Embed Size (px)
Citation preview
FACULTAD DE INGENIERÍA
Carrera de Ingeniería Informática y de Sistemas
PROPUESTA DE IMPLEMENTACIÓN DE TECNOLOGIA SANDBOX EN UNA ENTIDAD FINANCIERA PARA LA PREVENCIÓN DE PRESENCIA DE RANSOMWARE EN
LA RED INTERNA Y MITIGACIÓN DE INCIDENTES
Tesis para optar el Título Profesional de Ingeniero Informático y de
Sistemas
ANTONIO ACEVEDO GUTIÉRREZ
Asesora:
Ing. Paola García Juárez
Lima – Perú
2017
Página 2
JURADO DE LA SUSTENTACION ORAL
……………………………………………………………
Presidente
……………………………………………………………
Jurado 1
……………………………………………………………
Jurado 2
Entregado el: Aprobado por:
Graduado: Antonio Acevedo Gutierrez Asesor: Ing. Paola García Juárez
Página 3
UNIVERSIDAD SAN IGNACIO DE LOYOLA
FACULTAD DE INGENIERIA
DECLARACION DE AUTENTICIDAD
Yo, Antonio Acevedo Gutierrez, identificado con el DNI N° 72204505 Bachiller del
Programa Académico de la Carrera Ingeniería Informática y de Sistemas de la
Facultad de Ingeniería de la Universidad San Ignacio de Loyola, presento mi tesis
titulada:
Propuesta de implementación de tecnología Sandbox en una entidad financiera
para la prevención de presencia de Ransomware en la red interna y mitigación de
incidentes.
Declaro en honor a la verdad, que el trabajo de tesis es de mi autoría; que los
datos, resultados y sus análisis e interpretaciones, constituyen mi aporte. Todas
las referencias han sido debidamente consultadas y reconocidas en la
investigación.
En tal sentido, asumo la responsabilidad que corresponde ante cualquier falsedad
y ocultamiento de la información aportada. Por tolas las afirmaciones, ratifico lo
expresado, a través de mi firma correspondiente.
Lima, noviembre del 2017.
…………………………………..
Antonio Acevedo Gutierrez
DNI N° 72204505
Página 4
ÍNDICE DE CONTENIDO
CAPITULO I: INTRODUCCIÓN 11
Identificación del problema 11
Formulación del problema 12
Problema General 12
Problema Específico 13
Antecedentes 13
Objetivo de la investigación 16
Objetivo General 16
Objetivo Especifico 16
Justificación de la investigación 17
Limitaciones 19
Metodología 20
CAPITULO II: MARCO CONTEXTUAL 21
Descripción de la empresa 21
Nuevas Amenazas tecnológicas 22
Situación de fraude informático 24
Ley de delitos informáticos en Perú 26
CAPITULO III: MARCO CONCEPTUAL 28
Malware 28
Ransomware 28
Casos Relevantes 32
Propagación o Distribución 33
Bitcoin 35
Principales casos de ransomware en el 2017 36
Vulnerabilidad MS MS17-010 37
Ransomware Wannacry 37
Ransomware Petya 39
Soluciones tecnológicas 40
Sandbox 41
Página 5
CAPITULO IV: MARCO METODOLÓGICO 44
Metodología De Gestión De Proyecto 44
Fase de inicio 44
Fases de planeamiento 44
Fase de ejecución 45
Fase de Seguimiento y control 45
Fase de cierre 45
Metodología de implementación 45
Levantamiento de información 46
Pruebas de laboratorio 46
Planificación de la implementación 46
Ejecución de la implementación 47
Monitoreo de la implementación 47
Cierre de la implementación 48
Metodología de Investigación 48
Identificación del escenario 48
Definición del problema 48
Propuesta de solución 48
Interpretación de resultados 49
CAPITULO V: PROPUESTA DE IMPLEMENTACION 51
Inicio 51
Planeamiento 52
Herramienta a utilizar 53
Análisis de Marcas. 53
Implementación de la solución tecnológica. 55
Ejecución 56
Etapa I: Instalación de la plataforma. 56
Etapa II. Integración de la plataforma. 57
Etapa III. Certificación de la plataforma. 57
Seguimiento y control 59
Cierre 61
Propuesta económica 61
Página 6
CAPITULO VI: DESARROLLO DE PLAN DE RESPUESTA A INCIDENTES DE INFECCIÓN DE
RANSOMWARE 64
Gestión de Sandbox 64
Plan de respuesta a incidentes de infección de ransomware 65
Prevención 66
Detección de intentos de infección de Ransomware 67
Acciones por realizar posteriormente al reporte de infección de Ransomware 68
Acciones posteriores 73
CAPITULO VII: CONCLUSIONES 74
REFERENCIAS BIBLIOGRÁFICAS 76
ANEXOS 82
Página 7
ÍNDICE DE TABLAS
Tabla 1. Empresas que implementan soluciones móviles 22
Tabla 2. Proporción de usuarios que ha recibido mensajes de Phishing en el año 2016 en
Latinoamérica 24
Tabla 3. Delitos Informáticos registrados del año 2012 al 2015 25
Tabla 4. Familias de Ransomware en el 2016 30
Tabla 5. Robos de cuentas por mes en el 2016 32
Tabla 6. Familias de Ransomware entregadas por Exploit Kit 33
Tabla 7. Ficha técnica de plataforma SandBlast 59
Tabla 8. Propuesta de implementación para la solución Sandbox 60
ÍNDICE DE FIGURAS
Figura 1. Porcentaje de incidencias de seguridad presentadas en empresas de
Latinoamérica 12
Figura 2. Empresas afectadas por infección de Malware. 13
Figura 3. Tendencia de ataque informáticos en los últimos 5 años 14
Figura 4. Combinación de tecnología buenas prácticas y gestión para proteger la
información y el negocio 15
Figura 5. Diez principales sectores víctimas de ataques a nivel mundial 17
Figura 6. Evaluación de los Ransomware encrypting 18
Figura 7. Organigrama de la entidad financiera objeto de estudio 21
Figura 8. Nuevas muestras de troyanos bancarios móviles detectados en 2016 23
Figura 9. Número de nuevas familias de Ransomware en el 2016 29
Figura 10. Average USD market price across major bitcoin exchanges 35
Página 8
Figura 11. Mensaje de advertencia de infección del Ransomware WannaCry 37
Figura 12. Mensaje de advertencia de infección del Ransomware Petya 39
Figura 13. Propuesta de aplicación en las metodologías 49
Figura 14. Diagrama de la empresa 50
Figura 15. Análisis de Sistema de Detección de Fallas 52
Figura 16. Diagrama, solución Sandbox implementado 56
Figura 17. Top Protection Types and their Top Malware. 57
Figura 18. Malware Report 58
Figura 19. Alertas de plataforma de seguridad 65
ÍNDICE DE ANEXOS
Anexo A “Cronograma de proyecto para la propuesta de implementación sandblast” 79
Página 9
RESUMEN
En evidencia, de que los ciber ataques se han incrementado en el presente año
obligando a las empresas a revaluar el activo como información y mejorar los
procesos internos ante la presencia de un Malware en la red. Se propone la
implementación de mejoras en la infraestructura, con el propósito de resguardar la
información sensible mediante el uso de la tecnología Sandbox; aplicando la
metodología de PMBOK para su implementación.
El principal objetivo de este trabajo es preparar y capacitar a la organización para
mitigar el impacto de un ciber ataque dirigido, minimizando la perdida de sus
activos informáticos; con la identificación de una plataforma capaz de detectar el
Malware de última generación y elaborando un plan de respuesta ante incidentes,
para afrontar y minimizar la infección de ransomware.
Palabras claves: Ransomware, Incidentes, Ataques cibernéticos, Sandbox.
Página 10
ABSTRACT
In evidence, that cyber attacks have increased in the current year forcing
companies to revalue the assets information and improving internal processes in
presence of Malware in the network. It is proposed that the implementation of
improvements in infrastructure purposes to safeguard sensitive information through
the use of Sandbox technology; applying the PMBOK methodology for its
implementation.
The main objective of this job is to prepare and train the organization to mitigate
the impact of a target cyber attack, minimizing the loss of computer assets;
identifying a capable platform and detecting the latest Malware generation
developing an incident response plan, to deal and minimize the ransomware
infection
Keywords: Ransomware, Incidents, Cyber attacks, Sandbox.
Página 11
CAPITULO I: INTRODUCCIÓN
Identificación del problema
Actualmente, las empresas utilizan diversas soluciones de seguridad perimetral para
proteger y prevenir la intrusión de amenazas en su infraestructura, entre las cuales
podemos encontrar Firewalls, IPS, Antivirus Corporativo, Anti Spam y Routers de frontera.
Pese a ello, estas herramientas no tienen como funcionalidad la detección del Malware
desconocido o ataques Día Cero.
Con el pasar del tiempo el Malware ha cambiado su funcionamiento para pasar
desapercibido y ejecutar acciones en segundo plano, de esta manera se vuelve cada vez
más peligroso. Por otro lado, otros Malware se han vuelto más evidentes para demostrar
la vulnerabilidad de la red y extorsionar a los usuarios.
Es por ese motivo que se crean nuevas tecnologías como Sandbox ya que posee
un mayor análisis de detección de amenazas. Esta tecnología realiza análisis de eventos
en los equipos de la organización conectados a la red con la intención de detectar
anomalías. Por otro lado, otras herramientas de seguridad solo se basan en análisis de
firmas y comportamientos ya establecidos, cuya efectividad se reduce en caso las bases
de datos no detecten una nueva amenaza o la variación de un Malware ya existente hasta
la correspondiente actualización de dicha base de datos.
Ante este tipo de incidentes es importante que la organización cuente con un plan
de respuesta de incidentes, de amenazas e infección de Malware en la red, el cual debe
de ser eficiente y eficaz para no afectar la continuidad del negocio ni la información
sensible para la empresa. (ESET.2015:8)
La mayor parte de empresas sufren incidentes de seguridad informática, en
algunos casos se controla antes de que suceda y en otros son afectados por infecciones
de Malware. Las principales actividades del Malware es espiar, robar o secuestrar
información, lo cual afecta severamente a la infraestructura de la empresa.
Página 12
Figura 1. Porcentaje de incidencias de seguridad presentadas en empresas de Latinoamérica.
Fuente: ESET “Guía de respuesta a una infección de Malware”,, 2016.
La Figura 1 muestra los principales incidentes de seguridad reportados en
Latinoamérica, publicado por ESET en 2016. De acuerdo con dicho reporte, la infección
de Malware es la principal amenaza a la cual se enfrentan las empresas, seguido por el
acceso indebido a aplicaciones o bases de datos, generalmente consecuencia de la
infección de Malware. Todos los incidentes mostrados son constantes riesgos a los cuales
se enfrentan las organizaciones, las cuales buscan poder mitigarlos a través de
soluciones tecnológicas de seguridad informática.
Formulación del problema
A continuación, se detallarán los problemas generales y específicos identificados en la
presente tesis:
Problema General
¿Podrá la tecnología Sandbox mitigar el riesgo de la presencia de Malware en la red en
una entidad financiera?
Página 13
Problema Específico
¿Podrá la tecnología Sandbox brindar protección a la información sensible y de alto valor
de la entidad bancaria?
¿Podrá la infraestructura de la entidad bancaria ser más robusta con la
implementación de la tecnología Sandbox?
¿Podrá la tecnología Sandbox mitigar el impacto de ataques día cero en la entidad
bancaria?
¿Puede actualmente la entidad bancaria enfrentar un incidente de infección de
Ransomware en la red interna?
Antecedentes
De acuerdo al estudio realizado para América Central y América del Sur por ESET en
2016, se identifica a Perú como el cuarto país más afectado ante ataques de códigos
maliciosos en América Latina.
Figura 2. Empresas afectadas por infección de Malware.
Fuente: ESET, Security Report Latinoamérica, 2016
Página 14
Las diferentes clases de Malware se han convertido en una importante amenaza
para las organizaciones, la cual evoluciona en complejidad, diversidad y cantidad;
convirtiéndolos en los principales ejecutores de incidentes para empresas, afectando la
continuidad del negocio y la infraestructura de la organización. Según ESET, en el 2015 el
40% de los ataques informáticos corresponden a infección de Malware que explotan
vulnerabilidades no detectadas por la organización, mientras que el 16% corresponde a
las suplantaciones de correos electrónicos para la extracción de información sensible
(Phishing). (ESET, 2016)
Figura 3. Tendencia de ataque informáticos en los últimos 5 años.
Fuente: ESET, Security Report Latinoamérica 2016
En el gráfico anterior, podemos observar el continuo crecimiento de los ataques
cibernéticos durante los últimos 5 años y su leve incremente de infecciones ejecutadas
con éxito del 2014 al 2015; por este motivo, las soluciones de seguridad perimetral se
mantienen en constante innovación para mitigar las vulnerabilidades aún no conocidas.
Las organizaciones buscan mitigar este tipo de incidentes mediante
procedimientos y controles como medidas cautelares, siendo imprescindible establecer
estándares y una cultura organizacional enfocada en seguridad de la información. De
acuerdo con ESSET (2015), “los vectores de ataque utilizados para propagar e infectar
continúan siendo los que se observan hace tiempo, permitiendo que con el uso de
herramientas de seguridad y buenas prácticas, una cantidad importante de programas
maliciosos puedan ser descartados”.
Página 15
Figura 4. Combinación de tecnología buenas prácticas y gestión
para proteger la información y el negocio.
Fuente: ESET, Security Report Latinoamérica 2016
Es así como una entidad financiera que trabaja en conjunto con el área de TI,
Seguridad Informática, Gestión de Riesgos y de R.R.H.H. puede mitigar la mayor cantidad
de riesgos, aplicando una cultura organizacional dentro de la empresa conceptualizando
los riesgos que el personal es vulnerable y los procedimientos que debería seguir.
Diversas investigaciones académicas abordan esta necesidad bajo diferentes
perspectivas. El trabajo realizado por Herrera (2015) simula los ataques a redes IP en un
entorno corporativo real, realizando análisis durante las pruebas de vulnerabilidades en un
ambiente controlado en el cual se mitigan los ataques simulados por los hackers, de esta
forma se define la mejor plataforma de seguridad perimetral a utilizar ante cada tipo de
amenaza.
Por otro lado, la tesis desarrollada por Valencia (2017) propone un análisis de un
modelo para identificar alertas tempranas ante ataques de phishing, describiendo el uso
de una metodología de clasificación basada en el análisis categórico de URLs para
realizar descartes y utilizando un árbol de decisión con reglas de clasificatorias los que
Página 16
lograron establecer un conjunto de fases que permiten explotar la información para el
aprendizaje y distinción de amenazas mediante un árbol de decisiones.
