2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.
Informe sobre el estado de la seguridad 2019 H1
Página 0 de 25
Desde la seguridad en móviles hasta el ciberriesgo,
desde las noticias más relevantes hasta las más técnicas y las vulnerabilidades más habituales, comprende los riesgos del panorama actual
elevenpaths.com
Informe sobre el estado de la seguridad 2019 H1
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 1 de 25
Informe sobre el estado de la seguridad 2019 H1
ÍNDICE
LOS INCIDENTES MÁS DESTACADOS DEL PRIMER SEMESTRE DE 2019 ................................................................................. 3
MÓVILES ............................................................................................................................................................................................. 3 Apple iOS ........................................................................................................................................................................................ 4 Android ........................................................................................................................................................................................... 7
VULNERABILIDADES DESTACABLES ........................................................................................................................................... 10 Las vulnerabilidades en cifras ................................................................................................................................................... 12
OPERACIONES APT, GRUPOS ORGANIZADOS Y MALWARE ASOCIADO ................................................................................. 16
EVALUACIÓN DEL CIBERRIESGO POR SECTORES ...................................................................................................................... 19
RECAPITULACIÓN ........................................................................................................................................................................... 24
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 2 de 25
Informe sobre el estado de la seguridad 2019 H1
El objetivo de este informe es sintetizar la información sobre ciberseguridad de
los últimos meses (desde la seguridad en móviles hasta el ciberriesgo, desde las noticias más relevantes hasta las más técnicas y las vulnerabilidades más
habituales), tomando un punto de vista que abarque la mayoría de los
aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual.
Durante el primer semestre de 2019, los protagonistas han sido de nuevo la privacidad y los fallos potencialmente “gusanables” con reminiscencias al
tristemente célebre WannaCry. En enero se filtraba posiblemente la mayor cantidad de contraseñas (asociadas a sus correos) de la historia. El revuelo fue
notable, puesto que llamó la atención de muchos usuarios cómo era posible acumular tantos datos privados de una sola vez y, además, se preguntaban
cómo llegaron allí. Las contraseñas siguen siendo la fórmula de protección más común, pero sucesos como
este pusieron el foco en su importancia. Servicios como haveibeenpwned dispararon su uso, hasta el punto de que durante este mismo semestre, han anunciado que
están a la venta porque el proyecto se ha desbordado. Aun así, Windows 10 ha dado un paso adelante animando a no cambiar las contraseñas del sistema a
menudo.
Ya al final de este semestre, BlueKeep ha despertado a los fantasmas de WannaCry. El fallo corregido por Microsoft en el Remote Desktop Protocol todavía
mantenía en vilo a buena parte de la comunidad. El problema podía ser “gusanable” y causar un caos parecido al de WannaCry debido a la cantidad de
sistemas expuestos. Afortunadamente no se desarrolló el exploit de inmediato, si bien se conocía que era posible su desarrollo y que estaba disponible de forma privada, todavía no se ha liberado ningún malware que se
propague a través de esa fórmula.
Además, este semestre la investigadora de seguridad PolarBear ha mantenido en jaque a Microsoft con la liberación de diversos fallos de seguridad que permitían
la escalada de privilegios, lo que volvía a abrir el debate sobre la difusión responsable de los problemas de seguridad entre la comunidad. Precisamente la
comunidad agradeció a la NSA la liberación de GHIDRA, el programa libre y gratuito que permite el análisis de binarios y “reversing” y que compite directamente con
IDA, agitando un mercado estancado desde hace años. No sabemos si Tavis Ormandy se sirvió de este
analizador para descubrir en mayo, posiblemente, la primera fórmula para ejecutar una shell a través de una
vulnerabilidad en Notepad.
Tanto si es aficionado como profesional, es importante que sea capaz de seguir el ritmo de las noticias
relevantes sobre ciberseguridad: ¿qué es lo más relevante que está pasando? ¿Cuál es el panorama
actual? ¿Cómo evolucionan los problemas de seguridad, vulnerabilidades y ataques? Se hace necesario
sintetizar, sin perder profundidad.
El lector dispondrá con este informe de una herramienta para comprender el estado de la seguridad desde
diferentes perspectivas, y podrá conocer su estado
actual y proyectar posibles tendencias a corto plazo.
La información recogida se basa en buena parte en la recopilación y síntesis de datos internos, contrastados
con información pública de fuentes que consideramos
de calidad.
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 3 de 25
Informe sobre el estado de la seguridad 2019 H1
LOS INCIDENTES MÁS DESTACADOS DEL PRIMER SEMESTRE DE 2019 A continuación, damos cuenta de aquellas noticias que mayor impacto han tenido durante el transcurso de este primer
semestre de 2019.
Boletines de Microsoft Microsoft publica una nueva
tanda de boletines de seguridad, entre ellos, destaca un peligroso
fallo que podría permitir la ejecución de código arbitrario en
el servidor DHCP. Leer más
DNS Flag Day Comenzamos febrero con el
denominado “flag day”, un día marcado en la agenda de la
industria para que todos los servidores adopten EDNS, un
mecanismo para extender el protocolo DNS y mejorar su
seguridad. Pasado el 1 de febrero, en teoría, se ignorarán
aquellos servidores DNS que no respondan a mensajes EDNS.
Leer más
Sigue la saga MagecartInteresante análisis por parte de
RiskIQ, sobre la saga Magecart, que sigue dando noticias. Los
grupos que están tras la herramienta la han evolucionado
hasta conseguir reducir el número de líneas necesarias,
discriminación de user-agents o el uso de metadatos en
imágenes para extraer las direcciones de los servidores de
captura de datos. Leer más
Vulnerabilidad en ApacheInteresante y peligrosa
vulnerabilidad que afecta al servidor web Apache HTTPd. El
fallo, con CVE-2019-0211, permitiría a un usuario elevar
privilegios en sistemas UNIX a través de un CGI. Este fallo es
especialmente importante en ambientes de hosting
compartido. En este escenario, un usuario malicioso que pudiese
crear un CGI podría obtener el control del servidor y por ende de
todos los sitios alojados en este último.
Leer más
Exploits por SandboxEscaperLa investigadora conocida como
SandboxEscaper, ha publicado una serie de exploits 0-days para
elevar privilegios en sistemas Windows. No es la primera vez
que realiza este tipo de publicaciones. El código de los
exploits fue publicado en un repositorio de Github [y
posteriormente eliminado]. Leer más
Criptominado con Nansh0u El malware de minado de
criptomoneda, a pesar de su decremento debido a la baja
rentabilidad de las criptomonedas, sigue dando
titulares. Guardicore, publica un completo informe acerca de
Nansh0u, un malware que ha llegado a infectar 50.000
servidores para minar la criptomoneda TurtleCoin.
