Las amenazas informáticas que más se detectan en México

El 2018, los diversos incidentes sucédios en México y en differenti partes del mundo dejaron varios sucesos importantes entorno a la ciberseguridad. Para tener una visión más clara de cuáles fueron las amenazas que más afectaron a México, en esta publicación vamos a hacer una lista de las que aparecieron con mayor frecuencia durante el último año.

La informacion gira entorno a las 10 amenazas más detectadas en territorio mexicano (de acuerdo con la telemetría de ESET), que han sido clasificadas de acuerdo a su actividad ofensiva e impactopor lo que no aparece en el orden de las detecciones.

Criptojacking en México

Durante 2018, México fue uno de los países más afectados por malware identificado por productos de ESET como CoinMiner (JS/CoinMiner)cuál es la capacidad secuestrada de procesamiento de equipos ajenos para la minería de criptomonedas, una práctica también conocida como criptojackingparticularmente por aquellas variantes que se ejecutan por el simple hecho de visitar sitios web.

De diciembre de 2017 a junio de 2018la familia JS/CoinMiner y sus variantes fueron la amenaza con mayor detección en el mundo. México se colocó en la octava posición de los países con mayor detección de esta amenaza con el 3.5% de los registros globales, luego de países como Rusia (8%), Perú (6.2%) o España (6.1%), que ocuparon los tres primeros lugares.

En Latinoamérica, México ocupó la segunda posición (17.4%)después de Perú (30,7%), país que se ubicó en la primera posición del total de detecciones en la región latinoamericana, como se observa en la siguiente imagen.

En la lista de las amenazas más detectadas en territorio mexicano en 2018 aparecen dos variantes. En la tercera posición de la lista se ubica JS/CoinMiner.F y en el quinto lugar JS/CoinMiner.D.

En cuanto a los criptomineros, es decir, detecciones CoinMinerMéxico ocupa el noveno lugar a nivel mundial con 2.7% de registros y el segundo lugar en Latinoamérica con 12.5% ​​de detecciones, nuevamente detrás de Perú.

Explotaciones más detectadas en México

Los exploits, es decir, fragmentos de código utilizados por un atacante para explotar una falla en los sistemas, también forman parte de la lista. Resalta que el sexto posto de las amenazas más detectadas en México durante 2018 corresponde a SMB/Exploit.DoublePulsar.Bun explotar utilido para aprovechar la vulnerabilidad en Bloque de mensajes del servidor (SMB)​, el protocolo para compartir archivos o impresoras en una red.

Por cierto, México es el país latinoamericano con mayor detección de este explotar (22,5% del total de detecciones regionales), seguido de Perú (14,1%) y Brasil (12,4%); además, ocupa la novena posición a nivel global con un 2,6% de detecciones globales, tras países como Rusia (21,1%), Ucrania (8,9%) o Japón (6%).

Otros explota también tuve actividad relevante en México; un ejemplo es el caso de SMB/Exploit.MS17-10que, si bien no aparece en la lista de las amenazas con mayor detección, coloca a México como el país más afectado por esta amenaza. Recordemos que se trata de un explotar que tambien busca aprovecharse de la vulnerabilidad en Bloque de mensajes del servidor de Microsoft 1.0 (SMBv1).

Detección de código malicioso en México

Para continuar con la lista de las diez amenazas más detectadas en México, en la séptima posición Aparecer HTML/ScrInject.B. Es un troyano identificado desde 2009 que tiene como función principal redirigir el navegador del usuario a una URL específica que aloja malware; y que por lo general, está incrustado en páginas HTML.

también aparecen LNK/Agente.DV (octavo posto) y LNK/Agente.DA (décimo puesto), dos detecciones asociadas a la propagación de códigos maliciosos que básicamente lo que hacen es ocultar archivos y carpetas, para luego sustituirlos por accesos directos (LNK).

Otras familias de malware que no aparecen en las primeras posiciones del listo, pero que tienen una actividad importante en esta zona geográfica, son las que se revisan a contiguando. Durante 2018, México lideró la lista de países más afectados por Win32/Neurevtcon el 18,5% del total de detecciones a nivel mundial de esta amenaza.

Neurevt ha tenido una presencia constante en México, de la mano de campañas de macromalware y nuevas campañas maliciosas, donde a través de la propagación de correo y el intento de suplantar a instituciones reconocidas en el país, buscan engañar a los usuarios para infectar sus sistemas, entre otras cuestiones, para robar información sensible. De manera particular, la variante Neurevt.I ha tenido una actividad constante en el país desde 2015.

Relacionado con lo anterior, de septiembre a diciembre del año pasado, se produjo una actividad importante de macromalware, es decir, malware que emplea macros de ofimática para acciones ofensivas (identificado con la firma VBA/TrojanDownloader). El aumento se debe en su mayoria a la actividad de los codices firmados como VBA/Kryptik.BI y VBA/TrojanDownloader.Agente.LFU.

En noviembre de 2018 se registró un aumento de detecciones de más del 320% respecto a diciembre de 2016; mes en el que esta amenaza había registrado su pico de mayor actividad desde que detectamos su aparición en mayo de 2014.

