Ransomware: Una

amenaza permanente
UNIVE RS IDA D NACI O NA L A U TÓ NO MA D E MÉ X I CO
D I R E C C I Ó N G E N E R A L D E C Ó M P U TO Y D E T E C N O LO G Í A S D E I N F O R M A C I Ó N Y
COMUNICACIÓN
DIRECCIÓN DE SISTEMAS Y SERVICIOS INSTITUCIONALES
Agenda
1. Perspectiva general de Seguridad de la Información
2. Malware por doquier
3. Riesgos y hechos del Ransomware
4. Situación actual del Ransomware
5. Acciones y recomendaciones
1. Perspectiva general de Seguridad de la
Información
 Definiciones básicas
Seguridad en infraestructura Cualquier número de servicios de seguridad definidos por software diseñados para
de nube proporcionar capacidades de seguridad en ambientes virtualizados de nube
Cualquier conjunto de servicios como antivirus, anti-spyware, firewalls personales, control
de aplicaciones, detección de intrusiones y técnicas anti – malware incluidos bloqueo de
Seguridad de punto
amenazas o detección de anomalías para proteger puntos terminales (PC’s. laptops,
terminal.
smartphones, tabletas, servidores, etc.) en una red por medio de la detección, protección,
remediación o asistencia en la investigación de ataques.
Prácticas para proteger a la información contra acceso, uso, distribución, alteración,
Seguridad de la información
modificación, inspección, grabación o destrucción no autorizados.
Sistemas para detección /
Dispositivos para seguridad en la red que monitorean los enlaces para la detección de
prevención de intrusiones
actividad potencialmente maliciosa y ya sea alertar o bloquear dicha actividad.
(IDS /IPS)
Administración de Herramientas administrativas para monitorear y gestionar el acceso a la red, servicios y
dispositivos móviles (MDM) aplicaciones por parte de dispositivos móviles como smartphones y tabletas.

Seguridad de la información Tecnología que permite un análisis en tiempo real de eventos de seguridad o información
y gestión de eventos (SIEM) coleccionada a partir de bitácoras generadas por dispositivos físicos y aplicaciones.
Aspectos generales de seguridad
• Inversión en seguridad de IT.
• 45% de los encuestados indican que en un período de 90 días incrementarán su
inversión en seguridad.
• Sólo el 4% indica que no invertirá más recursos en seguridad.

• Principales preocupaciones.
• 56% de los CIOs indican que lo más preocupante son los Hackers / Crackers con
contenido malicioso
• 50% señala que el cumplimiento de normas (compliance) es un punto crítico
• 35% considera que las auditorías internas a partir de evidencias es otro elemento
fundamental a considerar.

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Aspectos generales de seguridad
• Asuntos incorrectamente atendidos.
• 30% considera que no se supervisa adecuadamente la prevención y detección de
espionaje interno.
• 24% señala que esa prevención y detección no se realiza ante amenazas
externas, como los Hackers / Crackers.

• Seguridad de la información y gestión de eventos (SIEM)

• 70% de los encuestados usan un SIEM por razones de compliance
• 90% declara usar un SIEM aún sin que fueran obligados por normatividad.

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Inversiones en seguridad de IT
¿Cómo describiría los planes de inversión para seguridad
de la información en los siguientes 90 días?
Planes de inversión en 90 días
60
50 48
50 44 45 46 45
40 37

30
20
10 4 4 4 6 4 4
3
0
jun-15
mar-15

jun-16
may-15

dic-15

may-16
oct-15

mar-16

oct-16
ene-15
feb-15

jul-15
ago-15
sep-15

nov-15

feb-16

abr-16

ago-16
ene-16

jul-16

sep-16

nov-16
abr-15

Incremento Decremento

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Adopción de tecnología de seguridad
Principales estrategias y tecnologías de seguridad
Tecnologías de seguridad en uso (No incluye pilotos)