Leer más
Phishing con Modlishka
Se publica un kit para realizar ataques de phishing llamado
Modlishka. Sencillo de usar, potente y que además permite
eludir el segundo factor de autenticación. Al contrario de
otras herramientas similares, Modlishka no se basa en
plantillas que imitan al sitio original, sino que mediante un
proxy inverso interactúa con el dominio suplantado.
Leer más
Botnet TheMoonInteresante concepto de
rentabilización de una botnet. ”TheMoon”, una botnet nacida
en 2014 y especializada en ataques de denegación de
servicio, añade un nuevo ”servicio”: el alquiler de proxies.
Esto permite a los atacantes que renten los recursos de la botnet
un abanico de posibilidades, desde la anonimización de
actividades hasta la visita fraudulenta de videos de
YouTube para elevar de forma artificial las visitas.
Leer más
Ghidra, de la NSA
La agencia estadounidense de inteligencia, NSA, publica una
herramienta de ingeniería inversa llamada "Ghidra”.
Competencia inmediata y directa de IDA Pro.
Curiosamente, al poco de ser liberada, se dio a conocer que
Ghidra expone el puerto 18001 en todas las interfaces, propio del
modo debug del protocolo JDWP de Java. Esto, exponía al usuario
a ataques de ejecución de código arbitrario.
Leer más
Windows build 1903Con la introducción de Windows
build 1903, Microsoft cambia su política de seguridad de una
forma atrevida e interesante: no exige 256 bits en Bitlocker, ahora
el mínimo es de 128. Bloquea el uso por voz del equipo cuando el
escritorio está bloqueado. Ahora es imprescindible que un binario
esté firmado por Microsoft para que pueda ser cargado por
‘svhost.exe’. Por último, y la más llamativa: ya no se recomienda
(Microsoft califica de obsoleta e insignificante esta medida) que
las contraseñas expiren.Leer más
Parches de MicrosoftMicrosoft publica su habitual
tanda de parches de seguridad, entre ellos se encuentra el CVE-
2019-0708, una vulnerabilidad en Terminal Server que permite
la ejecución remota de código arbitrario. Con una puntuación
CVSS de 9.8, se teme que pueda ser usado como exploit para un
gusano. Es tal la preocupación, que se han incluido parches para
versiones de Windows sin soporte.
Leer más
Fallo en servidor correo EXIM Descubierto un grave fallo en el
servidor de correo EXIM que permitiría la ejecución de código
arbitrario. Además de esto, el parche no fue categorizado
como “seguridad”. Esto hizo que muchas distribuciones no lo
publicaran de forma preferente, ocasionando que sistemas
críticos de correo en producción continuaran expuestos a pesar
de la existencia de una solución oficial
Leer más
Aplicación maliciosa china
Secure-D, descubre una aplicación maliciosa de origen
chino que venía preinstalada en los móviles Alcatel Pixi 4 y A3.
Entre otras operaciones, extraía datos sensibles y suscribía al
usuario a servicios premium de tarificación a través de mensajes
SMS.Leer más
Cracking contraseñas hashcatLos avances en la capacidad de
cómputo y una nueva actualización del popular
programa de crackeo de contraseñas, hashcat, consiguen
bajar el tiempo de obtención de una contraseña de ocho
caracteres, a partir de un hash NTLM, en dos horas y media. Por
poner un ejemplo, por 25 dólares en un servicio de computación
en nube, se podría obtener una contraseña a partir de un hash
NTLM sin cálculo previos. Leer más
Actividad del grupo FIN7
A pesar de los arrestos que tuvieron lugar durante el verano
de 2018, hay indicios de que el grupo FIN7 (conocidos sobre
todo por Carbanak) sigue activo. Se han encontrado evidencias de
un nuevo malware adjunto a correos electrónicos
denominado SQLRat. Este, utilizaría consultas SQL para
reconstruir binarios sin dejar huellas en el sistema. Además,
también se ha encontrado malware denominado DNSBot
que se camuflaría en el tráfico DNS.
Leer más
Problemas en WPA3
A WPA3, el nuevo estándar de seguridad WIFI, comienzan a
salirle los problemas de seguridad. Dos investigadores
publican una completa investigación en la que detallan
varios ataques sobre WPA3 que podrían causar desde
denegación de servicio del punto de acceso WIFI a degradación
hacia WPA2 o ataques de canal lateral. En su conjunto, los
ataques reciben el nombre de Dragonfly.
Leer más
Fallos en pila TCP de Linux
Ingenieros de Netflix descubren fallos en la implementación de la
pila TCP del kernel Linux que podrían causar denegación de
servicio con un paquete TCP especialmente manipulado. En
concreto, se trata de la forma en la que el kernel maneja paquetes
SACK (una mejora que permite la retransmisión granular de
paquetes TCP perdidos que permite ahorrar tráfico).
Leer más
enero febrero juniomarzo abril mayo
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 4 de 25
Informe sobre el estado de la seguridad 2019 H1
MÓVILES
Apple iOS
Noticias destacables
El año 2019 para iOS comenzó con una actualización de seguridad bastante completa. El 22 de enero se publicaba la versión 12.1.3 del sistema operativo móvil
de Apple. Entre los fallos de seguridad corregían varios correspondientes al kernel, que permitirían elevar
privilegios o ejecutar código arbitrario. Otro fallo corregido destacable se ha parcheado en FaceTime (la aplicación de Apple para videollamadas). Permitiría a un
atacante remoto iniciar una llamada en FaceTime y
ejecutar código arbitrario durante el transcurso de esta1.
No pasó mucho tiempo tras la versión 12.1.3 y Apple liberó la siguiente, 12.1.4, el 7 de febrero. En esta ocasión fue para corregir cuatro fallos de seguridad
importantes que afectaban a FaceTime (de nuevo), IOKit, Foundation y Live Photos. Quizás, el fallo más mediático era el que afectaba a FaceTime y que permitía al creador de una llamada en grupo forzar la aceptación de esta a cualquier receptor. No siempre se trata de
errores que posibilitan la ejecución de código arbitrario cuya explotación requiere de conocimientos altamente técnicos, en esta ocasión peligraba la privacidad de los
usuarios con una técnica relativamente sencilla de
aprovechar2.
El 25 de marzo, iOS cambiaba a 12.2. Al ser un cambio de versión menor (de la 12.1 a la 12.2) contenía mejoras
en la experiencia de usuario. No obstante, lo llamativo era la gran cantidad de correcciones de seguridad que contenía esta versión, hasta 51 parches que afectaban a
un amplio abanico de subsistemas de iOS3.
1 https://support.apple.com/kb/HT209443
2 https://support.apple.com/kb/HT209520
Curiosamente, no hubo versiones de parche entre la 12.2 y la 12.3. El 13 de mayo vería la luz esta última, que corregía una gran cantidad de fallos, al igual que hizo su predecesora. Destaca la gran cantidad de errores centrados en el motor del navegador Safari: WebKit.