Objetivo de la investigación
La presente tesis tiene como objetivo proponer una mejora en la gestión de detección de
Malware y respuesta ante una posible infección en la red de una empresa, en la cual se
contempla la implementación de una solución tecnológica conocida como Sandbox, la
cual se encarga de detectar el Malware conocido y desconocido; a fin de identificar y
aplica soluciones para reducir el impacto de una posible infección en la red.
Objetivo General
Proponer la implementación de la tecnología Sandbox en una entidad bancaria a fin de
mitigar el impacto de la presencia de Malware en la red, así como la implementación del
correspondiente proceso de respuesta de incidentes de infección de Ransomware.
Objetivo Especifico
Comprobar que la tecnología Sandbox puede identificar la presencia de Malware
en la red de la organización.
Evaluar si la tecnología Sandbox puede identificar eventos Día Cero
oportunamente en la red.
Reducir la cantidad de vulnerabilidades que no son detectadas por otros
dispositivos de seguridad perimetral.
Proponer un plan de respuesta ante incidentes de infección de ransomware en la
red que puedan generar impacto en la disponibilidad de servicios, así como en la
reputación de la empresa.
Página 17
Justificación de la investigación
El Perú se encuentra entre uno de los principales países de Latinoamérica víctima de los
ciberataques, por ese motivo es fundamental contar con una infraestructura tecnológica
robusta para la prevención de delitos informáticos y un plan de respuesta contra
incidentes de seguridad. Asimismo, es importante contar con plataformas de seguridad y
procedimientos que reduzcan o eliminen las amenazas.
Es importante resaltar las brechas de vulnerabilidad dentro de una red financiera,
siendo su principal activo la información (operativa, nivel de usuario, base de datos, entre
otros). Según el estudio realizado por Symantec (2015), la mayor cantidad de ataques
realizados a nivel mundial se dieron en el sector financiero, seguros y bienes raíces.
Figura 5. Diez principales sectores víctimas de ataques a nivel mundial.
Fuente: SYMANTEC, Intelligence Report, 2015
Según Symantec (2016) los ataques dirigidos son los más utilizados, cuyo
propósito es penetrar la red de la entidad victimaria, realizando una infiltración a través de
las vulnerabilidades escaneadas por el perpetrador. Asimismo, presenta el histograma de
la evolución del Ransomware en los últimos años, los cuales se han convertido en un gran
riesgo para las empresas.
Página 18
Figura 6. Evaluación de los Ransomware encrypting.
Fuente: SYMANTEC, Internet Security Threat Report, 2016.
De acuerdo a la figura 6, en los últimos 4 años se ha incrementado el número de
amenazas considerablemente, desarrollando métodos de infiltración imperceptible para
los equipos de seguridad perimetral.
El presente trabajo de tesis propone la implementación de la tecnología Sandbox
dentro de una entidad financiera para prevenir y mitigar los riesgos ante ataque de
Malware de nueva generación y ataque Día Cero.
Asimismo, propone el desarrollo de un procedimiento de respuesta ante incidentes
de Malware. Si bien es cierto que muchas empresas toman como medidas principales la
colocación poner en cuarentena los equipos infectados, procedimiento al formateo del
equipo y posteriormente realizar un análisis dentro de la red ante alguna infección, es
necesario considerar adicionalmente acciones enfocadas netamente a la infección de
Malware y sus correspondientes características.
Página 19
1.4. Hipótesis
Para el desarrollo de la investigación de la presente Tesis, se han considerado las
siguientes hipótesis:
₋ Si implementamos una herramienta Sandbox en la arquitectura de red de la
empresa, entonces mejorará la detección oportuna de intentos de infección de
Malware.
₋ Si contamos con un Plan de Respuesta de Incidentes para mitigar el impacto de la
infección de Ransomware en la red, entonces podremos reducir el impacto de la
afectación de dicha infección en la organización (disponibilidad de servicio,
impacto económico, imagen reputacional, entre otros).
1.5. Alcances
La presente tesis está enfocada al estudio de la implementación de la tecnología Sandbox
en una entidad bancaria, a fin de reducir el impacto de la presencia de Malware en la
infraestructura de red. Asimismo, se desarrollará un plan de respuesta ante incidentes de
infección de ransomware detectados por la solución tecnológica Sandbox elegida, el cual
incluirá las pautas tecnológicas, de seguridad, de comunicación corporativa y legal para
mitigar el impacto de la presencia de ransomware en la red interna.
Limitaciones
La principal limitación en el desarrollo del trabajo de esta tesis es la imposibilidad de
contar con la información de los reportes de las métricas utilizadas para medir el éxito de
la implementación de la herramienta en la organización. Sin embargo, a fin de mostrar al
lector que la solución Sandbox cumple sus funciones en una arquitectura de red, se
presentarán datos estadísticos que muestren el éxito de la implementación de
herramienta en otras empresas de la región.
Página 20
Metodología
Se utilizará el estudio de investigación descriptivo y explicativo, bajo un enfoque
cuantitativo en el cual se analizará la cantidad de eventos y las acciones realizadas
durante un periodo de tiempo.
Se aplicará la metodología de gestión de proyectos, con el uso de fundamentos y
buenas prácticas de la guía de Project Managment Body of Knowledge (PMBOK) del
Project Management Institute (PMI), para la gestión de la implementación de una solución
Sandbox.
Como se observa en el presente capítulo, se identificó la necesidad de contar de
una solución automatizada para el análisis de Malware en la red de la empresa, con el fin
de plantear en los siguientes capítulos una solución de acuerdo con los requerimientos de
la empresa, así como el definir un plan de respuesta de incidentes de infección de
ransomware. En los siguientes capítulos se presentarán los resultados de investigaciones
basadas en información actualizada y a nivel mundial; así como la metodología a
desarrollarse mediante el marco contextual, el cual será desarrollado en el siguiente
capítulo.
Página 21
CAPITULO II: MARCO CONTEXTUAL
Descripción de la empresa
La presente tesis es desarrollada en una entidad financiera cuya principal función es
ofrecer servicios crediticios impulsando el desarrollo de sus clientes pertenecientes a los
sectores micro y pequeña empresa. Tiene como principios y valores institucionales la
integridad, el compromiso, vocación de servicio, innovación, competitividad y gestión de
riesgo.
El Balance General de la empresa indica que se encuentra conformada por 2000
empleados y cuenta con un patrimonio de más de S/132’000,000 soles, con un 45% de
reservas y casi un 40% de capital social. Cuenta con 25 agencias y 16 oficinas en las
principales ciudades del Perú; y el 90.1% de los ingresos provienen de los intereses
crediticios, los mismos que han ascendido en S/ 736.70 millones, habiendo alcanzado un
monto de S/ 39,076 miles en el primer trimestre del presente año (Memoria Anual, 2015).
Figura 7. Organigrama de la entidad financiera objeto de estudio. Gráfico basado en
reportes del año 2015 de la entidad financiera.
Fuente: Elaboración propia.
En la Figura 7 “Organigrama de la entidad financiera objeto de estudio”, se
muestra la estructura de la empresa según su organigrama. Podemos observar que
Directorio
Gerencia de Auditoria
Gerencia general
Gerente de Agencia
Supervisor de Procesos
Operativos
Jefe de Atención al Cliente
Asesor de Ventas y Servicios
Promotor de Servicios
Área de Sistemas
ConsultoresÁrea de
MarketingAdministración
y finanzas
Logística Contabilidad
Área de Recursos Humanos
SelecciónBienestar de
Personal
Consultores Legales
Página 22
poseen consultores legales y gerencia de auditoria externo a la entidad financiera, de esa
manera, pueden asegurar que no habrá parcialidad en cuanto al control. Por otro lado, se
observa que la Gerencia General es la encargada de supervisar a las diferentes áreas de
la entidad financiera.
Nuevas Amenazas tecnológicas
ESET Security Report Latinoamérica (2017) evidencia el interés e importancia que tienen
las empresas latinoamericanas hacia el uso de soluciones móviles para mejorar los datos
organizacionales.
Como se observa en la Tabla 1 “Empresas que implementan soluciones móviles”,
el uso de soluciones móviles ha tenido un incremento importante en las empresas
latinoamericanas, utilizando la metodología Bring Your Own Device (BYOD), la cual
permite a los colaboradores utilicen sus dispositivos personales para mejorar el
rendimiento de sus funciones y operatividad dentro de la empresa.
Tabla 1. Empresas que implementan soluciones móviles.
Empresa que implementan soluciones móviles
2013 11%
2014 10%
2015 10%
2016 12%
Fuente: ESET Security, ESET Security Report Latinoamérica, 2017.
En la Figura 8, el vector vertical indica la cantidad en miles de ataques realizado
en el 2016 por troyanos durante todo el año, siendo el mes de noviembre en donde se
observa un incremento sustancial en la aparición de troyanos; por lo contrario, en el mes
de mayo los ataques tuvieron menor afluencia de acuerdo a la información proporcionada
por Mobile Threat Landscape Brings Diversity (2017).
Página 23
Figura 8. Nuevas muestras de troyanos bancarios móviles detectados en 2016
Fuente: 2016’s Mobile Threat Landscape Brings Diversity, Scale, and Scope (2017)
De acuerdo con las publicaciones de Kaspersky, en los últimos años los troyanos
están orientados a infectar dispositivos móviles, siendo los más conocidos Carberp,
SpyEye, Citadel y Zeus (Kaspersky,2015), los cuales son capaces de extraer las
contraseñas que se utilizan en las operaciones frecuentes en los aparatos móviles.
Craberp es un troyano el cual fue diseñado para robar usuarios y contraseñas de
aplicaciones bancarias para enviarlas a un servidor de comando y control del creador del
troyano, además posee un Rootkit el cual le permite pasar imperceptible y con el tiempo
ha ido mejorando y añadiendo plug-ins para poder pasar imperceptible a los diversos
sistemas de seguridad.
Citadel, es una variación de un Malware cuyo código está abierto al público para
su modificación y mejora a fin de buscar hacerlo imperceptible. Posee un cifrado AES que
le permite evadir el seguimiento y le da la capacidad de bloquear accesos en los equipos
donde se encuentran permitiéndole realizar grabaciones de las actividades realizados en
los mismos.
Zeus, se hizo conocido en el año 2007 ya que se utilizó para el robo de
credenciales en el Departamento de Transporte de los Estados Unidos, y desde ese
Página 24
momento ha ido infectando millones de equipos y es el culpable de cientos de millones de
ataques. En el 2011 se filtró su código fuente, con lo que se desarrollaron nuevas
versiones de este, incluso se creó una versión móvil llamada ZitMo.
Situación de fraude informático
Según Norton en su estudio Cyber Security Insights Report, realizado en 21 países
en el año 2016, 689.4 millones de consumidores se han visto afectados por el
cibercrimen, lo que generó costos de $125,900 millones de dólares americanos. Podemos
extraer que el 18% de los cibercrímenes son por el robo de contraseñas, 16% correos
electrónicos vulnerados y un 15% por robo de dispositivos móviles. Es alarmante que
mediante la modalidad de phishing se han visto afectados un 80% de la población.
Tabla 2. Proporción de usuarios que ha recibido mensajes de Phishing
en el año 2016 en Latinoamérica.
País Porcentaje
Brasil 12.3
Argentina 7.5%
Ecuador 5.7%
Venezuela 5.2%
Colombia 5.1%
Chile 5%
México 4.4%
Perú 4.3%
Guatemala 4.3%
Costa Rica 3.9%
Paraguay 3.9%
Uruguay 3.8%
Fuente: Elaboración propia basándose en la 6ª Cumbre Latinoamericana de
Analistas de Seguridad realizada por Kaspersky.
Página 25
En la tabla 2, Kaspersky Latino indica que Brasil es el país con mayor porcentaje
de mensajes de Phishing recibidos en el año 2016 en América Latina. En el Perú, la
situación no es diferente a la reportada en Brasil. Por otra parte, en la Tabla 3, podemos
observar que, según INEI, las estadísticas presentadas sobre delitos obtenidos entre el
año 2008 y 2015, podemos observar que en el 2013 se registraron 201 delitos.
Tabla 3. Delitos Informáticos registrados del año 2012 al 2015.
Año Delitos Registrados
2012 7
2013 201
2014 181
2015 29
Fuente: Elaboración propia basándose en información de INEI.
Si bien es cierto que las estadísticas muestran números menores en los años
posteriores, debemos considerar que muchas empresas que son víctimas de ataques
informáticos no realizan las denuncias respectivas a la División de Delitos Informáticos
(DIVINDAT) por temor a afectar su reputación.
Según el Ministerio del interior, a través de la División de Investigación de Delitos
de Alta Tecnología de la Policía Nacional, en la publicación “Ciberpolicías contra delitos
informáticos” (2016), los usuarios que acceden a Internet están expuestos a más de 50
ataques automatizados por minuto lo cual es algo realmente alarmante. En el año 2015,
se investigaron alrededor de mil delitos cibernéticos, de los cuales 470 fueron de fraude
informático o robo. Por otro lado, se presentaron ataques cibernéticos como pornografía
infantil y suplantación de identidad.
Entre los delitos más comunes tenemos la clonación de tarjetas o Skimming el cual
consiste en realizar una copia de la banda magnética de la tarjeta para posteriormente
transferir la información a otra en blanco para poder realizar delitos mediante cajeros
automáticos ó pagos en dispositivos POS suplantando la identidad del titular. Otra
Página 26
modalidad de fraude informático es el Phishing, el cual consiste en el acceso a la
información personal mediante el envío de links o URLs que pretenden imitar a entidades
bancarias y son enviadas a través de correos falsos con la intención de obtener números
de cuentas bancarias y claves de seguridad.
Ley de delitos informáticos en Perú
En el Perú, la Ley N°30096 – Ley de Delitos Informáticos establece medidas para la
prevención y sanción de conductas ilícitas que afecten a los sistemas y datos informáticos
y otros bines jurídicos (Congreso de La República, 2013).
El capítulo II, Delitos contra datos y sistemas informáticos, se mencionan tres
artículos que están relacionados a los delitos informáticos a tratar en la presente tesis:
Artículo 2 “El que deliberada e ilegítimamente accede a todo o parte de un
sistema informático, siempre que se realice con vulneración de medidas de
seguridad establecidas para impedirlo, será reprimido con pena privativa de la
libertad no menos de uno ni mayor de cuatro años y con treinta a noventa días-
multa. Sera reprimido con la misma pena el que accede a un sistema informático
excediendo lo autorizado”
Artículo 3 “El que deliberada e ilegítimamente daña, introduce, borra,
deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido
con pena privativa de libertad no menos de tres ni mayor de seis años y con
ochenta a ciento veinte días multa”,
Artículo 4 “El que deliberada e ilegítimamente inutiliza, total o parcialmente
un sistema informático impide el acceso a este, entorpece o imposibilita su
funcionamiento o la prestación de sus servicios, será reprimido con pena privativa
de la libertad no menor de tres ni mayor de síes años y con ochenta a ciento veinte
días-multa”
De acuerdo a ley de delitos informáticos toda acción deliberada e ilegítimamente
que acceda, altere e inutilice un sistema informático será reprimido con pena privativa de
Página 27
libertad siempre en cuando sea evidenciada la violación. Es por ellos, la importancia de
contar con soluciones de seguridad capaces de recolectar las actividades en un
repositorio de información integro, en conjunto con herramientas de auditoria para analizar
y evidenciar el delito.
