permita obtener una idea de la magnitud delimpacto económico de los incidentes de seguridad en Latinoamérica

• Generar un marco para estimaciones futuras del impacto del ciberdelito en la región, que pueda seractualizado y mejorado cuando se disponga de información más precisa

• Utilizar un enfoque múltiple que comprenda organizaciones, personas, países, gobiernos y en loposible, datos globales para toda la región

En base al análisis realizado, presentar una serie de recomendaciones y medidas a adoptar a nivelnacional, de las organizaciones y de las personas para mitigar el impacto de estas actividades delictivasen la región.

Cabe resaltar que los datos y valores fueron obtenidos de fuentes públicas provenientes de informesproducidos tanto por organizaciones públicas como por entidades privadas de la región o de otrospaíses del planeta.

Se hace la salvedad que, debido a la escasez de datos concretos sobre casos de incidentes ocurridos, losvalores indicados en este trabajo, ya sea en cuanto a volumen de incidentes como en las proyeccioneseconómicas, no deben ser interpretados como estadísticas, sino como compilaciones o recopilacionesde información sobre casos acontecidos.

Principales dificultadesComo ya fuera planteado precedentemente, resulta difícil en la actualidad formular conclusionesprecisas respecto a las consecuencias de fallas, ataques o vulnerabilidades reales o potenciales, queafectan a la información tanto de las personas y entidades como de las naciones. Esto se debe a diversosmotivos, entre los que se encuentran:

• La reticencia a informar los incidentes ocurridos por parte de las organizaciones, los países y laspersonas

• La existencia de publicaciones con datos disímiles de entidades nacionales o internacionales y laescasez de cifras de organismos oficiales

• Las dificultades, e inclusive la imposibilidad en ciertos casos, para determinar el impacto global dealgunos tipos de ciberataques

• En encadenamiento de los incidentes informáticos que resultan en un único ataque, como porejemplo un caso de denegación de servicio, que podría ser en realidad el resultado de una infecciónde software malicioso en una serie de equipos que los convierte en ZOMBIES de una botnet, queluego es utilizada para concretar la agresión

• La necesidad de utilizar supuestos y de efectuar proyecciones respecto al porcentaje de incidentesreportados que pueden tornar impreciso el cálculo

• Las complejidades para cuantificar el efecto económico o financiero sobre personas yorganizaciones, tanto en forma individual como agregada

• La falta de homogeneidad en la metodología de conteo de los incidentes



• Las dificultades para valorizar factores tales como pérdida de reputación, imagen, etc.

Por otra parte, es dable indicar que la presente revisión tuvo una duración acotada entre los meses defebrero y junio de 2011, por lo que se basó fundamentalmente en fuentes de datos públicas. Estudiosfuturos que puedan extenderse en un lapso mayor podrán aprovechar el empleo de otras metodologíascomo por ejemplo, las encuestas, el uso de muestras de ocurrencia real de patrones de ataque, elempleo de señuelos, etc., con el fin de mejorar la precisión de los datos analizados.

Etapas del análisisEl presente informe fue realizado sobre la base de las siguientes etapas:

• Relevamiento de información disponible en fuentes públicas de la región, ya sea por país o globalesy por tipo de incidente

• Evaluación de los datos para determinar factibilidad de cuantificación, tanto en cuanto a cantidad decasos como económica

• Entrevistas personales y virtuales a especialistas

• Establecimiento de una metodología de análisis

• Desarrollo conceptual del tema

• Análisis de datos

• Formulación de conclusiones y recomendaciones

Estructura del informeA continuación de este capítulo que tiene como objetivo presentar las principales características delinforme, el Capítulo II resume la evolución de los ataques informáticos en el tiempo y presenta loscontenidos conceptuales más importantes vinculados al tema bajo análisis.

El Capítulo III por su parte, expone y analiza el panorama general de las ciberamenazas, presentandoasimismo valores regionales y por país, recopilados según el tipo de incidente, la cantidad de casosregistrados y sus consecuencias.

El Capítulo IV es un intento de estimación del impacto económico del ciberdelito a nivel de los países, lasorganizaciones y de ser posible, la región. Modelar y realizar proyecciones sobre las implicanciaseconómicas de los ciberataques es una tarea compleja, por lo esta sección despliega estimacionesbasadas en supuestos justificados, siguiendo en la mayoría de los casos y ante la ausencia de datoslocales, los esquemas de cálculo utilizados en otros países para este tipo de análisis. En los casos en quefue posible, se tuvieron en cuenta como base de cálculo, valores y estimaciones regionales.

Finalmente los Capítulos V y VI incluyen respectivamente, las principales conclusiones del trabajo y unaserie de recomendaciones respecto a las medidas que se deben adoptar para proteger la información,desde el punto de vista de las personas, las organizaciones y los países.

Como anexos se agregan la bibliografía consultada y las fuentes de información a las que se tuvo acceso,un listado de los expertos consultados para la preparación del informe y un glosario con las principalesdefiniciones.



El presente estudio es realizado por iniciativa del Registro de Direcciones de Internet para Latinoaméricay el Caribe (LACNIC) y el Centro Internacional de Investigaciones para el Desarrollo (IDRC) y se enmarcaen los esfuerzos que vienen realizando ambas entidades para fortalecer la capacidad regional deatención y respuesta a incidentes de Seguridad en la Región de Latinoamérica y el Caribe, buscandoincrementar las acciones de prevención y la resiliencia frente a los ciberataques que afectan la región.

El desarrollo del trabajo fue supervisado por el Ing. Eduardo Carozo, Director Ejecutivo de AMPARO,proyecto de LACNIC cuyo principal objetivo es fortalecer la difusión, el conocimiento y la atención de laproblemática de Seguridad de la Información en los países de Latinoamérica y el Caribe,fundamentalmente en el ámbito privado de las empresas y organizaciones sociales.



Capítulo II – Evolución y Marco Conceptual de los Ciberdelitos

La prehistoriaLa historia de los ciberataques puede rastrease posiblemente a las primeras experiencias de generaciónde código malicioso.

En efecto, el desarrollo de lo que hoy se conoce por tal fue en sus comienzos experimental y no teníacomo objetivo realizar un daño sino desafiar a los sistemas operativos de la época.

En 1982 se programó el primer virus informático para las computadoras Apple II, aunque aún no se lodenominaba de esa manera, que se propagaba infectando los disquetes del sistema operativo. Sinembargo, existen también antecedentes que dan cuenta de la existencia de casos registrados para elsistema IBM 360, allá por los comienzos de los ’70. En 1983 Fred Cohen, un estudiante de posgrado creauno para UNIX. El primer virus para PC IBM fue creado por dos hermanos pakistaníes en 1986, con laintención de proteger de la piratería los programas de su autoría.

Unos años después, en noviembre de 1988 el “Gusano de Morris” sacó de servicio al 10% de lascomputadoras VAX y SUN conectadas a INTERNET en los EEUU, afectando a unos 60.000 equipos entotal. De hecho se le atribuye a Andy Sudduth, estudiante de la Universidad de Harvard, la frase “Hay unvirus suelto en la Internet”7, pronunciada unos minutos después de que se conociera el incidente. Elorigen de esta primera infección masiva fue un programa de 99 líneas, escrito por Robert TappanMorris, estudiante de doctorado de la Universidad de Cornell, que llevó a que los equipos infectados sevieran inundados por miles de tareas, forzando a los administradores a desconectarlas directamente dela red.

Años después en el 2001, el gusano “Código Rojo” causó una denegación de servicio de una grancantidad de sitios web, afectando los servicios de Internet y dejando fuera de línea a las operaciones devarios gobiernos y empresas.

Así comenzó esta historia que ha ido cambiando a través de los años para convertirse en una realidadcada vez más preocupante.

Hace no muchos años a fines del siglo XX, el software malicioso era muy molesto y peligroso en tanto yen cuanto podía ser la causa de la pérdida de información valiosa como consecuencia de su accionar:destrucción de archivos o discos completos; o bien la imposibilidad de operar o verse obligado o tenerque rearmar el sistema operativo y recuperar la información, siempre y cuando se hubiera hecho elcorrespondiente resguardo. Pero resultaba aún más aterradora su posibilidad de replicarse a través devarios canales como los diskettes o el uso de un aún incipiente sistema de correo electrónico.

En las organizaciones, la situación empezaba a tornarse más grave ya que se inundaban las redesproduciendo una reducción importante del tiempo de respuesta, más el daño ya mencionado en losequipos. Todo esto conllevaba y conlleva también hoy, sin lugar a dudas, a importantes pérdidaseconómicas, tanto por el valor de la información en sí, como por el tiempo que absorben las tareas de

7 Traducción de las autoras de la frase: “There may be a virus loose on the internet”



detección del problema y luego de recuperación y reconstrucción de los datos afectados, en los casos enque esto es factible.

Esta situación creció en volumen con el masivo uso del correo electrónico que como ya fuera dicho,sirvió como medio de transporte de archivos infectados.

Hasta aquí, el daño se circunscribía al hardware y software impactando sobre la operatoria tanto de lasorganizaciones como de usuarios individuales.

Actualidad de los ciberataquesA comienzos de este siglo la situación comenzó a cambiar. El auge de Internet, la innovaciónpermanente que requiere la generación de software que probablemente no ha sido lo suficientementeprobado en sus aspectos de seguridad, la necesidad de ganar mercados, la inundación de nuevosdispositivos, protocolos, lenguajes, paradigmas de desarrollo, herramientas de automatización, etc., hanpresentado una cantidad inusitada de oportunidades para quienes buscan algo más que desafiar a latecnología.

Más aún, la expansión del uso de las PC, la computación distribuida, la penetración de Internet con unabanda ancha cada vez mayor, la creciente dependencia de las organizaciones respecto de las tecnologíasde la información y las comunicaciones y el soporte que éstas brindan a las infraestructuras de serviciosesenciales de los países, han creado un panorama complejo para la adopción de medidas adecuadas deprotección de la información en formato digital.

En este contexto, empiezan a aparecer personas y organizaciones que utilizan toda la tecnologíadisponible para generar redes con propósitos delictivos de todo tipo, desde obtener ganancias a partirdel fraude a producir múltiples daños a compañías específicas o a infraestructuras críticas nacionales.

En este sentido, el software malicioso y otros tipos de ataques surgidos a lo largo de estas últimasdécadas, han evolucionado hacia la generación de amenazas vinculadas a la comisión de actos ilícitoscon el objetivo de obtener beneficios económicos, el mero reconocimiento de la comunidad deciberatacantes o la venganza respecto a una o varias entidades específicas.

En este sentido, actualmente resulta habitual relacionar los ciberataques con el negocio del crimenorganizado. Como puede apreciarse, el panorama es completamente diferente al que se presentaba enlos primeros tiempos, pudiendo observarse amenazas más complejas y sofisticadas, más agresivas,mejor dirigidas y con intenciones más claras y concretas.

A manera de ejemplo, los sitios web y el software maliciosos han aumentado casi seis veces durante losaños 2009 y 2010, pudiéndose observar una cantidad de nuevos tipos superior a la surgida en la sumade todos los años anteriores.

Un factor que debe tenerse en cuenta es la necesidad de investigar el negocio generado por estasamenazas, la dimensión de su verdadero impacto, las motivaciones que se esconden detrás de sudesarrollo y la manera en que operan los ciberdelincuentes, alimentando una economía clandestina quecrece exponencialmente día a día. Un modelo de negocio delictivo que en la actualidad es ampliamenteexplotado a través de Internet y que hoy se conoce como ciberdelito o cibercrimen.



Los especialistas opinan que el ciberdelito se está expandiendo en Latinoamérica y que los negocios deestas organizaciones criminales dejan ganancias semejantes a las de otros delitos de gran envergadura.8

Con la creciente amenaza de ciberdelincuentes que buscan información corporativa y sobre losconsumidores, la seguridad de la información pasa a ser un aspecto primordial en el uso de lastecnologías.

Quiénes son los delincuentesLos delitos han existido prácticamente desde el origen de la humanidad, y quienes los cometenmanifiestan motivaciones que van desde la revancha a la curiosidad, la ambición excesiva, la necesidado el placer de romper las reglas, entre otras. Sin embargo, las maneras en que se cometen han cambiadosignificativamente en el tiempo. Así, hoy nos enfrentamos a los delitos cometidos usando las tecnologíaso bien aquellos que las tienen como blanco. En este contexto, los delincuentes buscan explotar lasdebilidades de las tecnologías, los vacíos en la legislación y la falta de concientización de los usuarios, asícomo el alcance global de Internet y su rápida expansión, factores que facilitan la comisión de viejosdelitos con nuevas herramientas.

El siguiente cuadro es una adaptación del publicado por la Australian Crime Commission9 y comparaalgunos delitos tradicionales con sus equivalentes en el mundo de las tecnologías.

Delitos tradicionales Ciberdelito equivalente

Fraude Fraude en línea, subasta fraudulenta, estafa por solicitudde adelanto de fondos a través de Internet

Hurtos menores/dañomalicioso

Hackeos, ataques de software malicioso, denegación deservicios

Ofensas contra menores Sitios web pornográficos, creación de perfiles falsos confines pedófilos

Lavado de dinero Sistemas fraudulentos de pago en línea, mulas, engañonigeriano (Nigerian scam)

Robo Robo de identidad, phishing, piratería de software,películas y música, robo de Propiedad Intelectual ensoporte electrónico

Acoso Ciberacoso a adultos y menores

8 iProfesional.com - El ciber crimen mueve tantos millones como el narcotráfico y se expande en toda la región –Fecha de consulta: mayo/11 - http://negocios.iprofesional.com/notas/106780-El-cibercrimen-mueve-tantos-millones-como-el-narcotrafico-y-se-expande-en-toda-la-region

El país.com - Guillaume Lovet: "El cibercrimen es más rentable que el tráfico de heroína" – Fecha de consulta:mayo/11 -http://www.elpais.com/articulo/portada/Guillaume/Lovet/cibercrimen/rentable/trafico/heroina/elpepisupcib/20100422elpcibpor_4/Tes9 Australian Crime Commission – Crime Profile Series Cyber Crime – Consultado el 06/05/2011 -http://www.crimecommission.gov.au/publications/crime-profile-series/cyber-crime.htm



Una característica del escenario actual del ciberdelito es que plantea una relación asimétrica, donde unnúmero pequeño de personas podría causar un daño enorme en una o varias organizaciones públicas oprivadas, con un alto impacto negativo sobre un número potencialmente alto de usuarios.

Como con otro tipo de delitos, el perfil del atacante también ha ido cambiando con el tiempo. En elcampo de la cibercriminalidad, puede afirmarse que no existe un único tipo de ciberdelincuente, sinovarios en base a las motivaciones, la oportunidad y los recursos con los que cuentan.

Un informe del Reino Unido10 identifica 4 grandes categorías, a la hora de clasificar a los ciberatacantes:

• Los servicios extranjeros de inteligencia, que tienden a estar fuertemente organizados y a utilizartécnicas de ataque sofisticadas y amplios recursos.

• Las grandes redes del crimen organizado, que focalizan cada vez más su atención en laciberdelincuencia porque ofrece una mayor rentabilidad frente a una inversión mínima y un riesgorelativamente bajo. Las redes más sofisticadas con contactos globales, se concentran en el espionajeindustrial mientras que aquellas con menor nivel de organización se vuelcan al robo de datos y a losengaños en línea de gran escala.

• Las organizaciones legítimas pero de dudosa reputación, que buscan hacerse de datos de propiedadintelectual de otras organizaciones o del espionaje industrial para obtener datos sensibles de otrasentidades. Estas actividades pueden ser efectuadas en forma directa o a través de otrasorganizaciones delictivas, a las que se contrata.

• En un último peldaño, se ubican las personas o los pequeños grupos de individuos que tienen porobjetivo las organizaciones vulnerables o los usuarios comunes y se focalizan en las ganancias quepueden obtenerse del robo de identidad, la sustracción de datos de clientes, los engaños en línea demenor escala, la extorsión o las infecciones por software malicioso.

El informe de Australia antes citado por su parte, distingue tres tipo de organizaciones en el campo delciberdelito:• Grupos organizados de delitos tradicionales que emplean las tecnologías de la información y las

comunicaciones para potenciar sus actividades criminales• Grupos organizados de cibercriminales que operan exclusivamente en línea• Grupos organizados de delincuentes motivados por ideologías o posturas políticas extremas

Objeto del ciberdelitoA diferencia de los delitos convencionales, en los que el dueño o custodio del o los bienes sustraídospierde la tenencia del bien, en el caso del robo de información, no suele haber pérdida física, por lo quelos mecanismos de alerta y detección tienen características distintivas.

Otra de las particularidades de este tipo de actividades es la facilidad con que pueden borrarse lasevidencias y las dificultades para identificarlas y preservarlas cuando no se es un especialista o no secuentan con las herramientas adecuadas para su resguardo. Es también un atractivo para laciberdelincuencia, la desmaterialización de las fronteras nacionales u organizacionales, que habilita al

10 Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office ofCyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 -http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime



delincuente a acceder a su blanco sin prácticamente moverse de su silla, a miles de kilómetros de suseventuales víctimas. Adicionalmente, puede utilizar distintos caminos y recorridos en su afán dedificultar cualquier rastreo. Por otro lado, y dada las asimetrías en las legislaciones, no es clara latipificación. Todas estas características lo diferencian de los delitos tradicionales y crean unescenario propicio para el desarrollo de las actividades delictivas en el mundo virtual.

En el caso de información sustraída a organizaciones, el informe del Reino Unido referido establece quelos ciberdelincuentes tienen básicamente cuatro formas de robar la información:

• Comprar el producto y someterlo a un proceso de ingeniería reversa para reproducirlo• Realizar un ciberataque para obtener electrónicamente la información, desde fuera de la red de la

organización• Realizar un ataque interno, de manera que los datos son obtenidos por alguien que tiene algún nivel

de autorización desde dentro de la propia organización• Robar la información, mediante el acceso físico al equipamiento donde se encuentra instalado o

hurtándola de alguno de los empleados.

Una cuestión de confianzaUn informe11 de la Empresa CISCO afirma que los ciberdelincuentes cuentan hoy con un arma poderosa:la explotación de la confianza. En efecto, posiblemente desde el origen de los tiempos, las personas hantendido naturalmente a confiar en otras personas, fenómeno que se manifiesta también en Internet yque es aprovechado por el ciberdelito una y otra vez, bajo distintas formas de engaño.

En otro sentido pero siempre alrededor del tema de la confianza, las organizaciones tienden a no confiaren otras entidades a la hora de reportar un ataque y ante la posibilidad de que un incidente quecomprometa la seguridad pueda trascender, prefieren ocultarlo y no compartir lo acontecido. De estamanera, provocan que un mismo tipo de incidente y eventual delito, pueda ser reiterado en otrasorganizaciones o afectar a otras personas, favoreciendo sin querer un proceso multiplicador conimportantes consecuencias negativas.

Pareciera también existir desconfianzas a la hora de trabajar en forma conjunta entre el Sector Público yel Privado, en el combate contra el ciberdelito. De la misma manera, esa desconfianza se manifiestaentre los gobiernos, que si bien en su mayoría reconocen la necesidad de desarrollar estrategias,estándares y normas comunes, tienden a mantener la independencia en cuanto al desarrollo, lareglamentación y el uso de la tecnología dentro de sus fronteras, comprometiendo las posibilidades deuna acción coordinada.

11 CISCO - CISCO 2010 Annual Security Report – Consultado el 06/05/2011 -http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html



Capítulo III – Panorama General de las Ciberamenazas

IntroducciónCon el objetivo de conocer la actividad del ciberdelito se accedió a la información que brindan loslaboratorios de las empresas proveedoras de soluciones de seguridad, así como la que proveen losinvestigadores independientes.

Son las mencionadas organizaciones las que han desarrollado productos y servicios que permiten larecolección, a través de equipamiento específico, de valiosos datos sobre amenazas y tendencias enInternet, así como sobre la actividad de ataques. Dichos datos son luego analizados por equipos deinvestigadores, generando reportes sobre la actividad maliciosa global, por región y/o país, enmarcadosen diferentes períodos de tiempo.

Dichas herramientas son distribuidas a través de todo el mundo utilizando hardware de gran capacidadpara el procesamiento de miles de millones de piezas digitales por día.

En general participan de esta recolección de datos la extensa comunidad de empresas antifraude,proveedores de seguridad y millones de consumidores.

Asimismo, se recolecta MALICIOUS CODE INTELLIGENCE en millones de sistemas cliente, servidores yGATEWAYS, además de capturar amenazas y ataques, muchos de ellos nunca vistos previamente, a travésde redes de HONEYPOTS, lo cual permite comprender mejor los métodos utilizados por los atacantes.

Otras tecnologías pasibles de ser usadas son los HONEYCLIENTES, REPUTATION SYSTEMS, MACHINE LEARNING yGRID COMPUTING.