Como funcionalidad no relacionada con la seguridad, Apple actualiza la imagen del icono de AppleTV con esta
versión4.
Algo más de una semana después de la 12.3, se publica la versión 12.3.1. Esta versión de nivel de parche corrige fallos funcionales y no posee ningún CVE o error de seguridad asociado. No obstante, uno de los fallos que
corrige esta versión es la no aparición de mensajes de
spam procedentes de iMessages en las notificaciones5.
Finalmente, el 10 de junio, ve la luz una nueva versión, la 12.3.2, que tan solo proporciona un parche para un error en la toma de fotografías del modelo iPhone 8 Plus.
Respecto a la versión 13, Apple la anuncia en el evento anual para desarrolladores WWDC, y programa su liberación para el tercer trimestre de este año. Veremos en el siguiente informe las novedades de seguridad que
ha introducido Apple en esta nueva iteración de su sistema operativo móvil. Adelantamos, eso sí, el sistema de autenticación única, “Sign in with Apple”. Permitirá a
los usuarios autenticarse mediante su ID de Apple de forma similar a como ya se hace con cuentas de Google o Facebook pero con foco en la privacidad del usuario(por ejemplo, permite la creación al vuelo de cuentas de
correo desechables).
3 https://support.apple.com/en-us/HT209599
4 https://support.apple.com/es-es/HT210118
5 https://support.apple.com/en-gb/HT201222
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 5 de 25
Informe sobre el estado de la seguridad 2019 H1
Evolución de vulnerabilidades en iOS durante el primer semestre de 2019
Curiosamente, en los años 2015 y 2017 el número de
vulnerabilidades fue el mismo, 387.
El smartphone de Apple ha sido y sigue siendo un objeto preciado en manos de investigadores, tanto por el prestigio de encontrar un fallo en estos sistemas como
las recompensas que se pagan en el mercado negro por aquellas que presentan mayor gravedad.
El descubrimiento de fallos sigue siendo un mercado en alza. Tan solo en el primer semestre de 2019 se han
descubierto más fallos que en todo 2018. A pesar de ello,
solo unos pocos poseen la categoría de ejecución de código arbitraria y, por tanto, en este primer semestre se ha elevado el precio de mercado de una
vulnerabilidad de este tipo. Hasta dos millones según Zerodium.
1
9 27 32 37
112 96 122
387
163
387
125
155
1 310 14 13
74 58 50
232109
241
63 5
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
VULNERABILIDADES EN IOS 2019-H1Evolución de vulnerabilidades por año
Total de vulnerabilidades encontradas
Categoría dentro de "ejecución de código arbitrario"
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.
Informe sobre el estado de la seguridad 2019 H1
Página 6 de 25
Fragmentación de versiones
A fecha de 30 de mayo (información de Apple), la
fragmentación en iOS posee la siguiente distribución:
La fragmentación no es un problema para el dispositivo móvil de Apple. Si bien los desarrolladores móviles deben lidiar con diferentes tipos de pantalla (dado el
abanico de dispositivos de la misma línea) y densidades de píxel, no es comparable con el escenario tan diverso de niveles de API correspondientes a las diferentes
versiones de Android, lo que complica el apartado de desarrollo en esta plataforma.
Solicitud de retirada de aplicaciones de Apple store
Apple publica en un ejercicio de transparencia qué gobiernos les piden eliminar apps de su market. Además, también desvelan cuántas veces estos
gobiernos solicitan datos de usuarios y dispositivos o intervención de cuentas. El periodo abarca el segundo
semestre de 2018.
▪ Ha eliminado 634 apps de su market, de 770que fueron solicitadas. 517 de las que fueroneliminadas se pidieron desde China (porpornografía y juego) y ninguna de EstadosUnidos, además de otros 10 países. Noruega y
Arabia Saudí junto con China, fueron los que
más solicitaron retiradas de apps.
▪ Sin embargo, Estados Unidos sí que solicitó
4.680 peticiones de acceso a dispositivos, másque ningún país. Aunque esto incluye casos de
robos y situaciones de emergencia.
▪ Con respecto al acceso a cuentas, se pidieron4.875 solicitudes de acceso a un total de22.503 cuentas, la mayoría también desde
Estados Unidos. En un 82% de los casos seproporcionaron datos de las cuentas, y en el
resto solo información no relacionada
directamente con los datos.
▪ También se pueden solicitar “conservación” de
datos de cuentas por 90 días. De 1.823peticiones con 5.553 cuentas, se conservaron3.963 para potenciales intervenciones legales
futuras, por ejemplo. Solo dos cuentas fueronborradas en el mundo por solicitud de
gobiernos.
Toda la información sobre este informe de Apple, se encuentra sintentizado en gráficas en esta
entrada de blog:
https://empresas.blogthinkbig.com/datos-
solicitados-gobiernos-apple/
85%
9%
6%
iOS 12
iOS 11
Anterior
FRAGMENTACIÓN EN APPLE IOS 2019-H1Según datos de la App Store a 30 mayo 2019
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 7 de 25
Informe sobre el estado de la seguridad 2019 H1
Android
Noticias destacables
Con Android Q aún en el horno, a la espera de su publicación programada para agosto de este año, Android Pie (o Android 8) continúa siendo la versión de
referencia en el sistema operativo móvil de Google.
Aún en fase Beta, Android Q traerá consigo mejoras en la privacidad de los usuarios en el sentido de cómo estos comparten la información personal con las aplicaciones instaladas e intentará mejorar la transparencia del uso
de los datos por parte de estas. Algo que también se mejora (en el sentido de la compartición de datos entre aplicaciones) es el acceso a la información almacenada
en dispositivos externos (las sdcards principalmente), haciendo más granular y filtrado las necesidades de
acceso de las aplicaciones.
Otro aspecto interesante que se prevé va a incluir Q, es la restricción de la obtención de foco a las aplicaciones que se ejecuten en segundo plano. Es decir, los usuarios que estén usando una aplicación, no verán más cómo
una aplicación que se ejecuta en segundo plano “cambia” a primer plano de forma no solicitada. Esto limitará el problema de abuso de publicidad por parte de
ciertas aplicaciones.
Respecto a la identidad de usuarios en ambientes de redes públicas o potencialmente hostiles, se limita la difusión de propiedades estáticas. Esto se entiende
como aquellos elementos del sistema que permitirían una identificación unívoca del usuario por ser fijos, léase: IMEI, dirección MAC de las interfaces de red, etc. Por
ejemplo, para prevenir un seguimiento de usuario a través de la dirección MAC del terminal, se emplearán
direcciones MAC aleatorias cuando el dispositivo se
conecte a redes WIFI que no se consideren seguras.