En este capítulo se realizó una descripción de la empresa, en este caso entidad
financiera, las amenazas tecnológicas y fraude informático por las que las empresas a
nivel mundial se han visto afectadas en los últimos años, así como las pérdidas
económicas que han generado a nivel mundial. En el siguiente capítulo se explicará el
marco conceptual en el cual se basa la presente Tesis.
Página 28
CAPITULO III: MARCO CONCEPTUAL
En el presente capítulo se mostrará los conceptos principales asociados a los ataques
informáticos y se describirá los casos más importantes del año 2017.
Malware
De acuerdo a la empresa Kaspersky en su artículo "¿Qué es el Malware y cómo puede
protegerse contra él?" (2017) indica que la palabra Malware proviene del concepto
"Malicious software" (software malicioso, en inglés), y se refiere al tipo de código
desarrollado para infectar a computadores y generar diferentes tipos de daños en él y en
la red a la que está conectado. Indica también que el Malware puede infectar los recursos
de la red (computadores, smartphones, servidores, etc.) de diversas formas (a través de
virus, troyanos, Ransomware, etc.).
De acuerdo a SANS Institute en su artículo “¿Qué es el Malware?” (2014),
menciona el Malware es creado por sofisticados criminales cibernéticos para ayudarles a
alcanzar metas específicas. Estos objetivos pueden incluir el robo de datos
confidenciales, nombres de usuarios y contraseñas, envío de correos electrónicos de
spam, lanzamiento de ataques de denegación de servicio y la extorsión o el robo de
identidad, entre otros.
Como se sabe el concepto de Malware contempla conceptos ya existentes de
manera más detallada en la tesis de R. Ramirez y O. Reyes, en la Implementación de un
laboratorio de Análisis de Malware (2009), utilizando los conceptos conocidos de
clasificación y funcionabilidad del Malware realiza un laboratorio bajo metodología forense
para obtener información certera del comportamiento del Malware, con la finalidad de
obtener conocer el comportamiento preciso y variantes
Ransomware
Según SANS Institute, en el boletín “Ransomware” (2016) describe al Ransomware como
un tipo de Malware que amenaza con la destrucción de documentos y otros archivos del
equipo infectado a cambio de pago de dinero. En los últimos años se ha vuelto una
Página 29
amenaza muy utilizada ya que genera rentabilidad a los criminales cibernéticos. El
Ransomware infecta el equipo de la víctima con la intención de cifrar la información del
usuario ya sea parcial o total, y la única forma de poder recuperar los archivos es
realizando un pago (rescate) a través de monedas digitales como Bitcoin.
La forma más común de infectar un equipo con este tipo de Malware es mediante
correos electrónicos maliciosos con archivos adjuntos infectados o hipervínculos
(Phishing), utilizando ingeniería social para convencer al usuario de instalar el
ransomware sin su conocimiento. Al instalarlo, se ejecuta un código malicioso que cifra los
archivos de la computadora con una llave de encriptación. Cabe indicar que el método de
encriptación varía de acuerdo a la codificación realizada por el atacante.
Según TrendLabs (2016), alrededor de 200 nuevas familias de Ransomware
aparecieron durante el año 2016, lo cual significó un aumento de 752% en comparación
con el año 2015. Esto ocasionó pérdidas de alrededor US$ 1,000 millones de dólares en
empresas que pagaron los rescates. En la figura 9, se muestra el incremento del 2015 al
2016 fue de 247 nuevas familias de Ransomware lo cual significó un incremento de un
752%. Esto genera que cada vez sea más compleja su detección y contención.
Figura 9. Número de nuevas familias de Ransomware en el 2016.
Fuente: TrendLabs. Security Roundup: A Record Year for Enterprise, 2016
Página 30
En la Tabla 4, podemos observar las 23 familias de Ransomware más conocidas
que aparecieron en el 2016, así como las acciones que realizan o las peticiones hacia los
usuarios afectados.
Tabla 4. Familias de Rasomware en el 2016.
Nombre Acciones
CRYPRADAM Cifra los archivos relacionados con el alojamiento de una
página web.
EMPER Solicita 13 bitcoins como rescate.
LOCKY Llega como una macro incrustada en adjunto de spam.
CERBER Incorpora varias tácticas tales como uso de archivos de
secuencias de comandos de Windows y plataformas de
nube
CRYPSAM Infecta los servidores
PETYA Sobrescribe el registro de inicio maestro (MBR)
JIGSAW Amenaza con eliminar un número de archivos por cada
hora que no se paga el rescate
WALTRIX Uno de los primeros Ransomware distribuidos por los
Exploit kit.
WALTRIX 2.0 Cifra los archivos e impide acceso al escritorio a través de
la pantalla de bloqueo.
ZCRYPT Se propaga a través de USB y unidades flash.
GOOPIC Da a los usuarios un periodo de pago para el restare antes
de cifrar permanentemente los datos.
MIRCOP Se disfraza de falso formulario tailandés y demanda un
pago de 40 bitcoins.
CRYPBEE Utiliza macros maliciosos y sitios web comprometidos como
vectores de infección.
STAMPADO Amenaza con borrar un archivo cada seis horas de no
pago. Borra todo en 96 horas si es que no se paga el
rescate.
CERBER 3.0 Se distribuye por Magnitud y Rig Exploit kits.
ELFREXDDOS Un Ransomware de Linux que es capaz de lanzar ataque
DDoS.
MILICRY Recibe paquetes y realiza envíos recopilando información
como un archivo .PNG.
Página 31
DETOXCRYPTO 2.0 Utiliza un certificado falsificado de Trend Micro.
COMLINE Primer Ransomware visto que usa línea de comandos para
ejecutarse.
SHOR7CUT Tiene como objetivo los servidores web.
SMASHLOCK Desactiva el administrador de tareas, línea de comandos y
registros editor. Muestra una serie de buzones de mensajes
que incluyen un temporizador y barra de progreso.
TELECRYPT Utiliza canales de telegrama (api.telegram.org) para
comunicarse con su comando de control (C&C).
POPCORNTYM Incita a los usuarios a distribuir el Malware a cambio de la
clave del descifrado.
GOLDENEYE Se conecta con MISCHA y PETYA ransomware. Reinicia el
sistema e inicia la rutina de cifrado.
Fuente: Elaboración propia vasado en TrendLabs 2016 Security
Roundup: A Record Year for Enterprise
Día Cero
Son ataques muy sofisticados por lo que utilizan diversas clases de herramientas para
poder introducir un malware u otra clase de infección, sus estructuras son muy complejas
y no convencionales, volviéndolos imperceptibles ante algunos antivirus y firmas en las
primeras ejecuciones. Según Symantec, en “Protect Your IT Infrastructure from Zero-Day
Attacks and New Vulnerabilities” (2015) la ejecución de ataques de día cero son utilizados
también como medio de espionaje de empresas u organizaciones gubernamentales, que
finalmente llegan a infectar a terceros, propagando la infección en diversas entidades de
forma imprevista. La mayoría de los ataques son ejecutados a través de inyección de
código malicioso en con JavaScript a través de paginas web en formato HTML.
Página 32
Casos Relevantes
En noviembre del año 2016 la Agencia Municipal de Transporte de San Francisco cuyo
proveedor de la computadora es era VESK sufre un ataque de Ransomware por lo que los
delincuentes cibernéticos solicitaron una recompensa de 100 bitcoins que en ese
entonces era un aproximado de US$ 70,000 dólares. Al no obtener respuesta por parte de
la empresa bloquearon todas las computadoras hasta que el pago se realizó por
aproximado de US$ 23,000 dólares para poder obtener las claves de cifrado.
De igual manera, otro caso relevante fue el de New Jersey Spine Center donde
cifraron información como registros médicos, deshabilitaron su sistema telefónico y
bloquearon al personal; pagaron un rescate para poder obtener las claves del cifrado,
suma que no ha sido revelada hasta el momento.
En la tabla 5, basada en el informe de TrendLabs (2016), se puede observar las
grandes cifras de usuarios que han sufrido robos de sus cuentas en diferentes páginas,
siendo Yahoo! la más afectada en ese año con un billón de cuentas robadas.
Página 33
Tabla 5. Robos de cuentas por mes en el 2016.
Mes Páginas Web Cantidad
Julio • Elex
• Disney Consumer Products and
Interactive Media
• 1.6 Millones
• 356 Mil
Agosto • Bon Secours Health System
• Epic Games Forums
• Illinois Board of Elections
• 655 Mil
• 808 Mil
• 200 Mil
Setiembre • Brazzers.com
• ClixSense
• Yahoo!
• 800 Mil
• 6.6 Millones
• 500 Mil
Octubre • Washington Department of Fish and
Wildlife
• Weebly
• FourSquare
• 1.7 Millones
• 43 Millones
• 22.5 Millones
Noviembre • FriendFinder
• Michigan State University
• United States Navy Career Waypoints
• Google Android
• 412 Millones
• 400 Mil
• 143 Mil
• 1 Millón
Diciembre • Yahoo!
• Community Health Plan of Washington
• 1 Billón
• 382 Mil
Fuente: Elaboración propia vasado en TrendLabs 2016 Security
Roundup: A Record Year for Enterprise
Propagación o Distribución
La distribución de Ransomware más rápida es a través de los Exploit kit. TrendMicro
(2016) la define como “una herramienta que los ciberdelincuentes desarrollan y venden a
otros ciber-delincuentes para que ellos puedan realizar ataques”. En el Anexo B “Familias
de Ransomware entregadas por Exploit Kit” se presenta los Exploit kit más comunes
siendo Angler, Neutrino, Magnitude, Rig, Nuclear, Sundown, Hunter y Fiesta las
herramientas más utilizadas en el 2015 y 2016.
Los Kit Exploit son utilizados como herramientas para atacar las vulnerabilidades
de los diversos sistemas para que de esa manera distribuyan e infecten las computadoras
de los usuarios.
Página 34
Figura 10. Etapas de una infección de Kit Exploit
Fuente: TrendMicro: Explotar kit 2016.
En la figura 10, se identifica las etapas de infección de Kit Exploit permiten al
atacante filtrar a sus víctimas de acuerdo a ciertos requisitos que deben cumplir, utilizan
en su mayoría los correos electrónicos como medio de propagación, el usuario al abrir el
enlace proporcionado en el correo electrónico es dirigido a una página en la cual se
evalúan las vulnerabilidades del usuario para proseguir con el ataque, el cual es
descargado y ejecutado como un programa.
SANS Institute en el artículo “Detecting Malware Sandbox Evasion Techniques”
(2016), indica que existen dos configuraciones de evasión para el reconocimiento de
Malware por un Sandbox:
• Sueño prolongado: Se configura el Malware para realizar el proceso de callback
(llamada de bajo nivel hacia el origen) de forma extendida. De esta forma puede
permanecer el Malware oculto por un largo periodo, ya que el periodo de
emulación en el ambiente Sandbox es limitado.
• Flujo rápido: Esta técnica es utilizada por Botnets para ocultar los sitios de origen
de Malware y Phishing detrás de una red dinámicamente de dispositivos host. Al
cambiar rápidamente los nombres de DNS y las direcciones IP se dificulta la
Página 35
detención de la actividad de Malware para las empresas, lo cual representa un
desafío para el resultado de los análisis Sandbox.
Bitcoin
Según Bitcoin en su página oficial, indica que es la primera criptomoneda digital
descentralizada desarrollada por Satoshi Nakamoto en el 2009, la cual se inició como un
concepto digital para realizar transferencias a través de Internet sin interactuar con una
entidad tercera. Aún es considerada experimental ya que se encuentra en un activo
desarrollo.
Por otro lado, posee impuestos y regulaciones según el territorio en el cual se
encuentre el propietario de la cuenta, es decir, se tiene que pagar impuestos sobre las
ganancias obtenidas u otros pagos dependiendo de las regularizaciones del gobierno o
municipio del país.
Asimismo, Bitcoin regulariza su contabilidad pública a través de “Block Chain”, la
cual es una página web que ofrece herramientas para desarrolladores y datos de
transacciones en tiempo real; sin embargo, su finalidad es construir un sistema financiero
que permita realizar transacciones económicas mundiales almacenando cada una de las
transacciones; es así, que se verifica la valides de cada transacción realizándose de
forma segura y rápida.
Figura 10. Average USD market price across major bitcoin exchanges.
Fuente: BlockChain.info, 2017.
Página 36
En la figura 10, se observa que Bitcoin comenzó a tener valor en el mercado a
partir del 2010, posteriormente en el 2013 su valor comienza a crecer exponencialmente y
luego de constantes variaciones hasta agosto del 2017 llega a establecer su valor en US$
4,175.00 por cada bitcoin (BlockChain, 2017). La fortaleza de esta moneda se encuentra
en el valor que le dan los usuarios al continuar invirtiendo, generando un mayor valor y
permitiendo que empresas participen de su comercio.
Entre sus principales ventajas, Bitcoin al ser una moneda descentralizada puede
realizar transacciones hacia cualquier país sin la necesidad de algún intermediario,
reduciendo las comisiones y evitando límites y pre requisitos, sin riesgo que la cuenta
bitcoin pueda ser congelada.
En estos últimos años algunas cuentas de Bitcoin han sido utilizadas con
propósitos delictivos, especialmente para delitos informáticos. Los delincuentes
informáticos utilizan esta forma de pago ya que es posible realizar transacciones de
dinero sin comisión en cuestión de minutos, sin realizar todos los trámites burocráticos de
las entidades financieras o tener que esperar días para poder recibir el dinero, de la
misma manera es posible realizar transferencias anónimas de esa manera no se conoce
el titular de la cuenta a la cual están realizando la transferencia y no es posible
rastrearlos.
Principales casos de ransomware en el 2017
En el presente año se han registrado dos casos de infección de Ransomware muy
importantes: Wannacry y Petya, los cuales afectaron a grandes empresas a nivel global
impactando su economía y reputación. Los delincuentes cibernéticos extorsionan a sus
víctimas (siendo la mayor parte empresas) sustrayendo y encriptando información
importante de sus equipos solicitando a cambio el pago de un rescate, el cual debe ser
pagado a través de una cuenta Bitcoin.
Si bien es cierto que los ransomware Wannacry y Petya operan de manera
distinta, ambos explotan la vulnerabilidad de Microsoft Windows SMB Server (identificada
con el código MS17-010 por Microsoft), la cual fue publicada en marzo 2017. A
continuación, se detallará la información relacionada a ambos ransomware.
