SonicWall, el partner de seguridad de confianza que protege más de un millón de redes empresariales a nivel mundial, anuncia las conclusiones de su Annual Threat Report, que destaca los avances más notables hechos por los profesionales de la seguridad y los cibercriminales durante el 2016. El informe ha sido redactado a partir de datos recopilados a lo largo del 2016 por la Global Response Intelligence Defense (GRID) Threat Network de SonicWall con datos diarios de más de un millón de sensores de seguridad en aproximadamente 200 países y regiones.

De acuerdo con el 2017 SonicWall Annual Threat Report, 2016 puede considerarse como un año exitoso desde la perspectiva tanto de los profesionales de la seguridad como de los cibercriminales. A diferencia de años pasados, SonicWall ha constatado que el volumen de muestras únicas de malware recogidas ha caído hasta los 60 millones en comparación con los 64 millones del 2015, una reducción del 6,25 por ciento. Los intentos de ataques de malware totales descendieron por primera vez en años hasta los 7.870 millones desde los 8.190 millones del 2015. Sin embargo, los cibercriminales obtuvieron dinero rápido gracias al ransomware, unas ganancias alimentadas en parte por el aumento de ransomware como servicio (RaaS por sus siglas en inglés).

“Sería inexacto decir que el panorama de amenazas disminuyó o se amplió en 2016 - más bien, parece haber evolucionado y cambiado ", dijo Bill Conner, presidente y CEO de SonicWall. "La ciberseguridad no es una batalla de desgaste; es una carrera armamentista, y ambas partes están demostrando ser excepcionalmente capaces e innovadoras".

Avances en la Industria de la Seguridad

Los ataques de malware en el Punto de Venta disminuyeron un 93 por ciento entre 2014 y 2016.

Las brechas de seguridad en grandes empresas de distribución al por menor en 2014 llevaron a las compañías a adoptar proactivamente medidas de seguridad. Desde entonces, la industria ha visto la implementación de sistemas POS basados en chips, el uso de la lista de verificación PCI-DDS (Payment Data Industry Standard) entre otras medidas de seguridad.

  • En 2014, la GRID Threat Network de SonicWall observó un aumento del 333% en el número de nuevas contramedidas de malware de POS desarrolladas y desplegadas en comparación con el año anterior.
  • La GRID Threat Network de SonicWall redujo el número de nuevas variantes de malware POS en un 88% año tras año y un 93% desde 2014. Esto supone que los ciberdelincuentes están cada vez menos interesados en dedicar tiempo a la innovación de malware POS.

El trafico encriptado de Secure Sockets Layer/Transport Layer Security (SSL/TLS)se incrementó en un 38%, en parte como respuesta a la creciente adopción de aplicaciones en la nube.

La tendencia hacia el cifrado SSL/TLS ha ido en aumento durante varios años. A medida que el tráfico web creció a lo largo de 2016, también lo hizo el cifrado SSL / TLS, de 5,3 billones de conexiones web en 2015 a 7,3 billones en 2016, según la GRID Threat Network de SonicWall.

  • La mayoría de las sesiones web que la GRID Threat Network de SonicWall detectó a lo largo del año fueron encriptadas con SSL / TLS, esto supuso el 62% del tráfico web.
  • Una de las razones del incremento en el cifrado SSL / TLS es el creciente interés de las empresas por las aplicaciones en la nube. La GRID Threat Network de SonicWall ha visto crecer el uso total de aplicaciones en la nube de 88 billones en 2014 y 118 billones en 2015 a 126 billones en 2016.

Si bien esta tendencia hacia el cifrado SSL / TLS es en general positiva, también merece una advertencia. El cifrado SSL / TLS hace que sea más difícil para los ladrones cibernéticos interceptar la información de pago de los consumidores, pero también proporciona una puerta trasera no inspeccionada y de confianza en la red que los ciberdelincuentes pueden explotar para introducir malware. La razón por la que esta medida de seguridad puede convertirse en un vector de ataque es que la mayoría de las empresas todavía no tienen la infraestructura adecuada para realizar una inspección profunda de paquetes (DPI por sus siglas en inglés) con el fin de detectar malware oculto dentro de las sesiones web cifradas SSL / TLS.