Seguridad de aplicaciones 43

Administración de Dispositivos Móviles (MDM o EMM) 53

Seguridad de la Información y Gestión de Eventos (SIEM) 56

Sistemas para Detección y Prevención de Intrusiones
(IDS/IPS)
76

Filtrado de contenido Web 80

Seguridad en el extremo 86

0 10 20 30 40 50 60 70 80 90 100
Porcentaje

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Preocupaciones de seguridad, puntos débiles y amenazas
¿Cuáles son sus principales preocupaciones de seguridad en
los últimos 90 días?
Principales preocupaciones
6
Otras 6
22
Ciber ataques / ciber guerra 24
Prevenir / detectar espionaje interno 24
36
34
Deficiencias en auditoría interna debido a evidencias 35
50
Cumplimiento de normas 50
57
Hacker / Crackers con intenciones maliciosas 56

0 10 20 30 40 50 60
jun-16 nov-16

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Principales debilidades
¿Cuál considera que es la principal debilidad de
seguridad de información en los últimos 90 días?
Principales 5 puntos débiles de seguridad
Políticas organizacionales / pérdida de atención a la 6
seguridad de la información 7

Seguridad de la información de funcionarios / ejecutivos 7

7
10
Pérdida / robo de datos 9
9
Comportamiento de los usuarios 11
17
Software malicioso (Malware / Ransomware) 16

0 2 4 6 8 10 12 14 16 18
jun-16 nov-16

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Amenazas de seguridad atendidas inadecuadamente
¿Qué tipo de amenaza a la seguridad considera que no
es atendida adecuadamente por su organización?
Amenazas a la seguridad
6
Otras 7
14
Cumplimiento de normatividad 12
Deficiencias en auditoría interna basada en evidencias 10
13
13
Ciber ataques / ciber guerra 14
27
Hackers / Crackers con intenciones maliciosas 24
30
Prevenir / Detectar el espionaje interno 30

0 5 10 15 20 25 30 35
jun-16 nov-16

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Soluciones de seguridad.
¿Cuáles son las soluciones de seguridad para puntos
terminales?
Soluciones de seguridad endpoint
Otro 10
Avast 1
VIPRE 1
FireEye 1
Check point 1
AVG Technologies 1
Bitdefender 1
Cisco 1
Cylance 2
Carbon black 4
Open Source 5
Kaspersky Lab 9
Trend Micro 13
Sophos 15
Intel Security (McAfee) 22
Microsoft 26
Symantec 31
0 5 10 15 20 25 30 35
nov-16

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Soluciones de seguridad.
¿Cuáles son las soluciones de seguridad filtrado de
contenido Web?
Soluciones de seguridad filtrado de contenido
Otros 13
Proofpoint 1
Microsoft 1
Barracuda Networks 1
Trend Micro 1
Check point 1
SonicWall 2
Fortinet 4
Palo Alto Networks 5
Zscaler 6
Cisco 7
Sophos 9
Intel Security (McAfee) 12
Forcepoint (antes Websense) 13
Blue Coat (Symantec) 24
0 5 10 15 20 25 30
Porcentaje

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Soluciones de seguridad.
¿Cuáles son las soluciones para sistemas de detección y
prevención de intrusos (IDS/ IPS)?
Soluciones IDS e IPS
Otros 9
Juniper 1
FireEye 1
Symantec 1
IBM 1
Sophos 1
Trend Micro (TippingPoint) 2
Fortinet 4
Dell 6
Intel Security (McAfee) 8
Open Source 9
Check Point 14
Palo Alto Networks 15
Cisco 29
0 5 10 15 20 25 30 35
Porcentaje

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Soluciones de seguridad.
¿Cuál es la principal solución para dispositivos móviles
(MDM / EMM)?
Soluciones MDM y EMM
Otros 14
Sophos 1
Google 2
Citrix 3
Cisco 4
Microsoft 5
BlackBerry Limited 7
IBM 9
MobileIron 21
AirWatch de Vmware 34
0 5 10 15 20 25 30 35 40
Porcentaje