Es importante destacar que las diferentes compañías cuentan con bases de datos generadas en algunoscasos desde hace dos décadas.

Por ejemplo, Symantec mantiene una base de datos sobre vulnerabilidades que contiene más de 40.000vulnerabilidades registradas que afectan a más de 105.000 tecnologías provistas por más de 14.000proveedores.

Panda Security, posee una base de datos de aproximadamente 134 millones de piezas digitales, entrelos cuales hay 60 millones de código malicioso.

Websense Inc. basa su capacidad en una red internacional que le permite procesar varias decenas demillones de correos electrónicos y sitios webs por hora.

A su vez, McAfee Inc. cuenta con una red de millones de sensores en Internet, alrededor del mundo.

En general, los resultados de la investigación que las mencionadas organizaciones realizan sonexpresados en porcentajes y, si bien en algunos casos se aclara que se utiliza registros no duplicados, nose menciona la cantidad resultante.

Cabe señalar que esta información que resulta sumamente valiosa, no puede ser considerada“estadística” ya que no es recolectada según la metodología del muestreo estadístico y tampococonstituye el cien por ciento de las piezas digitales que circulan por las redes extendidas por todo elmundo, ya que esto resulta hoy prácticamente imposible. Sin embargo, dada la magnitud de los



volúmenes procesados, sin duda alguna permite una buena aproximación, sobre todo cuando es posibledemostrar que diferentes organizaciones llegan a la misma o muy semejante conclusión a pesar de los,algunas veces, diferentes enfoques y distintas capacidades.

La tarea de armado de cuadros comparativos entre compañías y de relaciones de los dos años enestudio ha resultado ardua. En general, las compañías e incluso los grupos independientes suelencoincidir en los resultados, si bien en algunas ocasiones, también pueden diferir bastante.

La realidad es que se trata de una actividad tan cambiante y dinámica, producto en parte de la acción yreacción de atacantes y defensores, que es bastante difícil conseguir resultados semejantes; fotografíasen momentos distintos pueden generar interpretaciones disímiles.

Por otro lado, también influye en los resultados la distribución y capacidad de las redes de recolecciónde datos. Éstas van cambiando a medida que cambian los escenarios. Si bien se entiende que lascompañías u organizaciones independientes deben utilizar indicadores proporcionales, no todas loexplican claramente como para validar el criterio.

De todos modos, los valores consignados en este informe surgen, en todos los casos posibles, de laobtención de resultados semejantes entre varios investigadores.

Además de los métodos de recolección previamente explicados, otras organizaciones como los CERTs oaquéllas dedicadas al servicio de ayuda a las víctimas utilizan metodologías como el análisis de reportesde incidentes recepcionados, o como las consultoras, que realizan encuestas sobre la ocurrencia eimpacto de ciertos eventos. Todas las fuentes hasta aquí mencionadas dan base al presente informe.

Objetivo y alcance del capítuloEl objetivo de este capítulo es presentar las amenazas que generan los ciberdelincuentes para atacar lastecnologías de información, así como señalar los sistemas operativos y productos en los que se hadetectado un mayor número de vulnerabilidades, mostrando en todos los casos cifras representativasde la situación mundial, de la de los países latinoamericanos respecto de aquélla y de Latinoamérica enparticular.

La investigación se realiza para los años 2009 y 2010 con el objeto de mostrar una etapa de la evolución,descartándose años anteriores por considerar que ante un escenario tan cambiante y vertiginoso,presentarían un panorama que podría ser calificado como antiguo.

Por último se realizará una exposición de las tendencias que los expertos han previsto para el año 2011.

MetodologíaEn primera instancia se relevó la información existente respecto del objeto de estudio y correspondientea los años que componen el alcance del informe.

Posteriormente fue necesario conciliar los datos entre las diferentes fuentes encontradas con el fin deverificar su consistencia, la coincidencia de las amenazas y vulnerabilidades tratadas así como lapresentación de las cifras de modo de confirmar que fueran comparables y, en algunos casos convertir ointerpretar las diferentes unidades de medida utilizada por las fuentes consultadas.



Al mismo tiempo que se analizaba la información se consultó a expertos en la materia con el fin deconfirmar o enmendar en caso de ser necesario, las conclusiones formuladas.

El modo de presentación de los resultados consiste en mostrar información obtenida de diferentescompañías por cada año con el fin de que el lector pueda hacer sus propias comparaciones.

En todos los casos se incluye la definición de la amenaza, las cifras encontradas y un comentariorespecto de los efectos, estados o bien situaciones más significativas.

Asimismo, siempre se incluye información sobre los países latinoamericanos; ya sea la posición en elranking mundial o el detalle del ranking de la región.

Una aproximación sobre la actividad globalComo se ha mencionado en la introducción, las cifras resultantes de las investigaciones realizadas porlos expertos, en general son expresadas en porcentajes.

Con el objeto de que el lector pueda establecer alguna relación respecto de la magnitud de lasciberamenazas, a continuación se incluye valores sobre la actividad en Internet durante 2010,publicados por Pigdom12 el 12 de enero de 2011.

Correo Electrónico• 107 billones – Número de correos electrónicos enviados en Internet durante 2010

• 294 mil millones – Promedio de número de correos electrónico por día

• 1.88 mil millones– Número de usuarios de correos electrónicos en el mundo

• 480 millones – Nuevos usuarios de correo electrónico desde el año anterior

• 2.9 mil millones – Número de cuentas de correo electrónico en el mundo

Sitios web• 255 millones – Número de sitios web a diciembre de 2010.

• 21.4 millones – Creados durante 2010.

Nombres de dominio• 88.8 millones – .COM al finalizar el año 2010.

• 13.2 millones – .NET al finalizar el año 2010.

• 8.6 millones – .ORG al finalizar el año 2010.

• 79.2 millones – Número de dominios de nivel superior por código de país (ej. .CN, .UK, .DE, etc.)

• 202 millones – Número total de nombres de dominio de nivel superior a Octubre de 2010

12 Pingdom – Compañía Sueca que se dedica al monitoreo de los sitios web de las organizaciones que lacontratan con el fin de detectar cualquier posible caída del mismo – Consultado el 28/05/2011 -http://royal.pingdom.com/2011/01/12/internet-2010-in-numbers/



• 7% – Incremento de nombres de dominio desde el año anterior

Usuarios de Internet• 1.97 mil millones – Número de usuarios de Internet en del mundo a junio de 2010

• 14% – Incremento de usuarios de Internet desde el año anterior

• 825.1 millones – Número de usuarios de Internet en Asia

• 475.1 millones – Número de usuarios de Internet en Europa

• 266.2 millones – Número de usuarios de Internet en America del Norte.

• 204.7 millones – Número de usuarios de Internet en América Latina y el Caribe

• 110.9 millones – Número de usuarios Internet en África

• 63.2 millones – Número de usuarios de Internet en el Oriente Medio

• 21.3 millones – Número de usuarios de Internet en Oceanía / Australia.

Redes sociales• 152 millones – Número de blogs en Internet según BlogPulse (www.blogpulse.com)

• 25 mil millones – Número de mensajes por Twitter durante 2010

• 100 millones – Número de nuevas cuentas creadas en Twitter durante 2010

• 175 millones – Número de personas en Twitter a Setiembre de 2010

• 600 millones – Número de personas en Facebook al finalizar el año 2010

• 250 millones – Número de nuevos usuarios de Facebook en 2010

• 30 mil millones – Trozos de contenidos (links, notas, fotos, etc.) compartidos en Facebook por mes

• 70% – Porcentaje de usuarios de Facebook localizados fuera de los Estados Unidos

• 20 millones – Número de aplicaciones de Facebook instaladas por días

Videos• 2 mil millones – Número de videos mirados por día en YouTube

• 35 – Horas de video cargadas en YouTube cada minuto

• 2+ mil millones – Número de videos mirados en Facebook por mes.

• 20 millones – Número de videos cargados en Facebook por mes

Imágenes• 5 mil millones – Número de fotos cargadas en Flickr a Setiembre de 2010

• 130 millones – Número de fotos cargadas por mes en Flickr.

• 3+ mil millones – Número de fotos cargadas en Facebook por mes



Las amenazas en su conjunto

Situación globalEn este punto se muestra la situación respecto de algunas actividades maliciosas analizadas en formaagregada y a nivel global por país. Se ha seleccionado información de diferentes compañías paraobtener una conclusión de la comparación entre ellas. En cada caso se menciona la fuente de lainformación.

Symantec Corporation - Actividad maliciosa global por país – 201013

Symantec Corporation - Actividad maliciosa global por país – 200914

13 Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf14 Symantec Corporation - Global Internet Security Threat Report Trends for 2009 – Consultado el 20/04/2011 -http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RPT_ISTR15_Global_0410.pdf



Websense Inc. - Actividad maliciosa en el mundo, 201015

15 Websense Inc – 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 –https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf



Websense Inc. - Actividad maliciosa en el mundo, 2009 16

16 Websense Inc - A Websense® White Paper Websense Security Labs State of Internet Security, Q3 – Q4, 2009 –Consultado el 20/04/2011 – https://www.websense.com/assets/reports/WSL_H2_2009.pdf



Panda Security - Actividad maliciosa en el mundo, 201017

Panda Security - Actividad maliciosa en el mundo, 200918

17 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 –http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf18 Panda Security – Informe Anual Pandalabs 2009 – Consultado el 27/04/2011 –http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf

De los gráficos anteriores es posible concluir que Latinoamérica se encuentra entre los cinco (5) odiez (10) primeros puestos en el mundo, representada por Brasil. En el caso de Panda Software quetoma los primeros veinte (20) puestos, incluye también Argentina, Bolivia, Ecuador, Chile, Perú yMéxico.



Situación en LatinoaméricaA continuación se presenta el resultado de las diez (10) primeras posiciones obtenidas del análisisrealizado por Symantec, única compañía encontrada que provee esta información, sobre paíseslatinoamericanos.

Symantec Corporation - Actividad maliciosa por país, Latinoamérica, 2010 19

Symantec Corporation - Actividad maliciosa por país, Latinoamérica, 200920

19 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos AméricaLatina – Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16-Datasheet-LAM-SP.pdf20 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos AméricaLatina – Consultado el 05/05/2011 –http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf



Como es posible observar en los cuadros anteriores, Brasil ocupó el primer lugar en las actividadesmaliciosas de la región consideradas en la evaluación, tanto en el año 2009 como en 2010. Ello fueconsecuencia del aumento de su participación en todas las mediciones de categorías específicas, envirtud del rápido y continuo crecimiento de su infraestructura de Internet y del uso de banda ancha.

Asimismo ha tenido un aumento significativo en su clasificación de códigos maliciosos, ocupando elquinto lugar a nivel mundial. Esto probablemente se debe a la propagación de las infecciones del GUSANO

Downadup (también conocido como Conficker) ocurridas en 2009 y en las que Brasil ocupó el cuartolugar a nivel mundial. Una explicación de la expansión de Downadup en Brasil es que, como parte de sufuncionalidad, el gusano puede centrarse específicamente en regiones con base en su capacidad paraidentificar la configuración del idioma de una computadora atacada, de los cuales uno es el "portugués(brasilero)”. También ocupó el tercer puesto a nivel mundial en posibles infecciones por virus y cuartopor posibles infecciones por gusanos.

En el 2010, Brasil tuvo una presencia mundial del 5%. Además de ser el país con la mayor cantidad deconexiones de banda ancha en la región, su participación en las grandes BOTNETS tales como Rustock,Maazben, y Ozdok (Mega-D), contribuye en su alto rango de computadoras infectadas (BOTS), emisorasde SPAM y repositorios de phishing.

Actividad maliciosa discriminada por tipo de amenazaBajo este acápite se realizará un análisis global y específico para Latinoamérica por cada tipo deamenaza de las consideradas por Symantec Corporation en su cuadro global, con el objetivo de que, si ellector está interesado, pueda establecer relaciones o comparaciones.

Código malicioso (MALICIOUS CODE)Los códigos maliciosos adquieren infinitas formas, aumentan y varían su funcionalidad, desde infectarlos equipos para que puedan ser controlados remotamente hasta robar información, atacan diferentesplataformas y cada vez son más sofisticados.

Las compañías investigadoras determinan las familias de códigos maliciosos más relevantes,recolectando datos obtenidos para el período en estudio y analizando muestras de códigosmalintencionados nuevas y pre-existentes para determinar qué tipos de amenazas y vectores de ataquese emplean con mayor frecuencia.

El código malicioso es clasificado en familias basándose en variantes de FIRMAS cuando el código esidentificado. Las variantes aparecen cuando los atacantes modifican o mejoran los códigos maliciosospara agregar o cambiar funcionalidades. Estas alteraciones modifican los códigos maliciosos existentesde manera suficiente para que los sensores de los antivirus no puedan detectar la amenaza a partir deuna firma preexistente.

El mercado en general clasifica los códigos maliciosos por el tipo de acción que realizan. Symantecpropone cuatro categorías básicas21: PUERTAS TRASERAS (BACKDOORS), TROYANOS, VIRUS y gusanos.

21 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf



• Las puertas traseras permiten al atacante acceder de manera remota a las computadorascomprometidas.

• Los troyanos son códigos maliciosos que los usuarios instalan inadvertidamente en suscomputadoras ya sea abriendo archivos adjuntos a sus correos electrónicos o bajándolos deInternet. También pueden ser instalados por otros códigos maliciosos. Difieren de los virus ygusanos en que no se autopropagan.

• Los virus se propagan infectando archivos existentes en las computadoras afectadas por códigomalicioso.

• Los gusanos son código malicioso que se puede replicar en computadoras infectadas o de unamanera que facilita su copia a otras computadoras, tal como a través de dispositivos dealmacenamiento para USB.

Varias amenazas de código malicioso están conformadas por múltiples características. Por ejemplo, laspuertas traseras siempre se categorizan en conjunto con otro código malicioso, típicamente sontambién troyanos. Sin embargo, muchos gusanos y virus también incorporan funcionalidades de puertastraseras. Adicionalmente, muchas muestras de código malicioso pueden ser catalogadas como virus ogusanos debido a la manera en que se propagan. Una razón para esta funcionalidad múltiple es que losdesarrolladores de amenazas tratan de permitir que los códigos maliciosos combinen múltiples vectoresde propagación para incrementar sus posibilidades de éxito en comprometer la computadora en ataque.

¿Para qué se usan los códigos maliciosos?La mayoría de los ataques comienzan con una infección a través de un código malicioso. El atacante lointroduce por técnicas de ingeniería social, utilizando archivos adjuntos en los correos electrónicos,creando sitios maliciosos o infectando los confiables o simplemente a través de algunos dispositivos.Cada tipo de código malicioso es utilizado con un objetivo diferente.

Por ejemplo, los troyanos alcanzan el mayor porcentaje de los principales cincuenta (50) códigosmaliciosos potenciales para el 2010, situación que se viene repitiendo desde años anteriores22.Continúan siendo una amenaza importante debido a que la mayoría de la actividad maliciosa estámotivada por la obtención de ganancias. Muchos troyanos son diseñados para robar información y estafuncionalidad es de particular interés de los criminales en virtud de su potencial uso en actividadesfraudulentas. Los operadores de la economía clandestina usan estas amenazas para ganar acceso ainformación bancaria y de tarjetas de crédito, credenciales de uso en línea y para dirigir los ataques aempresas específicas, muchas veces con la intención de robar propiedad intelectual, datos corporativossensibles como los de carácter financiero, planes de negocio o tecnología propietaria. Siendo tanextendido el uso de las compras y operaciones bancarias en línea, los compromisos de este tipo puedenresultar en pérdidas financieras significativas, particularmente si se expone información contable ybancaria.

Algunos códigos maliciosos son diseñados específicamente para extraer y exportar informaciónconfidencial o datos sensibles que están almacenados en una computadora infectada. Algunos ejemplosde datos sensibles o confidenciales son: información del sistema, documentos y archivos confidenciales,direcciones de correo electrónico o credenciales de identificación de usuario (logon credentials).

22 Idem 21



Algunas amenazas tales como las puertas traseras pueden dar a un atacante remoto el control totalsobre una computadora comprometida.

Ataques de este tipo a las organizaciones puede llevar a importantes pérdidas de datos, con susconsiguientes costos, la pérdida de su reputación y de la confianza por parte de los clientes, así como elincumplimiento de reglamentaciones gubernamentales o de la industria.

Situación globalMcAfee Inc. informa que durante el 2010 identificó más de 20 millones de piezas nuevas de códigomalicioso y a lo largo del tiempo ha identificado 55 millones de piezas, de las cuales el 36% fueronescritas en el 2010. Esto demuestra el crecimiento de este rubro en ese año.23

Panda Security coincide con los valores de McAfee Inc. en cuanto a la cantidad de piezas nuevas y lasidentificadas a lo largo del tiempo; e informa que procesó 134 millones de piezas.24.

A continuación se presenta un gráfico de la evolución del software malicioso durante la primera décadadel siglo, siendo los códigos maliciosos una de las formas más habituales de software malicioso.

Panda Security - Evolución del software malicioso25

23 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 05/04/2011 –https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf24 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 –http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf



A continuación se incluye un gráfico que denota el comportamiento de los diferentes tipos de códigomalicioso a través de los últimos años.

Symantec Corporation -Proporción de potenciales infecciones por código malicioso26

Para obtener el gráfico que se muestra a continuación, Symantec Corporation analiza muestras de los50 códigos maliciosos más importantes (ordenados por el volumen de infecciones potencialesreportadas durante el año). Cada muestra es analizada según su habilidad para extraer y exportarinformación confidencial, y estos resultados son luego medidos como porcentaje de amenazas a lainformación confidencial.

25 Panda Security – El Mercado negro del cibercrimen al descubierto – Consultado el 05/05/2011 -http://prensa.pandasecurity.com/wp-content/uploads/2011/01/Mercado-Negro-del-Cybercrimen.pdf26 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf



Symantec Corporation - Amenazas a la confidencialidad de la información, por tipo27

Situación en LatinoaméricaUna muestra analizada por ESET durante abril de 2011 dio la siguiente distribución de troyanosbancarios en Latinoamérica.

País Porcentaje

Brasil 5,99Colombia 2,30México 1,73Ecuador 1,72Guatemala 1,50Chile 1,35Argentina 1,13Perú 0,62

La información respecto de códigos maliciosos no muestra porcentajes de actividad de cada uno de ellossino que presenta un ranking de penetración indicando sus características. Ello permite analizar a cuálde las categorías previamente presentadas corresponden pudiendo así conocer su impacto. Acontinuación se muestra la información para Latinoamérica correspondiente a los años 2010 y 2009.

27 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf



Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica, informe de 201028

Symantec Corporation – Principales muestras de códigos maliciosos en Latinoamérica, informe de 200929

28 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina– Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16-Datasheet-LAM-SP.pdf



Sality.AE

La principal muestra de códigos maliciosos por volumen de posibles infecciones en Latinoamérica en2010 fue Sality.AE. La actividad denunciada por este virus fue el principal contribuyente para que lafamilia Sality ocupara el primer lugar en familias de códigos maliciosos a nivel mundial en 2010.Descubierto en 2008, Sality.AE ha sido una parte importante del panorama de amenazas desdeentonces, además de ser la principal muestra de códigos maliciosos identificada por Symantec en 2009.La simplicidad de propagación a través de dispositivos USB y otros medios de comunicación hace quecódigos como Sality.AE (así como SillyFDC y otros) sean vehículos eficaces para instalar códigosmaliciosos adicionales en los equipos.

Conficker

El gusano Downadup (alias, Conficker) fue inicialmente descubierto en diciembre de 2008 y obtuvosignificativa atención en 2009 debido a sus sofisticados atributos y eficacia.

A pesar de la liberación de un parche para la vulnerabilidad el 23 de octubre de 2008 (es decir, antes deque Downadup estuviera incluso activo), se estimó que el gusano todavía se encontraba en más de 6millones de computadoras en todo el mundo a finales de 2009. Aunque este número disminuyó durante2010, se estima que todavía estaba afectando entre 4 y 5 millones de PCs a finales de ese año. Estegusano fue la muestra de códigos malintencionados que ocupó el primer puesto en la región en 2009,mientras que ocupó el tercero en el 2010.

Spam

Situación globalA continuación se muestra un cuadro que refleja del SPAM en el mundo.

Symantec Corporation - Actividad global del SPAM, 2005-201030

29 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos AméricaLatina – Consultado el 05/05/2011 –http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf30 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 -http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf



Más del 95% de los correos es “no deseado (unwanted)”; conjunto conformado por SPAM y malicioso. Sibien el spam no es considerado un delito en sí mismo, su efecto sobre el desempeño de lasorganizaciones y el avance sobre la voluntad de cada usuario de recibir sólo aquellos mensajes de correoelectrónico que desea, lo transforman en un fenómeno de alto impacto negativo, por lo que su análisisse incluye en este informe. En esta línea cabe destacar asimismo que su encadenamiento con otros tiposde ataques, contribuye sustancialmente a la comisión de delitos.