Angler, Nuclear y Neutrino, los exploit kits dominantes, desaparecieron a mediados de 2016.

A principios del 2016, el mercado de malware estaba dominado por un puñado de exploit kits, especialmente Angler, Nuclear y Neutrino. Tras la detención de más de 50 piratas informáticos rusos que aprovecharon el troyano Lurk para cometer fraude bancario, la GRID Threat Network de SonicWall vio que el exploit kit de Angler dejó de aparecer, lo que llevó a muchos a creer que los creadores de Angler estaban entre los arrestados[i]. Durante un tiempo después de la desaparición de Angler, Nuclear y Neutrino vieron incrementado su uso, para luego desaparecer rápidamente también.

  • La GRID Threat Network de SonicWall notó que los exploit kits restantes comenzaron a fragmentarse en múltiples versiones más pequeñas para llenar este vacío. Para el tercer trimestre de 2016, Rig había evolucionado en tres versiones aprovechando diferentes patrones de URL, encriptación de página de aterrizaje y cifrado de entrega de carga.
  • Al igual que con el spam y otros métodos de distribución en 2016, SonicWall comprobó que los exploit kits pasaron a formar parte de la máquina de entrega de ransomware, haciendo variantes de Cerber, Locky, CrypMIC, BandarChor, TeslaCrypt y otras cargas primarias a lo largo del año. Sin embargo, los exploit kits nunca se recuperaron del golpe masivo que recibieron a principios de año con la destrucción de las versiones dominantes.

Avances de los cibercriminales

El uso de Ransomware creció 167 veces año tras año y fue el principal contenido de las campañas de correo electrónico malicioso y de los exploit kits.

La GRID Threat Network de SonicWall detectó un incremento de 3,8 millones de ataques de ransomware en 2015 a 638 millones en 2016. El aumento de RaaS hizo que el ransomware fuera significativamente más fácil de obtener y desplegar. Este crecimiento sin precedentes ha sido probablemente impulsado por tres factores: el fácil acceso al mercado clandestino, el bajo coste de llevar a cabo un ataque de ransomware, la facilidad de su distribución y el bajo riesgo de ser capturado o castigado.

  • El ransomware siguió aumentando durante todo el año pasado, desde marzo de 2016, cuando los ataques de ransomware se dispararon de 282.000 a 30 millones en un solo mes, y continuó hasta el cuarto trimestre, que se cerró con 266.5 millones de intentos de ataque de ransomware en tres meses.
  • El resultado más popular de las campañas de correo electrónico malicioso en 2016 fue el ransomware, típicamente Locky, que se desplegó en aproximadamente el 90 por ciento de los ataques con Nemucod y en un total de más de 500 millones de ataques a lo largo del año.
  • Todos los sectores sufrieron intentos de agresiones con ransomware. Las industrias verticales sufrieron un número similar de ataques, esto incluye a las empresas de ingeniería mecánica e industrial con una media del 15% de los ataques con ransomware, seguidas muy de cerca por los servicios farmacéuticos (13%) y los servicios financieros (13%), y el sector inmobiliario (12%).

"Con el continuo crecimiento del ransomware, la investigación de SonicWall muestra la importancia para las empresas de evaluar su estrategia de cyber-defensa” ha dicho  Mike Spanbauer, vicepresidente de Security, Test & Advisory, en NSS Labs. “En 2016 vimos grandes avances por parte de los cibercriminales y creemos que proveedores como SonicWall, que están dispuestos a invertir y desarrollar tecnología y enfoques para vencer al ransomware, ayudarán a la sector de la seguridad a derrotar este creciente método de ataque”.

Los dispositivos Internet of Things se vieron comprometidos a gran escala debido al deficiente diseño de sus medidas seguridad, abriendo la puerta a la difusión de ataques de denegación de servicio.

Con su integración en el día a día tanto de los negocios como de las personas, los dispositivos IoT proporcionaron un atractivo vector de ataque para los ciberdelincuentes en 2016. Las brechas en la seguridad IoT permitieron a los ciberdelincuentes lanzar los mayores ataques de distribuidos de denegación de servicio (DDoS) de la historia en 2016, aprovechando cientos de miles de dispositivos IoT con débiles contraseñas telnet para lanzar ataques DDoS usando el marco de gestión de la botnet Mirai.