Por último, se ha mejorado el soporte biométrico adecuándolo a reconocimiento facial y se da soporte a la versión 1.3 de la especificación de cifrado TLS, la cual se activará por defecto en las negociaciones de
6 https://developer.android.com/about/dashboards/
conexiones seguras. En el próximo informe veremos con
más detalle las mejoras de seguridad que nos traerá la
nueva versión de Android.
Fragmentación en sistemas Android
La situación de la fragmentación en Android no posee visos de cambiar en un corto plazo. Como ya
comentamos en el informe anterior, dicha fragmentación es acusada principalmente por los desarrolladores, que deben medir con cuidado que nivel
de API es usado por sus aplicaciones, además de proveer compatibilidad hacia atrás si no quieren desprenderse
de un porcentaje significativo de la tarta de ingresos.
Al contrario que su mayor competencia, un homogéneo iOS con gran cobertura de su versión principal, el
ecosistema Android debe convivir con múltiples niveles de API y con una significativa parte de sistemas
considerados obsoletos aun en perfecto funcionamiento. Esto hace que un buen número del parque de instalaciones queden fuera del soporte de seguridad, lo que se traduce en una exposición
demasiado prolongada.
El estado de la fragmentación del sistema operativo
móvil de Google, Android, es el siguiente6:
10,4
15,4
12,9
7,8
11,4
16,9
11,5
3
6,9
3,2
0,3
0,3
Pie
Oreo 8.1
Oreo 8.0
Nougat 7.0
Nougat 7.1
Marshmallow
Lollipop 5.1
Lollipop 5.0
KitKat
Jelly Bean
Ice Cream
Gingerbread
FRAGMENTACIÓN EN ANDROID
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 8 de 25
Informe sobre el estado de la seguridad 2019 H1
Evolución de vulnerabilidades en Android durante el primer semestre de 2019
Aunque faltan seis meses para cerrar el capítulo anual, el número de vulnerabilidades descubiertas ha sido
notablemente menor que en los periodos
inmediatamente anteriores. De hecho, en lo que llevamos de año el conteo no pasa de 60 entradas y tan solo cuatro de ellas calificadas de ejecución de código
arbitrario.
Veremos si a final de año se mantiene la tendencia o, por el contrario, existe una disminución palpable en la búsqueda de fallos de seguridad en el sistema operativo
móvil de Google.
Tiempo medio de retirada de aplicaciones maliciosas en Google
Play
Hemos vuelto a estudiar el tiempo medio de retirada de aplicaciones maliciosas en Google Play. Lo primero que
nos llama la atención es la gran cantidad de aplicaciones retiradas (casi tres veces más) que el periodo anterior. Esto puede representar que, o bien están realizando una “limpieza” más profunda del mercado, o bien que todavía sigue siendo relativamente fácil colar
aplicaciones de baja calidad en él.
Hemos analizado el tiempo que tarda Google Play (el market oficial de aplicaciones para Android) en retirar aplicaciones maliciosas o como es denominado por
Google: PUA, Potentially Unwanted Application. Esto es, desde que la aplicación es subida por su autor o autores
hasta que finalmente es retirada.
No solo se tiene en cuenta que la aplicación haya sido retirada, dado que esta operación suele ser común y no siempre por ser esta calificada como maliciosa, sino que
5 1 9 5 7 13125
525
843
611
60
0 1 14 1
256
106 8732 4
2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
VULNERABILIDADES EN ANDROID 2019-H1Evolución de vulnerabilidades por año
Total de vulnerabilidades encontradas
Categoría dentro de "ejecución de código arbitrario"
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 9 de 25
Informe sobre el estado de la seguridad 2019 H1
la aplicación debe ser detectada como malware por al
menos un motor antivirus.
El periodo de estudio comprende desde el 1 de enero de 2019 hasta el 30 de junio de 2019. El grueso de aplicaciones seleccionada es de 44.782 aplicaciones
retiradas en algún momento del periodo mencionado.
De ellas, hemos analizado un subconjunto representativo de más de 5000 aplicaciones, en que hemos calificado 115 aplicaciones como maliciosas. Lo
que, extrapolando, podemos establecer como aproximadamente un 2% de las apps retiradas por considerarse malware. Finalmente, los datos
comparativos de tiempo (medido en días) de retirada del market con respecto al semestre anterior arrojan los
resultados de la gráfica.
Esto quiere decir que Google Play retira las apps consideradas malware en una media de algo más de 51
días, aunque algunas han podido llegar a mantenerse en él hasta 138. Además, estos datos no suponen una
variación relevante con respecto al segundo semestre de 2018.
En próximos estudios podremos comprobar si existe una
tendencia o los números son estables.
Mínimo = 4 Mínimo = 3
Mediana = 43,5
Media = 47,54
Máximo = 144
Mediana = 44
Media = 51,12
Máximo = 138
PLAZO DE RETIRADA DEL MARKET Tiempo medido en días
20018 H2 20019 H1
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 10 de 25
Informe sobre el estado de la seguridad 2019 H1
VULNERABILIDADES DESTACABLES Comentamos en esta sección algunas de las vulnerabilidades más notables de este primer semestre de 2019. Es decir,
aquellas que destacan por su especial relevancia o peligrosidad.
CVE ID OBJETIVO DESCRIPCIÓN SCORING
(CVSS V3.0)
CVE-2019-12735 Editor de textos
Vim y NeoVim
Vim y NeoVim utiliza cierto tipo de metadatos en archivos de texto plano para configurar ciertas propiedades del editor. Existe un fallo que permite a ciertas opciones de este mecanismo (denominado ‘modeline’) evadir la sandbox y
ejecutar comandos del sistema de forma arbitraria. Como puede derivarse de la descripción, tan solo es necesario agregar una línea comentada a un archivo de texto plano con contenido malicioso y esperar a que un usuario de este editor de texto abra el archivo para que dicho contenido se
ejecute en el sistema.
https://bugs.debian.org/cgi-
bin/bugreport.cgi?bug=930020
9.3
CVE-2019-11683 Kernel Linux Un error en el proceso de paquetes UDP podría causar un estado de denegación de servicio en el sistema a través de paquetes UDP especialmente manipulados. Solo afecta a la
rama 5 del kernel Linux.
https://www.openwall.com/lists/oss-security/2019/05/05/4
10.0
CVE-2019-0708 Microsoft Windows (Terminal
Server)
Conocida como BlueKeep, esta vulnerabilidad permitiría a un atacante no autenticado ejecutar código arbitrario a través de paquetes RDP especialmente manipulados. Hasta el momento no se tiene conocimiento de la existencia de exploit para ejecutar código arbitrario, no
obstante, sí se han hecho públicas varias versiones que
provocan denegación de servicio en los sistemas sin parche.
https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2019-0708
9.8
CVE-2019-11477 Kernel Linux Ingenieros de Netflix han encontrado un fallo en la implementación de SACK del kernel Linux. SACK permite
seleccionar de forma unitaria para su retrasmisión aquellos paquetes TCP que no han sido recibidos. Esta función
N/D
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 11 de 25
Informe sobre el estado de la seguridad 2019 H1
ahorra tráfico, dado que sin SACK, si se reclama un paquete
no recibido, la otra parte enviará el paquete no recibido y todos los paquetes posteriores; incluso si estos si fueron recibidos por el cliente. Se da la particular circunstancia de que el fallo ha permanecido 10 años sin ser descubierto, o al menos, sin noticia de su explotación durante este periodo
de tiempo tan prolongado.