Hacia el final del 2009, el 83,4% del spam era originado por la botnets o “redes robot”, en oposición alaproximadamente 90% de spam que fuera enviado por botnets (Ver Botnet – Pág. 40) en el 2008.

La mayoría del resto de spam no enviado por botnets se origina en servidores de correo comprometidosy cuentas de webmails creadas usando herramientas que quiebran la rutina CAPTCHA (CompletelyAutomated Public Turing test to tell Computer and Humans Apart).

La fuerte caída del spam a fines de 2008 fue resultado de la desaparición del ISP con sede en CaliforniaMc Colo, después de que fuera reportada la actividad de una botnet criminal sobre su red. Comoconsecuencia del cierre de McColo, también desaparece Srizbi que fuera responsable por mucho tiempode casi el 50% de todo el spam originado en botnets. Su lugar fue rápidamente ocupado por otrasbotnets rivales como Mega-D (aka Ozdok), Cutwail (aka Pandex) y Rustock.

Para el final de 2010, el spam enviado desde las botnets llegaba al 77% del total. La proporción semantuvo al 88,2% para la mayoría del año, hasta que cayó en el último trimestre debido a ladesaparición de varias botnets: en diciembre 2009 ya había cerrado Mariposa, una de las mayores redesde bot de la historia con casi 13 millones de ordenadores comprometidos; Spamit, una notoria redresponsable de enviar grandes volúmenes de correos sobre temas farmacéuticos cerró sus puertas ensetiembre, mientras que en octubre cerró Bredolab con parte de Zeus (Ver pág. 36 – párrafo •).

Las compañías coinciden en que el spam se mantuvo en 2009 y 2010 en un porcentaje de alrededor del85%. Asimismo, Websense Inc. informa en su reporte de 2010 que aproximadamente el 90% de todo elcorreo no deseado contiene un link. Lo cual indica que el correo es una de las principales causas delingreso a sitios web maliciosos que pueden infectar los equipos. Otros de los objetivos de este tipo decorreos son la venta ilegal de productos y la distribución directa de software malicioso.

Se ha detectado también que los distribuidores de spam realizan campañas utilizando noticias actuales eimpactantes sean ciertas o no, como por ejemplo la crisis económica global, la elección de BarackObama, la pandemia H1N1, la muerte de Michel Jackson, el accidente del vuelo 447 de Air France, entreotros. En Latinoamérica, por ejemplo, el Mundial de Fútbol del año 2010 en Sudáfrica fue un pretextoperfecto para su explotación con fines delictivos.

El spam puede ser combinado con el scam (estafa). Éste es un tipo mensaje en el que se ofrece laposibilidad de ganar grandes sumas de dinero de forma sencilla. Uno de los más conocidos es el “419scam”, que lleva su nombre por la sección del Código Criminal Nigeriano que trata el fraude. En generalavisa al usuario que va a recibir una suma de dinero a través de la lotería, un nuevo trabajo o porquehan sido nominados beneficiarios de una persona que posee una fortuna.

A continuación se incluye información sobre la distribución global del spam durante los años 2010 y2009 según los países de origen.



Symantec Corporation - Los 10 países que originan la mayor actividad de SPAM 200931

Mc Afee - Los 10 países que originan la mayor actividad de SPAM 200932

31 Symantec Corporation – Global Internet Security Threat Report Trends 2009 – Consultado el 20/04/2011 –http://a248.e.akamai.net/f/248/41008/14d/ig.rsys3.net/responsysimages/smemea/__RS_CP__/20959302_GA_RPT_ISTR15_Global_0410.pdf32 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2009 – Consultado el 05/04/2011 –https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2009.pdf

La siguiente tabla muestra la participación de Latinoamérica en el SPAM mundial en el año 2010.Mientras que en el 2009 reconoce aproximadamente un 20% de la actividad por parte de dicha



Symantec Corporation - Origen del SPAM por continente34

Situación en LatinoaméricaA continuación se incluye los cuadros que publica Symantec respecto de la actividad de spam enLatinoamérica, por país.

Symantec Corporation - Países que generan Spam en Latinoamérica - 201035

33 Symantec Corporation – Message Labs Intelligence 2009 Annual Security Report – Consultado el 02/05/2011 –http://www.messagelabs.com/mlireport/2009MLIAnnualReport_Final_PrintResolution.pdf34 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report –Consultado el 02/05/2011 -http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf

región33.

Como se puede observar en los gráficos anteriores, Latinoamérica ocupa el segundo lugar comoregión emisora de spam, representada por Brasil, mientras que Colombia se encuentra en el 10ºlugar. Sin embargo, cabe señalar que Brasil ocupó el primer lugar en el mundo, como país origende botnets emisoras de spam en el 2009, con el 13% del total. Mientras que en 2010 estuvo entrelos 12 primeros.



Symantec Corporation - Países que generan Spam en Latinoamérica - 200936

PhishingEn el caso de esta amenaza, se usará la información brindada por el AntiPhishing Working Group(AWPG)37. Este grupo es una asociación global, ampliamente reconocida y respetada, que contemplatodas las industrias y fuerzas de la ley, focalizada en eliminar el fraude y el robo de identidad que resultadel phishing, PHARMING and MAIL SPOOFING de todo tipo y tiene como socios investigadores a los CERT deBrasil, Estados Unidos, Australia, Corea, SEI Carnegie Mellon, entre otros, así como organizaciones yempresas como Websense Inc., National Cyber Security Alliance, SRI Internacional, ESET, etc.

A continuación se puede ver una tabla que resume los valores para los años 2010 y 2009 de losindicadores que utiliza el AWPG para mostrar la evolución del phishing a nivel global.

35 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina– Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16-Datasheet-LAM-SP.pdf36 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos AméricaLatina – Consultado el 05/05/2011 –http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf37 Antiphishing Working Group (AWPG) – Global phishing Survey: Domain Name use and Trend 2009 y 2010 –Consultado 10/05/2011 – http://www.antiphishing.org/resources.html#apwg



Es importante aclarar algunos conceptos para entender la información presentada. AWPG utilizaunidades de medida que le permitan representar los hechos consistentemente a través del tiempo paralo cual obtienen números “únicos”, es decir sin duplicados, cuya consecuencia es la significativareducción de las cifras resultantes. Sin embargo, se debe tener en cuenta que se reportan millones deURLs de phishing, las cuales pueden captar millones de incautos cibernautas.38

Phishing domain names: Cantidad de nombres de dominios “únicos” utilizados para phishing. Undominio puede contener varios sitios de phishing que lanzan sus ataques sobre entidades, por ejemplobancos, o marcas determinadas. Los “nombres de dominio” están definidos como nombres de dominiode segundo nivel más los de tercer nivel, si las autoridades de registración lo ofrecen.

Attacks (sitios de phishing): Cantidad de sitios de phishing “únicos”. Éstos se alojan en los “PHISHING

HOSTS”.

TLDs (Top level domain) used: Dominios de alto nivel usados. Por ej. org, com.

IP-based IPs (unique IPs): En vez de utilizar nombres de dominio utilizan números de IP.

Maliciously registered domains: Dominios registrados por los phishers para cometer los ataques. El restoson dominios legítimos que fueron comprometidos.

IDN Domains: Nombres de dominio que incluyen uno o más caracteres no-ASCII, tales como losarábigos, chinos, etc. Hasta ahora estos dominios no presentan una tendencia creciente en su uso porparte de los phishers.

Cabe señalar que en el segundo semestre de 2009 se ve incrementado el número de sitios de phishingcomo resultado de la actividad de Avalancha, una de las más dañinas entidades criminales que sobre elfinal del 2009 produjo los dos tercios del total de phishing.

Esta red reduce su actividad en el primer semestre de 2010, y su infraestructura es utilizada por loscriminales para originar los ataques del notorio troyano Zeus. Éste es una sofisticada pieza de softwaremalicioso diseñada específicamente para automatizar el robo de identidad y facilitar transacciones noautorizadas sobre las cuentas bancarias de los consumidores.

Avalancha usa todo tipo de truco de ingeniería social para dirigir a sus víctimas hacia la recepción delsoftware malicioso Zeus. Envía falsos alertas y mensajes de actualización pretendiendo que llegan desitios de redes sociales y atraen a la gente ofreciendo la actualización de populares softwares oengañándola para descarga formularios de las autoridades gubernamentales, con lo cual los criminalesinfectan las máquinas. Una vez que es infectada el criminal puede acceder remotamente, robar lainformación personal e interceptar contraseñas y transacciones en línea.

Otra de las herramientas de las que los phishers están haciendo significativo uso son los servicios deregistración de subdominios para crear sitios de phishing. Ésta es una tendencia inquietante, porque elphish en subdominios sólo puede ser efectivamente mitigado por el proveedor del subdominio (losregistradores u operadores de registro no pueden mitigar este phishing suspendiendo el dominio

38 Se destaca esta frase en negrita a los efectos de que el lector perciba la magnitud de este ataque ya que, por lasrazones explicadas en el texto, las cifras expuestas no permiten avizorar el verdadero alcance.



principal - dado que si así lo hicieran neutralizarían todos los subdominios dependientes - lo cualafectaría a usuarios inocentes) y algunos de esos proveedores son indiferentes a las quejas.

Definimos “servicio de registración de subdominios” como proveedores que entregan a sus clientes“subdomain hosting accounts”, debajo de un dominio del cual el proveedor es dueño. Estos serviciosofrecen al usuario la habilidad de definir un nombre en su propio espacio de DNS para una variedad depropósitos. Así un cliente obtendrá un HOSTNAME para usar para su propio sitio Web o correo electrónicode la forma:

<customer_term>.<service_provider_sld>.TLD

Se ha visto un rápido crecimiento de la tendencia de usar la funcionalidad de “shortening” URL (URLcortas) para esconder las URL de phishing. La popularidad del servicio en línea de Twitter y otras redesde sitios sociales han conducido una gran parte de esta demanda. Los usuarios de esos servicios puedenobtener una muy corta URL para usar en su limitado espacio que redireccionará automáticamente alvisitante a una URL escondida mucho más larga.

Éste es un espacio tan rico como el espacio de dominio regulado, con tanto dinero, más modelos denegocio y sin reglas verdaderas. En consecuencia, no es sorprendente ver a los criminales trabajando eneste espacio a medida que en el gTLD (TLD genéricos) y ccTLD (TLD por código de país) se implementamejores políticas y procedimientos anti-abuso.

Una medida importante a tener en cuenta es el período de tiempo en el que los sitios de phishingpermanecen “vivos” (up-time).

Cuanto más tiempo un sitio permanece activo, mayor cantidad de dinero pierden las víctimas y lasinstituciones a las que toman como centro de su ataque. Se cree que los días más lucrativos para elatacante son los dos primeros. Es por ello que es tan importante bajarlos cuanto antes.

Los programas anti-phishing implementados por los registros de nombre de dominio pueden reducir losup-times y las registraciones maliciosas que se realizan en esos sitios.

Cabe señalar que en los reportes de Message Lab Intelligence de Symantec es posible encontrar cifrasmuy semejantes a las del AWPG.

Como se dijo previamente, la cantidad de víctimas de fraude informático es muy superior a la cantidadde sitios. Pueden ser millones.

El IC339 ha recibido entre 2009 y 2010 más de 600.000 quejas, que por otra parte se han incrementadoun 33% en 2008, el 22% en 2009 y en 2010 bajó casi un 10%. Este descenso, si bien es un hecho positivo,no indica necesariamente una tendencia ya que ha sucedido en años anteriores y luego ha vuelto acrecer. En el mapa global de individuos que presentan quejas, se encuentra México en el octavo lugarcon el 0,2%. Latinoamérica no se encuentra en el mapa global de individuos perpetradores.

A continuación se presenta un trabajo realizado para países de Latinoamérica para los años 2009 y 2010,sobre los resultados publicados por el AWPG respecto de la situación global.

39 Internet Crime Complaint Center (IC3 – USA) – 2010 Internet Crime Report – Consultado el 15/04/2011 -http://www.ic3.gov/media/annualreport/2010_IC3Report.pdf



Como es posible observar en la tabla a continuación, la actividad de phishing en Latinoamérica hacrecido, si bien no representa un gran volumen en comparación al que se maneja a nivel mundial.

Patricia Prandini – Marcia L. Maggiore Mayo 2011 – Pág. Nº 39/84


PRIMER SEMESTRE 2009 SEGUNDO SEMESTRE 2010 CRECIMIENTO EN PORCENTAJETLD TLD

Ubicación# únicode sitios

dePhishing

Nombresde

Dominioúnicosusados

paraphishing

Dominiosregistradosal final deMarzo de

2009

Puntuación:Phish por

10000dominios

Puntuación:attacks por

10000dominios

# Total dedominios

maliciososregistrados

# únicode sitios

dePhishing

Nombresde


paraphishing

Dominiosregistradosal final de

Octubre de2010

Puntuación:Phish por

10000dominios

Puntuación:attacks por

10000dominios

# Totalde

dominios

maliciosos

registrados

# único desitios dePhishing

Nombresde


paraphishing

Dominios

registrados

# Totalde

dominios

maliciosos

registrados

Comentarios

ar Argentina 207 159 1.837.779 0,9 1,1 1 199 148 2.199.507 0,7 0,9 3 -3,86 -6,92 19,68 200,00

No existeinformaciónsobre Puerto

Rico.La

puntuación,tanto dedominios

como de sitiosde phishing

tiene elmismo

sentido que elcrecimientodel resto delas variables.

bo Bolivia 7 5 4.700 10,6 14,9 0 5 4 5.950 6,7 8,4 0 -28,57 -20,00 26,60 0,00

br Brasil 654 381 1.675.918 2,3 3,9 1 2011 1030 2.275.031 4,5 8,8 21 207,49 170,34 35,75 2000,00

cl Chile 144 97 243.701 4 5,9 1 171 128 299.463 4,3 5,7 0 18,75 31,96 22,88 -100,00

co Colombia 31 22 25.750 8,5 12 0 86 43 527.428 0,8 1,6 4 177,42 95,45 1948,26 400,00

cr Costa Rica 1 1 11.739 0,9 0,9 0 15 8 12.300 6,5 12,2 0 1400,00 700,00 4,78 0,00

cu Cuba 2 1 1.500 6,7 13,3 0 1 1 2.175 4,6 4,6 0 -50,00 0,00 45,00 0,00

doRepublicaDominicana 14 7 10.100 6,9 13,9 0 15 5 15.200 3,3 9,9 0 7,14 -28,57 50,50 0,00

ec Ecuador 12 10 17.900 5,6 6,7 0 31 26 22.729 11,4 13,4 1 158,33 160,00 26,98 100,00

gt Guatemala 8 3 6.809 4,4 11,7 0 10 9 8.630 10,4 11,6 0 25,00 200,00 26,74 0,00

hn Honduras 0 0 3.972 0 0 3 4 4.992 4 6 0 25,68 0,00

ht Haiti 0 0 1.110 0 0 7 1 0 0,00

jm Jamaica 1 1 4.600 2,2 2,2 0 5 5 5.064 9,9 9,9 0 400,00 400,00 10,09 0,00

mx México 213 93 290.101 3,2 7,3 30 253 114 450.453 2,5 5,6 0 18,78 22,58 55,27 -100,00

ni Nicaragua 0 0 23.000 0 0 5 3 5.905 5,1 8,5 0 0,00

pa Panama 5 3 4.800 6,3 10,4 0 0 0 6.250 0 -100,00 -100,00 30,21 0,00

pe Peru 86 64 32.000 20 26,9 24 27 19 45.180 4,2 6 0 -68,60 -70,31 41,19 -100,00

py Paraguay 3 2 8.834 2,3 3,4 0 6 6 11.200 5,4 5,4 0 100,00 200,00 26,78 0,00

sv El Salvador 2 2 0 2 2 4.725 4,2 4,2 0 0,00

uy Uruguay 15 13 18.622 7 8,1 0 13 9 27.925 3,2 4,7 0 -13,33 -30,77 49,96 0,00

ve Venezuela 24 15 130.000 1,2 1,8 1 32 26 150.000 1,7 2,1 1 33,33 73,33 15,38 0,00

Total LATAM 1.429 879 4.352.935 58 2.897 1.591 6.080.107 30 102,73 81,00 39,68 -48,28

TOTAL GLOBAL 55.698 30.131 184.583.376 4.382 67.677 42.624 205.615.855 11.769 21,51 41,46 11,39 168,58Representación

LATAM 2,57 2,92 2,36 1,32 4,28 3,73 2,96 0,25



A continuación se incorpora otro indicador, que es la posición que ocupan los países de Latinoaméricaen el phishing global, obtenido también de la información brindad por AWPG:

BotnetEl laboratorio de ESET Latinoamérica en su informe “Tendencias 2011: las botnet y el software maliciosodinámico”40 utiliza una idea novedosa respecto de la evolución del software malicioso.

Expresa que años atrás, un desarrollador de este tipo de software decidía al momento de crear uncódigo malicioso cuáles serían las tareas que realizaría el mismo luego de infectar un sistema. Porejemplo, qué archivos serían modificados, qué información sería capturada o a qué dirección delatacante sería enviada la misma, entre otros. Al aparecer los troyanos del tipo puerta trasera (Ver pág26 – párrafo •) aparecen los primeros indicios de código malicioso dinámico. Se entiende por códigomalicioso dinámico aquél que primero infecta el sistema y luego, a través de algún acceso remoto alequipo afectado, permite al atacante realizar diversas tareas mientras el equipo no sea desinfectado.

Los troyanos del tipo puerta trasera han dejado el lugar en los últimos años a aquellos del tipo bot,diseñados para armar redes de computadoras infectadas: botnets (de “robot” y net, por redes).

Las botnet conforman un modelo de negocio delictivo ya que son alquiladas por sus administradores enel mercado negro para producir todo tipo de ataques. Por ejemplo para distribuir spam y softwaremalicioso y efectuar ataques de denegación de servicio.

Una colección de computadoras es inútil sin algún mecanismo de control. El Comando de Control, oC&C, constituye la interface entre la botnet y su dueño. El dueño dirige el C&C y así comanda los bots.

Situación globalUn grupo de investigadores que trabajan sobre las botnets conforman la Fundación Shadowserver. Éstaes una asociación sin fines de lucro formada por profesionales de seguridad que voluntariamenterecolectan, analizan y producen reportes sobre software malicioso, la actividad de las botnets y elfraude electrónico. Es su misión mejorar la seguridad sobre Internet concientizando sobre la presenciade servidores comprometidos, atacantes maliciosos y la distribución del mencionado software. Tambiéntrabaja con otras agencias de seguridad para desarrollar estrategias contra las amenazas y planes deacción para ayudar a mitigar estas amenazas a medida que van apareciendo.41

Shadowserver informa que a noviembre de 2010 se habían detectado unas cinco mil quinientos botnets(habiendo llegado durante el año a seis mil en meses como mayo o julio), contra los pocos más de

40 ESET Latinoamérica - Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 -http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf41 The Shadowserver Foundation – Consultado el 25/04/2011 - http://www.shadowserver.org

1er. semestre 2009: Brasil, 7mo.2do. semestre 2009: Honduras, 2do; México, 4to.; Brasil, 10mo.1er. semestre 2010: Brasil, 5to.2do. semestre 2010: Brasil, 3ro.



cuatro mil a finales del año anterior. El crecimiento de las redes botnet activas detectadas por ShadowServer en los últimos dos años puede observarse en el siguiente gráfico:

Tomando estos 24 meses, se estima un crecimiento de aproximadamente un 85% en la cantidad debotnet activas.

Esto representa millones de usuarios afectados por esta amenaza. Este valor se sustenta tan solo si setoman simplemente tres de las botnets que han sido dadas de baja durante 2010: Waledac (80 milusuarios afectados), Mariposa (13 millones) y Bredolab (30 millones).42

Cabe señalar que varios países de Latinoamérica se encontraron entre los TOP 20 demáquinas infectadas por la red Mariposa, compuesta por más de 13 millones de direccionesIP infectadas distribuidas en 190 países al rededor del mundo. Ellos son: México, con el12,85% (2do. Puesto), Brasil, con el 7,74% (3er. Puesto), Colombia, con el 4,94% (5to. Puesto),Perú, con el 2,42% (11mo. Puesto), Chile, con el 1,74% (décimo 4to puesto) y Argentina, conel 1,10% (décimo 8vo puesto) del total.43

42 Se destaca esta frase en negrita para que el lector perciba la magnitud del ataque ya que, en el orden mundial, lacantidad de botnets (aproximadamente 6000) no aparece como un valor muy significativo.43 Info Spyware – Artículo del 23/03/2010 por Marcelo Rivero “Latinoamérica dentro de los más afectados por lared Mariposa” – Consultado el 15/05//2011 - http://www.infospyware.com/blog/latinoamerica-dentro-de-los-mas-afectados-por-la-botnet-mariposa/



Situación en LatinoaméricaA continuación ofrecemos un panorama para los años 2010 y 2009 en Latinoamérica.