Página 37
Vulnerabilidad MS MS17-010
El 14 de marzo del 2017 a través del boletín Security Bulletin MS17-010 publicado por
Microsoft, se da a conocer la vulnerabilidad que afecta al protocolo Server Message Block
(SMB) a través de los puertos 137 y 138 UDP y puertos 139 y 445 TCP. Esta
vulnerabilidad fue clasificada por Microsoft como Crítica.
Según Microsoft, entre las versiones de sistemas operativos Windows que fueron
afectadas por esta vulnerabilidad se encuentran: Microsoft Windows Vista SP2, Windows
Server 2008 SP2 and R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows
Server 2012 and R2, Windows 10, Windows Server 2016, Windows XP, Windows Server
2003 y Windows 8.
Por otra parte, la vulnerabilidad fue identificada por la página Common
Vulnerabilities and Exposures (CVE) bajo el código CVE-2017-0143, e indica también que
dicha vulnerabilidad permite al atacante realizar la ejecución de código remoto sobre el
computador afectado.
Ransomware Wannacry
El 12 de mayo del 2017, las empresas al nivel mundial reportaron haber sido afectadas
por un nuevo Malware que vulnera los equipos de seguridad, pudiendo considerarse
como un ataque de Día Cero.
Según SANS Institute, en el reporte “Lessons From Lessons” (2017) indica que el
ransomware fue transmitido a través de correos electrónicos con archivos adjuntos que
explotan la vulnerabilidad de Microsoft anunciada en el Boletín Oficial MS 17-010 el
pasado 14 de marzo del 2017. Dicha vulnerabilidad permitió al ransomware Wannacry
afectar a los computadores y cifrar los archivos a través del algoritmo AES con la
extensión .Wcry.
Figura 11. Mensaje de advertencia de infección del Ransomware WannaCry
Página 38
Fuente: SANS Institute. Lessons From WannaCry, 2017.
El ransomware Wannacry aplica una sentencia de reinicio del sistema operativo
como última actividad para encriptar los archivos alojados en las computadoras. Al iniciar
la sesión el usuario visualiza un mensaje de extorsión solicitando el pago de $300 a través
de Bitcoin e indicando las pautas de validación por el pago realizado.
Según indicaba SANS Institute en su publicación “Lessons From Lessons” varias
las empresas fueron afectadas a nivel mundial. Adicionalmente fue publicada gran
cantidad de información relacionada a la empresa Telefónica, la cual sufrió la encriptación
de aproximadamente 200,000 computadores a nivel mundial que contaban con el sistema
operativo Windows. Como parte de su plan de respuesta a incidentes, Telefónica solicitó a
sus colaboradores a nivel mundial desactivar o desconectar todo equipo conectado a la
red de forma inalámbrica o cableada hasta nuevo aviso.
Según CNN Español en su artículo “Más de 200.000 víctimas en 150 países por el
ciberataque”(2017), WannaCry afectó instituciones y empresas en 150 países, entre los
cuales se puede mencionar al Banco Central de Ucrania, la agencia de publicidad
británica WPP, la productora petrolera Rosneft, la compañía naviera danesa Maersk, el
fabricante de aeronaves Antonov, Heriatage Valley Health System, la compañía de
productos alimenticios española Mondelez, la naviera holandesa TNT, la compañía
francesa de materiales de construcción Saint-Gobain, la farmacéutica estadounidense
Merck, la firma de abofados DLA Piper, entre otros.
Página 39
Ransomware Petya
También conocido como Pewrap, este ransomware logró infectar alrededor de 300,000
sistemas y servidores alrededor del mundo en menos de 72 horas, obligándolos a reiniciar
y posteriormente encriptar el arranque del computador ejecutando un comando de
comprobación de disco CHKDSK y mostrando el mensaje de rescate por 300 bitcoins
(The Hacker News, 2017).
Figura 12. Mensaje de advertencia de infección del Ransomware Petya
Fuente: “Petya Ransomware Spreading Rapidly Worldwide,
Just Like Wannacry”, The Hacker News, 2017.
Según se observa en la figura 12, luego del reinicio forzado del computador, el
Malware muestra el mensaje exigiendo un rescate de $300 y solicitando el envío del
comprobante de la transferencia a la cuenta Bitcoin.
Cabe indicar que las empresas que fueron afectadas con los Malware Wannacry y
Peyta son aquellas en las cuales el sistema operativo no se encontraba actualizado o ya
no poseía el soporte por parte de la marca; también fueron infectadas porque ingresaron a
páginas de dudosa reputación, descargaron APP de dudosas procedencias o sufrieron de
suplantación de correos electrónicos, los cuales utilizaron ingeniería social para la
ejecución del Malware.
Página 40
Soluciones tecnológicas
Actualmente, las empresas cuentan con soluciones tecnológicas como Firewalls, Antivirus
e IPS para mitigar el impacto de ataques informáticos a los que se enfrentan
constantemente; sin embargo las últimas versiones de Malware poseen un
comportamiento diferente a los anteriormente identificados, lo cual genera que las
empresas tengan la necesidad de adoptar nuevas soluciones tecnologicas para una
eficiente identificación y reconocimiento de la presencia de Malware en la red.
Las empresas proveedoras de seguridad más importantes a nivel mundial
proponen nuevas soluciones tecnológicas, las cuales se adaptan a los requerimientos del
usuario para la detección y mitigación de la presencia de Malware en la red y ataques Día
Cero. Dichas soluciones están basadas en nuevas técnicas de análisis de Malware entre
las cuales podemos mencionar:
Heuristic-Based Scanning & Sandbox
Los equipos de seguridad cuentan con una base de datos establecida por el fabricante,
las cuales varían dependiendo de la categoría de la solución, el procesamiento y
categorización de detenciones identificadas por la solución.
A continuación, se describirán las herramientas utilizadas para la detección de
amenazas, a fin de conceptualizar la mejor solución ante ataques de Malware y Día Cero.
Heuristic-based scanning
De acuerdo con Green et al, en el artículo Detecting Script-Based Malware Using
Emulation And Heuristics (2015), el análisis heurístico emula la ejecución del código
malicioso analizando las estadísticas en base a las actividades realizadas durante su
ejecución, identificando y analizando los archivos en un menor tiempo debido a que solo
aplican técnicas basadas en el análisis de comportamiento de la base de datos. Al
mantenerse constantemente actualizados los convierte en menos vulnerables ante
posibles ataques.
Página 41
Figura 12. Heurística VS Firmas
Fuente: “Heurística antivirus y la detección proactiva de amenazas”, Welivesecurity, 2017.
En la figura 12, Al realizar un análisis heurístico se realiza una detección proactiva
analizando la cantidad de código malicioso en las posibles amenazas, a diferencias de
una solución basada en firmas y detección de patrones ya establecidos volviendo poco
efectivo el análisis de firmas para la detección de nuevas amenazas.
Las herramientas basadas en este tipo de escaneo identifican comandos que
puedan indicar una intención maliciosa. Gracias a este método se puede detectar la
presencia de Malware, analizando su comportamiento y comparando los resultados contra
una base de datos de firmas.
Las herramientas anti-Malware basan su efectividad a través de la ejecución de
múltiples pruebas a archivos a fin de determinar si contienen código malicioso. En caso
éste sea identificado, se incluye en la base de datos de la herramienta para que puedan
ser detectados en un futuro a través de firmas o reglas de configuración.
Lamentablemente, estas acciones son cada vez menos efectivas ya que se tienen que
realizar muchas verificaciones en un tiempo muy reducido.
Sandbox
Según SANS Institute en el artículo “Detecting Malware Sandbox Evasion Techniques”
(2016), el análisis utilizado por la tecnología Sandbox es eficaz para la identificación y
análisis de Malware, a través del uso de la emulación en varios entornos virtuales en
simultaneo. En este entorno se ejecutan las actividades, a fin de registrar el
comportamiento de los mismos y detectar las acciones que pueden realizar en el equipo;
Página 42
de esta manera se determina si el archivo es malicioso o no consolidado la información en
un repositorio.
Durante la emulación de los archivos en un ambiente Sandbox se analiza el
comportamiento del estos a fin de identificar sus actividades y clasificar el Malware. En el
caso que no cuente con una clasificación de la base de dato, la herramienta Sandbox
recopila la información de las actividades y recursos del equipo virtual concretando
actividad maliciosa, agregándolo a su base de datos para aplicar acciones correctivas.
De acuerdo con NSS Labs, en “NSS Labs Announces Breach Detection Systems
Test Results” (2016) las plataformas de seguridad evaluadas cuentan con eficiencia
desde 86.5% a 100% en detección de intentos de infección de Malware. Esto indica que
aún existe un margen de probabilidad de infección, dependiendo de la plataforma de
seguridad utilizada para la detección de amenazas.
Según una publicación realizada por ADSLZONE, en “Aumenta la seguridad
de tu ordenador utilizando estas herramientas de sandbox” (2016), una forma de
protección ante estos malware es utilizando una herramienta de nombre SANDBOX
utilizados por usuarios finales en sus equipos personales a través aplicaciones; en
donde se ejecutan de una manera cerrada y limitada para que no afecten el
ordenador.
La herramienta SANDBOX trabaja en un espacio cerrado, aislado y seguro
donde se ejecutan las aplicaciones sin posibilidad de causar algún daño en el
ordenador; en el cual se identifica si dicha aplicación es maliciosa o segura. Aunque
su utilización es limitada a medios de pago y recursos del equipo en donde se
ejecuta, la herramienta no permite realizar el análisis de mas de un elemento a la
vez aplicando una regla de colas restringiendo el acceso a los archivos,
adicionalmente solo analiza los archivos que puedan ser ejecutados. A
continuación, se describirán 3 tipos de SANDBOX mas conocidos:
Sandbox, siendo una de las herramientas mas completas pero que requieren
de una persona capacitada para poder realizar su configuración y ejecución,
permite el crear múltiples ambientes para que cada uno de estos realicen tareas
específicas de acuerdo al usuario.
Página 43
Cybergenic Shade Sandbox, a diferencia de Sandbox, el uso no es complicado
lo cual permite al cualquier usuario utilizarlo sin ningún inconveniente, fuera de ello
cumple la misma función.
Quietzone, está diseñada para el control de los cambios en los discos duros,
al encontrarse activo, no permite que se realicen cambios en el ordenador de
manera que cuando se reinicie no se haya realizado ningún cambio. Por otro lado,
esta herramienta consume mayor cantidad de recursos lo que genera un poco de
lentitud e incomodidad en el usuario.
Es por ello que se propone la implementación de una plataforma con tecnología
Sandbox en la infraestructura de la entidad financiera, para poder mantener la integridad
de su información, de igual forma, contar con un plan de respuesta a incidentes de
Ransomware mitigando la infección y propagación dentro de la organización.
Finalmente, las tecnologías mayormente utilizadas a la fecha para la detección de
Malware y de ataques Día Cero no son suficientes para mitigar el riesgo de infección de
Malware en la red. En el siguiente capítulo se detallará la propuesta del tema central de la
tesis, que es propuesta de implementación de una herramienta Sandbox en la entidad
bancaria y de un plan de respuesta a incidentes de infección de ransomware; así como el
detalle de las fases a realizar para la implementación del proyecto.
Página 44
CAPITULO IV: MARCO METODOLÓGICO
En el presente capítulo se presentarán las fases que se realizaron para la propuesta de
implementación del proyecto basado en la metodología de PMBOK para la gestión de
proyectos del Project Management Institute (PMI). Este proyecto tiene como objetivo
proponer la implementación de la mejor solución tecnológica anti-Malware para la
detección temprana de intentos de infección de Malware y ataques Día Cero, así como la
definición de un Plan de respuesta ante incidentes de infección de ransomware en la red.
Metodología De Gestión De Proyecto
De acuerdo con la metodología del PMBOK, se propone las siguientes fases para la
implementación de una tecnología Sandbox:
Fase de inicio
En la primera reunión se realiza el levantamiento de la información, estableciendo el
alcance, limitantes y requerimientos del proyecto de acuerdo con la infraestructura actual
en la empresa; brindando el detalle de la función de la tecnología Sandbox e información
relacionada al comportamiento de diversos tipos de Malware.
Fases de planeamiento
De acuerdo con la necesidad de la empresa para resguardar la integridad de la red, se
evaluará soluciones anti-Malware que se adapte a la infraestructura de la empresa para la
propuesta de implementación. Asimismo, se realizará la presentación de proyecto,
actividades propuestas, el cronograma de implementación de acuerdo con las etapas de
implementación.
Página 45
Fase de ejecución
Se definirán los procedimientos a considerar para la puesta en producción en base a las
actividades de preparación e implementación. Durante estas actividades se realizarán
pruebas en un ambiente controlado, mitigando algún impacto en los servicios o
continuidad de negocio de la empresa.
De acuerdo con la experiencia de la empresa proveedora implementando
soluciones anti-Malware, se utilizará la metodología de implementación basada en buenas
prácticas y mejora de resultados al ser aplicada en todos los proyectos de seguridad
perimetral.
Fase de Seguimiento y control
Se realizará el seguimiento y control del proyecto en base a las actividades realizadas en
el cronograma de implementación, para dar a conocer los procedimientos realizados en
cada actividad de la implementación y sus correspondientes resultados.
Fase de cierre
El proyecto finalizará al implementar la solución Sandbox en la empresa luego de culminar
la etapa de pruebas; donde finalmente se realizará la presentación del equipo anti-
Malware y se hará entrega del informe junto con la documentación del proyecto.
A continuación, se detallará las actividades de las fases indicadas en la Metodología de
Gestión de Proyectos:
Metodología de implementación
La empresa implementadora de la solución de seguridad perimetral hace uso de su propia
metodología aplicando actividades y procedimientos aplicados previamente en proyectos
similares. Parte de las actividades de implementación que se desarrollan dentro de la
empresa están definidos en el documento “ING-PRO-17 Procedimiento de Implementar
Soluciones Generales”, creado por la Jefatura de Proyectos y aprobado por la Gerencia
Página 46
de Ingeniería y la Gerencia General el 24 de octubre del 2013. El documento en mención
hace referencia al conjunto de actividades pre establecidas para la fase de
implementación, y cuyo fin es organizar y establecer las actividades entre etapas.
En base a los contratos de confidencialidad que la empresa implementadora firmó
con sus clientes, no se brindará detalle del contenido de sus procedimientos, sin embargo,
se describirá las actividades utilizadas como metodología en la implementación.
Levantamiento de información
Es considerada la actividad principal dentro del proyecto, debido a la extracción de
información que se tomará en cuenta para establecer los requerimientos y necesidades
para la implementación del proyecto; considerando la arquitectura de equipos de
seguridad, configuraciones establecidas en software y disponibilidad del hardware, a su
vez, el licenciamiento y capacidad.
Pruebas de laboratorio
Parte de las actividades y buenas prácticas de implementación de soluciones tecnológicas
es realizar una etapa de prueba de la solución en un ambiente controlado, es decir se
realizarán pruebas funcionales y se evaluará el resultado obtenido durante dicho periodo.