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
Soluciones de seguridad.
¿Cuál es la principal solución para Seguridad de la
Información y Gestión de Eventos (SIEM)?
Soluciones SIEM
Otros 18
Dell 1
TrustWare 3
Micro Focus (NetIQ) 4
AlienVault 6
LogRhythm 10
RSA (Dell EMC Infrastructure Solutions) 10
Hewlett Packard Enterprise / Micro Focus 12
Intel Security (McAfee) 12
Open Source 15
IBM 18
SolarWinds 18
Splunk 33
0 5 10 15 20 25 30 35
Porcentaje

Fuente: Encuesta 451 Alliance. 933 CIOs. Noviembre 2016 – Enero 2017.
2. Malware por doquier
Entre Malware te veas…
• También conocido como…
• Badware
• Código dañino
• Software malicioso
• Software mal intencionado

• Definición: Pieza de software que se infiltra en un sistema o

computadora sin consentimiento y con algún propósito de daño.

• Reducción de “malicious software”

Genealogía del malware
Virus
Infecciosos
Gusanos

Backdoor

Drive-by downloads
Ocultos
Rootkits

Troyanos
Malware

Spyware

Publicidad Adware

Hijacking

Keyloggers
Robo info
personal Stealers

Llamadas Dialers

Distribuidos Botnets

Rogue
Extorsión
Ransomware
Malware infeccioso.
• Virus:
• Vector de propagación: Intervención de usuario. Correos, archivos contaminados,
programas ejecutables.
• Objetivo: Daño a comportamiento de sistema / daño a otros programas
• Efectos: Borrado de archivos, software inoperante, sistema operativo dañado

• Gusano:
• Vector de propagación: Automática. Explota vulnerabilidades
• Objetivo: Afectar la mayor cantidad de sistemas posibles.
• Efectos: Similares a los del virus.
 Malware oculto.

• Backdoor:
• Vector de propagación: Intervención de usuario. Correos, archivos contaminados, programas
• Objetivo: Burlar métodos de autenticación tradicionales y obtener información
• Efectos: Robo de datos, espionaje, contra espionaje, sistemas comprometidos

• Drive-by downloads:
• Vector de propagación: Automática desde páginas Web inseguras, comprometidas o ex profeso
• Objetivo: Instalación de otro tipo de malware, como spyware, adware, etc.
• Efectos: Similares a los del backdoor.
 Malware oculto.

• Rootkit:
• Vector de propagación: Intervención de usuario. Correos, archivos contaminados, programas
• Objetivo: Instalación de herramientas a nivel de sistema operativo para ocultar procesos y
acciones
• Efectos: En caso de intentar eliminarse, generalmente el daño al sistema operativo, además de los
procesos similares a otros malwares.

• Troyano:
• Vector de propagación: Intervención el usuario por instalación de programas aparentemente
inocuos u atractivos.
• Objetivo: Instalación de otro tipo de malware, como spyware, adware, etc, disfrazado como
software benigno
• Efectos: Los que apliquen al malware que transporta
 Malware de publicidad.

• Spyware:
• Vector de propagación: Intervención de usuario. Programas troyanos, cookies en páginas Web,
barras en navegadores.
• Objetivo: Obtener información sensible del usuario a partir de su interacción con la navegación en
Internet.
• Efectos: Robos bancarios, suplantación de identidad, robo de información.

• Adware:
• Vector de propagación: Similares a los del Spyware.
• Objetivo: Despliegue de publicidad, mensajes emergentes, ventanas a ofertas, etc.
• Efectos: Continua apertura de sitios Web, robo de información, publicidad masiva
 Malware de publicidad.

• Hijacker:
• Vector de propagación: Similares a los del Spyware
• Objetivo: Secuestrar el navegador redirigiendo peticiones DNS a sitios fraudulentos para el robo
de información sensible
• Efectos: Robos bancarios, suplantación de identidad, robo de información.
 Malware para robo de información personal.

• Keylogger:
• Vector de propagación: Similares a los del Spyware
• Objetivo: Registrar las pulsaciones en el teclado para el robo de credenciales e identidad
• Efectos: Robos bancarios, suplantación de identidad, robo de información.