Symantec Corporation - Computadoras infectadas por bots en Latinoamérica - 201044.

Symantec Corporation - Computadoras infectadas por bots en Latinoamérica - 200945.

Es importante agregar que la tendencia de crear botnets se ha trasladado a Latinoamérica. En el año2009, ESET detecta el sistema SAPZ (Sistema de Administración de PCs Zombi) desarrollado pordelincuentes latinos y que permite el control de una gran cantidad de usuarios infectados a través de

44 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina– Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16-Datasheet-LAM-SP.pdf45 Symantec Corporation - Informe de Symantec sobre las Amenazas a la Seguridad en Internet Hallazgos AméricaLatina – Consultado el 05/05/2011 –http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR_XV_LAM_Datasheet_SPA.pdf



troyanos como el que ESET NOD32 denomina Win32/Qhost.NMX.46 A la fecha del artículo, 17 desetiembre de 2009, la red contaba con más de 12.000 zombis.

Otra prueba concreta es una nueva botnet cuyo origen y desarrollo se encuentra en México, destinada acometer delitos dirigidos al público latino, y que fue descubierta por el equipo de ESET. Esta noticia sepublicó el 4 de junio de 2010 y se refiere a la Mariachi Botnet.47

Cifras de Kaspersky Lab indican que Kido (también llamada Conficker o Downup Devian por otrasempresas de antivirus) es la principal botnet de Latinoamérica. Todos los países de la región, incluyendoChile, la tienen en el TOP 10 de las amenazas.48

Otras actividades maliciosasHasta aquí han sido desarrollados los temas según la catalogación realizada por la mayoría de lascompañías y organizaciones consultadas.

A continuación se presentan varias amenazas en cuyo agrupamiento no se ha encontrado coincidenciaentre las fuentes. De allí que se presenten desagregadas. En general, es adecuado decir que todasforman parte de los ataques a través de la Web.

Código malicioso multiplataforma49

A lo largo de 2010 diversas plataformas se vieron afectadas por variantes de código malicioso. A pesarde que Windows sigue siendo la plataforma más explotada por éstos (se estima que un 84,3% de losusuarios se infectó durante el año), hubo otras que también sufrieron algunos incidentes, tales comoLinux, los dispositivos móviles y sistemas operativos en crecimiento como fue el caso de Android, para elcual fue reportado su primer troyano SMS en agosto de 2010. Según investigaciones de ESET, el códigopara móviles ha aumentado un 95% entre 2009 y 2010.

Como alternativa más rentable para los desarrolladores de código malicioso aparece la creación decódigos maliciosos multi-plataforma, archivos que pueden afectar a diversas plataformas con un mismofin, o bajo un mismo modelo de infección. Un ejemplo de esta tendencia se observó a principio de añocon un experimento realizado para crear botnet en plataformas móviles con iPhone y Android,obteniendo más de 8 mil dispositivos afectados.

Esta tendencia fue ratificada a finales del año, con la aparición de una nueva variante del troyanoKoobface, conocida como Boonana e identificada por ESET con la firma Java/Boonana.A. La mismaimplicó la primer versión multi-plataforma de este troyano que está en actividad desde finales de 2008,

46 ESET Latinoamérica – Artículo del 17/09/2009 por Cristian Borghello “Rateros: botnets latinoamericanas” –Consultado el 14/05/2011 - http://blogs.eset-la.com/laboratorio/2009/09/17/rateros-botnets-latinoamericanas/47 ESET Latinoamérica – Artículo del 04/06/2010 por Juan Sacco “Mariachi Botnet: Latinoamérica es atacada porciberdelincuentes mejicanos” – Consultado el 30/04/2011 - http://blogs.eset-la.com/laboratorio/2010/06/04/mariachi-botnet-latinoamerica-atacada-ciberdelincuentes-mexicanos/48 Open Networks – Artículo del 10/05/2011 “Coreflood -que robó mas de U$100 millones- podría estar en sucomputador” – Consultado el 15/05/2011 - http://www.opennetla.com/portal/index.php/noticias-/210-coreflood-que-robo-mas-de-u100-millones-podria-estar-en-su-computador49 ESET Latinoamérica – Tendencias 2011: las botnet y el malware dinámico – Consultado el 23/04/2011 -http://eset-la.com/pdf/prensa/informe/tendencias_2011_las_botnet_y_el_malware_dinamico.pdf



y que dos años después de su creación ha comenzado su propagación más allá de sistemas Windows,infectando también sistemas Linux y Mac OS.

Búsquedas en la web llevan a sitios maliciososActualmente los delincuentes dirigen sus ataques en tiempo real, por ejemplo utilizando las búsquedasen líneas.

Los delincuentes utilizan técnicas de Blackhat SEO y suelen subir scripts PHP a las páginas atacadas.Estos scripts lanzan consultas al servicio de temas más populares de Google y a continuación generanarchivos HTML correspondientes a los términos de búsqueda más utilizados.

“El motor de búsqueda es engañado para que ‘vea’ el material correspondiente, mientras que el usuarioes redireccionado a un sitio de distribución de malware en cuanto hace clic sobre el enlace del resultadoque aparece en primer lugar. Los delincuentes que se aprovechan de las técnicas de Blackhat SEO paradistribuir malware han explotado tanto los motores de búsqueda que los usuarios ya no saben si confiaro no en los resultados de sus búsquedas – Lo que no son buenas noticias ni para los usuarios ni para lasempresas de los motores de búsqueda. Este año hemos sido testigos de múltiples campañas de BlackhatSEO que explotaban los temas más populares del día, viendo como muchas de ellas conseguían colarpáginas maliciosas entre los primeros lugares de los resultados de las búsquedas.”50

Websense Inc. informa que en el año 2010 el 22,4 % de de las búsquedas en tiempo real sobreentretenimientos dirige a un link malicioso, ya que los autores de software malicioso se focalizan en losrumores de la farándula y las noticias de último momento.

Otras compañías dan porcentajes más altos, probablemente usando métodos de conteo diferentes.Pero lo cierto es que esta actividad maliciosa existe.

Muchos de los ataques SEO en el 2010 son combinados con un segundo componente que consiste en unROGUE ANTIVIRUS (ROGUEWARE). (Ver Falsos antivirus (rogueware) – Pág. 45).

Las amenazas de las redes sociales2010 ha sido el año de las redes sociales. Éstas presentan grandes oportunidades para los negocios, perotambién para los delincuentes ya que muchos de estos sitios no fueron diseñados con seguridad.

Los atacantes usan técnicas de phishing para luego solicitar acceso, a través de la aplicación maliciosa, atoda su información personal, con lo cual puede dirigirse a todos los contactos de la víctima.

Panda Security informa que en mayo de 2010 descubrió una página de venta de bots para redessociales. Según informa dicha página “el bot recoge información de las identidades y nombres de losamigos y envía, de forma automática, solicitudes de amistad, mensajes con el contenido que se quiera ocomentarios”.51

“Se ha visto en los últimos años que los atacantes combinan una gran variedad de tácticas paramaximizar el potencial de éxito. Esta situación se conoce como una “convergencia de amenazas”. Estaconvergencia a través de múltiples protocolos hace mucho más difícil la securización de aplicaciones en

50 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 –http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf51 Idem 43



línea. Los atacantes se están dirigiendo hacia los medios sociales, teniendo en cuenta el uso de las redesde esta naturaleza y el acceso a datos del negocio por parte de los empleados mientras están entránsito, en la casa o realmente en cualquier lugar fuera de los confines de la red corporativa.”52

Ya en un artículo de abril de 2008, informa Internacional Data Corporation (IDC) que de acuerdo con unestudio reciente, “hoy día dos tercios de las empresas usan mínimo una aplicación Web 2.0; sinembargo, utilizar estas tecnologías emergentes sin una seguridad efectiva puede ser desastroso. ElVicepresidente de programa, Chris Christiansen, escribió en el reporte de IDC de enero de 2008 que lascomunidades y aplicaciones Web 2.0 y Business 2.0 se convertirán en una fuente principal de fraude deidentidad, violaciones a la privacidad y pérdida de información de las organizaciones.” 53

Como es posible observar a través del informe, la predicción se ha cumplido.

Falsos antivirus (rogueware)Se trata de aplicaciones que se hacen pasar por soluciones antivirus que ofrecen explorar gratuitamentelas computadoras de los desprevenidos internautas y que al hacerlo detectan numerosas amenazasinexistentes. Sin embargo, cuando los usuarios tratan de eliminar dichas amenazas a través de laaplicación, se les pide que compren la correspondiente licencia.

Estos productos no sólo no son antivirus, sino que además infectan las máquinas. También se vendenproductos como utilitarios de sistema y discos. Conseguir una víctima más de un falso antivirus significapara el delincuente varias ventajas: no sólo le permite embolsarse el importe de la compra de lasupuesta licencia del programa de seguridad, que nunca envía, sino que se queda con los datos de latarjeta de crédito del incauto, que posteriormente puede vender en el mercado negro o utilizar paraextraer dinero, hacer compras online, etc.

En 2010 ha aparecido el 40% del total de ejemplares de falsos antivirus. O lo que es lo mismo, desde queapareció este nuevo tipo de amenazas, hace cuatro años, Panda Security ha clasificado 5.651.786ejemplares únicos y diferentes de falsos antivirus: de este total, 2.285.629 han aparecido desde enero anoviembre de 2010.54

Violación de datosEl robo de identidad continúa siendo un problema de seguridad de alto perfil particularmente paraorganizaciones que almacenan grandes cantidades de información personal. No sólo pueden terminaren la pérdida de datos personales dañando la confidencialidad de clientes e instituciones, sino quepueden dañar la reputación de la organización y puede ser costoso para los individuos recuperarse delresultado del robo de identidad.

Un gran número de violaciones de datos no necesariamente iguala la cantidad de identidadesexpuestas. Por ejemplo, los tres sectores que mayor cantidad de violaciones de datos sufrieron en el

52 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 -http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf53 CDS Comunicaciones – Artículo del 11/04/2008 “Websense revela la primera red de seguridad HoneyGrid” -Consultado el 25/04/2011 -http://www.cds11.com/magazine/index.php?option=com_content&task=view&id=467&Itemid=9254 Panda Security – Informe Anual PandaLabs 2010 – Consultad0 27/04/2011 –http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf



2010 sólo contabilizaron un cuarto de las identidades expuestas en el período en estudio. El promediode identidades expuestas por violación de datos para cada uno de estos sectores fue menor a 38.000,mientras que para el sector financiero fue de 236.000.55

En muchos casos uno de los aliados técnicos de la fuga de información es el software malicioso, que ensus distintas formas y tipos permite acceder a equipos, explotar vulnerabilidades y afectar la privacidadde forma directa. De hecho, como caso particular, el SPYWARE está diseñado para espiar los sistemas enlos cuales se logra alojar, haciendo que, por ejemplo, las contraseñas de un usuario sean capturadas, osu información estadística de navegación sea tomada sin su consentimiento para fines económicos. Enel mismo sentido, dentro del software malicioso que produce este tipo de resultados, existen losdenominados KEYLOGGERS, que son dispositivos de software o hardware que capturan silenciosamente lotecleado por el usuario. Si bien este aspecto técnico debe resolverse principalmente con un softwareantivirus adecuado, también es indispensable que el usuario conozca los peligros a los que se expone,dado que en muchos casos la falta de concientización es la que promueve la exposición directa a lasamenazas.56

Un artículo de elmundo.es publicado el 19/08/2009, da cuenta de lo que constituye el mayor caso derobo informático de datos llevado a juicio en Estados Unidos, según las autoridades de ese país. Más de130 millones de números de tarjetas de crédito y débito fueron robados por un 'cracker' de Miami y doscompinches rusos, mediante un sofisticado ataque de 'SQL INJECTION' para penetrar en sus redes.57

McAfee Inc. informa que Brasil ocupa el noveno lugar como fuente de ataque deSQL Injection.58

Explotación de vulnerabilidades• La mención de honor del año 2009 en cuanto a vulnerabilidades se trata es para Adobe, por ser la

empresa que durante más tiempo ha dejado expuestos a sus clientes, así como por ser el fabricantede los productos más explotados del año. En total fueron reportadas 45 vulnerabilidades ensoftware de dicha empresa. Comparando con otros paquetes de software, como por ejemploMicrosoft Windows (todo el sistema operativo y aplicaciones base), han sido corregidas 41vulnerabilidades. Así pues, este año se han encontrado más vulnerabilidades en software Adobe(Acrobat Reader y Flash Player) que en un único sistema operativo a lo largo del tiempo. Por si esto

55 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf56 ESET – Fuga de información. Una amenaza pasajera? – Consultado el 24/04/2011 - http://www.eset-la.com/pdf/prensa/informe/fuga_de_informacion.pdf57 elmundo.es – Artículo del 17/08/2009 “Un 'cracker' de 28 años, acusado de robar datos de 130 millones detarjetas de crédito” – Consultado el 27/04/2011 -http://www.elmundo.es/elmundo/2009/08/17/navegante/1250535175.html58 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 5/04/2011 –https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf



fuera poco, lo más preocupante de este triste récord es que la ventana de tiempo en la que losusuarios de sus productos han sido vulnerables ha superado los 30 días en la mayoría de los casos.59

También Apple ha crecido en cantidad de vulnerabilidades a medida que crece su presencia en elmercado.

• A comienzos del año 2010 sorprendió la noticia de que un sofisticado y coordinado ataquebautizado “Operación Aurora” había afectado a más de 30 grandes compañías multinacionales. Loshackers aprovechaban una vulnerabilidad de Internet explorer para instalar un troyano de manerasilenciosa en los ordenadores de los usuarios y conseguir, de esta manera, tener acceso remoto atoda su información personal. Dicha vulnerabilidad ZERO DAY afectaba a las tres versiones delnavegador Internet Explorer (6, 7 y 8) en sistemas operativos Windows 2000 SP4, WXP, 2003, Vista yWindows 7. Existen dos hipótesis sobre el objetivo final que querían lograr los hackers: una versasobre la intencionalidad de robar información de propiedad intelectual a grandes compañías y laotra apunta al robo de información de cuentas de Gmail de supuestos y conocidos activistas dederechos humanos en China.Algunas fuentes de información indican que las personas que recibieron el e-mail, o sea las“víctimas” no eran aleatorias, sino que se trataba de directivos y altos cargos que supuestamentetenían permisos de acceso a diferentes aplicaciones con privilegios. Este tipo de ataque es conocidocomo “dirigido”, en contraposición a los ataques masivos o indiscriminados, donde no se seleccionael potencial receptor.60

• Stuxnet fue la estrella del año 2010. Aprovechando varias vulnerabilidades Zero Day de Windowstuvo la habilidad de tomar como blanco a infraestructuras industriales específicas y dañar sistemasfísicos. Una de las vulnerabilidades que pudo explotar le permitió infectar “SIMATIC”, sistema tipoSupervisory Control and Data Acquisition (SCADA) de Siemens, el cual es usado para monitorear ycontrolar sistemas industriales. El sistema infectado podría alterar por ejemplo, la frecuencia demotores, y potencialmente dañarlos o interferir con su operación. La mayoría de las infecciones deStuxnet fue sufrida por sistemas ubicados en Irán. En el mes de noviembre el gobierno iraní revelóque algunas de esas infecciones habían dañado los centrifugadores usados en el programa deenriquecimiento de uranio de ese país, lo cual llevó a los investigadores a especular sobre laposibilidad de que el software malicioso fuera diseñado y distribuido específicamente parainterrumpir el programa.61

• El 2011 sorprendió con un ataque a la compañía Sony, la cual lo explicó de la siguiente manera:“El ataque a la base de datos de clientes se realizó desde un servidor de aplicaciones conectado conella, y que está tras un servidor web y dos cortafuegos o firewalls. Según los responsables de lacompañía, el modo en que se realizó el hackeo “es un técnica muy sofisticada”.Los autores del ataque lo encubrieron como una compra en la plataforma online de Sony, por lo quelos sistemas de seguridad no detectaron nada raro, y tras pasar del servidor web, lograron explotar

59 Panda Security – Informe Anual PandaLabs 2009 – Consultado el 27/04/2011 –http://www.pandasecurity.com/img/enc/Informe_Anual_Pandalabs_2009.pdf60 Panda Security – Informe Anual PandaLabs 2010 – Consultado el 27/04/2011 –http://prensa.pandasecurity.com/wp-content/uploads/2010/03/Informe-Anual-PandaLabs-2010.pdf61 Symantec Corporation - Symantec Government Internet Security Threat Report Trends for 2010 – Consultado el20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf



una vulnerabilidad del servidor de aplicaciones para instalar software que más tarde fue usado paraacceder al servidor de la base de datos, protegido por un tercer firewall.La vulnerabilidad del servidor de aplicaciones donde se instaló el software para acceder a la base dedatos era desconocida por Sony, que ya se ha apresurado a crear un puesto de jefe de seguridad dela información para supervisar la seguridad de los datos de ahora en adelante, además de haberrehecho la seguridad de la plataforma PlayStation Network para evitar que esto vuelva a pasar.”62

En el link al pie de la página puede verse un gráfico representativo.

En otro artículo publicado por ESET Latinoamérica en su blog de laboratorio se puede leer:

El presidente de la compañía, Kaz Hirai, confirmó que 10 millones de tarjetas de crédito de los 77millones de usuarios han sido obtenidas por los atacantes, y la empresa ya informó a estos usuariosde los hechos. De la misma rueda de prensa, fue posible obtener los datos de los usuarios afectadosen Latinoamérica, y se trata nada más y nada menos que de más de un millón setecientos milusuarios.

Un periodista que asistió a la conferencia, Mark MacDonald, publicó desde su cuenta deTwitter (@markmacd) una foto del documento presentado el día de ayer, con el númerode cuentas afectadas por país, y de allí se derivan que los usuarios afectados enLatinoamérica, sólo tomando los países que se indican en las planillas (los más grandes enusuarios afectados), son los siguientes (de mayor a menor):

México: 957,543 cuentas. Brasil: 448,839 cuentas. Argentina: 101,269 cuentas. Colombia: 93,246 cuentas. Chile: 80,357 cuentas. Perú: 35,517

Si se tienen en cuenta otros países en números menores, el número asciende por encima de los1.716.771 afectados.63

En el link al pie de la página puede verse la foto enviada por el periodista.

Si bien se cataloga estas situaciones como la explotación de vulnerabilidades, la resultante es siemprealguna de los ciberamenazas ya mencionadas.

Una encuesta que combina los resultados sobre diferentes tipos de ataques en Latinoamérica, entreotros tópicos que la conforman, es la que presenta la Asociación Colombiana de Ingenieros de Sistemas(ACIS), en la que recaba información de los participantes respecto de las fallas de seguridad de las quehan sido objeto.

62 1080b bloggresivo – Artículo del 04/05/2011 “Sony explica como fue hackeada Playstation Network” –Consultado el 20/05/2011 - http://www.1080b.com/tecnologia/sony-explica-como-fue-hackeada-playstation-network/13526/63 ESET Latinoamérica - Artículo del 05/05/2011 “SonyPlayStation: más de un millón de afectados enLatinoamérica” – Consultado el 20/05/2011 - http://blogs.eset-la.com/laboratorio/2011/05/05/sonyplaystation-mas-de-un-millon-de-afectados-en-latinoamerica/



En la efectuada durante el año 2010, participaron además de ACIS, el Centro de Atención de incidentesde Seguridad Informática y Telecomunicaciones, (ANTEL) de Uruguay: la Red Latinoamericana deExpertos en Derecho Informático (Alfa-Redi de Perú); la Superintendencia de Servicios de Certificación,SUSCERTE de la República Bolivariana de Venezuela: la Universidad del Valle de Atemajac, CampusGuadalajara; el Colegio de Profesionistas en Computación del Estado de Hidalgo, México; el CapítuloBuenos Aires de ISACA y la organización USUARIA de Argentina e ISACA, Capítulo Asunción, Paraguay.Cabe señalar que son diferentes los participantes de cada año, por lo cual podrían no ser comparableslas cifras aunque mantienen consistencia dentro del mismo año.64

Tipo de falla de seguridad 2009% 2010%Ninguna 8,1 4,44Manipulación de aplicaciones de software 22,2 4,44Instalación de software no autorizado 60,7 18,65Accesos no autorizados a la Web 30,9 9,43Fraude 10,8 2,49Virus 70,9 20,7Robo de datos 9,9 2,06Caballos de troya 33 7,04Monitoreo no autorizado del tráfico 11,4 2,60Negación del servicio 15 4,33Pérdida de integridad 4,8 1,4Pérdida de información 19;5 5,42Suplantación de identidad 13,5 1,84Phishing 16,8 4,55Pharming 3 0,54Fuga de información 21 7,37Otras - 1,3

Ataque distribuido de denegación de servicio (DDoS – DoS)Los ataques de denegación de servicio tienen como objetivo interrumpir la prestación del servicio webde las organizaciones atacadas. Dado que estos ataques siempre resultan en una gran exposición de lasorganizaciones víctima suelen producir un gran daño a su reputación y acrecientan el grado dedesconfianza por parte de sus usuarios. Si bien este tipo de ataque puede ser dirigido a cualquier tipo deorganización, el DoS ha sido durante el año 2010, la mayor amenaza de las infraestructurasgubernamentales y de servicios críticos como el biofarmaceútico, financiero y transporte alcanzando el52% del total de ataques.65

64 ACIS – Seguridad de la Información en Latinoamérica Tendencias 2010 – Fecha de consulta: 20/05/2011 -http://www.acis.org.co/fileadmin/Revista_115/Informe_Latinoamerica.pdf65 Symantec Corporation - Government Internet Security Threat Report Trends for 2010 – Consultado el20/04/2011 - https://www.emea.symantec.com/info/threatreport/REPORT5_ISTR_Govt-Report.pdf



Tendencias 2011Se expresa aquí lo recogido en los informes de las diferentes compañías respecto de las tendencias enmateria de amenazas para el corriente año.