Cabe mencionar que en esta evaluación existe mayor probabilidad de identificar y
solucionar errores de configuración o de hardware. También, se podrá comprobar el
funcionamiento de la solución y resolver las consultas realizados por el jefe de proyecto
como por el cliente. Es así como se evaluará el funcionamiento de la solución de acuerdo
a los requerimientos del cliente y obtendrá una muestra de resultados durante el periodo
de pruebas.
Planificación de la implementación
Una vez completada la fase de pruebas en un ambiente controlado, se recopilará la
información obteniendo los resultados de las pruebas funcionales. En la fase de
planificación se definen la duración de las actividades a detalle establecidas en el
documento “ING-FOR-05 Plan de Trabajo”, donde destacan la configuración de equipos,
Página 47
implementación de la herramienta en el ambiente de producción, así como la etapa de
desinstalación de la herramienta como medida de contingencia para restablecer las
configuraciones previas a la puesta en producción (también conocida como Rollback).
Finalizada la fase de planificación se revisará el plan de trabajo en conjunto con el
analista designado por la empresa, corroborando las actividades indicadas en el plan de
trabajo, y obteniendo la aprobación para la ejecución del proyecto.
Ejecución de la implementación
La fase de implementación se llevará de acuerdo con el plan de trabajo aprobado por la
empresa, considerando realizar las actividades en un horario no productivo o con menor
impacto. Asimismo, durante las etapas de implementación se respetará la duración de
cada actividad y garantizará la disponibilidad de los servicios activos posterior al pase a
producción.
Por otra parte, durante la ejecución del plan de trabajo se pueden definir cortes del
servicio activo ya que algunas configuraciones o procedimientos pueden requerirlo.
Finalizada la ejecución de la implementación se realizará un análisis de los equipos en
producción a fin de validar el correcto funcionamiento de los servicios activos.
Se cuenta con una etapa de contingencia (Rollback), la cual será ejecutada en
caso se presenten problemas o desperfectos tanto a nivel de software o hardware que no
hayan sido considerados en el plan de implementación, restableciendo así las
configuraciones e infraestructura previas
Monitoreo de la implementación
Finalizada la fase de ejecución de la implementación y obteniendo un resultado
satisfactorio o desfavorable, se deberá realizar un monitoreo constante de los servicios
activos en horario productivo garantizando el correcto funcionamiento de las soluciones y
la continuidad de negocio en la empresa. La importancia de la fase de monitoreo se debe
a que es una importante fuente de información, a fin de identificar eventos emergentes,
que puedan afectar a la operabilidad de la solución.
Página 48
Cierre de la implementación
Se presentará el informe final del proyecto, detallando las etapas más importantes, los
objetivos cumplidos, los eventos ocurridos durante la implementación y la correcta
operatividad de la solución, junto con las recomendaciones a seguir.
El documento deberá ser entregado por el Ingeniero encargado de la
implementación a la jefatura de proyecto para su revisión y aprobación; quien finalmente
entregará al cliente los documentos formalizados.
Metodología de Investigación
De acuerdo con las metodologías académicas enseñadas por la Universidad San Ignacio
de Loyola se establece y describe la siguiente estructura de investigación:
Identificación del escenario
Se determina el escenario donde se desarrollará el objeto de estudio en base a la
experiencia y conocimientos obtenidos para determinar su optimización. A través del
reconocimiento de las fases y etapas de investigación se podrá establecer el alcance y
límites de la investigación.
Definición del problema
Se identifica el problema central en base a los conocimientos extraídos en el escenario de
desarrollo aplicando el contenido de acuerdo a la estructura de la información, obteniendo
el problema central y extrayendo los objetivos específicos utilizando como guía la
investigación del marco teórico.
Propuesta de solución
Determinado el objetivo de la tesis, se realiza un análisis de las soluciones identificadas
evaluando el resultado con estudios similares considerando escenarios homogéneos. Con
la finalidad de establecer el resultado del análisis al planteamiento de la hipótesis se
Página 49
podrá identificar las variables definidas con el propósito de corroborar el objetivo
establecido.
Interpretación de resultados
En base a los resultados obtenidos en la investigación se realizará una comparación con
la hipótesis planteada, corroborando los resultados y su veracidad; proporcionando
recomendaciones y conclusiones a aplicar en escenarios semejantes.
Figura 13. Propuesta de aplicación en las metodologías.
Fuente: Elaboración propia.
En la figura 13 se muestra de manera gráfica la aplicación de las metodologías de
gestión de proyectos, implementación e investigación; así como las diferentes fases por
las que pasa cada una de las metodologías mencionadas. En el siguiente capítulo se
Página 50
detallará la propuesta de implementación de la herramienta Sandbox, así como el análisis
requerido para la elección de la mejor opción disponible en el mercado.
Página 51
CAPITULO V: PROPUESTA DE IMPLEMENTACION
En el presente capítulo se describe el desarrollo para la propuesta de implementación de
una solución Sandbox aplicando la metodología de gestión de proyectos del PMBOK.
Inicio
El proyecto se inició con el levantamiento de la información en una reunión inicial en la
que participará el analista de proyectos de la empresa que adquirirá la solución; el jefe de
proyectos y el responsable del proyecto por parte de la empresa implementadora. Se
considerará la participación de los responsables del área de Arquitectura y Redes,
quienes apoyarán brindando información detallada de la infraestructura de la empresa y
los servicios que se verían afectados con la implementación de la solución tecnológica.
Durante el levantamiento de información se evidenció que la empresa no cuenta
con dispositivos que permitan proteger a la entidad bancaria de infecciones de Malware y
ataques del tipo Día Cero, los cuales se han incrementado potencialmente en el último
año según lo analizado en el Capítulo III.
Figura 14. Diagrama de la arquitectura de red de la empresa.
Fuente: Elaboración propia.
Según se observa en la figura 14, la empresa cuenta con una red segmentada
para la zona desmilitarizada (DMZ) y para red de colaboradores. Se identifica que la
empresa cuenta con una solución Firewall Check Point en su red, cumpliendo la
funcionabilidad de analizar el tráfico aplicando políticas de seguridad para la restricción de
Página 52
puertos en la comunicación entre un origen y destino; así como el equipo de seguridad
perimetral Check Point Appliance 15400 con un licenciamiento Next Generation Next
Prevention. Ambas soluciones son gestionadas a través de Check Point Appliance 3050;
el cual cuenta con la funcionalidad SmartEvent que permite identificar los eventos y la
funcionalidad SmartReporter para la generación de reportes y alertas en tiempo real.
Como propuesta de implementación se ofrece la solución de protección Anti
Malware dedicado, la cual puede analizar el tráfico Web, Mail y SSL en un solo equipo,
pudiendo albergar la cantidad de usuarios de la empresa. En base a la arquitectura actual
de la empresa y las soluciones de seguridad alojadas dentro de su infraestructura se
propone una solución Sandbox y Anti Malware de la marca Check Point como la solución
más viable a implementar dentro de la infraestructura.
Posteriormente se planteará la implementación de la solución Sandbox en un
ambiente de controlado, donde se evaluará la funcionabilidad del equipo de seguridad
dentro de la empresa. Durante esta fase se limitará su capacitad a un segmento de red
especifico indicado por la misma empresa, en la cual se evaluarán los eventos
presentados en una muestra de 36 computadoras pertenecientes al equipo de atención al
cliente y sus buzones electrónicos como buzón de reclamos, requerimientos, preguntas
frecuentes, información de procedimientos, entre otros quienes son los que presentan
mayor contacto con los usuarios finales, debido a ellos son más propensos a recibir
correos de dudosa procedencia con contenido malicioso.
Cabe mencionar que al implementar el Sandbox dentro de la arquitectura de la
empresa en ambiente de controlado, la solución se encontrará sincronizada con los
equipos de seguridad existentes dentro de la infraestructura, contando con una mejor
visibilidad al ser puesta en producción para todos miembros de la organización.
Planeamiento
Se realizará la organización y estructuración del proyecto para la propuesta de
implementación, en la cual se describirán las actividades a ejecutar durante cada etapa de
la implementación; definiendo el cronograma, la duración y las responsabilidades que se
Página 53
asignarán durante su ejecución. Asimismo, se realizará la evaluación de la herramienta a
utilizar para la implementación de una solución Sandbox.
Herramienta a utilizar
NSS Labs es una empresa de consultoría e investigación ubicada en Austin - Texas
(E.E.U.U.), la cual se encarga de evaluar los productos tecnológicos en el mercado. Con
esta información elaboran un ranking de las mejores soluciones y sus respectivos
fabricantes, el cual es conocido como Breach Detection Systems. Este informe presenta
los resultados de manera gráfica, a través de dos ejes: Total Cost of Ownership (TCO) y
Security Effectiveness. El eje Total Cost of Ownership (TCO) define el costo asociado a la
implementación, mantenimiento e integridad, es decir, el retorno que genera valor para los
clientes; mientras que el eje de Security Effectiveness detecta y registra ataques e
intentos de ataques con exactitud, mientras permanece resistente a falsos positivos.
Análisis de Marcas.
A continuación, se realizará un análisis de las principales soluciones y marcas
identificadas en el reporte de Breach Detection Systems de NSS Labs del año 2016, con
el fin de poder identificar la solución más óptima a implementar:
Figura 15. Análisis de Sistema de Detección de Fallas.
Fuente: NNS LABS; Breach Detection Systems(BDS) Security Value Map, 2016.
Página 54
En la figura 15, se observa las marcas con mayor representación en soluciones de
seguridad de detección de amenazas, con mayor capacidad de detección de amenazas,
las cuales se detallan a continuación:
Check Point
Check Point SandBlast proporciona protección ante ataques Día Cero utilizando la técnica
de puntos de verificación para proteger navegadores y puntos finales, garantizando una
cobertura completa en tiempo real de amenazas. La herramienta puede realizar
emulaciones de amenazas para detectar comportamientos maliciosos y prevenir
infecciones. Asimismo, incluye protección Anti-Ransomware para evitar que la información
del usuario sea comprometida y encriptada; colocando inmediatamente una posible
infección en cuarentena.
Según Check Point (2017), Las plataformas cuentas con las funcionalidades
Threat Emulation y Threat Extraction, como se indica a continuación:
SandBlast Threat Emulation:
Esta función del SANDBOXING es uno de los mas innovadores ya que permite
mejorar la tasa de captura ante las posibles amenazas y es inmune a las técnicas
de evasión utilizadas por los malware. Permite detectar y bloquear malware
desconocidos y ataques dirigidos mediante correo electrónicos, archivos
descargados por los usuarios, de igual manera protege las vulnerabilidades de
aplicaciones instaladas en el computador.
La protección que realiza lo hace mediante la supervisión de los flujos del
CPU buscando que aplicaciones intentan evadir los controles de seguridad
proporcionados por el sistema operativo al ser ejecutados en un entorno virtual
controlado para no afectar. Analiza el interior de los túneles SSL y TLS para su
extracción y ejecución en un ambiente seguro, posterior a ello se realiza un
análisis y la creación de una nueva firma la cual será enviada a Check Point
ThreatCloud.
Página 55
SandBlast Threat Extraction:
Mediante esta función se realiza la extracción y eliminación del contenido
infectado, al igual que la reconstrucción de los archivos y elementos de seguridad
para mantener al usuario libre de amenazas de una manera rápida y segura sin
alterar el flujo del negocio, en caso el usuario final requiera el documento original
podrá solicitarlo a través del agente instalado en el equipo. Es fácil de
implementar y permite que el usuario tenga conocimiento de cuales fueron los
ataques y el acceso a los archivos originales.
Por otra parte, cuenta con una versión local llamada Anti-Bot Security Protection,
utilizando un servidor en la nube que identifica y bloquea posibles amenazas de bot
communications, mediante comandos y controles enviando a cuarentena cualquier host
infectado.
Finalmente, provee reportes de eventos maliciosos, punto de infección, alcance de
daños, computadores infectados, análisis de incidentes del ciclo de vida del ataque, entre
otros.
Cisco
Cisco Advanced Malware Protection (AMP) previene, detecta, contiene y remedia las
amenazas que traspasan las defensas, basándose en una gran colección de inteligencia
de amenazas en tiempo real y análisis de Malware dinámico proporcionado por Cisco
Collective Security.
La estrategia de esta herramienta es la protección antes, durante y después de un
ataque: el antes se refiere al uso de inteligencia global de amenazas para el
fortalecimiento de sus defensas, el durante se refiere al análisis de archivos dinámicos
para bloquear la intromisión, y finalmente el después consiste en el monitoreo y análisis
continuo de los archivos (actividad, procesos y comunicaciones).
Implementación de la solución tecnológica.
De acuerdo con la evaluación preliminar de la situación actual de la empresa, actualmente
no cuenta con una solución contra ataques de Día Cero. Como resultado de la evaluación
de las soluciones tecnológicas definidas en el punto anterior, se propondrá la
implementación de Check Point Appliance correspondiente al equipo SandBlast. De
Página 56
acuerdo con el análisis de NSS Labs, esta se identifica como una de las soluciones con
mayor alcance para la detección de vulnerabilidades, diferenciándose entre otras
soluciones de seguridad por su tecnología para la prevención de amenazas la cual
exporta el contenido de los documentos a un nuevo archivo PDF, mitigando el riesgo de
infección de Malware en la red.
La empresa cuenta actualmente con equipos firewall de seguridad perimetral de
marca Check Point en modo Cluster, implementados en alta disponibilidad a fin de
garantizar la disponibilidad de los servicios en producción, el cual es administrado por un
equipo Check Point SmartCenter. Considerando la infraestructura de seguridad de la
empresa, la solución SandBlast comparte mayores ventajas de sincronización con las
plataformas de seguridad de la entidad financiera.
Finalmente analizando de la infraestructura de la empresa, se identifica y propone
implementar la solución SandBlast en la red interna, estableciendo una interfaz del Cluster
de firewall para su conexión. Reduciendo el procesamiento del equipo al ser
implementado en la interfaz externa, analizando la comunicación de los servicios HTTP,
HTTPS y SMTP utilizado por el personal de la empresa.
Ejecución
De acuerdo con el análisis realizado durante la fase de planeamiento y el cronograma
definido, se desarrollan las coordinaciones entre el jefe de proyectos de la empresa
implementadora y el analista de proyectos de la empresa contratante, seguimiento de las
actividades en ejecución, las cuales son detalladas en el Anexo A “Cronograma de
proyecto para la propuesta de implementación Sandblast”.
Etapa I: Instalación de la plataforma.
En la primera etapa se establece la ubicación del equipo Check Point Sandblast dentro
del diagrama de la infraestructura de la empresa en conjunto con el analista de proyectos
de la empresa que adquirirá la solución, el jefe de proyectos y el responsable del proyecto
por parte de la empresa implementadora; definiendo la dirección IP perteneciente al
segmento de la red interna para la plataforma de seguridad.