  • La GRID Threat Network de SonicWall observó vulnerabilidades en todas las categorías de dispositivos IoT, incluidas las cámaras inteligentes, wearables, instalaciones domóticas, vehículos inteligentes, sistemas de entretenimiento y los terminales inteligentes.
  • Durante el punto álgido de la oleada de ataques con Mirai, en noviembre de 2016, la GRID Threat Network de SonicWall observó que Estados Unidos era el principal objetivo, con el 70% de los ataques DDoS dirigidos hacia esa región, seguido por Brasil (14%) y La India (10%).[ii]

Los dispositivos AndroidTM Vieron un aumento de las protecciones de seguridad pero se mantuvieron vulnerables frente a ataques superpuestos.

Google trabajó duro en 2016 para corregir las vulnerabilidades y los exploit kits que los ciberdelincuentes habían utilizado contra Android en el pasado, pero los atacantes emplearon nuevas técnicas para superar estas mejoras de seguridad.[iii],[iv]

  • La GRID Threat Network de SonicWall observó que los ciberdelincuentes aprovecharon las superposiciones de pantallas para imitar la apariencia de aplicaciones legítimas y engañar a los usuarios para que introdujeran información de inicio de sesión y otros datos. Cuando Android respondió con nuevas características de seguridad para combatir las superposiciones, SonicWall observó que los atacantes evadían estas medidas al convencer a los usuarios para que proporcionaran permisos que permitieran usar superposiciones.[v]
  • Las aplicaciones para adultos comprometidas disminuyeron en Google Play, pero los ciberdelincuentes siguieron encontrando víctimas en tiendas de aplicaciones de terceros. El ransomware era una carga común, al igual que las aplicaciones de auto-instalación. La GRID Threat Network de SonicWall contabilizó más de 4.000 aplicaciones distintas con contenidos autoinstalables en solo dos semanas.[vi],[vii]

Este Informe Anual de Amenazas 2017 de SonicWall  también identifica buenas prácticas y predicciones de seguridad para el año 2017, que son analizadas en profundidad en el informe. Para saber más, por favor, visite:

  • 2017 SonicWall Annual Threat Report
  • Threat Report Blog by SonicWall President and CEO Bill Conner

Para conocer más sobre oportunidades como partner de SonicWall. Por favor visite:

  • SonicWall on Twitter
  • SonicWall on Facebook
  • SonicWall on LinkedIn

Sobre SonicWall

Durante más de 25 años SonicWall ha sido el principal socio de seguridad de la industria. Desde la seguridad de red, hasta la seguridad de acceso y la seguridad del e-mail, SonicWall ha evolucionado continuamente su portfolio de productos, permitiendo a las organizaciones innovar, acelerar y crecer. Con más de un millón de dispositivos de seguridad en casi 200 países y regiones de todo el mundo, los clientes de SonicWall pueden decir con confianza, sí al futuro.



[i]Kevin Townsend, “Did Angler Exploit Kit Die with Russian Lurk Arrests?” Security Week, June 13, 2016, http://www.securityweek.com/did-angler-exploit-kit-die-russian-lurk-arrests

[ii]Nicky Woolf, “DDoS attack that disrupted internet was largest of its kind in history, experts say,” The Guardian, October 26, 2016, https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet

[iii] John E Dunn, “Android Marshmallow’s 10 most important security features,” Techworld, September 30, 2015, http://www.techworld.com/picture-gallery/security/android-marshmallows-10-most-important-security-features-3626468/

[iv] Al Sacco, “Google details security features in Android 7.0 ‘Nougat,’” CIO, August 16, 2016, http://www.cio.com/article/3108382/android/google-details-security-features-in-android-7-0-nougat.html

[v] “Malicious banker tries to bypass Android Marshmallow security barriers,” SonicWall Security Center, September 16, 2016, https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=967 

[vi] “New Android Lockscreen campaign spotted in the wild,” SonicWall Security Center, May 12, 2016, https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=929

[vii] “Self-installing porn apps rampage the Android ecosystem,” SonicWall Security Center, June 17, 2016,

 https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=940