Websense Inc. opina que el continuo uso de los smartphones y la creciente cantidad de datosfinancieros que llegan a estos dispositivos los transforman en futuros blancos de ataque. Algunasplataformas móviles incluyendo iPhone ya han sido atacadas. Además, hay una importante cantidad deaplicaciones móviles disponibles, las cuales abrirán la puerta a vulnerabilidades de seguridaddependiendo de la calidad de su construcción.66

Con la adopción de tantas nuevas plataformas móviles, McAfee espera que estos dispositivos esténsujetos a la distribución e infección por botnets. La falta de concientización en seguridad entre losusuarios de estos dispositivos, la potencial masividad de su utilización en múltiples aplicaciones y lainmadurez de las salvaguardas móviles ofrecen a los ciberdelincuentes muy buenas oportunidades.67

Por otro lado, Symantec Corporation señala que ya en 2010 existían todos los requerimientos para unpanorama de amenazas activas para estos dispositivos. El parque instalado de smartphones y otrosdispositivos móviles ha crecido lo suficiente como para tener un atractivo tamaño. Los dispositivoscorren sistemas operativos sofisticados que vienen inevitablemente con vulnerabilidades, con un totalde 163 en 2010. Además, los troyanos escondidos en legítimas aplicaciones vendidas en los almacenesde aplicaciones proveen un simple y efectivo método de propagación.68

Continuando con la visión de Websense Inc. en otros temas, la compañía opina que continuarán losataques combinados, por ejemplo SEO combinado con rogue AV, así como los correos electrónicosconteniendo componentes para el robo de datos. También las campañas de Spam continuarán teniendocomo blanco los muros de Facebook y otros sitios de redes sociales y las botnets crecerán ya quegeneran una buena ganancia a bajo costo para los ciberdelincuentes y tienen suficiente amplitud parallegar a cualquier lugar que se propongan.

Según Symantec Corporation, las botnets también mejorarán la técnica empleando esteganografía paraesconder sus comandos.69

AWPG opina que seguirá creciendo el uso de URls cortas y de subdominios por parte de los phishers.

Panda Security coincide con las tendencias ya enunciadas y enfatiza la consolidación de las redessociales como herramienta para los delincuentes y su crecimiento en ataques distribuidos.

66 Websense Inc - 2010 Threat Report A Websense White Paper – Consultado el 25/04/2011 –https://www.websense.com/assets/reports/report-websense-2010-threat-report-en.pdf67 McAfee, Inc. – McAfee Threats Report: Fourth Quarter 2010 – Consultado el 5/04/2011 –https://secure.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2010.pdf68 Symantec Corporation - Informe sobre las Amenazas a la Seguridad en Internet Vol. XVI Hallazgos América Latina– Consultado el 04/05/2011 – http://www.symantec.com/content/es/mx/enterprise/other_resources/ISTR-16-Datasheet-LAM-SP.pdf69 Symantec Corporation – Message Labs Intelligence 2010 Annual Security Report – Consultado el 02/05/2011 -http://www.messagelabs.com/mlireport/MessageLabsIntelligence_2010_Annual_Report_FINAL.pdf



Por su parte, Symantec Corporation incluye el crecimiento de los ataques dirigidos a industrias eindividuos específicos, así como los ataques de denegación de servicio sobre los sectores deinfraestructura crítica.



Capítulo IV - Impacto Económico

IntroducciónLa utilización de Internet se ha acrecentado notoriamente en las últimas décadas, pasando de un usoexclusivamente académico y militar a conformar hoy, una parte esencial de la infraestructura crítica quesostiene a las sociedades modernas. En este contexto, Latinoamérica no ha sido ajena a este fenómeno.

Sin embargo, y como fuera señalando precedentemente, junto a los múltiples beneficios que hansurgido de la mano de las tecnologías de la información, aparece un sin número de amenazas a partir dela explotación de sus debilidades, complejidades y escala global. Así nuestras sociedades son hoydependientes de la disponibilidad, precisión y confidencialidad de sus tecnologías de la información y lascomunicaciones, dejando muy pocas áreas de nuestras vidas al margen de la revolución digital.

En efecto, esas mismas tecnologías han reeditado viejos delitos a través de nuevas y más imperceptiblesformas de concretarlos. Diversos pronunciamientos de gobiernos, empresas líderes y organizacionesinternacionales llevan a asegurar que la magnitud del ciberdelito es realmente preocupante y a plantearescenarios de ataques cibernéticos, con consecuencias gravosas para la población. El Gobierno del ReinoUnido, por ejemplo, reconoció al delito cibernético como uno de los cuatro mayores riesgos para laseguridad de la Nación.70

En el caso particular de la región Latinoamericana, diversas publicaciones, como se muestra en elcapítulo III, la señalan como origen y blanco de numerosos tipos de incidentes, como las botnets, elSPAM, el phishing, el robo de identidad, etc.

Para dimensionar la magnitud del problema, un ejercicio imprescindible es estimar el impactoeconómico de estos ataques, que efectiva o potencialmente podrían afectar tanto a organizacionescomo a individuos en la región. Sin embargo, intentar determinar este impacto es una labor complejapor diversos motivos y cualquier afirmación, como se planteará más adelante, se basará necesariamenteen una serie de supuestos justificados, ante la imposibilidad de acceder a datos concretos sobre laocurrencia del incidente y sus características.

Porqué medir el impacto económicoEstimar el impacto económico de los ataques cibernéticos habilita la posibilidad de establecer la realdimensión del problema y facilita la asignación de recursos suficientes bajo una ecuación equilibrada decosto/beneficio. En este sentido, puede afirmarse que contar con estimaciones precisas del impacto, yasea real o potencial, de un ataque cibernético constituye uno de los pilares fundamentales para laadopción de medidas de protección para los datos y los recursos de información a todo nivel.

Como contracara, puede deducirse que una incorrecta asignación de recursos expone a la entidad o a lapersona a mayores riesgos e incrementa las posibilidades de sufrir otro ataque, con lo que aumenta elimpacto potencial y el problema tiende a retroalimentarse.

70 HMGovernment - A Strong Britain in an age of uncertainty. National Security Strategy October 2010 –Consultado el 25/04/2011 -http://www.direct.gov.uk/prod_consum_dg/groups/dg_digitalassets/@dg/@en/documents/digitalasset/dg_191639.pdf?CID=PDF&PLA=furl&CRE=nationalsecuritystrategy



Por otra parte y ya a nivel de una organización, al justificar la incorporación de una nueva herramientade seguridad o cualquier iniciativa para su fortalecimiento, se hace inevitable que deban respondersepreguntas vinculadas a los beneficios esperados. En otras palabras, se deberá tener en claro cuálesserían las consecuencias de no realizar esa acción y específicamente, cuánto se podría perder en casode no avanzar en su instrumentación.

A nivel de un país, contar con estimaciones de impacto económico permitiría orientar las acciones de losorganismos reguladores hacia aquellas áreas más susceptibles a pérdidas por ataques cibernéticos o aaquéllas cuyo impacto tenga un efecto negativo sobre toda o parte de la sociedad. Por otro lado, estasestimaciones pueden ser también expresadas como valor agregado de los efectos sobre las personas(clientes, ciudadanos, etc.) o de las empresas (Bancos, Hospitales, Compañías de aviación, Organismosestatales, Servicios Públicos, etc.).

Desde el punto de vista de las Fuerzas Policiales y de la Justicia, una estimación lo más precisa posible delas pérdidas económicas ocurridas o eventuales es importante a la hora de priorizar la respuesta alciberdelito y constituye la base para asegurar una sanción o penalidad acorde con el daño producido.

Los ejemplos citados dan cuenta de la importancia de contar con estimaciones del impacto delciberdelito en términos económicos. Sin embargo, existen pocos estudios y escasa bibliografía queavance en el análisis desde esta perspectiva, tanto a nivel global o regional como de los países enparticular. Más aún, los informes que existen muestra los datos sin detallar la manera en que fueroncalculados.

Dificultades para la estimaciónEstimar el impacto económico de un ciberdelito no es una tarea sencilla. La ausencia de datos sobre lacantidad real de casos registrados, las dificultades para establecer los costos indirectos y dimensionar lapoblación afectada son parte del problema. Influye asimismo el bajo nivel de seguimiento y registro deltiempo y los recursos asignados al momento enfrentar un ataque. Mayores complicaciones provienende los problemas para determinar sus consecuencias en el tiempo, todo lo cual dificulta la posibilidad deconocer el gasto total de remediación y compensación por las pérdidas registradas.

Como fuera mencionado anteriormente, un factor crucial es el escaso volumen de datos de casos deataques o fallas que se reportan. En el caso de los usuarios, generalmente desconocen dónde y cómoplantear una queja o reclamo ante un posible fraude informático, o bien cuando deciden hacerlo, no sondebidamente escuchados o entendidos. Otro factor a tener en cuenta es que no siempre es posibleencontrar a los culpables, lo cual resulta desalentador a la hora de decidir formular la denuncia, y quelas respuestas de las entidades, sean bancarias, empresas de seguro, etc. muchas veces soninsuficientes, dejando sólo al usuario frente al posible delito.

A diferencia de la estimación de la cantidad de casos de ataques registrados cuyo análisis se desarrollóen el Capítulo III, que puede basarse en herramientas automatizadas de recolección, en el caso de laponderación económica, se hace necesaria la denuncia o reporte de al menos un número significativode entidades o usuarios afectados, a fin de aproximar la cuantificación económica del daño producido,sea en costos directos o indirectos.

Hacia fines del siglo pasado, varias universidades de los EEUU se propusieron examinar en formasistemática los costos reales asociados a los incidentes de seguridad. A partir de sus estudios,



planteados bajo la denominación de ICAMP (Incident Analysis Modeling Project), se elaboró un modelopara la determinación de los costos de atención de incidentes y una serie de ejemplos de los ataquesmás comunes71.

Este estudio demostró que es posible realizar estimaciones, siempre que se mantenga un nivelrazonable de disciplina y diligencia entre quienes desarrollan las tareas vinculadas, llevando registro delos tiempos y recursos asignados como parte del proceso.

Esta afirmación que en el contexto de trabajo citado es aplicable al proceso de atención y remediaciónde un incidente, puede ser extendida a los costos de los ataques en general y no solo a aquéllosasociados a su gestión.

Puede afirmarse también que muchas entidades cuentan con datos parciales o totales respecto a losincidentes registrados, pero son reticentes a compartirlos con otros o a divulgarlos por cualquier otromedio, ante la posibilidad de que se afecte la confianza de los usuarios o clientes, se genere publicidadnegativa para la organización, los accionistas se enteren, las entidades regulatorias o de seguridadimpongan sanciones o bien, que otras empresas del ramo obtengan ventajas competitivas, entre otrasposibles razones.

Al respecto, cabe acotar que es un error grave suponer que la falta de estimaciones sobre la realdimensión del impacto económico pueda ser leída como su ausencia. Si bien es dable reconocer queestablecer la dimensión completa del incidente es posiblemente una tarea casi imposible en la mayoríade los casos, contar con valores estimados permitirá dimensionarlo y como ya fuera expresado, realizarlas previsiones necesarias priorizando los escenarios de mayor riesgo.

Algunas preguntas que podrían darse frente a un ataque real o potencial son las siguientes:

• ¿Cuántas personas/entidades denunciaron haber sido afectadas?

• ¿Cuál es la estimación del número de personas/entidades que pudo verse afectado pero no detectóaún el fraude o prefirió no denunciarlo?

• ¿Cuál es la pérdida promedio por persona y/o entidad afectada?

• ¿Cuál fue el efecto sobre el trabajo cotidiano de las personas, es decir cuántas no pudieron trabajaro efectuar algún tipo de transacción?

• ¿Cuál es el salario de estas personas o bien la pérdida promedio por esta imposibilidad de llevaradelante sus actividades?

• ¿Cuántas personas trabajaron en atender el incidente?

• ¿Cuántas horas destinaron al proceso de gestión del incidente?

• ¿Cuánto ganan estas personas?

• ¿Cuál será la previsión que se registrará para la atención de los costos posteriores en términos deposibles demandas legales?

71 Symantec Corporation – Artículo del 02/11/2010 por David Ditrich “Developing an Effective Incident CostAnalysis Mechanism” – Consultado el 23/04/2011 - http://symantec.com/connect/articles/developing-effective-incident-cost-analysis-mechanism



Con esta información disponible, luego es cuestión de mero cálculo arribar a un valor estimado que sibien posiblemente no refleje el incidente en su total dimensión, fija un piso para la estimación delimpacto económico.

Al respecto, las pérdidas totales asociadas a un ataque cibernético exceden los costos directos quepodrían llegar a estimarse, alcanzando aspectos ligados a la pérdida de credibilidad o reputación de lasentidades afectadas e inclusive de otras del mismo mercado o actividad. Así, un robo masivo de datospersonales vinculados a las tarjetas de crédito cometido a través de Internet, podría impactar en lavoluntad de los usuarios para utilizar sus tarjetas en otros puntos de compra de bienes o servicios enInternet.

Costos asociados a los incidentes informáticosLa bibliografía indica que los costos asociados a la ocurrencia de un incidente pueden catalogarse de lasiguiente manera:

• Costos preventivos, que incluyen el costeo de las medidas de seguridad física, lógica yorganizacionales y de las implementaciones, que dando cumplimiento al marco regulatorio y legal,deben ser efectuadas por las entidades y las personas con el fin de evitar la ocurrencia de losincidentes de seguridad, sobre la base del cumplimiento de estándares y buenas prácticas enmateria de seguridad.

• Costos de remediación, incurridos como consecuencia inmediata de los incidentes de seguridad, queabarcan las pérdidas directas que sufren las personas y las entidades, incluyendo aquéllas asociadasa las pérdidas de imagen, competitividad, etc.

• Costos de respuesta posteriores, como por ejemplo, las indemnizaciones a las víctimas, lassanciones y penalidades impuestas por los organismos reguladores y aquellos asociados a lasinvestigaciones forenses y gastos judiciales.

• Costos indirectos, vinculados por ejemplo, a la pérdida de confianza en las transaccioneselectrónicas y su impacto en el gobierno y el comercio electrónicos.

Objetivo y alcance del capítuloEl objetivo principal de este capítulo es proveer un marco para la medición del impacto económico delciberdelito en Latinoamérica, que pueda ser actualizado y mejorado cuando se disponga de informaciónmás precisa y de análisis más profundos, facilitando estimaciones futuras. Se propone asimismo, realizaralgunas estimaciones y proyecciones globales respecto a la dimensión que podría estar teniendo elciberdelito en la región. Estas proyecciones son realizadas en base a una serie de supuestos yespeculaciones, ante la ausencia de datos concretos y representativos sobre incidentes ocurridos.

En otras palabras, los valores que se indican en este capítulo son el resultado de estimaciones, más quede datos específicos de casos de ataques, frente al panorama de ausencia de información agregada yprecisa de los casos registrados. Se basan en datos obtenidos de fuentes públicas y en modelosutilizados mayormente en informes producidos en otros países o regiones, tanto por organizacionespúblicas como por entidades privadas, calculados usando factores locales, cuando fue posible. Tal comoya fuera indicado, se han tenido también en cuenta las opiniones de expertos locales e internacionales,cuyo aporte ha sido invaluable para la realización de este trabajo.



El término ciberdelito se utilizará para definir cualquier actividad maliciosa realizada con el fin decomprometer la confidencialidad, integridad y disponibilidad de la información, aprovechando lasvulnerabilidades que presentan Internet y otros sistemas. Las actividades cubiertas son aquéllas quellevan a cabo los delincuentes para acceder en forma no autorizada a la información y los servicios queutilizan las personas y organizaciones de Latinoamérica. Sólo se incluirá aquéllos que tengan un impactofinanciero, no contemplándose por ejemplo, daños a la reputación debido a las dificultades para sudeterminación. Esta decisión se adopta para evitar la inclusión de mayores complejidades en losmodelos utilizados para realizar las proyecciones, al aumentar la cantidad de supuestos yespeculaciones que es necesario realizar.

Los únicos ciberdelitos cubiertos son:

• Fraudes bancarios y phishing y sus consecuencias para las personas

• Fraudes bancarios y phishing y sus consecuencias para los bancos

• Fraude en comercio electrónico

• Robo de identidad

Otros ciberdelitos tales como la distribución de pornografía por Internet, la extorsión, el robo depropiedad intelectual en soporte electrónico, la venta de productos falsificados por Internet, la pirateríade software o el ciberterrorismo, entre otros, no son abarcados en el presente capítulo debido a que ose obtuvo información suficiente para estimar su impacto económico.

En cada caso analizado, se citan datos provenientes de publicaciones de los países de la Región quedetallan estimaciones del impacto económico de los ciberdelitos dentro de sus fronteras.

Demás está decir que la amplitud del impacto económico del ciberdelito excede el listado anterior. Sinembargo, ante la ausencia de datos concretos para ponderar otro tipo de incidentes, se ha vistoimposibilitada la realización de otro tipo de análisis. Al final del capítulo se agrega una serie de valores yestimaciones referidas a otros ciberdelitos, que fueron encontrados durante la revisión bibliográfica,con la idea de que puedan ser utilizados cuando se disponga de información más completa.

Informes internacionalesExisten pocos estudios completos sobre el impacto económico-financiero del ciberdelito a excepción dealgunos países como los EEUU, el Reino Unido y Australia.

En los EEUU por ejemplo, la Federal Trade Commission72, un organismo del Estado Federal que tienecomo objetivo la protección de los consumidores, mantiene una base de datos de reclamos muycompleta sobre fraude en Internet y robo de identidad, a partir de la cual se obtienen estadísticas sobrela cantidad de casos de ciberdelitos registrados y se estiman las pérdidas sufridas en forma individual yagregada. En sus publicaciones, este organismo indica recibir habitualmente entre 15.000 y 20.000llamados por semana de ciudadanos preocupados ante la posibilidad de haber sido víctimas de un robode identidad, siendo éste el rubro donde más quejas se reciben anualmente desde hace más de 10 años.Otras estadísticas muestran que durante el año 2010 este tipo de delitos le costó 50.000 millones de

72 Informes publicados en el sitio de Internet de la Federal Trade Commission – http://www.ftc.gov/



dólares a las empresas y que el conjunto de los usuarios afectados pagó 5.000 millones para reparar losproblemas causados por este tipo de delitos.

En cuanto al Reino Unido, un informe73 elaborado por la Oficina de Ciber Seguridad y Aseguramiento dela Información (OSCIA, por sus siglas en inglés) y la Empresa DETICA, analiza en detalle el costo delciberdelito en ese país, haciendo foco en la apropiación indebida de los datos de identidad que sufrenlos ciudadanos, el robo de propiedad intelectual, la extorsión a las empresas y el fraude fiscal cometidocontra el gobierno. Este informe concluye que el costo para la economía fue en el año 2010 de 27.000millones de libras esterlinas y que la tendencia de este impacto es creciente.

El estudio avanza indicando que la facilidad de acceso a la información de las personas y lasorganizaciones y el anonimato contribuyen a disminuir los riesgos de ser atrapado mientras se cometenestos delitos, lo cual hace esta actividad más atractiva para los delincuentes. Concluye además que losciberdelitos no se distribuyen en forma homogénea en todos los sectores de la industria y que esteproblema no debería ser solo atendido por el Gobierno. Indica que es esperable que el costo deciberdelito a escala nacional se incremente, si no se adoptan medidas adecuadas para prevenir la“hemorragia” (sic.) de información valiosa relativa a propiedad intelectual.