Página 57
Las configuraciones serán ejecutadas en el equipo de seguridad Check Point, de
acuerdo al manual de configuración “Endpoint Security - Administration Guide” (2017),
configurando las interfaces lógicas de la plataforma con los segmentos de la red interna y
la interfaz de administración. Se instalarán los sistemas operativos requeridos para emular
y realizar el análisis de las amenazas y se aplicarán políticas para la detección y
prevención de amenazas. Finalmente se instalarán las últimas actualizaciones de
software de la plataforma.
Etapa II. Integración de la plataforma.
De acuerdo con las especificaciones de la entidad financiera, se conectará el equipo
SandBlast entre el cluster de firewall y la red interna hacia la interfaz del segmento a
analizar durante la etapa de certificación. Asimismo, se habilitará la detección de los
puertos HTTP, HTTPS y SMTP para el monitoreo y mitigación de intrusiones, así como se
implementarán alertas de seguridad para catalogar los eventos a través de la herramienta
de seguridad Check Point.
En la etapa de integración se conectará la interfaz de administración del equipo
SandBlast al equipo SmartCenter para monitorear la conectividad e implementar las
configuraciones de la solución. Asimismo, se realizará una conexión cableada desde la
interfaz interna de los firewalls Check Point hacia el switch, estableciendo la comunicación
hacia el segmento indicado por la empresa hacia la interfaz uno (1) del equipo SandBlast,
procediendo a realizar el cableado de la interfaz dos (2) hacia el switch; de esta forma se
analizará la comunicación por la red de segmento establecido por el puerto HTTP, HTTPS
y SMTP. Finalmente, se validará si la comunicación del SmarthCenter al equipo
SandBlast por la interfaz de administración es conforme.
Etapa III. Certificación de la plataforma.
En la etapa de certificación se habilitó la comunicación desde Internet hacia la red interna
de pruebas, donde la plataforma SandBlast analiza el tráfico activo de las 36
computadoras pertenecientes al equipo de atención al cliente; identificando las amenazas
entrantes enfocadas a los servicios Web y Mail, emulando las actividades en los servicios
mencionados a fin de garantizar la seguridad del segmento de red. De esta forma se
procede a permitir o bloquear la recepción de la comunicación.
Página 58
La Figura 16 muestra el diagrama de red actualizado con la plataforma de
seguridad Sandbox enlazada a un segmento de la red interna para analizar la
comunicación de 36 computadoras, designadas por la entidad financiera a analizar.
Figura 16. Diagrama, solución Sandbox implementado.
Fuente: Elaboración propia.
Página 59
Seguimiento y control
Durante la fase de seguimiento y control, se verifica satisfactoriamente el cumplimiento de
las actividades y configuraciones realizadas durante la instalación, integración y
certificación. Como medida de validación se genera el reporte de los principales Malware
clasificados por el tipo de protección utilizado por la plataforma SandBlast. La figura 17
muestra la plataforma de seguridad y la correspondiente calificación de las principales
amenazas por el tipo de protección que brinda, de acuerdo con las amenazas
identificadas, consecuente a al número de actividades identificadas y equipos infectados.
Figura 17. Top Protection Types and their Top Malware.
Fuente: Reporte final del Proyecto de Implementación
La Figura 18 muestra el resultado obtenido del reporte de protección de amenazas
obtenido durante las emulaciones de los distintos ambientes donde se ejecutó el Malware,
evidenciando en los resultados que en los computadores que tenían instalado el sistema
operativo Windows 7, Office 2003 y Adobe Reader 9.0 se detectaron 14 actividades
sospechosas durante la ejecución del archivo Passwe.cab, descargado a través del URL
indicada en el campo Resource.
Página 60
Figura 18. Malware Report.
Fuente: Reporte final del Proyecto de Implementación
La plataforma SandBlast ejecuta las políticas definidas por la entidad financiera,
para la prevención y mitigación de la amenaza, como la funcionabilidad Threat Emulation,
Anti Virus y Anti Bot en modo de detección, permitiendo el almacenamiento de log y
captura de paquetes. De esta forma se realizará la evaluación de los correos, adjuntos y
webs consultadas o con contenido descargable en los equipos virtualizados con los
sistemas operativos utilizados en la empresa financiera, configurados durante la etapa de
implementación.
Figura 19. Check Point Policy
Fuente: Plataforma SandBlast
A través del análisis de los reportes y alertas generadas por la plataforma de
seguridad se puede mitigar las vulnerabilidades existentes, generando un mayor control
en la arquitectura de la entidad financiera. De esta forma, se puede realizar las
Página 61
modificaciones necesarias en la plataforma para minimizar la cantidad de alertas
consideradas como falsos positivos y mejorar la detección de amenazas con mayor
complejidad.
Cierre
En la última fase, la entidad financiera evalúa los resultados obtenidos por la empresa
proveedora de seguridad, en base al informe final del proyecto y las evidencias
recolectadas en base al desempeño de la plataforma; con el propósito de implementar la
solución a toda la red interna, garantizando la seguridad en toda la red.
Finalmente, se presenta la documentación del proyecto y se realiza la
presentación de los logros obtenidos con la plataforma SandBlast.
Propuesta económica
De acuerdo a lo analizado en el presente capítulo, se identifica como la plataforma de
mayor eficiencia entre las soluciones BDS (Breach Detection System - Sistema de
Detección de Incumplimiento), y con mayor compatibilidad con la arquitectura de la
entidad financiera a la solución Anti Malware y Sandbox de marca Check Point.
Check Point SandBast, tiene la función de emulación de amenazas Threat
Emulation a nivel de sistema operativo y CPU. Esta herramienta analiza documentos en
un entorno de pruebas virtuales a fin de identificar ataques nuevos, ininteligibles o
basados en técnicas evasivas.
Debido a que la entidad financiera cuenta con un aproximado de 2000 empleados,
se propone la implementación de un equipo SandBlast TE250X, el cual es capaz de
soportar el tráfico hasta 3000 usuarios, descartando así la posibilidad de un límite en el
crecimiento de la empresa con la capacidad de soporte por la plataforma.
Las características principales de la plataforma SandBlast TE250X son detalladas
en la tabla 7, mostrada a continuación. Cabe indicar que la plataforma cuenta con la
capacidad de analizar 250 mil archivos por mes, para un mínimo de 3000 usuarios con
soporte de 700Mbps en el ancho de banda para la transmisión de paquetes, con la
capacidad de virtualización de 8 sistemas operativos para el análisis eventos.
Página 62
Tabla 7. Ficha técnica de plataforma SandBlast.
Fuente: Elaboración propia basándose Check Point SandBlast Appliance.
La propuesta mostrada en la tabla anterior tiene un costo de implementación de
$309,230.80. En la tabla 8, se observa la propuesta de implementación de la solución Anti
Malware y Sandbox a implementar en la entidad financiera con la actualización de la
licencia vigente en los equipos Check Point para realizar las funciones de emulación de
amenazas utilizando los recursos de la plataforma SandBlast TE250X.
Tabla 8. Propuesta de implementación para la solución Sandbox
Articulo Descripción Cantidad Precio Unitario
1 Equipo SandBlast TE250X 1 $ 102,806.14
2 Licenciamiento a NGTX 1 $ 118,005.62
3 Soporte de instalación, configuración y soporte 1 $
41,248.24
Total sin IGV $ 262,060.00
IGV $ 47,170.80
Total con IGV $ 309,230.80
Fuente: Elaboración propia
Página 63
La implementación de la herramienta Sandbox representa la opción de contar con
información certera para detección temprana de intentos de infección de Malware en la
red, a fin de mitigar el impacto del incidente en la red. Dicha información será de utilidad
para desarrollar un plan de respuesta a incidentes de infección de Ransomware en la
organización, debido a la particularidad del comportamiento de dicho Malware.
Página 64
CAPITULO VI: DESARROLLO DE PLAN DE RESPUESTA A INCIDENTES DE INFECCIÓN DE RANSOMWARE
En el presente capítulo se desarrollará un plan de respuesta a incidentes de infección de
ransomware, donde se definirán actividades preventivas, reactivas y recomendaciones a
realizar ante la infección de ransomware en la infraestructura de la empresa.
Gestión de Sandbox
En el capítulo V se propuso la implementación de una plataforma Sandbox en la
infraestructura de una entidad financiera, brindando como solución anti Malware un
equipo Check Point SandBlast, el cual analiza el tráfico generado por los protocolos
HTTP, HTTPS y SMTP en la organización. El análisis a realizar por esta plataforma
contempla diversas situaciones tales como la recepción de correos con archivos adjuntos
desde origen desconocido; a fin de emular las actividades que ejecutan, clasificándo y
determinando las acciones a realizar por parte de la plataforma de seguridad, mitigando
ataques de ransomware y de Día Cero.
Las plataformas Check Point son administradas por la suite SmartConsole. El
manual “Endpoint Security - Administration Guide” de Check Point indica los
procedimientos a realizar para adaptar las políticas y actividades de la plataforma
SandBlast de acuerdo a los requerimientos del cliente. Haciendo uso del SmartConsole y
las otras plataformas de seguridad de la entidad financiera, se podrá aplicar acciones en
los firewalls Check Point como acción cautelar a un incidente.
Según lo mencionado en el reporte de NSS LABS, las mejores plataformas de
seguridad cuentan con tecnología Sandbox; sin embargo, cuentan con una deficiencia
menor al 13.5% permitiendo el ingreso de amenazas en la red y un tiempo promedio de
detección de 15 minutos y 12 segundos en todos los productos evaluados. Es por ello que
se propone desarrollar un plan de respuesta ante incidentes de infección de ransomware
en la red, contando con la capacidad de mitigar el impacto de alguna brecha de seguridad
no contemplada por la empresa.
Página 65
Plan de respuesta a incidentes de infección de ransomware
Actualmente, un incidente de infección de ransomware en una empresa puede tener un
alto impacto en diversos campos, donde podemos mencionar:
• Reputacional: El valor de la empresa se ve afectado de forma pública, generando
una percepción de inseguridad ante los clientes; ocasionando una menor
apreciación en el mercado y una posible pérdida de acciones en la bolsa de
valores.
• Económico: Contar con una mala categorización dentro del rubro financiero
disminuiría la apreciación y consumo de los servicios ofrecidos por parte de los
clientes, minimizando los consumos y adquisición de productos generando un
déficit contable.
• Integral: La integridad de la información, así como de los colaboradores al percibir
una falta de seguridad dentro de la entidad financiera llevaría a la inestabilidad en
la gestión de procesos internos.
Debido a que una infección de ransomware representa un desafío para las
organizaciones, se debe contar con un plan de respuesta a incidentes enfocado a atender
infecciones de ransomware. En la presente tesis se siguió los lineamientos dictados por
Instituto Nacional de Ciberseguridad de España (INCIBE) dictados en el documento”
Ransomware - Una guía de aproximación para el empresario” (2017); el cual ha sido
adaptado para poder ser utilizado en la empresa objeto de la tesis.
Cabe indicar que se eligió diseñar un plan de respuesta a incidentes enfocado a la
infección de ransomware en la red debido a las características del comportamiento este
Malware (aplicación de criptografía en la información, solicitud de rescate, indisponibilidad
del servicio, etc.), las cuales no son comunes a los Malware previamente identificados.
Asimismo, los incidentes de infección de ransomware presentados durante el presente
año evidencian que las empresas no están preparadas ni capacitadas para afrontar y
minimizar el impacto de la infección de ransomware en una organización.
Página 66
Prevención
La prevención de la infección de ransomware en la red es un factor muy importante para
la organización. Las empresas deben diseñar políticas enfocadas a la gestión de los datos
e información que contemplen procesos de generación eficiente de copias de respaldo,
gestión de accesos y perfiles; y por supuesto capacitación al personal sobre nuevas
amenazas tecnológicas.
Como actividades preventivas a realizar para la mitigación de infección de
ransomware en la red, Kaspersky Labs (2015) recomienda en el documento "¿Podría
Sobrevivir Tu Negocio Al Crypto-Ransomware?" importantes pautas para la elaboración
de actividades de prevención a ataques:
• La entidad financiera deberá asegurarse de que todos los equipos conectados
a la red cuenten con los parches de seguridad instalados definidos para
sistemas operativos y aplicaciones utilizadas por la empresa, siguiendo la
última versión de políticas de seguridad establecida.
• Implementar políticas y procedimientos para la gestión de accesos de usuarios
en la red y aplicaciones; actualizando periódicamente los accesos brindados a
los empleados y asignándoles solo los privilegios requeridos para el
cumplimiento de sus funciones, evitando así otorgar accesos por exceso
erróneos.
• No ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos
en correos electrónicos. Esta recomendación también aplica en caso de recibir
un correo sospechoso por parte de un contacto conocido o promociones de
ingeniería social que lleven a la ejecución del link o adjunto.
• Mantener actualizadas las soluciones de seguridad y la versión de sus
respectivas bases de datos, garantizando así una óptima detección de
amenazas informáticas.
• Realizar copias de respaldo o backups periódicos de la información relevante
asegurando su integridad y disponibilidad inmediata, y a su vez contemplando
un segundo respaldo fuera de la red, aplicando pruebas de restauración de
copias de seguridad.
• Realizar campañas de concientización con los trabajadores sobre las
amenazas informáticas que surgen en la actualidad, indicando los precedentes
Página 67
que han traído para otras empresas e instruyendo las señales para su
detección.
• Aplicar encuestas periódicas dentro de la organización, para conocer el grado
de concientización ante los ataques informáticos.
Con respecto a la generación de copias de respaldo de la información, se debe
descartar la actividad de sincronización frecuente con el repositorio de backups, ya que
puede comprometer la integridad de la información el servidor de respaldo. De acuerdo
con SANS Institute, en el informe de “Survival Guide for Ransomware Attacks” (2016) las
nuevas versiones de ransomware buscan encriptar las copias de respaldo como primera
acción, a través de un escaneo del computador y carpetas remotas compartidos y que
contengan archivos bajo la extensión "*.bak". Asimismo, SANS Institute indica que los
ransomware suelen empezar con los archivos/folders que fueron utilizados recientemente.
Detección de intentos de infección de Ransomware
La solución Check Point consolida la información detectada por la plataforma de
seguridad brindando reportes a través de la suite SmartConsole en la aplicación
SmartReporter, según” SmartReporter - Administration Guide”. Se pueden generar
reportes customizados, otorgando la capacidad de detallar y demostrar el análisis
realizado durante o posteriormente a la generación de una alerta. También, se pueden
aplicar reportes programados para evidenciar actividades frecuentes.
La suite SmartConsole permite configurar alertas y notificaciones por eventos
detectados. Check Point en el manual “Configuring Mail Alerts using 'internal_sendmail'
command”, detalla el procedimiento a realizar para la configuración de envió de correos
electrónicos enlazándose al administrador de dominios, realizando el envío de alertas al
personal responsable de su revisión.
Figura 19. Alertas de plataforma de seguridad.
Página 68
Fuente: Confidencial.
