CenturyLink rastreó 104 millones de objetivos exclusivos de botnets por día en 2017
Antecedentes
Las empresas, los gobiernos y los consumidores
deberían prestar más atención al riesgo que representan las botnets, según un
nuevo informe sobre amenazas publicado por CenturyLink, Inc. En 2017, los
Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media
de 195.000 amenazas diarias, que impactaron en promedio, a 104 millones de
objetivos exclusivos – desde servidores y computadoras a dispositivos portátiles
u otros conectados a internet – gracias al trabajo de las botnets. Este anuncio
sigue a la ampliada visión de CenturyLink sobre el panorama de las amenazas.
Contexto Importante
·
Más de 4.000 millones de personas – esencialmente la
mitad de la población mundial – actualmente tiene acceso a
internet.
·
Entre los petabytes de datos que atraviesan nuestra
backbone global, los Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media de 195.000 amenazas por día en
2017, que impactaron en promedio a 104 millones de objetivos individuales por
día.
·
El costo estimado de un ataque DDoS es de US$
500/minuto; un ataque DDoS tiene una duración promedio de 6 a 24 horas.
·
IDG espera que, hasta 2020, la cantidad de unidades IoT instaladas aumente
a 28.100 millones.
Observaciones
Clave
·
En CenturyLink, valoramos la seguridad. Nuestro
objetivo es utilizar nuestra visión expansiva del panorama de las amenazas para
proteger nuestra red y las de nuestros clientes de los actores maliciosos.
·
Como proveedor global de servicios de red, creemos que
necesitamos un abordaje proactivo para asegurar la internet, compartiendo
nuestra inteligencia sobre amenazas y mitigando proactivamente las ciber
amenazas conocidas.
·
A diferencia de otras entidades de investigación en
seguridad, los Laboratorios de Investigación de Amenazas de CenturyLink no se
limitan a monitorear el tráfico malicioso de manera pasiva a través de la red;
los equipos trabajan para prevenir activamente que los malos actores usen los
recursos de la red de CenturyLink – o los de nuestros clientes – para llevar a
cabo actividades criminales.
Estadísticas Generales de Seguridad
CenturyLink:
o
Compila 114.000
millones de registros de NetFlow todos los días
o
Captura más de
1.300 millones de eventos de seguridad diariamente
o
Monitorea 5.000
servidores C2 conocidos de manera continua
o
Responde a una
cifra cercana a los 120 ataques de DDoS por día y los mitiga
o
Elimina
aproximadamente 40 redes C2 por mes
o
El alcance y la
profundidad de la amplia concientización de CenturyLink sobre las amenazas
proviene de su backbone IP global, uno de los más grandes del mundo. Esta
infraestructura crítica soporta a las operaciones globales de CenturyLink e
informa a su conjunto integral de soluciones de seguridad, que incluyen
detección de amenazas, monitoreo de registro seguro, mitigación de DDoS y
soluciones de seguridad basadas en la red.
Preguntas y Respuestas Potenciales:
P: ¿Qué son los Laboratorios de Investigación de Amenazas de CenturyLink?
·
Los Laboratorios de Investigación de
Amenazas de CenturyLink son un grupo de
científicos de datos que analiza y responde a las ciber amenazas en torno de
toda nuestra red global.
P: ¿Por qué CenturyLink está lanzando este informe?
·
Como proveedor
global de servicios de red, creemos que necesitamos un abordaje proactivo para
asegurar la internet, compartiendo nuestra inteligencia sobre amenazas y
mitigando proactivamente las ciber amenazas conocidas.
P: ¿Cómo se obtiene esta inteligencia? ¿De dónde
viene esta inteligencia?
·
El alcance y la
profundidad de la amplia concientización de CenturyLink sobre las amenazas
proviene de su backbone IP global, uno de los más grandes del mundo.
CenturyLink:
o
Compila 114.000
millones de registros de NetFlow todos los días
o
Captura más de
1.300 millones de eventos de seguridad diariamente
o
Monitorea 5.000
servidores C2 conocidos de manera continua
o
Responde a una
cifra cercana a los 120 ataques de DDoS por día y los mitiga
o
Elimina
aproximadamente 40 redes C2 por mes
P: Además de publicar este informe, ¿qué hace CenturyLink con esta
inteligencia?
·
Como proveedor
global de servicios de red, creemos que necesitamos un abordaje proactivo para
asegurar la internet, compartiendo nuestra inteligencia sobre amenazas y
mitigando proactivamente las ciber amenazas conocidas.
·
A diferencia de otras entidades de investigación en seguridad, los
Laboratorios de Investigación de Amenazas de CenturyLink no se limitan a
monitorear el tráfico malicioso de manera pasiva a través de la red; los
equipos trabajan para prevenir activamente que los malos actores usen los recursos
de la red de CenturyLink – o los de nuestros clientes – para llevar a cabo
actividades delictivas.