El informe alienta a todas las empresas a invertir en mejoras a la seguridad de su información sobre labase de evaluaciones de riesgo. Sólo de esta manera, afirma el estudio, se podría disminuir el impactoeconómico del ciberdelito en el Reino Unido. Resalta también que uno de los problemas más graves esla falta de mecanismos de reporte y la percepción de que aún cuando se denuncien, poco se puedehacer para prevenirlos. Por ello, llama al Sector Privado y al Gobierno a realizar esfuerzos paraconcientizar, compartir esfuerzos y medir el ciberdelito, con el fin de que las respuestas puedan ser máscerteras.

En el caso de Australia, un informe al Parlamento74 publicado indica que si bien es difícil cuantificar elimpacto negativo causado por la pérdida de confianza en los servicios en línea, éste podía estimarse enmiles de millones de dólares.

Existen también informes de empresas dedicadas a la seguridad que intentan cuantificar a nivelinternacional el impacto económico producido por distintos tipos de ataques. Sin embargo, muy pocosse refieren específicamente a la región Latinoamericana y los datos se basan en su mayor parte, ensupuestos y estimaciones.

Fuentes de datos y metodologíaComo en los anteriores, para la formulación de este capítulo se ha obtenido información de fuentes dedominio público, complementada por las opiniones de especialistas en ciberseguridad de organizacionespúblicas y privadas, de Latinoamérica y de algunos centros de investigación en el mundo. La lista de losinformes y profesionales consultados puede ser accedida en los anexos de este informe.

73 Cabinet Office of United Kingdom - The cost of Cyber crime - A Detica report in partnership with the Office ofCyber Security and Information Assurance in the Cabinet Office” – Consultado el 24/03/2011 -http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime74 Parliament of Australia House of Representatives - Hackers, Fraudsters and Botnets: Tackling the Problem ofCyber Crime Junio 2010 – Consultado el 17/04/2011 -http://www.aph.gov.au/house/committee/coms/cybercrime/report.htm



La mayoría de los cálculos realizados son adaptaciones de proyecciones similares efectuadas para otrostrabajos de similar propósito para otras regiones o países. En todos los casos en que fue posible, seutilizaron valores de la región o bien se tomaron indicadores de otras áreas, corregidos por la realidadlocal. Estas perspectivas fueron revisadas con los especialistas. Las fuentes fueron verificadas ysopesadas, privilegiando siempre las más reconocidas por tratarse de entidades internacionales,organismos nacionales o bien empresas de trayectoria del sector. Ante más de una fuente posible desimilar nivel de confianza, se utilizó la más conservadora. De igual forma, se privilegiaron los datos másrecientes ya que se ha comprobado que los ataques cibernéticos van cambiando y reinventándose amedida que aparecen medidas para neutralizarlos.

Calcular el impacto del ciberdelito en un país o región es una tarea compleja. Las estimaciones quesiguen se basan en supuestos y evaluaciones fundamentadas más que en datos reales dado que comofuera ya consignado, no se encuentran accesibles bases completas de incidencia del ciberdelito. Enconsiguiente, los valores que se exponen deben ser interpretados como guías ilustrativas del efecto delciberdelito, más que como datos concretos del impacto económico del ciberdelito en la región.

Fraudes financierosUn informe de la Federación Brasileña de Bancos FEBRABAN75 da a conocer que el fraude bancariodurante el primer semestre de 2010 habría alcanzado los 450 millones de reales, aproximadamenteunos 245 millones de dólares estadounidenses. El mismo informe señala que proporcionalmente, nohabía aumentado ya que durante el año 2009, las pérdidas estimadas habían alcanzado los 900 millonesde reales, es decir unos 490 millones de dólares estadounidenses. El artículo no aclara si estos valoresrepresentan el costo para los clientes bancarios o para los bancos o el valor agregado para todo elsistema en general.

Un informe de la Empresa Gemalto76 por su parte, cuenta que en el año 2010 en Colombia, el 42% delos bancos reportó algún tipo de fraude y que las pérdidas por fraudes bancarios electrónicos cometidosen el año 2010 en Chile superaron los 5 millones de dólares estadounidenses. En este último país, ysegún informes de la Brigada Investigadora del Cibercrimen de la Policía de Investigaciones de Chile77,los fraudes financieros realizados por Internet crecieron 40% en dicho año. Esta fuente considera queeste país es uno de los que presenta una de las mayores tasas de ciberdelincuencia en la región.

75 NOW!DIGITAL BUSINESS – Artículo del 31/08/2010 por Renato Rodrigues “Fraudes em internet banking deramprejuízo de R$ 900 milhões em 2009” – Consultado el 20/05/2011 -http://idgnow.uol.com.br/seguranca/2010/08/31/fraudes-online-deram-prejuizo-de-r-900-milhoes-em-2009-diz-febraban/76 Radio Fe y Alegría Noticias - Artículo del 01/04/2011 por Samuel Hourdin, Director de la División en LatinoAmérica de eBanking, Gemalto “Latinoamérica fina para el fraude electrónico” – Consultado el 26/04/2011 -http://www.radiofeyalegrianoticias.net/index.php?option=com_content&view=article&id=6534:latinoamerica-fina-para-el-fraude-electronico&catid=10:lo-actual&Itemid=4777 Ebanking News – Artículo del 27/04/2011 por Cludio Wipe “Los fraudes más comunes en el comercioelectrónico” - Consultado el 15/05/2011 – http://www.ebanking.cl/seguridad/los-fraudes-mas-comunes-en-el-comercio-electronico-006116



Por otra parte, la firma Frost and Sullivan78 analizó el fraude informático en los Bancos e InstitucionesBancarias y Financieras de Latinoamérica. Como parte de su estudio presenta el monto promedio defondos robados por incidente de fraude en la región. El cuadro que sigue muestra sus conclusiones:

Como puede apreciarse del gráfico, un 60% de los casos relevados no alcanzó los 500 dólaresestadounidenses, seguido de un 5% entre 501 y 1.000 dólares y un 35% superando ese valor. El estudioavanza que el promedio por incidente fue de 941 dólares estadounidenses.

En cuanto a México, en el año 2010 la Comisión Nacional Bancaria79 estimaba que la cifra total atribuiblea fraudes bancarios podía rondar los 60 millones de dólares estadounidenses. El informe agrega que lacantidad real de fraudes ocurridos efectivamente no está reflejada en los reportes debido a que no haydenuncias ya sea porque los bancos optaron por devolver el dinero a los afectados y/o directamente noreportaron los ilícitos para no dañar su reputación.

Estimaciones

Costo para los clientes

Un estudio de la Firma Trusteer80 realizado sobre la base de datos recolectados en el transcurso de tresmeses, sobre clientes bancarios ubicados en Europa y los EEUU, concluye que un 0.47% son víctimas deataques de phishing cada año.

Para determinar la cantidad de clientes bancarios en la región, se tomó en consideración un estudiopublicado en el sitio de la Federación Latinoamericana de Bancos81 que indica que aproximadamente un43% de la población adulta de Latinoamérica se encuentra bancarizada. Se entiende por bancarización

78 Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras deLatinoamérica 2010 – Consultado el 29/04/2011 - http://www.frost.com/prod/servlet/market-insight-top.pag?docid=21343377979 MasPorMas - Artículo del 12/05/2011 por Oscar C. González “Comercio Electrónico es origen de e-fraudes” –Consultado el 26/05/2011 – http://www.maspormas.com.mx/2011/05/comercio-electronico-es-origen-de-e-fraudes/80 Trusteer Inc - Measuring the Effectiveness of In-the-Wild Phishing Attacks 2009 – Consultado 3l 15/04/2011 -www.trusteer.com/sites/default/files/Phishing-Statistics-Dec-2009-FIN.pdf81 Felaban - Promoviendo el Acceso a los Servicios Financieros: ¿Qué nos Dicen los Datos sobre Bancarización enAmérica Latina? – Consultado el 19/04/2011 - www.felaban.com/pdf/servicios_financieros.pdf



el porcentaje de personas mayores de 18 años que tienen una o más cuentas en instituciones bancariasy financieras.

Por otra parte, diversos estudios señalan que la pérdida promedio por cuenta comprometida seencuentra alrededor de los 1.000 dólares estadounidenses.82 83 84 85

Tomando entonces la cantidad de clientes bancarios en Latinoamérica corregido por el factor que señalala proporción de quienes finalmente resultan engañados y proveen sus datos, multiplicado por lapérdida promedio, puede concluirse que las pérdidas anuales por phishing rondarían los 761 millones dedólares estadounidenses como valor agregado de las pérdidas de cada cliente engañado.

Este valor puede ser considerado conservador ya que no computa la cantidad de cuentas sino lacantidad de clientes, considerando en este sentido que cada uno de ellos podría ser titular de más deuna cuenta.

Costo para los bancos

Otra perspectiva del phishing es el costo que representa para los bancos. Al respecto, el estudio de lafirma Trusteer citado más arriba señala que los bancos son atacados en promedio a través de 16 sitiosweb maliciosos por semana. Por otro lado Dawn Hicks86 , quien citando el trabajo realizado por FrederickW. Stakelbeck, Jr. del Philadelphia’s Federal Reserve Bank, estima que el costo total para un banco de unataque de phishing rondaría los 50.000 dólares americanos o entre 50 y 60 dólares por cada cuentaafectada.

Considerando que de acuerdo a estudios87 del Foro de Liquidación de Pagos y Valores del HemisferioOccidental, existen en la Región cerca de 2.500 bancos, puede estimarse que el costo total para losbancos sería de 93.000 millones de dólares.

Las pérdidas totales agregadas para los bancos de Latinoamérica al afrontar los costos delphishing serían de 93.000 millones de dólares estadounidenses por año.

82 Frost and Sullivan - Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras deLatinoamérica 2010 – Consultado el 29/04/2011 - http://www.frost.com/prod/servlet/market-insight-top.pag?docid=21343377983 Idem 74.84 Homeland Security Newswire - Artículo del 28/02/2008 “More than $3 billion lost in 2007 in phishing attacks”Consultado el 26/04/2011 - http://www.homelandsecuritynewswire.com/more-3-billion-lost-2007-phishing-attacks85 The Bismark Tribune - Artículo del 02/05/2011 por Keith Darnay “Avoiding email phishing scams” – Cita datos delAPWG – Consultado el 15/05/2011 - http://www.bismarcktribune.com/news/columnists/keith-darnay/article_75ba7068-6fff-11e0-9a81-001cc4c002e0.html86 Federal Reserve Bank of Boston - Phishing and Pharming - Helping consumers avoid internet fraud – Consultadoel 19/04/2011 - www.bos.frb.org/commdev/c&b/2005/fall/phishpharm.pdf87 Foro de Liquidación de Pagos y Valores del Hemisferio Occidental - Estadísticas Comparativas sobre Sistemas dePago y Liquidación de Valores en los países del Foro de Pagos - Estadísticas para 1999 – 2009 – Consultado el20/04/2011 - http://www.forodepagos.org/Estadisticas1999-2009.htm

Las pérdidas anuales por phishing en Latinoamérica rondarían los 761 millones de dólaresestadounidenses como valor agregado de las pérdidas de cada cliente engañado.



Otros valores de interésSe citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras delimpacto económico de este tipo de ciberdelito, en la medida en que sea posible acceder a otros datosconfiables para el cálculo:

• Según el informe de Trusteer cada año se registran entre 2,4 y 9,4 millones de dólaresestadounidenses en pérdidas para los clientes bancarios por millón de clientes de e-banking. Los dosvalores citados surgen de tomar como base una pérdida individual por cliente de 500 y 2.000dólares estadounidenses, respectivamente.

• De acuerdo a los estudios del APWG para el primer y segundo semestre del año 201088, el tiempopromedio de permanencia de un sitio web malicioso de phishing en los países de Latinoamérica fuede 48 y 91 horas respectivamente. Este cálculo fue realizado sobre la base del detalle de países quefigura al final de cada informe.

• En los mismos informes, aparecen para el primero y segundo semestre del año 2010, 1.665 y 2.880sitios web maliciosos detectados en Latinoamérica. El trabajo aclara que se entiende por talesaquellos sitios únicos que tienen por objetivo una entidad bancaria específica.

• En el año 2010, el phishing fue el tercer tipo de fraude de mayor impacto económico en lasinstituciones financieras, luego de los fraudes vinculados a tarjetas de crédito/débito y a cheques.89

• De acuerdo a un informe de la empresa RSA90, en el año 2010 un 31% de los latinoamericanosafirmaba haber sido objeto de un ataque de phishing. De los países relevados, Brasil informó elporcentaje más alto (41%) de consumidores afectados, seguido por Perú (31%), México (30%), Chile(29%) y finalmente, Colombia (24%). El informe se basó en una encuesta realizada a casi 1.000participantes ubicados en los países antes citados, que presentaban la condición de ser usuarios enlínea.

• Un estudio de Tyler Moore y Richard Clayton91 realiza un análisis empírico sobre datos de tiemposde remoción de sitios web de phishing, vinculado al número de visitas que recibe cada sitio,concluyendo que la cantidad de personas que divulgan sus datos es de 18 el primer día y 8, en losdías subsiguientes.

88 AntiPhishing Working Group - Global Phishing Survey: Domain Name Use and Trends in 2H2010 y Global PhishingSurvey: Domain Name Use and Trends in 2H2010 – Consultado el 05/05/2011 -http://www.apwg.org/resources.html#apwg89 AllSpammedUp – Artículo del 20/01/2011 por John P Mello Jr “Phishing in Top 3 Fraud Threats for 2010”-Consultado el 16/05/2011 – http://www.allspammedup.com/2011/01/phishing-in-top-3-fraud-threats-for-2010/90 Deferencia.com - Citado en el artículo “Un 31% de los latinoamericanos asegura haber sido víctima de phishing”- Consultado el 23/04/2011 - http://www.degerencia.com/noticia/33228/un-31-de-los-latinoamericanos-asegura-haber-sido-victima-de-phishing91 Computer Laboratory, University of Cambridge - APWG eCrime Researchers Summit - Examining the Impact ofWebsite Take-down on Phishing 2007 - Consultado el 21/04/2011 -http://citeseer.ist.psu.edu/viewdoc/summary?doi=10.1.1.105.7569



Fraude en el comercio electrónicoUn estudio de VISA92 sobre el crecimiento del comercio electrónico en Latinoamérica asegura quedurante el año 2009, éste alcanzó un volumen de 21.800 millones de dólares estadounidenses. Estecrecimiento se debe a diversos motivos, entre los que se encuentran el uso cada vez mayor de Internet,conexiones más veloces de banda ancha, una creciente confianza del consumidor, una mayor cantidadde comerciantes que utilizan este canal de venta y una mayor difusión de uso de los medios de pagoelectrónicos.

Otro informe93 de la empresa antes citada precisa que en valores monetarios, Brasil representa un 61%del comercio electrónico en Latinoamérica, alcanzando un volumen de más de 13.000 millones dedólares en el 2009. Este crecimiento se sustenta en el crecimiento de la cantidad usuarios de Internet,los bajos costos de la banda ancha y un uso importante de las tarjetas de crédito y débito en dicho país.Le siguen México con un 12% de consumo total seguido de Chile con un 5% y luego Colombia y Perú.

EstimacionesUn artículo de la Firma McAfee Inc.94 señala que el fraude como porcentaje del volumen del comercioelectrónico se ha estabilizado en Canadá y los EEUU en alrededor del 1.4%. Otro estudio95 similar de lafirma CyberSource Corporation, realizado en el 2008 para la comercialización de bienes digitales(películas, música, juegos, servicios de VoIP, etc), señala que en esta área del comercio electrónico, elfraude, entendido como los créditos y la anulación de cargos generada por reclamos de los clientes,puede estimarse en un 1.8% del ingreso total de las operaciones en línea. El informe señala que estevalor es 38% más alto que el fraude en otras áreas no virtuales del comercio electrónico (entendiéndosepor tales aquellas que comercializan bienes que no pueden ser descargados directamente de Internet),obteniéndose entonces para estos últimos, un valor similar al 1.4% señalado más arriba.

Un estudio96 más reciente de la firma CyberSource Corporation, referido a datos del año 2010 obtenidostambién de relevamientos en Canadá y los EEUU, concluye que por segundo año consecutivo, loscomerciantes en línea mejoraron sus porcentajes frente al fraude, llegando a un valor estimado de 0.9%promedio de sus ganancias, luego de un pico de 1.4% en 2008 y un 1.2% en el 2009. Esta evoluciónpuede apreciarse en el siguiente cuadro que muestra el porcentaje de las pérdidas atribuido a losfraudes en los pagos en línea, entre los años 2000 y 2010:

92 Ecommerce Journal - Artículo del 06/08/2010 - “Visa: e-commerce in Latin America and Caribbean has spikednearing 40% in 2009” - Consultado el 13/04/2011 - http://ecommerce-journal.com/news/29219_visa-e-commerce-latin-america-and-caribbean-has-spiked-nearing-40-200993 PC World - Informe de VISA citado en el artículo “VISA y el comercio electrónico en la región de América Latina2010” – Consultado el 18/04/2011 -www.pcwla.com/pcwla2.nsf/articulos/1DE63C5D9690E5ED852577F700743D65?opendocument&page=294 McAfee Inc - Financial Fraud and Internet Banking: Threats and Countermeasures 2009 – Consultado el06/05/2011 - http://www.mcafee.com/us/resources/reports/rp-financial-fraud-int-banking.pdf95 Cybersourse - Fraud Benchmarks and best practices: digital merchants 2008” – Consultado el 04/05/2011 -http://www.cybersource.com/cgi-bin/pages/prep.cgi?page=/promo/digitalmerchantfraudwp/index.html96 Cybersource - 12th On line Fraud Report 2011 – Consultado el 22/04/2011 -http://forms.cybersource.com/forms/FraudReport2011NACYBSwww2011



Para realizar una estimación en este caso y siendo que no se cuenta con un valor del porcentajeestimado de fraude para la región, se tomará entonces el 0.9% sobre el monto total que generó elcomercio electrónico en Latinoamérica en el 2009, siendo éste el valor más conservador. Aplicando esteporcentaje, podría proyectarse en consecuencia, un fraude estimado en 196 millones de dólaresestadounidenses para toda la región.

Otros valores de interésSe citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras delimpacto económico del fraude en el comercio electrónico, en la medida en que sea posible acceder aotros modelos y datos confiables para su cálculo:

• En el siguiente cuadro97 puede observarse la situación de México, Argentina y Brasil y de otrospaíses no pertenecientes a la región, en materia de fraudes de cliente no presente (CNP, por sussiglas en inglés) que tiene lugar por teléfono o por Internet, con respecto a las ventas del comercioelectrónico en cada país.

97 Global Collect International Payment Service - Comercio electrónico global: ¿Cómo incrementar las ventas enlínea sin caer en manos de estafadores? – Consultado el 10/05/2011 -http://www.globalcollect.com/Whitepapers/Comercio-electronico-global/

El fraude en el comercio electrónico en Latinoamérica podría estar alcanzando los 196 millonesde dólares estadounidenses.



• El informe “12th On line Fraud Report” de la firma Cybersource referido precedentemente señalaque históricamente las órdenes fraudulentas de mercaderías tienden a mostrar precios totalespromedio mayores que las válidas. Señala que el valor medio en el año 2010 fue de 245 dólaresestadounidenses, comparado con los 120 dólares de las órdenes válidas. Afirma también que existeuna mayor tendencia al rechazo en las órdenes de países extranjeros y que algunos comercianteshan optado por bloquear directamente órdenes provenientes de países que han mostrado unelevado nivel de fraude. El siguiente cuadro, obtenido del informe antes citado, muestra la relaciónentre el porcentaje de órdenes rechazadas de los EEUU y Canadá y el de otros países, entre los años2006 y 2010. Como puede apreciarse, es mucho mayor en el caso de las órdenes provenientes depaíses no ubicados en América del Norte.



Fraudes vinculados a la identidadBajo este tipo de fraudes se incluye el uso de identidades falsas o robadas para obtener servicios obienes mediante distintos tipos de engaño o ardid. En su versión tradicional, tienen lugar a partir delrobo o la falsificación de documentos de identidad, tales como los documentos nacionalesidentificatorios, los pasaportes, las licencias de conducir, etc. A partir del advenimiento del uso de lastecnologías de información y particularmente de Internet, este delito toma nuevas formas y seencadena de alguna manera a otros ciberdelitos tales como el phishing, el pharming, el spam, códigomalicioso, las botnets, etc.

En consiguiente, el fraude en el comercio electrónico y el bancario, tratados precedentemente, tienenen su mayor parte componentes vinculados al robo de identidad, como pasos del proceso de comisiónde los ciberdelitos. Se los presenta en forma separada debido a la magnitud que representa el robo deidentidad entre los actos ilícitos cibernéticos, crecimiento que surge a partir del incremento de ladisponibilidad de datos personales en línea que se viene registrando en los últimos años.