• Stealer:
• Vector de propagación: Similares a los del Spyware
• Objetivo: Robar la información de cuentas y contraseñas en programas que los tengan
almacenados como mensajería instantánea, correo electrónico o navegadores.
• Efectos: Robos bancarios, suplantación de identidad, robo de información.
 Malware para llamadas.

• Dialer:
• Vector de propagación: Intervención del usuario. Programas de juegos, sitios de pornografía,
protectores de pantalla
• Objetivo: Realizar llamadas con la línea abierta usando la computadora infectada como puente
hacia otro país
• Efectos: Cargos excesivos en recibo telefónico (debido a la presencia de conexiones ADSL en
mayor volumen para las computadoras, los Dialers casi solo se presentan en teléfonos móviles)
 Malware para ataques distribuidos.

• Botnet:
• Vector de propagación: Automáticos o con intervención del usuario. Explotan vulnerabilidades de
seguridad de sistemas operativos en el primer caso.
• Objetivo: Constituir ejércitos de computadoras “zombis” para ataques masivos de negación de
servicio (DDoS) por medio de canales IRC, chat o vulnerabilidades de sistema operativo (red robot)
• Efectos: Anulación de servicios en Internet (DNS, páginas Web, correo electrónico, etc)
 Malware para extorsión.

• Rogue:
• Vector de propagación: Intervención del usuario. Correos electrónicos, archivos adjuntos, páginas en
Internet, etc
• Objetivo: Engañar al usuario haciéndole creer que está infectado por algún malware y ofreciendo el
software que puede remediarlo, instalado – sin saberlo - algún otro tipo de malware
• Efectos: Diversos dependiendo del tipo de malware que concluye instalando.

• Ransomware:
• Vector de propagación: Automático o con intervención del usuario. Variaciones como Gusano para la
parte automática o cualquier otro medio de malware para la que requiere del usuario, incluyendo el
Phishing.
• Objetivo: Encriptar la información del disco duro o solamente la tabla de asignación de archivos,
solicitando un rescate, generalmente en Bitcoins, para obtener un código de desencriptamiento
• Efectos: Pérdida de información, pérdida de programas, chantaje cibernético, pérdidas económicas,
robo de identidad, robo de credenciales.
3. Riesgos y hechos del
Ransomware
 Y … ¿Cómo opera en general el Ransomware?

Tiempo
Fase Acción Descripción
transcurrido
Explotación de
Para que el ataque sea exitoso, el malware debe instalarse en una computadora.
1 vulnerabilidad e T- 00:00
Esto se hace con un correo de Phishing o una vulnerabilidad
infección
Durante esta fase se instala el malware en el sistema objetivo. Mientras tanto se
2 Entrega y ejecución T- 00:05
aplican métodos persistentes para facilitar la ejecución.
Los archivos de respaldo, temporales, carpetas de soporte son eliminados para
Eliminación de
3 T – 00:10 evitar la restauración por medio de herramientas de respaldo. Algunos
respaldos
ransomware no realizan esto.
Una vez eliminados los archivos de respaldo, el malware establece una
Encriptamiento de comunicación para obtener la llave de encriptamiento (C2) con un servidor
4 T – 02:00
archivos remoto, llave que será empleada para encriptar los archivos del sistema
comprometido
Se presenta la demanda de rescate al usuario y el procedimiento de pago. Se le
Notificación y
5 T – 15:00 da un cierto tiempo para ello. En caso contrario el monto del rescate se
limpieza
incrementa.
Hechos del Ransomware (1)
• Es el mayor riesgo de ciberseguridad desde el 2016 a nivel global
• Cada vez tiene mayor capacidad de encriptamiento de información
• Es generalizado el uso de los Bitcoins como moneda para el pago de
los rescates.
• Después del WannaCry (Mayo 2017), que usó como vector una
debilidad en redes Windows / SMB, el principal vector de distribución
es el phishing en el correo electrónico.
• Se ha reforzado por masivas campañas de spam que parten de listas
de cuentas válidas producto de las acciones de otros malwares.
Hechos del Ransomware (2)
• Uno de los principales riesgos es la carencia de una cultura de la seguridad
de la información en las organizaciones
• Los ataques de Ransomware crecieron 266% tan sólo en 2016
• Coincidentemente, los países más atacados son los del G-20, y en primer
lugar Estados Unidos con el 34% de los ataques en lo que va del 2017
• El porcentaje coincide con los usuarios que declaran que pagarían el rescate
de ser necesario.
• Sólo en 2016 se pagaron más de 200 millones de dólares en rescates
• El FBI estimó en mil millones de dólares las pérdidas por sistemas e
información comprometidos por Ransomware en 206.
4. Situación actual del
Ransomware
¿Ha padecido el Ransomware?