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-
001.md
CVE-2018-12130
(ZombieLoad)
Múltiples CPU de
Intel
Nuevo fallo de seguridad que afecta a las CPU de Intel Core y Xeon que permitiría el acceso a datos sensibles de otros
procesos. Este tipo de fallos explotan la ejecución especulativa de los procesadores, es decir, la anticipación en la ejecución de instrucciones que podrían ser o no
descartadas. Una forma de optimización que permite “adelantar” trabajo de CPU antes de que el flujo de ejecución alcance ese punto.
https://zombieloadattack.com/
https://www.cyberus-technology.de/posts/2019-05-14-
zombieload.html
https://www.intel.com/content/www/us/en/security-
center/advisory/intel-sa-00233.html
6.5
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 12 de 25
Informe sobre el estado de la seguridad 2019 H1
Las vulnerabilidades en cifras
En números concretos de vulnerabilidades descubiertas (con CVE y gravedad asignados), la distribución de CVE publicados por nivel de riesgo (scoring basado en
CVSSv3), ha sido la siguiente:
Un buen número de ellas se concentran en puntuaciones altas, a partir de 8.0, cuando la gravedad es considerada alta y el impacto posee mayores consecuencias. Los programas de recompensa que han desplegado las compañías tecnológicas animan en parte a los investigadores a centrarse en los hallazgos más críticos (los mejor premiados) en vez de aquellos
que no cualifican o su recompensa es mucho menor.
Top 25 compañías con más CVE acumulados
Como en otras ocasiones, hemos de relativizar los datos aquí expuestos. Esto es debido a que algunos fabricantes poseen numerosos productos candidatos a obtener un CVE, como puede ser el caso de Oracle y su cuantioso catálogo de productos (alta dispersión). Por el contrario, compañías con un número menor de
productos candidatos, sí poseen una gran concentración de CVE en ciertos productos, como puede ser Adobe con Flash y Reader, que acumulan un alto
número de vulnerabilidades.
0
5
16
82
337
786
179
1184
518
421
0
4
24
145
427
1069
266
1193
730
637
Nivel 1
2
3
4
5
6
7
8
9
Nivel 10
VULNERABILIDADESDistribución de vulnerabilidades por riesgo
2019-H1
2018-H2
363
331
300
242
220
182
161
151
142
137
136
134
113
109
98
88
83
82
61
56
51
44
38
35
35
Microsoft
Oracle
Adobe
Debian
Apple
Redhat
Cisco
Jenkins
FedoraProject
IBM
Canonical
HP
Opensuse
Qualcomm
Foxitsoftware
Netapp
Intel
Linux
Apache
Gitlab
Mozilla
Schneider-electric
Zohocorp
GNU
VULNERABILIDADESTop 25 fabricantes por CVE acumulados
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 13 de 25
Informe sobre el estado de la seguridad 2019 H1
Debemos hacer notar también que existen vulnerabilidades con transversalidad. Es decir, Canonical (que es sinónimo de Ubuntu), Debian, FedoraProject, openSUSE y ReadHat comparten un gran número de binarios y bibliotecas, además del mismo núcleo del sistema operativo: el kernel Linux. Cuando en realidad se
trata de una misma vulnerabilidad o CVE, su parche se distribuye a todos los fabricantes, quienes elaboran un
paquete para su o sus distribuciones particulares.
Top 10 CWE más representativos
CWE (Common Weakness Enumeration) es una clasificación que agrupa todas las debilidades
identificadas en productos informáticos. Similar al esfuerzo realizado con CVE para etiquetar las
vulnerabilidades concretas, halladas por producto, CWE se centra en definir los tipos de forma abstracta. Esto
permite realizar un mapeo directo entre CVE y CWE.
Esta lista comprende a los 10 CWE que más se han asignado por número de CVE. Esto nos permite observar qué tipo o clase de debilidades han sido más frecuentes
en este periodo de estudio.
374
340
198
461
149
122
155
81
105
92
483
433
429
408
296
238
224
150
129
127
CWE-79
CWE-119
CWE-20
CWE-284
CWE-200
CWE-264
CWE-125
CWE-255
CWE-77
CWE-416
VULNERABILIDADESTop 10 CWE más representativos
2018-H2
2019-H1
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 14 de 25
Informe sobre el estado de la seguridad 2019 H1
Tabla descriptiva de cada CWE
CWE TÍTULO DESCRIPCIÓN CANTIDAD
CWE-79 Improper Neutralization of Input
During Web Page Generation
Básicamente, recoge los tres tipos conocidos de vectores para realizar un Cross-site scripting:
Reflejado, almacenado y basado en DOM
483
CWE-119 Improper Restriction of Operations within the Bounds of a
Memory Buffer
De forma general, recoge aquellos errores de programación donde no se está controlando la capacidad de un buffer de memoria, tanto en
operaciones de escritura como de lectura.
433
CWE-20 Improper Input Validation Categoría general para errores que consisten en un control deficiente o inexistente en entradas de datos
procedentes de usuario.
429
CWE-284 Improper Access control La aplicación no restringe el acceso a los recursos de forma adecuada. Se trata de un capítulo genérico
donde se recoge aquellos defectos relacionados con la falta de prohibición o control adecuado cuando un tercero accede a recursos para los cuales no posee
los permisos adecuados.
408
CWE-200 Information Exposure Recoge, de forma general, el compromiso de información sensible debido a la ausencia o
deficiencia de controles que impidan la fuga de
información.
296
CWE-264 Permissions, Privileges and Access
Controls
Se trata de una categoría general donde entra toda deficiencia relacionada con los permisos atribuidos a los usuarios o procesos, los privilegios que se les atribuye y el control de acceso a los recursos
(relacionada, en este sentido, con CWE-284).
238
CWE-125 Out-of-bounds Read Muy relacionada con CWE-119, recoge operaciones de lectura a memoria rebasando los límites de
control de un búfer en concreto.
224
CWE-255 Credentials Managenements Comprende todas aquellas vulnerabilidades que afectan a la forma en la que se gestionan las
credenciales de usuarios. Por ejemplo, su almacenamiento, transporte y creación.