En efecto, diversos estudios coinciden en afirmar que el robo de identidad es el delito de mayorcrecimiento en el mundo, amparado además en el volumen creciente de datos disponibles, en lafacilidad con que se pueden obtener información de usuarios desprevenidos, las insuficientes campañasde prevención, el crecimiento de las redes sociales y sus múltiples usos que exceden lo meramente“social”, y un mercado delictivo cada vez más atractivo para el tráfico de este tipo de información.

En línea con lo anterior, un informe98 del organismo del Gobierno de los Estados Unidos responsable deproteger a los consumidores, la Federal Trade Commission, afirma que hace ya más de una década, elrobo de identidad es la queja más frecuente, alcanzando un 19% del total de denuncias recibidas en elaño 2010.

En consecuencia, es dable esperar que el impacto económico de este tipo de delitos sea también alto,mostrando además una tendencia creciente. En este caso, deben tenerse en cuenta diversos factores: lapérdida económica directa para la persona afectada, el valor asociado al tiempo que le lleva realizar lasgestiones para solucionarlo, el costo de reparación y resarcimiento para la entidad en donde el usuariotenía sus datos, las posibles sanciones a las que dicha entidad podría verse expuesta, etc.

En una entrevista al Jefe del Grupo de Investigaciones Tecnológicas del Gobierno de Colombia99, puedeleerse que el robo de información bancaria genera en promedio 189 denuncias mensuales, lo quesignifican 6,3 al día y que al momento de realización de la nota, dicha unidad investigaba fraudes por 20mil millones de pesos (unos once millones de dólares estadounidenses a valores de hoy).

Según un informe de ESET100 en Ecuador, la Policía Judicial informó que en el año 2009 se realizaron 891denuncias asociadas al robo de identidad, mientras que en México, este tipo de delito ha demostrado

98 Federal Trade Comission - Consumer Sentinel Network Data Book for January to December 2010 – Consultado el25/04/2011 - www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf99 Diario La República – Artículo del 14/10/2010 por Mauricio Jaramillo “Investigan fraudes financieros por 20.000millones de pesos” – Consultado el 03/05/2011 - http://www.larepublica.com.co/archivos/FINANZAS/2010-10-14/investigan-fraudes-financieros-por-20-mil-millones-de-pesos_112832.php100 ESET Latinoamérica – Artículo del 08/04/2011 por Rápale Labaca Castro “El robo de identidad y sus cifras enLatino América” – Consultado el 30/04/2011 - http://blogs.eset-la.com/laboratorio/2011/04/08/robo-identidad-cifras-america-latina/



una tendencia creciente en estos últimos años, llegando a generar pérdidas de hasta 9 millones dedólares anuales.

EstimacionesEl informe “The Cost of Cybercrime” citado más arriba, que analiza la evolución del delito informático enel Reino Unido, presenta dos maneras de estimar el impacto del robo de identidad, una de las cualesparte de la cantidad de ciudadanos con acceso a Internet. Este valor es luego multiplicado por laprobabilidad de que cada uno de ellos sea blanco de un robo de esta naturaleza, corregida por un factorque pondera que ese delito sea cometido en línea. El total obtenido es luego multiplicado por un montoestimado de pérdida por caso.

De acuerdo a lo informado por Internet World Stats101, en marzo de 2011 había en Latinoaméricaaproximadamente 216.000.000 de personas conectadas a Internet. Por otra parte, informaciónpublicada102 por el Federal Trade Commission, organismo del Gobierno de los EEUU referidaanteriormente, indica que en el año 2010 un 3% de los estadounidenses sufrió un robo de identidad.Este valor coincide con estimaciones publicadas por la Oficina Estadística de la UE – EuroStat, en cuantoa la cantidad de personas que Europa había sufrido algún tipo de pérdida financiera por robo deidentidad.

En cuanto a la proporción de los casos de robo de identidad que se realizan a través de Internet, elinforme del Reino Unido referido lo estima en un 25%. Este coincide con la publicación de la firma Edgar,Dunn & Company, que analizando las estimaciones de varias agencias globales de prevención del delito,observan que la mayoría coincide en estimar que un 25% de todos los reclamos por fraude por parte deconsumidores estaban relacionados con el uso de Internet.

Tomando los factores antes citados y como base, un valor promedio para el robo de identidad de 572dólares estadounidenses por víctima103, se estima que el monto total de la pérdida para Latinoaméricasería de 920 millones de dólares estadounidenses.

Se estima que el monto total de la pérdida para Latinoamérica por robo de identidad sería de920 millones de dólares estadounidenses.

Otros valores de interésSe citan a continuación otras métricas que podrían tenerse en cuenta para estimaciones futuras delimpacto económico del robo de identidad, en la medida en que sea posible acceder a otros datos ymodelos confiables para su cálculo.

101 Internet World Stats - Internet Usage Statistics for the Americas – Consultado el 28/04/2011 -http://www.internetworldstats.com/stats2.htm102 Federal Trade Commission – About Identity Theft – Consultado el 03/05/2011 -http://www.ftc.gov/bcp/edu/microsites/idtheft/consumers/about-identity-theft.html103 University of Cambridge – Sixth Workshop on the Economics of Information Security – Citado por Tyler Mooreand Richard Clyton en su trabajo: “An empirical analysis of the current state of Phishing Attack and Defense 2007”– Consultado el 10/05/2011 - http://people.seas.harvard.edu/~tmoore/weis07-pres.pdf



• Un informe del Servicio de Prevención de Fraudes del Reino Unido104 (CIFAS, por su sigla en inglés)indica que más de 40.000 piezas de información privada financiera y sensible de las personas secomercializa en el mercado negro, totalizando 13,2 millones por año.

• En una entrevista periodística105, Daniel Monastersky, Director Ejecutivo del Portal argentino“Identidad Robada” aseguraba que en el 2009 las estadísticas internacionales señalaban 10usurpaciones de identidad por hora.

• Datos obtenidos a partir de relevamientos realizados en Canadá, EEUU y el Reino Unido106 dancuenta de que entre el 38% y el 48% de las víctimas se enteró de que su identidad había sido robadadentro de los 3 meses posteriores a su inicio, siendo el monto promedio del fraude de 4.841 dólaresestadounidenses y el gasto en el que incurren las víctimas para solucionarlo, de entre 851 y 1.378dólares estadounidenses.

Otros tipos de incidentesLa falta de información referida a otros tipos de incidentes ha hecho imposible presentar valores deimpacto económico para los países o para la región. Sin embargo, en el decurso de esta investigación seha encontrado algunos datos que pueden tener valor para investigaciones futuras a la hora dedimensionar la magnitud del ciberdelito en la región y entender sus causas y consecuencias, cuandoexista mayor información disponible.

Siguen a continuación las estimaciones y proyecciones encontradas:

• De acuerdo a un estudio realizado por la consultora Forrester Research107, las exposiciones y fugasde información accidentales o intencionales tienen un costo de 90 a 350 dólares estadounidensespor registro perdido, entre notificaciones al cliente, multas por incumplimiento de regulaciones,pérdida de prestigio y devaluación de acciones.

• Un estudio de la empresa Symantec108 realizado en el 2010 sobre 7000 usuarios de Internetlocalizados en 14 países, indica que el 65% ha experimentado algún tipo de ciberdelito.

• El informe señala que el tiempo promedio que le lleva a cada persona resolver un ciberdelito es de28 días, con un costo promedio de 334 dólares estadounidenses. En el caso de Brasil, uno de los 14

104 CIFAS – The UK’s Prevention Service - The Digital Thieves: a special report on on-line fraud 2010 – Consultado el29/04/2011 -http://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/Digital_Thieves_October2010.pdf105 YouTube Videos – Consultado el 28/04/2011 - http://www.youtube.com/watch?v=ulYv3Y2d-94&feature=player_embedded106 Identidad Robada - Artículo con infografía del 04/04/2011 “Estadísticas sobre Robo de identidad” – Consultadoel 20/04/2011 - http://www.identidadrobada.com/estadisticas-sobre-robo-de-identidad-infografia/107 b:secure - Citado en el Artículo del 11/04/2011 por David Schekaiban “Lo que todo CEO debe saber sobreseguridad informática” – Consultado el 09/05/2011 – http://www.bsecure.com.mx/opinion/lo-que-todo-ceo-debe-saber-sobre-seguridad-informatica/108 InformationWeek - Citado en el Artículo del 08/09/2010 por Mathew J. Schwartz “Symantec Finds 65% HaveBeen Hit By Cybercrime” – Consultado el 15/05/2011 -http://www.informationweek.com/news/security/attacks/227300362?cid=RSSfeed_IWK_All



países que participó en el estudio, el tiempo promedio fue de 43 días y el costo promedio de 1.408dólares estadounidenses.

• El mismo informe señala que solo un 44% de los participantes hicieron la denuncia en las instanciaspoliciales o judiciales correspondientes. Entre los motivos aducidos para no efectuar el reporte, seencuentran:

» La falta de confianza en estas áreas y la creencia de que nada pasará si se hace la denuncia

» El deseo de no hacer mayores trámites, completando formularios o hablando con personalpolicial o judicial

» La idea de que el delito no es lo suficientemente serio o significativo o las pérdidas losuficientemente importantes, como para merecer que se ocupen del tema.

» La negación de lo acontecido para no sentirse victimizadas

» La posibilidad del ridículo frente a otros por haber caído en el engaño y haber sido víctimas delfraude

» La auto-incriminación por no haber adoptado las medidas técnicas necesarias para protegerse,como la instalación y actualización del antivirus, el debido cuidado antes de acceder a sitiosdesconocidos, etc.

» El hecho de que no resulte necesaria la presentación de documentación ante compañías deseguro o similar y la sensación de que la denuncia no contribuirá a la prevención.

Los valores de la ciberdelincuenciaEste capítulo se centró en las pérdidas a las que se exponen los usuarios y las organizaciones cuando sonafectados por el ciberdelito. Pero cabe preguntarse cuán lucrativo es este negocio ilícito y en cuanto sebeneficia como consecuencia de la inacción de las organizaciones. Siguen algunos valores obtenidos defuentes públicas:

• Es posible obtener todas las herramientas para iniciar una campaña de phishing por unos 200dólares estadounidenses.109

• Las tarjetas de crédito y la información de cuentas bancarias constituían en el año 2009 el 51% delos bienes promocionados en los canales de la economía clandestina. Las tarjetas en particular sevenden en el mercado negro a un valor promedio de 98 centavos de dólar estadounidense, cuandose las entrega en cantidad. Una identidad completa puede valer unos 10 dólares estadounidenses.110

• El costo de alquiler de una botnet por hora se cotiza en los foros del mercado negro enaproximadamente 9 dólares estadounidenses. El alquiler diario rondaría los 67 dólares.111

109 Computerworld – Artículo del 11/01/2006 por Martin McKeay “Phishing statistics” – Consultado el 06/05/2011 -http://blogs.computerworld.com/node/1561110 CNN – Artículo del 22/09/2009 por David Goldman “Cibercrimen: una economía clandestina” – Consultado el23/04/2011 - http://www.cnnexpansion.com/tecnologia/2009/09/21/cibercrimen-una-economia-clandestina111 CIFAS – The UK’s Prevention Service - Informe de VeriSign iDefense, citado en el estudio “The Digital Thieves: aspecial report on on-line fraud” – Consultado el 29/04/2011 -



• Se ha encontrado evidencia sobre la práctica del phishing que indica que quienes se inician en estaactividad ilícita suelen vender el acceso a las cuentas a otros delincuentes mientras que “phishers”más experimentados obtienen fondos directamente de las cuentas que victimizan.112

• Un estudio sobre la seguridad de las economías de la información, realizado por McAfee Inc. yScience Applications International Corporation113, citado por varios fuentes en Internet, señala queun 25% de las organizaciones relevadas han sufrido la paralización o atraso de una fusión oadquisición, o bien de la implementación de un nuevo producto o solución, a causa de una filtraciónde datos o por una amenaza creíble de filtración de datos. Sólo la mitad de estas organizacionesadoptaron medidas para solucionar el problema y para prevenir intrusiones futuras.

• El informe asegura también que entre las organizaciones encuestadas, una gran cantidad no realizaevaluaciones de riesgo frecuentes, creando un ambiente propicio para eventuales ataques, mientrasque un cuarto de ellas evalúa hasta dos veces al año las amenazas o riesgos que pueden afectar susdatos. Indica también que sólo tres de cada diez organizaciones informan todas las filtraciones dedatos que sufren y seis de cada diez, seleccionan las filtraciones que informan. El mismo informeasegura que 8 de cada 10 entidades almacenan datos en el extranjero y que en algunos países,como Estados Unidos, China e India, las organizaciones gastan más de 1 millón de dólaresestadounidenses por semana solo en proteger información confidencial almacenada en elextranjero.

• Haciendo un análisis sobre corporaciones, PWC informa que en el año 2010 realizó su 13º encuesta“Global State of Information Security Survey” entre más de 12.840 profesionales (desde CEOs aCSOs) procedentes de 135 países.114 La distribución fue la siguiente:

Continente PorcentajeAsia 36,9%Europa 30,3%América del Norte 16,8%América del Sur y Central 14,2%Medio Oriente y África del Sur 1,8%

Los resultados de la misma dieron los siguientes valores en porcentaje, respecto de los tresimpactos evaluados.

http://www.cifas.org.uk/secure/contentPORT/uploads/documents/CIFAS%20Reports/Digital_Thieves_October2010.pdf112 ZDNET – Atículo 08/01/2009 por Dancho Danchev “Microsoft study debunks phishing profitability” – Consultadoel 12/04/2011 - http://www.zdnet.com/blog/security/microsoft-study-debunks-phishing-profitability/2366?tag=mantle_skin;content113 Tendencia Digital - “Economías informales: el capital intelectual y los datos corporativos privados son ahora lamoneda de cambio para el cibercrimen”, citado en el artículo del 07/04/2011 “Estudio de mcafee y saic indica queel capital intelectual corporativo es la nueva moneda de cambio del cibercrimen” – Consultado el 05/05/2011 -http://www.tendenciadigital.com.ar/seguridad/noticias/estudio-de-mcafee-y-saic-indica-que-el-capital-intelectual-corporativo-es-la-nueva-moneda-de-cambio-del-cibercrimen.html114 PWC – Resultados de la encuesta global sobre seguridad de la información – marzo/2011



Pérdidasfinancieras

Robo de propiedadintelectual

Compromiso de lamarca o reputación

Global 42 31 29América del Sur y Central 45 29 22



Capítulo V – Conclusiones

El uso cada vez más intensivo de las tecnologías para el sostenimiento de la actividad económica y delbienestar de la población trae aparejado inexorablemente, el crecimiento de las ciberamenazas y losciberataques.

El software malicioso, en conjunto con diversas técnicas de ingeniería social y otras actividadesmaliciosas de distinta naturaleza, en un escenario de expansión del uso de la tecnología informática, sonutilizados como una fuente de actividades delictivas que en algunos casos ya se ha transformado en unmodelo de negocio.

Internet continúa evolucionando hacia la interactividad con y entre los usuarios, apareciendo como unared de contenidos sociales y servicios cada vez más dinámica. En consecuencia, los delincuentes adaptansus estrategias para alcanzar esta nueva Web utilizando ataques cada vez más sofisticados, combinadosy dirigidos, y van cambiando el foco de aplicación. Antes eran los equipos y las redes de computadoras,ahora lo son los dispositivos USB y las redes sociales.

Por otro lado, por la naturaleza de Internet es posible el cambio permanente de localización geográfica,además del hecho de que al utilizar comandos remotos, el lugar donde se origina un ataque nonecesariamente es donde se encuentra el delincuente, razón por la cual se torna más difícil su deteccióny posterior remediación.

Cada modalidad delictiva tiene sus propias técnicas y en consecuencia, evoluciona de diferentesmaneras. Los delincuentes cuentan con “toolkits” o conjuntos de herramientas que se venden en elmercado a precios accesibles, los cuales les permiten crear código malicioso en pocos segundos.Asimismo es más difícil detectar el software malicioso debido a que se actualiza varias veces por día ovarios días por mes, al igual que los sitios de phishing, que renuevan en tiempo real el contenido de laspáginas falsas, lo cual les permite evitar ser detectadas.

Por otro lado, si bien es necesario contar con un antivirus, éste ya no es suficiente dado que provee unaprotección estática mientras que hoy son necesarias otras previsiones como la detección de contexto ycontenido del dato, la reputación en tiempo real, múltiples fuentes de firmas de antivirus incluyendoheurística, etc.

Las botnets crecen raudamente, si son detectadas pueden ser reutilizadas y además son una fuente deganancias muy importantes ya que los costos de desarrollo son mínimos.

El año 2010 vio no solo una mayor sofisticación por parte de los ciberdelincuentes, sino también mayorfortaleza en las estructuras organizacionales en las que operan. La lucha por el control entre lasorganizaciones del ciberdelito continuará para desarrollar lo que se ha literalmente transformado enuna verdadera operación de la economía marginal/delictiva, como el crimen organizado.

La actividad maliciosa generalmente afecta a los equipos que están conectados a Internet de bandaancha de alta velocidad, ya que estas conexiones ofrecen más capacidades que otras, velocidades másrápidas, el potencial de sistemas constantemente conectados y normalmente mayor estabilidad. Enconsecuencia, dicha actividad tiende a aumentar en relación con el crecimiento de la infraestructura debanda ancha. A ello se agrega la amenaza de que los nuevos usuarios pueden no estar habituados odesconocen el mayor riesgo de exposición a ataques maliciosos de estas conexiones sólidas.



Como se puede deducir de todo lo antedicho, la actividad del ciberdelito es totalmente fluctuante ydependerá de las medidas que adopten los usuarios, las organizaciones y los países para enfrentarlo ydel accionar de las fuerzas de seguridad y de los equipos especializados. Estará condicionada también ala conveniencia de los delincuentes y a las herramientas disponibles en cada momento, así como a lasoportunidades del mercado. Influye también la generación de marcos normativos adecuados a larealidad del ciberdelito y el grado de cooperación que se desarrolle entre organizaciones y entre países.La extensión de este fenómeno hace hoy del mundo un posible campo de batalla, donde cualquierciberataque o falla en los sistemas puede ser inesperado y mostrar un impacto no previsto.

Latinoamérica es parte de este escenario, mostrando en muchos casos un dinamismo superior alpromedio en la incorporación de la tecnología a sus sociedades, pero también su condición de origen yblanco de una activa ciberdelincuencia. Países como Brasil, México y Argentina aparecen en los primerospuestos en las listas internacionales de cantidad de computadoras infectadas, casos de phishing onúmero de sitios web maliciosos. Esto necesariamente se traduce en pérdidas económicas que afectan alos ciudadanos, los negocios y a los países de la región como a usuarios de otros países ajenos a ella.

A lo largo de este trabajo se ha mostrado el comportamiento de los ciberamenazas más comunes y sehan proyectado valores económicos estimados para algunos de los ciberdelitos más frecuentes.

Una de las premisas que le dan fundamento al informe es la certeza de que cualquier incremento en elconocimiento del impacto que este tipo de actividad maliciosa tiene sobre las personas, lasorganizaciones y los países de la región, contribuye a dimensionar adecuadamente el problema, asignarprioridades y comprometer recursos. Su desconocimiento en cambio, parece invitar a una toma dedecisiones en la penumbra, sin comprender realmente a qué nos estamos enfrentando y en qué medidason acertadas las acciones que se emprenden.

Aparece inmediatamente una primera conclusión y es que la escasez de datos concretos sobre lacantidad de ataques, sean estos potenciales o reales, y de sus costos asociados, hace difícil o casiimposible conocer su frecuencia, su verdadera magnitud y la profundidad de su impacto. Si bien paraalgunos tipos de incidentes, obtener estas cifras es sumamente complejo, para otros es probable queexistan y se puedan obtener con relativa facilidad. Sin embargo, las organizaciones que los han sufridoson reticentes a denunciarlos por temor a que se vea afectada su reputación. En el caso de las personas,persiste el desconocimiento sobre instancias de reporte o la creencia de que poco o nada sucederá encaso de hacerlo.

En este sentido, parece encontrarse ausente una estrategia que implemente mecanismos de reporte,genere confianza entre los usuarios y en las organizaciones en cuanto a la voluntad de combatirlo,establezca instancias de franca colaboración entre el sector público y el privado y recree una cultura dela ciberseguridad. Nuevamente, una recorrida por la bibliografía y los artículos publicados muestra queesta situación afecta a todos los países y regiones, con solo tímidos e insuficientes avances en los paísesmás desarrollados.

La escasa utilización de métricas para medir el impacto de un ciberataque es un factor desalentador, aligual que la creencia de que no reportar o denunciar un incidente supone su inexistencia.

Ante este panorama, el trabajo realizado debe ser interpretado como un primer paso hacia un mayorconocimiento de la incidencia del ciberdelito en Latinoamérica, con la intención de generar un marco



para futuras estimaciones y proyecciones, que pueda ser actualizado y mejorado cuando se disponga deinformación más precisa.