P: ¿Cuáles son algunos de los hallazgos
clave en el informe?
·
El aprendizaje más importante de este informe de amenazas es que las
botnets siguen siendo una ciber amenaza constante.
o En 2017, los
Laboratorios de Investigación de Amenazas de CenturyLink rastrearon una media
de 195.000 amenazas diarias, que impactaron en promedio, a 104 millones de
objetivos exclusivos, desde servidores y computadoras a dispositivos portátiles
u otros conectados a internet.
·
El segundo hallazgo
clave del informe es que mientras algunas explotaciones (exploits) se destacan más en
las noticias, no deberíamos ignorar aquéllas que silenciosamente acumulan
grupos más grandes de víctimas.
o Por ejemplo, hemos visto que los medios le prestaron
una atención desproporcionada a Mirai por encima de la dedicada a Gafgyt, un
precursor de Mirai. Según nuestro análisis, hasta ahora Gafgyt se ha mostrado
como una amenaza pasada por alto – una con un tiempo de duración máxima
notablemente superior y con una cantidad de víctimas mayor.
·
Finalmente, los
malos actores son atraídos por Mirai y Gafgyt porque ofrecen una amplia
variedad de opciones customizables para llevar a cabo sus ataques, dependiendo
de su intención, su objetivo y el resultado deseado.
o Nuestro informe explora en profundidad la evolución
de estos métodos y tendencias actuales que estamos observando respecto de
determinados tipos de ataques.
P: ¿Cómo se compara este informe con los informes de amenazas de otras
compañías?
·
Esta inteligencia
se diferencia de otros informes sobre amenazas del sector porque se basa
exclusivamente en aquello que los Laboratorios de Investigación de Amenazas de CenturyLink ve a través de la red troncal global de CenturyLink.
P: ¿Qué pueden hacer las empresas con esta información?
·
Es
importante que las empresas y los consumidores conozcan los métodos que
utilizan los ciberdelincuentes para cometer ataques, a fin de proteger su
información confidencial y sus operaciones.
·
Como proveedor
global de servicios de red, creemos que necesitamos un abordaje proactivo para
asegurar internet, compartiendo nuestra inteligencia sobre amenazas y mitigando
proactivamente las ciber amenazas conocidas.
P: ¿Cuáles son algunos de los hallazgos globales, regionales o específicos de cada país?
·
Las geografías con
redes e infraestructura de TI sólidas y de rápido crecimiento continúan siendo
la principal fuente para la actividad de los ciberdelincuentes.
o
Los cinco principales
países por volumen de tráfico de internet malicioso global en 2017 fueron
Estados Unidos, Rusia, China, Brasil y Ucrania.
o
Los cinco principales países que hospedaron la mayoría de los servidores
de comando y control (C2), que reúnen y comandan botnets, fueron los Estados
Unidos, Rusia, Ucrania, China y Alemania.
·
Mientras que los países y regiones con infraestructura de comunicación
robusta suministraron, sin saberlo, ancho de banda para los ataques DDoS de
IoT, también representaron algunas de las mayores víctimas en función del
volumen de comandos de ataque.
o
Los cinco principales países de destino del tráfico de ataque de bot
fueron los Estados Unidos, China, Alemania, Rusia y el Reino Unido.
o
Los cinco principales países por volumen de hosts o bots comprometidos
fueron los Estados Unidos, China, Brasil, el Reino Unido y Alemania.
·
P: Uds. se centran en algunas
explotaciones (exploits) específicas
en el informe. ¿Puede hablar un poco más sobre eso?
·
Así es. Uno de los
hallazgos más importantes de este informe es que mientras algunas explotaciones
acaparan más las noticias, no deberíamos ignorar aquéllas que silenciosamente afectan
a un grupo mayor de víctimas.
·
Mirai y sus
variantes han sido foco de numerosas noticias y de una cobertura constante en
los medios, pero en 2017, los Laboratorios de Investigación de Amenazas de CenturyLink han sido testigos de más ataques de Gafgyt que
afectan a más víctimas, con una duración de los ataques, considerablemente más
prolongada.
o
En 2017, rastreamos 562 C2s exclusivas con un uptime mínimo de un día y
máximo de 117días.
o
Durante el mismo periodo, rastreamos 339 C2s exclusivas con un uptime
mínimo de un día y máximo de 83 días.
P: Ok – pero ¿qué pasa con la
amenaza [X]? ¿Por qué ustedes están centrados solo en IoT DDoS?
·
Hemos visto que la frecuencia y el tamaño de los ataques DDoS aumentan a
un ritmo alarmante.
o
El ataque DDoS Krebonsecurity.com en septiembre 2016 fue el mayor ataque
registrado en 665 Gbps.
o
Marzo de 2018: GitHub sufrió un ataque DDoS de 1.3 Tbps
·
Debido a nuestra
visión expandida del panorama de las amenazas, creemos que necesitamos un
abordaje proactivo para asegurar internet, compartiendo nuestra inteligencia
sobre amenazas y mitigando proactivamente las ciber amenazas conocidas.