150
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 15 de 25
Informe sobre el estado de la seguridad 2019 H1
CWE-77 Improper Neutralization of Special
Elements user in a Command
Se refiere a la ausencia o deficiencia de filtrado de elementos en cadenas que podrían permitir la
ejecución arbitraria de comandos en el sistema.
129
CWE-416 Use After Free Fallo en la gestión de memoria de un proceso que permite llamar a un objeto o referenciar una zona de memoria en el montículo que ha sido liberada
previamente.
127
Conclusiones
Grosso modo, las vulnerabilidades se centran en una ausencia o deficiente inspección de datos procedentes
de usuario o exógenas al proceso. Es decir, valores que se dan en las entradas de datos y que no son suficientemente inspeccionados antes de su procesamiento. Esta situación da lugar a desviaciones en el uso de una función o llamada que finalmente
deriva en una ejecución de código arbitrario.
Otro aspecto reseñable, es que la gestión de memoria sigue siendo una asignatura pendiente en los desarrollos. A pesar de la introducción de nuevos lenguajes de programación y sus respectivos entornos
de ejecución dinámica, que gestionan de forma automática la memoria, los lenguajes no gestionados siguen siendo (y lo seguirán haciendo) fundamentales
para desarrollar servicios con un rendimiento adecuado.
Finalmente, siguen existiendo vulnerabilidades cuya naturaleza es un descuido o falta de comprensión de la seguridad como concepto principal en un desarrollo. Gestión insegura de credenciales, accesos privilegiados
a entidades que no deben o necesitan poseerlos, etc.
Solamente con una adecuada integración de un ciclo de desarrollo seguro y test unitarios que incluyan el estudio
de la gestión de memoria, se evitarían muchas de las vulnerabilidades que actualmente pueblan las listas de
CVEs; cuyos números siguen aumentando año tras año.
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 16 de 25
Informe sobre el estado de la seguridad 2019 H1
OPERACIONES APT, GRUPOS ORGANIZADOS Y MALWARE ASOCIADO Repasamos la actividad de los distintos grupos a los que se les atribuye la autoría de operaciones APT o
campañas reseñables.
Advertimos que la atribución de este tipo de operaciones, así como la composición, origen e ideología de los grupos organizados, es compleja y,
necesariamente, no puede ser completamente fiable.
Esto es debido a la capacidad de anonimato y engaño inherente a este tipo de operaciones, en la que los
actores pueden utilizar medios para manipular la información de modo que oculte su verdadero origen e
intenciones; incluso es posible que en determinados casos actúen con el modus operandi de otros grupos para desviar la atención o perjudicar a estos últimos.
Actividad APT notable, detectada durante el primer semestre de 2019
DARKHYDRUS
2019 comenzó con un notable pico de actividad del grupo DARKHYDRUS, que ya presentamos en el informe pasado. Un mecanismo que no pasó desapercibido por la comunidad de analistas y los medios dedicados, es el uso del API de Google Drive como canal de control en el
malware RogueRobin; creación usada por el grupo.
Esto es solo una pequeña muestra de la innovación que se da dentro del grupo. Debemos sumar el uso de formatos de archivo relativamente recientes, que dificultan la detección basada en patrones de formato
de archivo que usan los analistas en sus sistemas de detección automatizados y, además, el uso de técnicas
de vanguardia para la evasión de AppLocker.
Este actor continúa cobrando importancia, a pesar de que su área de operaciones se mantiene en el medio oriente exclusivamente y en particular, dirigido a las
organizaciones gubernamentales e instituciones de educación de los países que lo conforman. Sin duda, un nuevo jugador que emplea recursos de última factura e
incluso innova con nuevas técnicas.
MuddyWater
El grupo, presumiblemente Iraní, MuddyWater continua operativo. En uno de sus últimos análisis, con fecha de abril de 2019, investigadores de Check Point han encontrado nuevas muestras que confirman la actividad persistente del grupo en países como Bielorrusia, Turquía y Ucrania; ampliando así de su área de acción,
basada principalmente en Medio Oriente, Estados
Unidos y Europa.
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 17 de 25
Informe sobre el estado de la seguridad 2019 H1
El grupo vuelve a utilizar la combinación de documentos con macros maliciosas y spear phishing. Algo que, aunque simple, les confiere un índice de infección suficiente para robar documentos internos de las organizaciones afectadas y usarlos como cebo para nuevas oleadas para instalar su artefacto característico,
basado en PowerShell, denominado POWERSTAT.
Como novedad, para estas operaciones activas, han incluido una ventana personalizada en el idioma de los objetivos para incentivar a los usuarios para que
habiliten las macros; paso fundamental para que se desencadene la descarga de POWERSTAT.
Algo reseñable en la nueva operativa del grupo es la inclusión de plantillas de documentos externos que incluyen los mecanismos de infección. Esto permite, hasta cierto grado, que un análisis preliminar del documento adjunto no de positivo al no incluir la carga
maliciosa.
Tiempo después, hacia principios de junio, investigadores de Trend Micro destapan una nueva operación del grupo. La evolución, incluso en un periodo de tiempo tan corto, es palpable. Además de lo comentado anteriormente, el grupo utiliza malware específico para dispositivos Android y esquemas de
falsificación de bandera falsa con el objetivo de ocultar su verdadero origen o implicar a un tercero.
En esta ocasión, las víctimas, incluyen a una universidad en Jordania y el gobierno turco; ambos, atacados bajo esquemas de Spear Phishing. Curiosamente, en vez de cuentas de correo falsificadas se utilizaron cuentas bajo el dominio de correo de los respectivos organismos. Algo
que, por supuesto, eleva notablemente el nivel de
credibilidad.
Invariablemente, en los correos se incluyen documentos con formatos Office con macros maliciosas, que llevan a descargar una nueva iteración de su malware de
referencia, POWERSTAT v3. Curiosamente, esta vez no usaron la técnica de inyección de plantillas que
comentamos anteriormente.
FIN7
Probablemente, el nombre de Carbanak no pase desapercibido para muchos. Carbanak, Anunak o Carbon
Spider, fue el grupo tras los ataques dirigidos quirúrgicamente a empleados de banca para obtener el control de dispositivos financieros, tales como cajeros
automáticos o TPV.
Aunque el grupo fue parcialmente desarticulado con las detenciones de varios de sus miembros por parte de las fuerzas y cuerpos de seguridad del estado (entre las que
se encontraban las de España), varios de sus miembros restantes, y otros grupos con los cuales compartían herramientas y modus operandi, continúan con las
actividades criminales.