La vertiginosidad del desarrollo tecnológico en los países de la región y el consiguiente crecimientoinexorable del ciberdelito, hace necesaria la generación de planes de acción que recogiendo suscaracterísticas culturales y de desarrollo, muestren desde la perspectiva de las personas, lasorganizaciones y las naciones, que es factible generar un entorno seguro que garantice la maximizacióndel aprovechamiento de los múltiples beneficios de las tecnologías de la información y lascomunicaciones, minimizando los riesgos que las acompañan.



Capítulo VI – Recomendaciones

Para los Gobiernos• Desarrollar estrategias nacionales sobre ciberseguridad que contemplen la protección de sus

infraestructura críticas, un aumento de la capacidad de respuesta a incidentes, campañas deconcientización para la ciudadanía, mecanismos de coordinación con el sector privado y con otrospaíses y la generación de un marco normativo adecuado para la penalización de delitos de estanaturaleza

• Mejorar la coordinación y el trabajo conjunto entre los organismos involucrados en la adopción demedidas de seguridad de la información (Policías, Organismos Judiciales, Centros de Respuesta aIncidentes, etc.) y generar organismos o agencias que se dediquen exclusivamente a laciberseguridad

• Coordinar la definición e implementación de procedimientos para la recolección de datos sobreciberataques

• Generar instancias de cooperación con todos los sectores clave involucrados, incluyendo el sectorbancario, los proveedores de servicios de internet y la principales empresas tecnológicas, para asistira los ciudadanos y a las PyMES

• Considerar la generación de un portal de acceso libre y gratuito para usuarios comunes disponible7x24, que provea información de fácil comprensión para proteger la seguridad de la información ypermita el reporte de cualquier tipo de ciberdelito, facilitando la agregación de datos. Entre otrosservicios, este portal debe brindar alertas y recomendaciones para la protección de los servicios y lainformación en línea, el acceso gratuito a sistemas de detección de código malicioso, etc.

• Proveer fondos para la investigación en la materia• Establecer en coordinación con los proveedores de servicios de Internet, administradores y registros

de dominios, así como con empresas clave del sector, mecanismos ágiles de remoción de sitiosmaliciosos que minimicen los tiempos de permanencia en línea

• Incluir aspectos de seguridad, especialmente aquellos vinculados a las redes sociales, en losprogramas de estudio de alumnos secundarios y primarios.

• Generar programas a través de las universidades y las escuelas, que den respuesta y soporte a losproblemas de seguridad de los equipos domésticos

Para la Academia Desarrollar contenidos y programas de formación de profesionales especialistas en seguridad de la

información, que la aborden desde distintas visiones: técnica, legal, de educación, etc. Desarrollar líneas de investigación que analicen las distintas perspectivas de los ciberataques Trabajar en conjunto con entidades nacionales e internacionales de investigación, con el fin de

intercambiar información, recolectar datos, crear marcos conceptuales de análisis y métricas yayudar a gobiernos y al sector privado en la lucha contra este flagelo.



Para el Sector Privado Generar equipos de trabajo dentro de las organizaciones que aborden la seguridad informática con

un enfoque múltiple, que permita comprender y resolver los problemas relacionados con laprotección de la información desde diversas perspectivas

Colaborar con los organismos del Gobierno y proponer acciones conjuntas para mejorar laciberseguridad a nivel nacional, facilitando la remoción de sitios fraudulentos o que contengancódigo malicioso, la elevación de los parámetros de seguridad de los sistemas, la concientización delos usuarios, el combate al spam, etc.

Conocer el valor de la información que administran e invertir en su seguridad, sobre la base de unanálisis de riesgo que permita una adecuada asignación de recursos, de acuerdo al nivel de criticidad

Desarrollar, gestionar y monitorear adecuadamente sus políticas y procedimientos de seguridad,favoreciendo que sean conocidas y entendidas por empleados, clientes y demás entidadesvinculadas

Generar mecanismos de protección y aseguramiento de la información que contemplen tanto sugeneración como su transmisión, procesamiento, resguardo y destrucción.

Emplear estrategias de defensa en profundidad, que enfaticen sistemas de protección múltiples,superpuestos y mutuamente complementarios para protegerse de fallas específicas en cualquiertecnología, teniendo en cuenta especialmente las amenazas que existen en Internet. Precisamentedebido a ellas, es imprescindible adoptar una metodología de desarrollo seguro de aplicaciones decomercio electrónico, en sus distintas facetas.

Diseñar una estrategia de concientización entre empleados, clientes y demás entidades con las queinteractúan, sobre la responsabilidad que les compete en el manejo de la información y sus posiblesconsecuencias laborales y legales

Colaborar y notificar a las fuerzas policiales, a los equipos de respuesta a incidentes, a losproveedores de Internet o a toda otra entidad que corresponda, sobre cualquier indicio de unposible incidente de seguridad

Adherir a estándares internacionales y mantener una constante actualización de recursos ycapacitación del personal

Monitorear y evaluar la seguridad regularmente para garantizar que se implementen controlesadecuados

Para los Usuarios Adoptar un actitud responsable frente al uso de las tecnologías de información, capacitándose para

minimizar los riesgos que las acompañan Cuidar la información propia y la de otras personas, cualquiera sea el soporte Denunciar los incidentes de seguridad ante las instancias que correspondan, permitiendo su

seguimiento y contribuyendo así a su resolución Enseñar a los menores los peligros de las redes sociales y entrenarlos en una adecuada utilización de

las tecnologías de la información. Revisar de manera regular las liquidaciones de los bancos y compañías emisoras de tarjetas de

crédito y contactar inmediatamente a dichas organizaciones ante movimientos sospechosos No navegar en sitios desconocidos, no abrir archivos origen dudoso y ser precavido en el uso de las

redes sociales Elegir cuidadosamente las contraseñas, utilizándolas en forma exclusiva, y realizar resguardos

periódicos de la información Instalar software antivirus y antispyware, así como de protección frente a Internet y mantenerlos

permanentemente actualizados, al igual que a los sistemas operativos.



Destruir toda información personal, sensible y/o confidencial antes de desecharla, cualquiera sea elsoporte en el que se encuentre, de manera que no sea posible su reconstrucción.

Finalmente, una de las mayores dificultades que acompañaron la realización de este informe fue laescasez de información sobre la ocurrencia de los ciberdelitos, sus características y realesconsecuencias. Sin datos es imposible dimensionar la magnitud del problema, estimar el riesgo paraasignar prioridades y recursos y adoptar así, decisiones certeras para proteger la confidencialidad,integridad y disponibilidad de la información. La base de este problema, si bien atribuible a diversosmotivos, es que no se comparten datos. Esta responsabilidad recae tanto en los gobiernos como en lasempresas dedicadas a las tecnologías de la información y su aseguramiento, en las organizaciones detodo tipo y en todos nosotros, como usuarios de información y servicios en línea.

Sea entonces la recomendación con la que se cierra este informe, un llamado a crear mecanismosconfiables de reporte y a colaborar compartiendo información, contribuyendo así a un mayorconocimiento colectivo que permita contrarrestar los peligros de las tecnologías de la información yaprovechar a pleno todos de sus beneficios.



Especialistas y Fuentes Consultados

Se agradece a los siguientes especialistas por su desinteresada colaboración, la cual permitió mejorar yratificar los conceptos vertidos.

• Antonio E. Cerezo - Director Cyber Crime Investigations - American Express

• Cristian Borghello – CISSP-MVP - Director Segu-Info

• Cristine Hoepers – CERT.br - Brasil

• Diego Taich

• Federico Pacheco – Gerente de Educación e Investigación de ESET Latinoamérica

• Fernando Cibeira

• Gastón Franco

• Iris Cidale

• José Luis Chávez

• Julio Ardita – Cybsec

• Mariano Quesada

• Peter Cassidy – APWG

• Ronnie Manning- APWG

• Rubén Aquino Luna – UNAM Cert – México

A continuación se incluye una lista de las fuentes de las cuales se extrajo información:

• 1080b bloggresivo – www.1080b.com

• AllSpammedUp – www.allspammedup.com

• Asociación Colombiana de Ingenieros de Sistemas (ACIS) – www.acis.org.co

• Antiphishing Working Group (AWPG) – www.antiphishing.org

• Australian Crime Comisión - www.crimecommission.gov.au

• b:secure - www.bsecure.com.mx

• BBC Mundo - www.bbc.co.uk

• Cabinet Office of United Kingdom - www.cabinetoffice.gov.uk

• CDS Comunicaciones – www.cds11.com

• CIFAS – www.cifas.org.uk

• CISCO - www.cisco.com



• CNN – www.cnnexpansion.com

• Computer Laboratory, University of Cambridge - citeseer.ist.psu.edu

• Computerworld – blogs.computerworld.com

• Cybersourse - www.cybersource.com

• Deferencia.com - www.degerencia.com

• Diario La República – www.larepublica.com.co

• Ebanking News – www.ebanking.cl

• Ecommerce Journal - ecommerce-journal.com

• elmundo.es – www.elmundo.es

• El país.com - www.elpais.com

• ESET Latinoamérica – www.eset-la.com

• Federal Trade Commission – www.ftc.gov

• Global Collect International Payment Service - www.globalcollect.com

• HMGovernment - www.direct.gov.uk

• Homeland Security Newswire - www.homelandsecuritynewswire.com

• Identidad Robada - www.identidadrobada.com

• Info Spyware – www.infospyware.com

• InformationWeek - www.informationweek.com

• Internet Crime Complaint Center (IC3 – USA) – www.ic3.gov

• Internet World Stats - www.internetworldstats.com

• iProfesional.com – www.negocios.iprofesional.com

• Federal Reserve Bank of Boston - www.bos.frb.org

• Felaban - www.felaban.com

• Foro de Liquidación de Pagos y Valores del Hemisferio Occidental - www.forodepagos.org

• Frost and Sullivan - www.frost.com

• MasPorMas - www.maspormas.com.mx

• McAfee, Inc. – http://www.mcafee.com

• NOW!DIGITAL BUSINESS – www.idgnow.uol.com.br

• Open Networks – www.opennetla.com

• Panda Security – http://www.pandasecurity.com/

• Parliament of Australia House of Representatives - www.aph.gov.au



• PC World - www.pcwla.com

• Pingdom – www.royal.pingdom.com

• PWC – www.pwc.com/ar/es

• Radio Fe y Alegría Noticias - www.radiofeyalegrianoticias.net

• Symantec Corporation - www.symantec.com

• Tendencia Digital - www.tendenciadigital.com.ar

• The Bismark Tribune - www.bismarcktribune.com

• The Shadowserver Foundation – www.shadowserver.org

• Trusteer Inc - www.trusteer.com

• University of Cambridge – www.cam.ac.uk

• Websense Inc – www.websense.com

• YouTube Videos – www.youtube.com

• ZDNET – www.zdnet.com

A continuación se incluye una lista de las páginas consultadas a modo referencial, existiendo laposibilidad de que algunas fueran descartadas por haber considerado que su contenido no era útil paralos propósitos del informe.

• Antifraude - www.antifraude.org

• CERT – Software Engineering Institute – Carnegie Mellon - www.cert.org

• Cnet News - www.news.cnet.com

• Comisión Económica para América Latina (CEPAL) - www.cepal.org

• Credit Repair - www.creditrepair.org

• Defending the Kingdom - www.defendingthekingdom.com

• Estrategia para la sociedad de la información en América Latina y el Caribe (eLAC) -www.eclac.org/socinfo/elac

• Infobae Profesional - www.iprofesional.com

• Ingeniería Comercial - www.ingenieriacomercial.com

• Internet Storm Center - www.isc.sans.edu

• Javelin Strategy & Research - www.javelinstrategy.com

• National Institute of Standards and Technology – www.nist.gov

• Population Reference Bureau - www.prb.org

• PWC - www.pwc.com/ar/es



• Seguridad Informática - www.seguinfo.wordpress.com

• Team CYMRU Community Services - www.team-cymru.org

• United Nations Conference on Trade and Development (UNCTAD)- www.unctad.org

• United Nations Statistics Division - http://unstats.un.org/



Glosario

Blackhat SEO - Este término hace referencia a una técnica de optimización de los motores de búsquedacon fines maliciosos que se aprovecha de las funcionalidades de dichos motores para situar páginasmaliciosas en los primeros lugares de los resultados de las búsquedas.

Botnet - Es un conjunto de computadoras conectadas a Internet, que interactúan para realizar una tareadistribuida, controladas por una computadora de “comando y control” (C&C) que las dirigirán paraejecutar lo que necesiten. Estos sistemas son usados para propósitos ilegales y están compuestos pormáquinas comprometidas que son utilizadas sin que sus dueños lo sepan. Esas máquinas sondenominadas “zombis” y el software malicioso que corre en ellas “bot”.

Bot – Software malicioso que corre en una máquina comprometida que forma parte de una botnet.También se utiliza este término para identificar a la computadora comprometida.

Exploit – Código malicioso que toma ventaja de las vulnerabilidades del software para infectar unacomputadora.

Firma – Conjunto de características de los códigos maliciosos que pueden ser usadas para identificarlosusando productos antivirus.

Gateway – Interfase que provee compatibilidad entre redes convirtiendo velocidades de transmisión,protocolos, códigos o medidas de seguridad.

Honeypot – Sistema (por ej. un servidor Web) o recurso de sistema (por ej. un archivo en un servidor)que es diseñado de manera tal que resulte atractivo a potenciales intrusos y que no tiene otros usuariosautorizados que no sean los administradores.

Honeycliente – Dispositivos activos de seguridad en búsqueda de servidores maliciosos que atacanclientes. El honeycliente se posiciona como un cliente e interactúa con el servidor para examinar si haocurrido un ataque. Habitualmente el foco de un honeycliente se sitúa en los navegadores web, perocualquier cliente que interactúa con los servidores puede ser parte de un honeycliente (ftp, ssh, email,etc.).

Ingeniería social – Una técnica que derrota las precauciones de seguridad tomadas, explotando lasvulnerabilidades humanas. Las estafas a través de la ingeniería social pueden suceder en línea (tal comorecibir correos electrónicos que solicitan abrir un adjunto, el cual es realmente un software malicioso) ofuera de línea (como recibir una llamada telefónica de alguien que se hace pasar por un representantede una compañía de tarjetas de crédito). Independientemente del método seleccionado, el propósito deun ataque de ingeniería social es siempre el mismo: hacer que el usuario realice la acción que elatacante desea.

Grid computing - Forma de computación distribuida, a través de la cual se genera una “supercomputadora virtual” compuesta por muchas computadoras en red que actuán en conjunto para hacertareas de envergadura. Además este tipo de sistema es un tipo especial de computación paralela que semonta sobre computadoras conectadas a una red a través de una interface estándar como por ej.Ethernet. Esto es es contraste con la noción tradicional de supercomputadora, la cual tiene múltiplesprocesadores conectados por un “bus” local de alta velocidad.



Gusano – Código malicioso que se distribuye espontáneamente enviando copias de si mismo a travésdel correo electrónico o usando otros mecanismos de comunicación tales como la mensajeríainstantánea o las aplicaciones peer-to-peer (P2P).

Keylogger - Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en elteclado, para memorizarlas en un fichero y/o enviarlas a través de Internet. Suele usarse como softwaremalicioso permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los númerosde una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

Machine learning – Es un tipo de inteligencia artificial que prove a las computadoras la habilidad deaprender sin que sean explícitamente programadas. Se focalize en el desarrollo de programas decomputadoraas que pueden enseñarse a si mismos a crecer y cambiar cuando se exponent a nuevosdatos.

Este proceso de aprendizaje es similar al de data mining. Ambos sistemas buscan patrones a través delos datos. Sin embargo, en vez de extraer datos que sean comprendidos por los humanos, como en elcaso de las aplicaciones de data mining, este sistema usa los datos para mejorar su propia comprensión;detecta patrones en los datos y ajusta las acciones del programa de acuerdo con ellos.

Mail Spoofing – Suplantación, en el correo electrónico, de la dirección de correo electrónico de otraspersonas o entidades.

Malware – Software malicioso o potencialmente no deseado, instalado sin el consentimiento delusuario, con la intención de comprometer la seguridad de la información y/o los recursos del sistema.

Malicious code - Software or firmware que intenta ejecutar un proceso no autorizado que va a tener unimpacto adverso sobre la confidencialidad, integridad o disponibilidad de un sistema de información.Virus, troyanos, gusanos u otras entidades basadas en código que infecte una computadora. También elspyware y algunas formas de adware son ejemplos de código malicioso.

Malicious code intelligence – Conocimiento de la conformación del código: a qué familia pertenece, laestrategia de ataque, qué objetivo persigue, técnicas de desarrollo, etc.

Pharming - Es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain NameSystem) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre dedominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca undeterminado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a lapágina web que el atacante haya especificado para ese nombre de dominio.

Phishing - Acrónimo de “password harvesting fishing”, o "cosechar y pescar contraseñas". Es una técnicaque se usa con el propósito de recolectar ilegalmente información personal y financiera, tal comonombres de usuarios, contraseñas, números de tarjeta de crédito, identificación bancaria, etc.

Phishing host: Es una computadora que provee servicios de sitio web, donde se copian los sitios deconocidas y confiables organizaciones y/o marcas, para ser utilizados como sitios de phishing.

Reputation systems - La seguridad basada en la reputación es una estrategia de identificación deamenazas que clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si sonprobablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la edad delos archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos digitales. Luego,



se combinan los atributos para determinar la reputación de seguridad de un archivo. Las calificacionesde reputación son utilizadas después por los usuarios informáticos para determinar mejor lo que esseguro y permitirlo en sus sistemas. La seguridad basada en la reputación debe ser parte de unaestrategia de seguridad estándar de múltiples niveles.

Rogue antivirus (Rogueware) – Es un software que aparece como beneficioso desde una perspective deseguridad pero que provee limitada o ninguna capacidad de seguridad, generando un significativonúmero de erróneas o engañosas alertas, o intenta convencer al usuario de participar en transaccionesfraudulentas a través de técnicas de ingeniería social.

Rootkit - Es una herramienta o un grupo de ellas, que tiene como finalidad esconderse a sí misma yesconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten alintruso mantener el acceso a un sistema para remotamente comandar acciones o extraer informaciónsensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris oMicrosoft Windows.

Spam – Correos electrónicos enviados de forma masiva. Los autores de software malicioso pueden usarspam para distribuirlo, ya sea adjuntándolo al mensaje o bien enviando un mensaje que contenga unlink al software. También éste puede recolectar direcciones de correo para usar computadorascomprometidas para enviar spam.

Spyware – Un tipo de código malicioso que es subrepticiamente en un sistema de inforamación parajuntar información sobre individuos u organizaciones sin su conocimiento.

SQL injection - Es una técnica de infiltración de código intruso que se vale de una vulnerabilidadinformática presente en una aplicación en el nivel de validación de las entradas para realizar consultas auna base de datos.

Troyano - Códigos maliciosos que no se autopropagan pero toman acciones maliciosas sobre elcomputador.

Trojan downloader/dropper – Una forma de troyano que instala otros archivos maliciosos en el sistemainfectado ya sea descargándolos desde ona computadora remota o bien bajándolos directamente deuna copia contenida en su propio código.

Virus – Código malicioso que se replica, comúnmente infectando otros archivos en el sistema,permitiendo así la ejecución de código malicioso y su propagación cuando esos archivos son activados.

Vulnerability – Una debilidad, error o una técnica pobre de codificación que puede permitir a unatacante explotarla con un código malicioso.

Web hosting service – es un tipo de servicio que provee la infraestructura que permite a individuos yorganizaciones crear su propio sitio web accesible a través de la World Wide Web. Las compañías queproveen estos servicios, brindan espacio en servidores que les pertenecen o alquilan para uso de susclientes, agregando también conectividad a Internet, generalmente en un centro de procesamiento dedatos. También pueden proveer espacio en un centro de procesamiento de datos y conectividad aInternet para que los clientes coloquen sus servidores. Este servicio es comúnmente denominado“Housing” en Latinoamérica o Francia.



Zero-day (o zero-hour o day zero) ataque o amenaza – Es una amenaza que trata de explotar lasvulnerabilidades de aplicaciones que son desconocidas para otros o para el desarrollador del software.El software que explota los Zero-day es usado o compartido por los atacantes antes que el desarrolladordel software receptor conozca la vulnerabilidad. El término deriva de la antigüedad de la amenaza deexplotación. Un ataque de “zero day” ocurre en o antes del primer día en que el desarrollador conoce lavulnerabilidad, lo cual implica que el desarrollador no tuvo ninguna oportunidad de distribuir unaactualización de seguridad para los usuarios del software.

Zombi/Zombie - Máquinas comprometidas que componen las botnets (Ver botnet y bot en este mismoGlosario) y que son utilizadas sin que sus dueños lo sepan para propósitos ilegales.

Año 2011 Panorama del ciberdelito en Latinoamérica

Documents

Transcript of Año 2011 Panorama del ciberdelito en Latinoamérica