Android ha sido el principal foco de malware en este segundo trimestre de 2012, triplicando la cantidad de programas maliciosos existentes para este sistema operativo móvil, con alrededor de 15.000 nuevos ficheros agregados a las bases de Kaspersky Lab. Además, no ha crecido únicamente el volumen de programas, sino que la calidad de éstos ha evolucionado: el número de programadores de virus para móviles ha aumentado, creando nuevas tecnologías de enmarañamiento y protección de código, lo que da lugar a nuevos y sofisticados métodos para complicar su análisis y detección.
En cuanto a su tipología, casi la mitad (49%) de los ficheros maliciosos procesados por Kaspersky Lab son troyanos que roban datos del teléfono (nombres, contactos, números telefónicos, etc.), y descargan módulos adicionales desde los servidores de los delincuentes. Una cuarta parte de los programas maliciosos para Android detectados son troyanos SMS, cuya principal misión es vaciar las cuentas de las víctimas enviando SMS a números de pago sin que los dueños se den cuenta.
También se está desarrollando un mercado negro de servicios de propagación de malware móvil – principalmente tiendas no oficiales de aplicaciones y programas de afiliados - , lo que en un futuro cercano conducirá al aumento de los ataques contra usuarios de dispositivos móviles; ataques que serán cada vez más refinados.
Cuatro de cada diez ordenadores son atacados en Internet
Según los datos de Kaspersky Security Network (KSN), en el segundo trimestre de 2012 los productos de Kaspersky Lab han detectado y neutralizado más de mil millones de objetos maliciosos, entre los que se ha registrado la propagación de programas maliciosos en 89,5 millones de URLs.
España, evaluando la frecuencia de las reacciones del antivirus web, se sitúa en los primeros puestos de los países en grupo de riesgo (entre un 21% y un 40% de riesgo de infección). Con un 37,8%, España estaría por delante de otros países como Italia (34,8%), EE.UU. (35,7%) e Inglaterra (31,6%).
Dentro del grupo de riesgo alto (41-60%) encontramos principalmente países de la ex URSS, África y Sudeste asiático. Por el contrario, el menor porcentaje de usuarios atacados durante la visualización de páginas web está en Taiwán (15,2%), Japón (18,1%), Dinamarca (18,9%), Luxemburgo (19,7%) y República Checa (20%).
En general, el 39,7% de los ordenadores de los usuarios de KSN, sufrieron en este trimestre por lo menos un ataque durante la navegación en Internet. Cabe destacar que el porcentaje medio de equipos atacados, en comparación con el trimestre anterior, ha aumentado en un 11%.
Las contraseñas: cada vez menos seguras
El trimestre pasado, la fuga de datos de importantes servicios, que se ha convertido en algo regular gracias a las actividades de diferentes hacktivistas, ha puesto al descubierto las contraseñas de millones de usuarios. Por desgracia, una gran cantidad de personas usan la misma combinación de login y contraseña para muchos sitios, lo que aumenta el riesgo de pérdida de datos importantes. Otros factores de riesgo son la preferencia de los usuarios por contraseñas simples y la utilización de técnicas sencillas de cifrado por parte de los administradores de sitios web.
Uno de los ataques más notorios fue la noticia de que parte de la base de datos (6,5 millones de contraseñas) de la popular red social LinkedIn se había hecho pública. El 6 de junio, después de la publicación de esta información, la compañía confirmó el robo y declaró que gracias a las medidas tomadas de inmediato, las contraseñas publicadas habían sido anuladas y que los usuarios deberían crear nuevas contraseñas.
Este problema no es nuevo y existen varias formas de resolverlo, como la utilización de contraseñas más complejas o la inclusión por parte de los administradores de webs de algoritmos más seguros de almacenamiento de contraseñas.
Flame: el espionaje cibernético no se detiene
Otro de los principales temas del segundo trimestre de 2012 fue el descubrimiento del programa de ciberespionaje Flame. Kaspersky Lab, a petición de ITU, ha llevado a cabo la investigación y búsqueda de este programa malicioso desconocido que borraba datos confidenciales en los equipos ubicados en países de Oriente Medio. Durante la búsqueda, se detectó un nuevo ejemplar de malware, que se bautizó como Worm.Win32.Flame.
Aparte de su gran tamaño y gran espectro de instrumentos de extracción de información en los equipos infectados, Flame usa un interesante método para propagarse en las redes locales, creando un servidor falso de actualizaciones de Windows. Este programa comparte código similar al del célebre gusano Stuxnet, que hizo estragos en 2009, lo que sugiere que los desarrolladores de estos programas tienen alguna relación.
A pesar de que Flame tiene funcionalidades diferentes a los conocidos ejemplares de armas cibernéticas Duqu y Stuxnet, hay muchas semejanzas entre estos programas maliciosos: la geografía de los ataques, la orientación hacia blancos concretos y el uso de vulnerabilidades específicas de software. Todo esto pone a Flame en la misma categoría de otras armas cibernéticas desplegadas en el Oriente Medio por delincuentes desconocidos.
La situación de estas armas cibernéticas recuerda a la caja de Pandora, que una vez abierta es imposible de cerrar. Muchos países han hecho declaraciones oficiales de que elaborarán doctrinas sobre las acciones en el ciberespacio y que crearán subdivisiones especializadas. Por tanto, la historia de las ciberarmas no se limitará a Duqu y Flame y la principal dificultad para combatirlos es la ausencia de una regulación internacional en este ámbito.
Programas maliciosos para Mac
En comparación con el primer trimestre de 2012, ha disminuido la cantidad de programas maliciosos para Mac. Después de que el trimestre pasado Kaspersky Lab descubriera la botnet FlashFake, formada por más de 700.000 Mаcs, la compañía Apple puso más empeño en proteger su sistema operativo. Por ejemplo, publicó los parches críticos para Oracle Java al mismo tiempo que las versiones para Windows y anunció las funciones de defensa de la siguiente versión de Mac OS X: sólo se podrán instalar de forma predeterminada programas de la tienda oficial, se usará una máquina virtual para los programas descargados de la tienda, la instalación de las actualizaciones será automática, etc.