En esta ocasión, el laboratorio de Kaspersky ha hecho público un informe en el que se detallan las últimas actividades de la escisión FIN7, uno de los grupos
asociados a FIN. Entre esas actividades, la de publicar ofertas de trabajo ‘legal’ para contratar pentesters, traductores y programadores con la finalidad de cubrir las necesidades del grupo criminal en materia de
herramientas, phishings, etc.
Se da la circunstancia de que varios de los extrabajadores de empresas asociadas a FIN7, incluso nombraban a estas como parte de su experiencia laboral ignorando, estos, que habían servido a las órdenes de
una organización criminal.
https://securelist.com/fin7-5-the-infamous-
cybercrime-rig-fin7-continues-its-activities/90703/
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 18 de 25
Informe sobre el estado de la seguridad 2019 H1
Nuevos actores detectados durante el primer semestre de 2019
BlindEagle
Se ha registrado actividad APT de un nuevo grupo presumiblemente localizado en Sudamérica. Denominado como APT-C-36 o BlindEagle, en su modus operandi se hacen pasar por miembros de la agencia de
ciberseguridad colombiana o la fiscalía del mismo país con el objeto de robar información confidencial a objetivos colombianos o de empresas extranjeras con
delegaciones en dicho país.
El grupo utiliza documentos office con macros maliciosas para instalar una variante de ‘Imminent Monitor RAT”, una herramienta de administración
remota. Puede leerse un interesante análisis técnico de la empresa china Qihoo 360, quien destapó las
actividades del grupo.
Técnicas destacables y herramientas empleadas
FINTEAM
De nuevo, investigadores de Check Point han descubierto una peculiar (aunque no original) forma de
introducir una herramienta de control remoto derivada
de un producto legítimo: Team Viewer.
Durante una campaña de Spear Phishing, contra embajadas en suelo europeo, se detectó un documento Excel malicioso con macros que descargaban un
ejecutable. Se trataba del software de administración y control remoto Team Viewer.
No obstante, los atacantes depositaron una DLL maliciosa sustituyendo funcionalidad del software para
añadir características que Team Viewer no posee, a saber: ocultación total de las actividades de este software frente al usuario (el Team Viewer original
notifica claramente al usuario cuando este cede el control), recolección y filtración de credenciales, envío de información técnica del equipo y bajada y ejecución
de binarios maliciosos adicionales.
Aunque el uso de herramientas RAT (Remote Administration Tool) es constante en el ámbito APT, no lo es tanto la reutilización de un software legítimo, como
Team Viewer, para emplearlo de puerta trasera. Se trata, por así decirlo, de una solución de baja tecnología que permite a los atacantes ahorrar esfuerzos en la
construcción o compra de un RAT genuino.
https://research.checkpoint.com/finteam-trojanized-teamviewer-against-government-targets/
Cadena de infección (fuente: Check Point).
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.
Informe sobre el estado de la seguridad 2019 H1
Página 19 de 25
EVALUACIÓN DEL CIBERRIESGO POR SECTORES Para establecer una comparativa de seguridad entre industrias, utilizamos la tecnología de BitSight y su
Security Rating Platform.
BitSight genera medidas objetivas y cuantitativas sobre el rendimiento de la seguridad de una empresa, evaluada diariamente. No se monitorizan las políticas, leyes o buenas prácticas ni se analizan análisis de red. Se
incluyen incidentes, evidencias externas (por ejemplo, conexiones a panel de control desde una IP que
pertenece a la compañía, leaks en redes sociales, …) y otros datos que, gracias a los algoritmos de BitSight, permiten ofrecer una idea muy aproximada de la
seguridad en una compañía, incluyendo incluso sus proveedores tecnológicos. Esto implica una de las evaluaciones más exactas sobre el riesgo en
ciberseguridad. Los datos se dividen en cuatro clases:
sistemas comprometidos, diligencia, comportamiento
del usuario, y revelaciones públicas.
Con esta tecnología, hemos conseguido destilar información muy relevante sobre las prácticas de
seguridad de los sectores industriales en Europa y
comparado con España, como en el siguiente ejemplo.
Datos de infecciones detectadas y neutralizadas (por sector económico)
A continuación se muestran las cifras agrupadas por sector económico de la media de días efectivos desde que la amenaza es detectada hasta que es neutralizada
por la organización.
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 20 de 25
Informe sobre el estado de la seguridad 2019 H1
Producción de alimentos 4,41
Producción de alimentos11,17
Manufactura 4,02
Manufactura 7,83
Comercio 2,77
Comercio 6,56
Turismo 3,09
Turismo 6,53
Gestión de Servicios 3,31
Gestión de Servicios 6,05
Aeroespacial/Defensa 3,4
Aeroespacial/Defensa 5,94
Ingeniería 3,38
Ingeniería 5,78
Transporte 3,2
Transporte 5,47
Seguros 1,76
Seguros 5,25
Sanidad 3,44
Sanidad 5,08
Energía/Recursos 2,98
Energía/Recursos 5,05
Medios/Entretenimiento 3,12
Medios/Entretenimiento 4,92
Inmobiliaria 2,87
Inmobiliaria 4,91
TBD 2,55
TBD 4,20
Gobierno 2,68
Gobierno 3,96
Telecomunicaciones 2,49
Telecomunicaciones 3,94
Finanzas 2,61
Finanzas 3,73
ONG 3,61
ONG 2,99
Bienes de consumo 2,62
Bienes de consumo 2,97
Educación 2,08
Educación 2,89
Sector Público 3,06
Sector Público 2,89
Legal 2,46
Legal 2,74
2018-H2 2019-H1
PRÁCTICAS DE SEGURIDADNúmero medio de días efectivos que necesita una compañía europea para solucionar una amenaza
de malware, agrupado por sector
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 21 de 25
Informe sobre el estado de la seguridad 2019 H1
Aeroespacial/Defensa 3,52
Aeroespacial/Defensa 4,00
Alimentación 2,88
Alimentación 4,66
Bienes de consumo 2,52
Bienes de consumo 6,30
Comercio 2,38
Comercio 2,98
Energía/Recursos 2,36
Energía/Recursos 2,88Finanzas 3,07
Finanzas 6,39
Gestión de Servicios 3,2
Gestión de Servicios 8,25
Ingeniería 5,25
Ingeniería 8,06
Manufactura 3,86
Manufactura 5,60
Sanidad 3,55
Sanidad 17,18
Seguros 2,13
Seguros 2,56
Servicios Públicos 3,21
Servicios Públicos 2,64
Tecnología 5,05
Tecnología 4,57
Telecomunicaciones 2,39Telecomunicaciones 2,55
Transporte 4,13
Transporte 5,23
Turismo 4,54
Turismo 8,51
2018-H2 2019-H1
PRÁCTICAS DE SEGURIDADNúmero medio de días efectivos que necesita una compañía española para solucionar una amenaza
de malware, agrupado por sector
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.