·
CenturyLink:
o
Compila 114.000
millones de registros de NetFlow todos los días
o
Captura más de
1.300 millones de eventos de seguridad diariamente
o
Monitorea 5.000
servidores C2 conocidos de manera continua
o
Responde a una
cifra cercana a los 120 ataques de DDoS por día y los mitiga
o
Elimina
aproximadamente 40 redes C2 por mes
Consumidores:
P: Hemos escuchado mucho
sobre diferentes “hackeos” y explotaciones últimamente. ¿Qué significa eso
realmente?
·
Un “hackeo” es cuando terceros (malos actores/ciberdelincuentes) acceden
a una red o dispositivo de computadora, generalmente con fines maliciosos.
·
Las varias maneras en que alguien puede ser “hackeado” incluyen: hacer
clic en enlaces de email, descargar aplicaciones infectadas, contraseñas
antiguas / fáciles de descifrar…
P: Por qué hemos visto tantos
“hackeos”/ violaciones últimamente?
·
Dos razones: tanto nosotros (la industria/las empresas) somos cada vez
más expertos, pero también lo son los malos actores.
·
La proliferación de dispositivos conectados: Internet of Things (IoT)
·
Mala seguridad cibernética como el uso de contraseñas / nombres de
usuario padrón para módems y otros dispositivos IoT
·
No actualizar parches de software para vulnerabilidades
P: ¿Qué tan grave es en
realidad?
·
En 2017, los Laboratorios de Investigación de Amenazas de CenturyLink
rastrearon una media de 195.000 amenazas diarias, que impactaron en promedio, a
104 millones de objetivos exclusivos – desde servidores y computadoras a
dispositivos portátiles u otros conectados a internet – gracias al trabajo de
las botnets.
P: ¿Por qué los dispositivos
de IoT son un gran objetivo para los ciberdelincuentes?
·
IoT es prolífico: IDG espera que la cantidad de unidades de IoT
instaladas crezca a unos 28.100 millones en 2020.
·
Muchos dispositivos conectados a Internet no se pueden reparar o
actualizar fácilmente con nuevas implementaciones de seguridad.
·
Las contraseñas predeterminadas normalmente no se modifican o no se
pueden cambiar.
·
Los consumidores y las empresas no han considerado cómo los dispositivos
de IoT pueden convertirse en puntos de vulnerabilidad para ellos.
o
De acuerdo con los resultados de un estudio publicado recientemente por
HP, seis de cada diez dispositivos IoT tenían vulnerabilidades cibernéticas
comunes, y el 70 por ciento no encriptaban las comunicaciones a través de
Internet.
·
Muchos dispositivos de IoT recopilan datos personales.
P: ¿Qué es Shodan? ¿Qué es lo
consigue ver Shodan?
·
Shodan es una herramienta de búsqueda IoT utilizada tanto por
investigadores de seguridad y profesionales, como por ciberdelincuentes.
·
En los últimos años, Shodan agregó una nueva sección con cámaras web
vulnerables
o
La vulnerabilidad de webcam de Shodan muestra la vista desde cámaras que
tienen un puerto abierto, carecen de autenticación y transmiten video.
o
Captura una imagen y pasa a la siguiente.
o
Las vistas dentro de cunas, hogares privados, bares y negocios son
accesibles.
P: ¿Qué deben hacer los
consumidores para protegerse?
·
Mantenerse actualizados sobre los últimos parches de software para sus
aplicaciones y programas de computadora, así como las actualizaciones de
firmware para sus dispositivos IoT.
·
Siempre cambiar el nombre de usuario/contraseña predeterminados para
cualquier dispositivo, especialmente su módem.
·
Practicar la buena higiene cibernética:
o
No usar contraseñas comunes
§
Pensar en contraseñas frase y no en contraseñas palabras – son mucho más
difíciles de descifrar que el nombre de un perro o una fecha de cumpleaños.
§
Mezcla de números, letras y caracteres especiales.
·
Ejemplo: MyFavoritePieisApple = #M4Favorit3Pi3isAppl3!
o
No comparta contraseñas
o
Use contraseñas diferentes para cada cuenta.
P: ¿Qué más podemos hacer para protegernos?
·
¡Haga preguntas!
Para todas las empresas que almacenen sus datos, debe saber por qué, donde y
como.
o Deben tener una sólida postura de seguridad que
incluya inteligencia de amenazas activa y datos segmentados para proteger a los
clientes.
·
Cambia tus
contraseñas regularmente.
·
Active la
autorización de dos factores para sus cuentas online.
.
.
Fuente: Grupo Proa Comunicaciones Integradas. Venezuela.
.
.