Otro código malicioso que destaca por su concentración de detecciones en México es Emotete (identificado por ESET como Win32/Emotete). El año pasado, México se ubicó como el segundo país del mundo con más detecciones de este malware, detrás de Estados Unidos, siendo el país con más detecciones en Latinoamérica. ¿En qué consiste Emotet? Es un código malicioso que tiene como objetivo infectar sistemas con diversas familias de troyanos bancarios.

Además, llama la atención que existen algunos códigos maliciosos que se distribuyen casi de manera exclusiva en México, tal es el caso del trojano identificado por ESET como Win32/Autoit.ODBque durante 2018 el 99.7% de las detecciones se registraron en territorio Azteca.

Ransomware en México

Esta sección se centra exclusivamente en el ransomware. Y si bien ninguna familia de este tipo de malware figura en las primeras posiciones de los registros, continúa teneido actividad importante en el mundo y en la región.

En 2018, México se ubicó como el tercer país más afectado por ransomware en Latinoamérica con 14% de detecciones familiares FileCoder, después de Colombia (30%) y Perú (16%). A diferencia de estos dos países que ocupan las dos primeras posiciones, donde se detectaron con especial énfasis ciertas familias de ransomware en particular, en México los registros muestran la presencia de una gran diversidad de ransomware.

En este sentido, las familias que concentraron mayores porcentajes de detección el año pasado en México fueron: crisis (14%) año TeslaCrypt (14%), criptomuro (13%); Quiero llorar (10%), y gandcangrejo (8%).

Durante el año pasado, se propagaron alrededor de 220 variantes de ransomware en territorio mexicanouna ligera disminución del 12%, en comparación con las casi 250 familias identificadas durante 2017. Al mismo tiempo, las detecciones de ransomware han La tendencia se mantiene desde 2016, ya que el año pasado se registró una caída del 30% en el número de detecciones respecto a 2017 y del 55% en 2016.

Aplicaciones potencialmente no deseadas (PUA)

Para finalizar con la lista, las amenazas con mayor detección por parte de la telemetría de ESET corresponden a las Aplicaciones Potencialmente No Deseadas (PUA, en inglés Aplicación potencialmente no deseada). Las PUAs son programas que pueden contener adware.

De acuerdo con las detecciones en México durante 2018, varias amenazas con mayor detección pertenecen a esta categoría. En la posición privilegiada de la lista apareció JS/Mindspark.Guna PUA que se agrega con frecuencia a los navegadores como una extensión, que se instala junto con programas gratuitos o se descarga a través de anuncios engañosos.

También aparecen en la lista. JS/Adware.Agente.AA (segunda posición) y JS/Adware.Imali.C (cuarta posición), programas que muestran publicidad (adware), abren ventanas emergentes con anuncios o cambian la página de inicio del navegador; generalmente se instalan con software que se anuncia como gratuito.

Finalmente, para concluir la lista, en la posición de novenaaparece Win32/InstallCore.Gen.A, otra PUA que puede agregar archivos que se ejecutan al iniciar el sistema, modificar asociaciones de archivos, cambiar la configuración del navegador o desactivar el Control de acceso de usuarios (UAC). Por lo general, este tipo de amenazas se detectan con mayor frecuencia debido a los hábitos de navegación de los usuarios.

Ataques al sector financiero mexicano

Esta lista de amenazas en México nos permite tener un panorama de las amenazas que estuvieron presentes en el 2018, donde seguramente algunas de ellas seguirán presentes en este 2019 que recién comienza. Es importante recordar que este análisis es el resultado de los registros generados por la telemetría de ESET, pero no debemos dejar de lado otro tipo de amenazas como suplantación de identidadciberextorsiones, fugas de información, o bien, los ataques dirigidos.

Tal como ocurrió con el sector financiero mexicano. En mayo de 2018 conocimos el caso del robo de alrededor de 400 millones de pesos mexicanos, en el que los atacantes aprovecharon una vulnerabilidad en un servicio Web e infraestructura de diversos bancos que les permitía realizar transacciones fraudulentas a través del Sistema de Pagos Electrónicos Interbancarios (SPEI). ).

Posteriormente, en julio, la plataforma de cambio de moneda virtual, Bitso, reportó la detección de un ciberataque contra uno de sus proveedores, por lo que se emitió un comunicado para que las entidades que integran el sector estuvieran alerta y reforzaran sus estrategias de seguridad.

Perspectivas de seguridad para 2019

Sin duda, este es un entorno de riesgo dinámico, donde cada día se desarrollan nuevas amenazas y se descubren nuevas vulnerabilidades, por lo que seguramente seguiremos siendo testigos de otros incidentes relacionados con información de usuarios, empresas o gobiernos en 2019.

Probablemente también haya nuevas irrupciones que, de estabilizarse y ser actuales, podrían ser consideradas como tendencias de los próximos meses y años. Además, también podemos observar un mayor número de ataques de baja o media complejidad y ataques complejos cada vez más sofisticados en prácticamente todos los sectores. Por ello, resulta fundamental ocuparnos cada vez más de la seguridad en el amíto digital.