Informe sobre el estado de la seguridad 2019 H1
Página 22 de 25
Se observa un enorme aumento en el sector de la sanidad, víctima en los últimos tiempos del ransomware
en todo el mundo.
El siguiente gráfico compara el tiempo de respuesta entre España y Europa, durante el primer semestre de
2019, agrupado por sector.
Las calificaciones de seguridad soberanas de BitSight son mediciones objetivas del rendimiento de seguridad de los estados, las industrias y las compañías de infraestructura crítica. El siguiente gráfico muestra la diferencia de seguridad entre distintos sectores en el
ámbito europeo y español, según el rating de Bitsight.
5,94
11,17
2,97
6,56
5,05
3,73
6,05
5,78
7,83
4,92
5,08
5,25
2,89
4,97
3,94
5,47
6,53
4,00
4,66
6,30
2,98
2,88
6,39
8,25
8,06
5,60
1,00
17,18
2,56
2,64
4,57
2,55
5,23
8,51
Aeroespacial/Defensa
Alimentación
Bienes de consumo
Comercio
Energía/Recursos
Finanzas
Gestión de Servicios
Ingeniería
Manufactura
Medios/Entretenimiento
Sanidad
Seguros
Servicio Público
Tecnología
Telecomunicaciones
Transporte
Turismo
COMPARATIVA DETECCIÓN-NEUTRALIZACIÓN ENTRE ESPAÑA Y EUROPA DURANTE 2019-H1 POR SECTORMedida en número medio de días
EUROPA ESPAÑA
5.500 6.500 7.500 8.500
Aeroespacial/Defensa
Alimentación
Bienes de consumo
Comercio
Energía/Recursos
Finanzas
Gestión de Servicios
Ingeniería
Inmobiliaria
Manufactura
Medios/Entretenimie…
Sanidad
Seguros
Servicios Públicos
TBD
Tecnología
Telecomunicaciones
Transporte
Turismo
COMPARACIÓN ENTRE EL RATING BITSIGHT DE ESPAÑA Y EUROPABitSight Sovereign Security Ratings
España Europa
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.
Informe sobre el estado de la seguridad 2019 H1
Página 23 de 25
Las 25 familias de malware e infecciones detectadas en Europa
A continuación, se muestran las 25 familias de malware que más sistemas infectan en Europa, así como el crecimiento experimentado con respecto al ranking
anterior.
Las 25 familias de malware e infecciones detectadas en España
A continuación, se muestran las 25 familias de malware que más sistemas infectan en España, así como el crecimiento experimentado con respecto al ranking
anterior.
0 10.000 20.000 30.000 40.000
Conficker
Gamarue
PrizeRAT
Uupay
SpeesiPro
Powmet
Gozi
Ramnit
Sality
GinkgoSDK
Zeus
Necurs
AndroidBauts
Gamut
PushDo
Zusy
Rerdom
Nymaim
Conficker.C
Ztorg
Bifrose
Ghokswa
Cryoloader
ZeroAccess
HummingBad
CRECIMIENTO DE LAS 25 FAMILIAS DE MALWARE MÁS VIRULENTAS EN EUROPACrecimiento experimentado desde 2018-H2 a
2019-H1
0 500 1.000 1.500 2.000 2.500 3.000
Gamarue
Conficker
Uupay
Sality
PrizeRAT
Powmet
Zusy
Ramnit
Zeus
AndroidBauts
Gozi
Bondat
Necurs
SpeesiPro
Rerdom
PushDo
GinkgoSDK
Phorpiex
Mkero
Renocide
Ztorg
Gamut
Kjworm
Alureon
Nymaim
CRECIMIENTO DE LAS 25 FAMILIAS DE MALWARE MÁS VIRULENTAS EN ESPAÑACrecimiento experimentado desde 2018-H2 a
2019-H1
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 24 de 25
Informe sobre el estado de la seguridad 2019 H1
RECAPITULACIÓN ▪ Durante los primeros 6 meses del año, se han
publicado 155 vulnerabilidades en iOS, aunquesolo 5 realmente graves como para permitirejecución de código. Con esto acumula 1656
vulnerabilidades desde 2007.
▪ Durante el mismo periodo se han publicado 60
vulnerabilidades en Android, solo 4 quepermitan ejecución de código. Con esto
acumula 2014 vulnerabilidades desde 2009.
▪ Aproximadamente un 2% de las apps retiradasen Google Play (en este trimestre Google ha
retirado considerablemente más apps entérminos absolutos) son detectadas porantivirus. Permanecen de media 51 días en el
market.
▪ El 6% de los iPhone ejecutan un iOS anterior al11. En el caso de Android, menos de la mitad
ejecutan una versión 8 o superior.
▪ Hemos analizado 4495 vulnerabilidades enestos seis meses. Como el semestre anterior, el62% tienen una gravedad de 7 o superior.
Oracle, Adobe y Microsoft siguen siendo los
fabricantes con más CVEs asignados.
▪ El empleo de spear phishing y documentosofimáticos maliciosos (principalmente a travésde macros) sigue siendo la fórmula de infecciónmás común entre los grupos de atacantes más
sofisticados.
▪ Una compañía europea necesita una media decasi 5 días para solucionar una amenaza demalware, dos más que el semestre anterior. Losmás rápidos son el sector legal (con algo más
de dos días) y los más lentos, el sector de la alimentación de nuevo, pero ahora necesita 11
días.
▪ En España, el sector de la salud necesita hasta17 días para neutralizar una amenaza pormalware.
▪ Gamarue y Conficker siguen siendo lasamenazas de malware más populares enEuropa, con cifras además muy superioresal
semestre anterior.
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 25 de 25
Informe sobre el estado de la seguridad 2019 H1
Acerca de ElevenPaths En ElevenPaths, la unidad global de ciberseguridad del Grupo Telefónica, creemos que es posible un mundo digital más
seguro. Apoyamos a nuestros clientes en su transformación digital, creando innovación disruptiva, aportando la
privacidad y la confianza necesaria en nuestra vida digital diaria.
Combinamos la frescura y energía de una start-up con la potencia, conocimiento y robustez de Telefónica, contribuyendo con soluciones que posibilitan la prevención, detección y respuesta ante amenazas diarias en nuestro
mundo digital.
Generamos alianzas estratégicas que permiten ampliar la seguridad de nuestros clientes y además, colaboramos con organismos y entidades como la Comisión Europea, CyberThreat Alliance, ECSO, EuroPol, Incibe, y la Organización de
los Estados Americanos (OEA).
2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.
La información contenida en el presente documento es propiedad de Telefónica Digital España, S.L.U. (“TDE”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDE y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDE se reservan todos los derechos de propiedad industrial
e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.
La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDE.
El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete
y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.
TDE no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo
establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.
TDE y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDE y sus filiales se reservan todo los derechos sobre las mismas.