En la figura 19, se observan las alertas generadas por la plataforma Check Point
censurando la información confidencial por la protección de datos. De esta forma es
posible contar con notificaciones vía email generadas por la plataforma de seguridad que
permiten iniciar actividades cautelares e inmediatas ante la presencia de Malware,
notificando a un equipo de primer nivel de seguridad el cual realiza las verificaciones
básicas descartando falsos positivos y brindando un reporte de las validaciones realizadas
ante el riesgo de infección de ransomware. Al tener un resultado positivo la entidad
financiera es vulnerable y se procede a ejecutar medidas de contingencias.
Acciones por realizar posteriormente al reporte de infección de Ransomware
A continuación, se detallarán las actividades a realizar por la organización a fin de mitigar
el impacto de la infección de ransomware en la red interna:
▪ Establecimiento del Comité de Respuesta a Incidentes de Ransomware
Es recomendable definir un Comité permanente de respuesta a incidentes, en el cual
participen las jefaturas y/o gerencias que puedan atender a este tipo de incidentes a
través de la asignación de funciones. Se puede considerar a las siguientes jefaturas:
• Líder del Departamento Seguridad Informática: Estará a cargo de la organización y
toma de decisiones para las labores de mitigación del impacto de la infección del
ransomware en la red.
Página 69
• Líder del Departamento IT: Se encargará de gestionar las actividades operativas
con los responsables de infraestructura de sistemas, bases de datos, backup de la
información, sitio de respaldo, ambiente de producción, entre otros, necesarias
para restablecer la operatividad de los sistemas afectados.
• Líder de la Unidad de Negocios afectada: Participará en la definición y ejecución
de las actividades necesarias para el restablecimiento de los procesos operativos
de la unidad afectada, y posteriormente recolectará información para evaluar el
impacto del incidente. Asimismo, estará a cargo de coordinar con los proveedores
con los que trabaja la unidad en caso de que los servicios contratados se vean
afectados.
• Líder del Departamento Legal: Participará asesorando a los otros líderes del
comité, al determinar si algunas medidas a ejecutar no afectarán los contratos
firmados por la empresa. Por otra parte, de contar con las evidencias necesarias,
será el encargado de presentar la denuncia del incidente ante las autoridades
policiales.
• Líder del Departamento Comunicaciones (internas y externas): Se encargará de
transmitir la información necesaria del incidente al personal interno, clientes,
proveedores y público en general.
El Comité de Respuesta a Incidentes debe contar con un Gerente y un asistente,
quienes en conjunto a los líderes mencionados trabajarán para minimizar el impacto de la
infección de ransomware en la red. Cabe indicar que los participantes del Comité deben
ser posiciones que tengan la autoridad para aplicar medidas inmediatas para mitigar el
impacto de la infección de ransomware en la red. Por otro lado, la disponibilidad de los
miembros del comité debe ser de 24x7x365 (24 horas, 7 días de la semana y 365 días del
año).
A fin de que los integrantes del Comité estén comunicados de manera
permanente, se requiere contar con medios de comunicación que siempre estén
disponibles. Por lo tanto, la empresa debe otorgarle a cada uno de los líderes del Comité
un smartphone con acceso a internet y llamadas telefónicas, a fin de que los integrantes
puedan revisar sus correos electrónicos frecuentemente y puedan realizar llamadas de
coordinación. Asimismo, la empresa debe crear una cuenta de correo electrónico
Página 70
diseñada para transmitir información relacionada al incidente, manteniendo la
confidencialidad del mismo. Por otra parte, el Comité debe evaluar si pueden comunicarse
por medio de grupos en mensajería instantánea (Whatsapp, Messenger, etc.).
▪ Acciones de respuesta al incidente de infección de Ransomware
Al evidenciar la infección de ransomware en la red de la entidad financiera, el equipo de
primer nivel de seguridad analizará inicialmente la información obtenida con el fin de
confirmar la veracidad de la infección de ransomware, y escalará el incidente al Comité de
Respuesta a Incidentes.
El Comité deberá iniciar las actividades inmediatas establecidas en el plan de
respuesta a este tipo de infección donde se contempla las siguientes actividades:
• El equipo del líder de Seguridad Informática evaluará el mensaje de infección, así
como los eventos relacionados generados en el (los) equipo(s) infectado(s).
• El jefe del Comité informará a la Gerencia General de la empresa sobre el
incidente, y las actividades a realizar.
• El equipo del líder de IT desconectará los equipos infectados de la red de manera
preventiva. Esto evitará que el ransomware infecte al resto de equipos o servicios
compartidos.
• El equipo del líder de Comunicaciones establecerá un medio de comunicación
(correo electrónico, intranet, etc.) para el envío de las notificaciones y
recomendaciones para los empleados durante y después del incidente. Asimismo,
este equipo definirá el canal de comunicación con proveedores, clientes y público
en general (correo electrónico, mensaje en redes sociales, etc.). Para ambos
casos, el equipo deberá establecer la información que compartirá con los
destinatarios (analizada previamente con los líderes del área Legal y de la unidad
del negocio), así como la frecuencia con la que se compartirá la información.
• El equipo del líder de IT notificará a los trabajadores, a través del canal establecido
en el punto anterior, apagar sus equipos y desconectar los dispositivos móviles de
la red de la empresa hasta nuevo aviso.
• Los equipos de los líderes de Seguridad Informática y de IT investigarán sobre la
información disponible del ransomware, a través de páginas web y listas de
Página 71
seguridad informática. De ser el caso, contactarán con el proveedor de la
aplicación relacionada o afectada a fin de obtener el respectivo parche e instalarlo
lo más pronto posible en los servidores afectados y de respaldo. Asimismo,
aplicarán (de ser el caso) nuevas reglas y/o políticas de bloqueo en las
plataformas de seguridad de la empresa (firewalls, IDS, Antivirus, etc.).
• El equipo del líder de IT realizará las acciones necesarias para colocar en la red
los servidores de respaldo (backup servers), y verificar la operatividad de los
mismos.
• El equipo del líder de Comunicaciones, luego de obtener la conformidad de los
Líderes de IT y de Seguridad Informática, notificará al Comité haber mitigado la
amenaza y la restauración de las funciones. El jefe del Comité informará a la
Gerencia General que el incidente ha sido superado, y que se continuará con el
respectivo análisis forense del incidente.
• El equipo del líder de Seguridad Informática debe solicitar a los trabajadores el
cambio de todas las contraseñas de red y de cuentas online desde un equipo
seguro.
▪ Acciones posteriores al incidente de infección de Ransomware
Luego de ejecutar las acciones del plan de respuesta de incidentes de infección de
ransomware, el líder de Seguridad Informática tiene la responsabilidad de velar por la
ejecución de un análisis forense del incidente de infección de ransomware, así como de
las actividades necesarias para retornar a la operatividad de la unidad de negocio
afectada.
El análisis forense se inicializará con la revisión de los equipos en cuarentena, ejecutando
a continuación las siguientes actividades:
• Entrevistar al personal a cargo de los computadores afectados, a fin de evidenciar
la forma de infección del ransomware (descarga de un archivo malicioso enviado
por correo electrónico, phishing, archivo compartido por mensajería instantánea,
etc.)
• Recoger y aislar muestras de archivos cifrados o aquellos relacionados al propio
ransomware (por ejemplo, el archivo adjunto en el mensaje de infección).
Página 72
• De ser el caso, identificar la cuenta de correo electrónico que envió los archivos
maliciosos, a fin de identificar posibles víctimas adicionales.
• Realizar una copia de los discos duros de los equipos infectados, los cuales puede
servir de evidencia en caso se presente una denuncia formal. Esta copia también
servirá para recuperar la información en el futuro, en caso de que no exista de
momento forma de descifrarlos.
El Comité de Respuesta a Incidentes deberá realizar las siguientes actividades.
• Identificar la cuenta de correo electrónico que envió los archivos maliciosos, a fin
de bloquearla en los dispositivos de seguridad de la red.
• Desinfectar los equipos con algún antivirus auto-arrancable actualizado.
• En caso el ransomware utilice un exploit para una vulnerabilidad específica, se
deberá instalar previamente el parche indicado por el proveedor antes de ser
colocado nuevamente en la red.
• Restaurar los equipos para continuar con la actividad, reinstalando el equipo con el
software original y restaurando la información de la última copia de seguridad
realizada.
Debido a que el principal objetivo del atacante que generó la infección de la red con
ransomware es obtener un beneficio económico, el Instituto Nacional de Ciberseguridad
de España (INCIBE) recomienda no realizar ningún tipo de pago o transacción con los
atacantes, ya que alienta y motiva a los ciber criminales a continuar atacando. Por otra
parte, SANS Institute indica en el documento "Enterprise Survival Guide for Ransomware
Attacks” (2016) que se han identificado diversas formas de restablecer la información
cifrada por el ransomware, con el fin de recuperar la información sin la necesidad de
pagar un rescate, entre las cuales menciona:
• Realizar copias de seguridad de forma sucesiva a fin de garantizar la restauración
de información más reciente.
• Utilizar un software que realice el control de versiones, para restablecer los
archivos comprometidos a una versión previa.
Página 73
• Analizar los datos cifrados con herramientas forenses especializadas, a fin de
identificar alguna falla en la encriptación de datos y poder confiscar las llaves
privadas.
Acciones posteriores
Completada las actividades del plan de respuesta al incidente, se recomienda realizar un
análisis de los procesos relacionados a la arquitectura de red a fin de evidenciar posibles
falencias, donde se pueden contemplar las siguientes actividades:
• Probar periódicamente la disponibilidad de la información de respaldo
(backup), así como el proceso de restauración.
• Verificar las configuraciones y el estado de las plataformas de seguridad,
descartando fallas en su funcionamiento que hayan permitido el ingreso
deliberado del Malware.
• Revisar el procedimiento vigente de aplicación de parches, a fin de identificar
posibilidades de mejora.
• Realizar una evaluación de las plataformas de seguridad en la empresa con la
finalidad de detectar posibles amenazas emergentes, a través de pruebas
como ethical hacking, vulnerability assessment, etc.
• Capacitar a los trabajadores sobre nuevas amenazas informáticas, a fin de
que puedan identificarlas preventivamente y notificarlas al equipo de
Seguridad Informática a tiempo.
• En caso no sea posible implementar un laboratorio forense en la empresa,
contar con los servicios de una empresa consultora especializa en este tipo de
servicios.
Todas las actividades detalladas en este capítulo deben estar registradas en las
políticas de seguridad de la empresa, a fin de que los procesos y procedimientos
requeridos para contar con un plan de respuesta a incidentes exitoso sean implementados
en la organización.
Página 74
CAPITULO VII: CONCLUSIONES
Nos encontramos en una época en la cual la tecnología, a nivel de hardware y software,
evoluciona constantemente pero al mismo tiempo presentan vulnerabilidades las cuales
son aprovechadas por los ciberdelincuentes para ejecutar ataques. Dichos ataques
representan enormes pérdidas de dinero y daño a la reputación de empresas.
Durante el desarrollo de la presente tesis se evidenció que las nuevas
modalidades de ataques de Malware son diseñadas para evitar ser detectadas por las
actuales soluciones de seguridad. Por esta razón, los proveedores de seguridad se
esfuerzan por ofrecer mejores y efectivas soluciones tecnológicas para detectar
preventivamente la presencia del malware y mitigar el impacto de una posible infección en
la red.
Debido al incremento de amenazas tecnológicas como ransomware y ataques Día
Cero, capaces de inutilizar la información y las labores de la empresa, implementar una
solución de nueva generación como el Sandbox para la emulación del tráfico e
identificación de amenazas dará un resultado efectivo a la mitigación de riesgo de
infección. Si bien es cierto que no todas las plataformas de seguridad son efectivas al
100%, los resultados generados por ellas deberán trabajar de la mano con un plan de
respuesta destaca para la mitigación del impacto de infección de malware en la red.
Las empresas que aún cuentan con soluciones de seguridad tradicionales pueden
tener dificultad en la detección de la presencia de nuevos malware, y especialmente de
ransomware o un ataque Día Cero. Por otra parte, debido a las características del
comportamiento del ransomware, se debe contar con un plan de respuesta a incidentes
pues la mitigación de la infección debe contar con procesos automatizados y manuales
(coordinaciones, comunicaciones, etc.).
El plan de respuesta a incidentes de infección de ransomware en una organización
debe contar con tres etapas fundamentales: procedimientos preventivos, procedimientos
reactivos ante la infección y procedimientos post incidentes. En la presente tesis se
detalló las tareas a contemplar en cada uno de los procedimientos, los cuales fueron
adaptados a la empresa en la cual se basa la presente tesis. Por otra parte, se estableció
que los políticas y procedimientos para la gestión de copias de respaldo o backup deben
Página 75
contemplar el comportamiento de los ransomware a fin de garantizar la disponibilidad de
la información y servicio.
Finalmente, se estableció la importancia de capacitar a los empleados de la
empresa para que puedan detectar preventivamente los intentos de infección de
ransomware a través de la ingeniería social (phishing, correos electrónicos fraudulentos,
etc.).
Como recomendaciones, se puede considerar:
Realizar evaluaciones o simulaciones preventivas de ataques informáticos e
infección de malware en la empresa, así como de restauración de copias de respaldo
(backup); lo cual brindará un panorama de la situación actual de los procesos y
comportamiento de los empleados a cargo de dichas tareas. De esta manera, se tendrá la
oportunidad de identificar los procesos que requieren ser revisados, actualizados y/o
corregidos.
Contar con un equipo de profesionales certificados y con experiencia y
conocimientos actualizados, a fin de mejorar el tiempo de respuesta ante incidentes al
ejecutar mejores prácticas y desempeñar con mayor eficiencia.
Contar con un centro de monitoreo que analice las alertas generadas por los
dispositivos de seguridad y que pueda evaluar los servicios activos de la empresa en
tiempo real, a fin de reducir el tiempo de detección y comunicación ante algún incidente
de seguridad.
Realizar evaluaciones continuas de las nuevas soluciones tecnológicas
disponibles, así como de estar informados de las nuevas amenazas tecnológicas
disponibles, con la finalidad de contemplar la adquisición de nuevas soluciones de
seguridad, así como de mejorar los procesos internos bajo las buenas prácticas
implementadas a nivel mundial.
