Conficker sigue siendo una amenaza latente: Microsoft
Microsoft Corp. publicó el doceavo volumen de su Reporte de Inteligencia de Seguridad (SIRv12), el cual encontró que el gusano Conficker fue detectado casi 220 millones de veces en los últimos dos años y medio, lo que lo convierte en una de las amenazas más graves para las empresas. El estudio también reveló que el gusano continúa propagándose como resultado de contraseñas fáciles o robadas y de vulnerabilidades, para las cuales ya existe una actualización de seguridad.
De acuerdo con el Reporte de Inteligencia de Seguridad volumen 12 (SIRv12), las detecciones trimestrales del gusano Conficker han aumentado más de 225% desde principios del 2009. Tan solo en el cuarto trimestre del 2011, Conficker fue detectó en 1.7 millones de sistemas en todo el mundo. Al analizar los motivos detrás de la presencia de Conficker en las empresas, el estudio mostró que el 92% de las infecciones de Conficker fueron resultado de contraseñas fáciles o robadas, y el 8% de las infecciones debido a la explotación de vulnerabilidades, para lo cual ya existe una actualización de seguridad.
“Conficker es uno de los problemas de seguridad más grandes que enfrentamos, pero está en nuestro poder defendernos en contra de él”, dijo Tim Rains, director de Computación Confiable de Microsoft. “Es sumamente importante que las empresas se enfoquen en los aspectos básicos de la seguridad para poder protegerse en contra de las amenazas más comunes”, añadió.
El Reporte de Inteligencia de Seguridad de Microsoft también reveló que muchas de las amenazas frecuentemente se refieren a ‘Amenazas Persistentes Avanzadas’ o ‘APT’, por sus siglas en inglés, que no son más avanzadas ni sofisticadas que otros tipos de ataques. En la mayoría de los casos, esos ataques aprovechan vectores conocidos como contraseñas fáciles o robadas o vulnerabilidades, para lo cual ya existen actualizaciones de seguridad, pero su eficacia depende de la persistencia y determinación de probar diferentes tácticas para poner en riesgo al objetivo. Por tal motivo, Microsoft se refiere a esos tipos de amenazas como ‘ataques dirigidos realizados por adversarios determinados’ en lugar de APT.
“Etiquetar las amenazas cibernéticas como ‘avanzadas’ en ocasiones puede ser erróneo y puede distraer la atención de las empresas de los problemas básicos de seguridad que pueden evitar que las amenazas más comunes se infiltren en sus sistemas”, dice Rains. “La mayoría de los ataques no cuentan con tecnologías ni técnicas muy avanzadas como lo implica la etiqueta de APT. En casi todos los casos, simplemente explotan contraseñas fáciles o robadas y vulnerabilidades, para lo cual ya existe una actualización de seguridad y además emplean ingeniería social”.
Microsoft recomienda a sus clientes y a las empresas a seguir las prácticas de seguridad básicas para asegurarse que estén protegidos:
· Utilice contraseñas seguras y explique a los empleados la importancia de las mismas
· Mantenga sus sistemas actualizados mediante la aplicación periódica de actualizaciones disponibles para todos los productos
· Utilice software antivirus de una fuente confiable
· Invierta en productos nuevos que ofrezcan una calidad mayor de protección de software
· Considere la nube como un recurso para su empresa
Scott Charney, vicepresidente corporativo de Computación Confiable de Microsoft, indicó durante su conferencia magistral en RSA 2012, que Microsoft recomienda a las empresas definir una estrategia más completa para manejar los riesgos y ayudar a protegerse en contra de los ataques tanto masivos como dirigidos que incluya los siguientes elementos:
· Prevención: Aplicar prácticas básicas de seguridad y poner atención especial a la administración de las configuraciones, así como a la instalación puntual de las actualizaciones de seguridad.
· Detección: Supervisar detenidamente los sistemas y realizar análisis avanzados para identificar las amenazas. Mantenerse al día sobre los incidentes de seguridad y utilizar fuentes confiables de inteligencia de seguridad.
· Contención: Si la empresa objetivo ha configurado su ambiente pensando en los ataques dirigidos que han sido realizados por adversarios determinados, es posible contener las actividades del atacante y, de ese modo, ganar tiempo para detectar, reaccionar y mitigar el ataque. Para contener el ataque, se debe considerar el desarrollo de modelos de administración de dominio que restrinjan la disponibilidad de credenciales de administrador y empleen tecnologías como codificación de red basada en IPsec para limitar la interconectividad innecesaria en la red.
· Recuperación: Es importante contar con un plan de recuperación bien trazado que tenga una capacidad adecuada de respuesta a incidentes. Asimismo, se sugiere formar un “comité de crisis” para definir las prioridades de respuesta y participar en ejercicios que evalúen la capacidad de la empresa para recuperarse en diferentes escenarios de ataque.
Microsoft publica su Reporte de Inteligencia de Seguridad dos veces al año para mantener a la industria informada sobre el cambiante panorama de las amenazas y proporcionar una guía práctica a los clientes en un esfuerzo por crear experiencias de cómputo más seguras y confiables para todos. El Reporte más reciente, volumen 12, brinda una perspectiva sobre los datos de las amenazas en línea, con información nueva para el periodo de julio a diciembre de 2011 y con un análisis de datos de más de 100 países y regiones de todo el mundo. Para más información sobre el doceavo volumen del Reporte de Inteligencia de Seguridad de Microsoft, visite http://www.microsoft.com/sir.