20
Menos de
8 horas
30% de las
Más de 8
empresas que
horas contestaron la
1 día
17
52 encuesta afirman
2 a 3 días haber padecido el
Ransomware
11

Fuente: Encuesta IMPERVA. 170 CIOs en RSA Conference 2017.

 ¿Cuál es su principal preocupación con
relación al Ransomware?

4% Sin impacto 11% Pagar el rescate

Mala imagen /
Pérdida de ventas / reducción en
12% productividad
14% satisfacción al
cliente
Costos de falla de
procesos por el no
52% acceso de
empleados y
clientes
Fuente: Encuesta IMPERVA. 170 CIOs en RSA Conference 2017.
¿Pagaría para evitar la afectación a servicios
y sistemas?

79% No pagaría 21% Pagaría el rescate

Fuente: Encuesta IMPERVA. 170 CIOs en RSA Conference 2017.

¿Cuál es el costo estimado de la afectación a
sistemas y servicios?
Pérdidas
11%

25%

64%

Menos de US$ 5,000 Entre US$ 5,000 y US$ 20,000 Más de US$ 20,000

Fuente: Encuesta IMPERVA. 170 CIOs en RSA Conference 2017.

“El verdadero costo del ransomware es el
impacto en la productividad y disponibilidad.
Más aún: la disponibilidad del Ransomware
como Servicio (RaaS), combinado con los
beneficios económicos para los atacantes,
implican que en 2017 los ataques de este tipo
crecerán significativamente”
T E R R Y R AY, IMPE R VA CHI E F T E CHNO LOGY S T R AT E GIS T

Fuente: Encuesta IMPERVA. 170 CIOs en RSA Conference 2017.

5. Acciones y recomendaciones
 Decálogo personal anti-malware
1. No ser tan crédulo. NUNCA hacer caso al phishing.
2. Siempre mantener actualizado el sistema operativo
3. Siempre disponer de un antivirus con capacidades de protección en tiempo real,
especialmente de la navegación Web
4. No acceder a sitios fraudulentos. Verificar direcciones Web, SSL, etc.
5. Preferentemente, no descargar archivos e imágenes en el correo de forma automática.
6. Separar perfectamente la cuenta personal de cuentas corporativas
7. Respaldar, respaldar y otra vez respaldar. “Tres veces al día después de los alimentos”
8. Mantenerse informado. No replicar rumores
9. Limitar la participación en redes sociales. No por muchos seguidores se es más seguro.
10. Rotar contraseñas. Y, por favor: NUNCA usar la misma contraseña para todo.
 Decálogo institucional anti-malware
1. Mejorar los controles de acceso a los usuarios
2. Implementar sistemas IDS / IPS
3. Constante monitoreo de la Red
4. Establecer relaciones de confianza con CERTs nacionales e internacionales.
5. Consolidar la figura del CSO (Chief Security Officer)
6. Revisar las políticas de contraseñas, cuentas y privilegios.
7. Re-evaluar los permisos en discos y medios compartidos en la red.
8. Nunca usar las cuentas de administración de sistemas para correo electrónico o
navegación Web
9. Si ya fue afectado, no pagar el rescate. Nada garantiza que la información se recupere.
10. Y las mismas que aplican en lo personal
 ¡Gracias!

fabian.romo@unam.mx