Página 76
REFERENCIAS BIBLIOGRÁFICAS
ADSLZONE. (2017). While Paper ; Recuperado el 14 de junio del 2017, de sitio web:
https://www.adslzone.net/2016/05/25/aumenta-la-seguridad-de-tu-ordenador-
utilizando-estas-herramientas-de-sandbox/
Bitcoin. (2017). Empresa Bitcoin; Recuperado el 14 de junio del 2017, de sitio web:
https://bitcoin.org/es/faq
Cadena y suministro. (2017). Maersk perderá hasta 250 millones de euros por el virus
‘petya’; Recuperado el 27 de agosto del 2017, de apam Perú sitio web:
http://www.apam-peru.com/web/maersk-perdera-hasta-250-millones-de-euros-por-
el-virus-petya/
Centro criptológico nacional. (2017). Buenas prácticas ccn-cert bp-04/16 Ransomware;
Recuperado el 25 de agosto del 2017, de cn-cert sitio web: https://www.ccn-
cert.cni.es/informes/informes-ccn-cert-publicos/2091-ccn-cert-bp-04-16-
Ransomware-1/file.html
Certsi. (2017). Página oficial de Certsi; Recuperado el 15 de octubre del 2017, del sitio
web: https://www.certsi.es
Check Point. (2013). Configuring 'Mail Alerts' using 'internal_sendmail' command;
recuperado el 11 de octubre del 2017, del sitio web: https://supportcenter.Check
Point.com/supportcenter/portal?eventsubmit_dogoviewsolutiondetails=&solutionid=
sk25941
Check Point. (2017). Manual de configuración “check point security management -
administration guide”; Recuperado el 12 de octubre del 2017, del sitio web:
http://dl3.Check
Point.com/paid/9d/9d29af5a51f26454dfcec40ad950af6a/cp_r80_securitymanagem
ent_adminguide.pdf?hashkey=1508155646_a01b0dbd0d42de82eb06ec5a1dda88
d9&xtn=.pdf
Check Point. (2017). Manual de configuración “endpoint security - administration guide”;
Recuperado el 12 de octubre del 2017, del sitio web: http://dl3.Check
Point.com/paid/43/43fe85cf629a4c2bb3a4b8b34d9399be/cp_r77.30.03_endpoints
Página 77
ecurity_adminguide.pdf?hashkey=1508154474_cc5bf3b2769276b9aaee5b34dc72
ba0e&xtn=.pdf
Check Point. (2017). Threat Emulation; Recuperado el 11 de octubre del 2017, del sitio
web: http://dl3.Check
Point.com/paid/5f/5fd7ecaecd3e2c74cb45c0ea4971064c/cp_sandblastcloud_admi
nguide.pdf?hashkey=1508130502_db0a0f55bdd465429041dbb6ca0badab&xtn=.p
df
Check Point. (2017). Smartreporter r77 versions administration guide; Recuperado el 12
de octubre del 2017, del sitio web: http://dl3.Check
Point.com/paid/31/319183a4a3198f1108e2fc247f7b2c09/cp_r77_smartreporter_ad
minguide.pdf?hashkey=1508135033_1d499cbcd9af1bbb86a69f3738af75ef&xtn=.p
df
Check Point. (2017). SandBlast Threat Emulation; Recuperado el 23 de del 2017, del sitio
web: https://www.checkpoint.com/products/threat-emulation-sandboxing/#overview
Check Point. (2017). SandBlast Threat Extraction; Recuperado el 23 de del 2017, del sitio
web: https://www.checkpoint.com/products/threat-extraction/
Cn-cert. (2017). Identificado ataque de Ransomware que afecta a sistemas Windows;
Recuperado el 24 de agosto del 2017, de cn-cert sitio web: https://www.ccn-
cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-
Ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
CNN español. (2017). Nota de prensa “más de 200.000 víctimas en 150 países por el
ciberataque”; Recuperado el 28 de julio del 2017, del sitio web:
http://cnnespanol.cnn.com/2017/05/14/mas-de-200-000-victimas-en-150-paises-
por-el-ciberataque-y-el-lunes-podria-ser-peor/
El congreso de la república. (2013). Delitos informáticos en la ley 30096 y la modificación
de la ley 30071; Recuperado el 23 de mayo del 2017, el peruano sitio web:
http://busquedas.elperuano.com.pe/normaslegales/ley-de-delitos-informaticos-ley-
n-30096-1003117-1/
Página 78
ESET. (2015). Guía de respuesta a una infección por Malware; Recuperado el 05 de
mayo del 2017, de ESET sitio web: https://www.welivesecurity.com/wp-
content/uploads/2015/11/guia_respuesta_infeccion_Malware_eset.pdf
Félix palazuelos. (2017). El nuevo ataque ‘Ransomware’ usa la misma vulnerabilidad que
wannacry; Recuperado el 31 de julo del 2017, de el pais sitio web:
https://elpais.com/tecnologia/2017/06/27/actualidad/1498580805_974901.html
Fortinet. (2016). Breach detection systems (bds); análisis de las marcas principales de
seguridad; Recuperado el 13 de agosto del 2017, sitio web:
https://www.fortinet.com/content/dam/fortinet/assets/certifications/nss-labs-2016-
bds-svm.pdf
Gartner. (2013). Rob van der meulen; janessa rivera; gartner predicts by 2017, half of
employers will require employees to supply their own device for work purposes;
Recuperado el 24 de agosto del 2017, sitio web:
http://www.gartner.com/newsroom/id/2466615
Green et al. (2015). Detecting script-based Malware using emulation and heuristics;
Recuperado el 05 de octubre del 2017, sito web:
http://www.patentsencyclopedia.com/app/20120266244
Herrera h. (2015). Simulación de ataques a redes IP en un entorno corporativo real;
Recuperado el 15 mayo del 2017, de repositorio institucional-universidad de
cuenca sitio web: http://dspace.ucuenca.edu.ec/handle/123456789/22353
INCIBE. (2017). Ransomware - una guía de aproximación para el empresario;
Recuperado el 13 de octubre del 2017, del sitio web:
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_Ransomware_m
etad.pdf
INEI. (2016). Instituto nacional de estadística e informática; Recuperado el 05 de
septiembre del 2017, de sitio web: https://www.inei.gob.pe/estadisticas/indice-
tematico/crimes/
Javier lacort. (2017). Wannacry, el Ransomware del ataque a telefónica; Recuperado el
16 de agosto del 2017, de hipertextual sitio web:
https://hipertextual.com/2017/05/wannacry-Ransomware-ataque-telefonica
Página 79
Kaspersky Labs. (2015). "¿Podría sobrevivir tu negocio al crypto-Ransomware?";
Recuperado el 10 de octubre del 2017, del sitio web:
http://go.kaspersky.com/rs/802-ijn-
240/images/cryptoRansomware_whitepaper_spain.pdf
Kaspersky. (2016). Phishing en latino america; Recuperado el 25 de julio del 2017, de
kaspersky sitio web:
https://twitter.com/kasperskylatino/status/770292956007952384?ref_src=twsrc%5e
tfw&ref_url=http%3a%2f%2fcomputerworld.com.ec%2factualidad%2ftendencias%2
f647-cumbre-kaspersky.html
Kaspersky. (2017). Centro de recursos - ¿qué es el Malware y cómo puede protegerse
contra él?; Recuperado el 04 de octubre del 2017, del sitio web:
https://latam.kaspersky.com/resource-center/preemptive-safety/what-is-Malware-
and-how-to-protect-against-it
MAERSK. (2017). En su publicación “URGENT UPDATE: IT Security Incident”;
Recuperado el 5 de agosto del 2017, del sitio web:
http://maerskrbu.newsweaver.com/ITSOE/1rmvqlwsfyt
Memoria anual. (2015). Memoria anual caja municipal ica; Recuperado el 26 de julio del
17, sitio web:
https://www.cmacica.com.pe/cmacica/webcmacica/userfiles/file/nosotros/memoria_
anual_2015.pdf
Microsoft. (2017). Microsoft security bulletin ms17-010 – critical; Recuperado el 20 de
mayo del 2017, de Microsoft sitio web: https://technet.microsoft.com/en-
us/library/security/ms17-010.aspx
Ministerio del interior con la división de investigación de delitos de alta tecnología de la
policía nacional. (2016). Ciberpolicías contra delitos informáticos; Recuperado el 4
de agosto del 2017, sitio web:
https://www.mininter.gob.pe/content/ciberpolic%c3%ad-contra-delitos-
inform%c3%a1ticos
Norton. (2016). Cyber security insights report; Recuperado el 16 agosto del 2017, de
symantec sitio web:
Página 80
https://www.symantec.com/content/dam/symantec/docs/reports/2016-norton-cyber-
security-insights-report.pdf
NSS labs. (2016). Breach detection systems (bds) security value map; Recuperado el 23
de septiembre del 2017, sitio web: https://www.Check
Point.com/downloads/2016_bds_svm_final.pdf
NSS labs. (2016). NSS Labs Announces Breach Detection Systems Test Results;
Recuperado el 22 de septiembre del 2017, sitio web:
https://www.nsslabs.com/company/news/press-releases/nss-labs-announces-
breach-detection-systems-test-results/
RSA. (2013). Estado actual de cibercrimen en 2013; Recuperado el 28 julio del 2017, de
rsa sitio web: https://peru.emc.com/collateral/fraud-report/current-state-cybercrime-
2013.pdf
R. Ramirez, O. Reyes. (2009), Implementación de un laboratorio de Análisis de Malwar;
Recuperado el 25 de Noviembre del 2017, del sitio web:
http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/1150/T
esis.pdf?sequence=1
Sans Institute. (2014). Ouch - ¿Qué es el Malware?; Recuperado el 04 de octubre del
2017, del sitio web:
https://securingthehuman.sans.org/newsletters/ouch/issues/ouch-201402_sp.pdf
Sans Institute. (2016). Detecting Malware and sandbox evasion techniques; Recuperado
el 04 de octubre del 2017, sitio web: https://www.sans.org/reading-
room/whitepapers/forensics/detecting-Malware-sandbox-evasion-techniques-36667
Sans Institute. (2016). Informe de “Survival Guide For Ransomware Attacks”; Recuperado
el 04 de octubre del 2017, del sitio web: https://www.sans.org/reading-
room/whitepapers/awareness/enterprise-survival-guide-Ransomware-attacks-
36962
Sans Institute. (2016). Ouch - Ransomware; Recuperado el 04 de octubre del 2017, del
sitio web: https://securingthehuman.sans.org/newsletters/ouch/issues/ouch-
201608_sp.pdf
Página 81
Sans Institute. (2017). Lessons From Wannacry; Recuperado el 17 de junio del 2017, del
sitio web: https://securingthehuman.sans.org/newsletters/ouch/issues/ouch-
201706_en.pdf
Symantec. (2015). Targeted attacks & phishing; Recuperado el 23 de mayo del 2017, de
symantec sitio web:
https://www.symantec.com/content/dam/symantec/docs/security-
center/archives/intelligence-report-15-nov-en.pdf
Symantec. (2015). Protect Your IT Infrastructure from Zero-Day Attacks and New
Vulnerabilities; Recuperado el 26 de november del 2017, de symantec sitio web:
https://www.symantec.com/content/dam/symantec/docs/white-papers/protect-your-
it-infrastructure-with-server-advanced-en.pdf
Symantec. (2016). Internet security threat report - e-crime & Malware; Recuperado el 23
de mayo del 2017, de symantec sitio web:
https://www.symantec.com/content/dam/symantec/docs/security-
center/archives/istr-16-april-volume-21-en.pdf
The hacker news. (2017). Petya Ransomware spreading rapidly worldwide, just like
wannacry; Recuperado el 25 de junio del 2017, de the hacker news sitio web:
http://thehackernews.com/2017/06/petya-Ransomware-attack.html
Trend Micro. (2016). TrendLabs 2016 Security Roundup: A Record Year for Enterprise
Threats. Recuperado el 23 de mayo del 2017, de sitio web:
http://www.trendmicro.it/media/misc/rpt-2016-annual-security-roundup-a-record-
year-for-enterprise-threats-en.pdf
Trend Micro. (2016). Exploit Kit. Recuperado el 25 de noviembre del 2017, de sitio
web: kithttps://www.trendmicro.com/vinfo/us/security/definition/exploit-kit
Valencia j. (2017). Análisis de un modelo para identificar alertas tempranas ante ataques
de phishing; Recuperado el 15 de mayo del 2017, de repositorio institucional-
universidad de cuenca sitio web:
http://repositorio.escuelaing.edu.co/handle/001/526
ANEXOS
Anexo A “Cronograma de proyecto para la propuesta de implementación sandblast”
ID Nombre de tarea Duración Inicio Fin
0 CRONOGRAMA DE PROYECTO PARA LA PROPUESTA DE IMPLEMENTACIÓN SANDBLAST
7 días 1/02/2017 8/02/2017
1 Levantamiento de Información de Plataformas Seguridad 1 días 1/02/2017 1/02/2017
2 Envío de Acta de Inicio 1 días 1/02/2017 1/02/2017
3 Hito: Entrega de equipos y licencias finalizados 0 días 2/02/2017 2/02/2017
4 I. Implementación de la plataforma 1 días 1/02/2017 2/02/2017
5 Preparación 1 días 1/02/2017 1/02/2017
6 Revisión de diagramas y configuraciones 1 días 1/02/2017 1/02/2017
7 Configuración del SANDBLAST 1 días 1/02/2017 1/02/2017
8 Hito: Implementación de la plataforma 0 días 2/02/2017 2/02/2017
9 II. Integración de la plataforma. 1 días 2/02/2017 2/02/2017
10 Conectividad 1 días 2/02/2017 2/02/2017
11 Instalación en el rack y energización 1 días 2/02/2017 2/02/2017
12 Pruebas de comunicación 1 días 2/02/2017 2/02/2017
13 Hito: Integración de la plataforma. 0 días 3/02/2017 3/02/2017
14 III. Certificación de la plataforma. 5 días 3/02/2017 8/02/2017
15 Certificación 1 días 3/02/2017 3/02/2017
16 Puesta en Certificación 1 días 3/02/2017 3/02/2017
17 Revisión de Servicios 1 días 3/02/2017 3/02/2017
18 Análisis de tráfico monitoreo 4 días 3/02/2017 7/02/2017
19 Monitoreo Post-Producción 1 días 8/02/2017 8/02/2017
20 Elaboración Documentación 1 días 8/02/2017 8/02/2017
21 Reunión Cierre Proyecto 1 días 8/02/2017 8/02/2017
22 Hito: Cierre de Proyecto 0 días 8/02/2017 8/02/2017
Página 83
Anexo B “Familias de Ransomware entregadas por Exploit Kit”
Exploit Kit Ransomware Delivered
2015 2016
Angler CRYPWALL CRYPWALL
CRYPTESLA CRYPTESLA
CRILOCK CRILOCK WALTRIX CRYPMIC
Neutrino CRYPWALL CRYPWALL
CRYPTESLA CRYPTESLA CERBER WALTRIX LOCKY CRYPMIC
Magnitude CRYPWALL CRYPWALL CERBER LOCKY MILICRY
Rig CRYPWALL GOOPIC
CRYPTESLA CERBER CRYPMIC LOCKY CRYPHYDRA CRYPTOLUCK MILICRY
Nuclear CRYPWALL CRYPTESLA
CRYPTESLA LOCKY
CRYPCTB
CRYPSHED
Sundown
CRYPTOSHOCKER LOCKY PETYA MILICRY
Hunter
LOCKY
Fiesta CRYPTESLA
