Incidentes de Seguridad año 2003
Incidentes de Seguridad Enero 2003-Diciembre 2003
Este documento se encuentra disponible también en formato PDF

Evolución de los incidentes


next up previous contents
Siguiente: Incidentes de SPAM 2003 Subir: Estadísticas Anterior: Estadísticas   Índice General

Evolución de los incidentes

Figura: Evolución de incidentes por años
Image evolucion.png

En la figura anterior, se observa la evolución de los incidentes de seguridad desde el año 1999. Las cifras detalladas son los siguientes:


Año Incidentes totales Incremento
1999 195 -
2000 416 113.333%
2001 1038 149.51%
2002 1495 44.02%
2003 1294 -13.44%



A continuación presentamos una gráfica en la que podemos ver la distribución de los incidentes atendidos por IRIS-CERT durante el año 2003 y distribuidos por meses.

Figura: Evolución de incidentes por meses
Image evolucion-2003.png

Los datos detallados son los siguientes:


Fecha Total % P. Baja P. Normal P. Alta P. Emergencia
2003/01 90 6% 17 22 51 0
2003/02 68 5% 17 27 24 0
2003/03 134 10% 51 30 53 0
2003/04 117 9% 21 28 68 0
2003/05 108 8% 13 55 40 0
2003/06 56 4% 16 28 12 0
2003/07 158 12% 24 110 24 0
2003/08 71 5% 11 49 11 0
2003/09 167 12% 50 104 13 0
2003/10 164 12% 19 100 45 0
2003/11 99 7% 22 56 21 0
2003/12 62 4% 4 44 14 0



La gráfica presenta multitud de subidas y bajadas cuya explicación sería la siguiente:
  • El mayor incremento de incidentes lo detectamos en Septiembre con un total de 167 atendidos durante dicho mes. Este incremento se debe a la actividad del gusano Blaster, que aunque empezó a propagarse en Agosto, el día 11 concretamente, no fue hasta la vuelta de vacaciones de verano cuando nos empezaron a llegar más denuncias e informes por parte de las instituciones afiliadas. El impacto del Blaster en la Red Académica, como en Internet en general, fue muy acusado.
  • El Slammer (que afectaba a Servidores MSQ de Microsoft), a principios de año, tuvo una amplia repercusión en la red académica, obligando al NOC de RedIRIS a aplicar filtros en los troncales y en los enlaces externos para paliar sus efectos.
  • En Marzo comenzamos a detectar un incremento de las denuncias por escaneo a los puertos netbios (139/tcp, 137/tcp-udp, 138/udp y 445/tcp) debido a la aparición de una vulnerabilidad que afectaba al protocolo SMB (Server Message Block), utilizado para la compartición de ficheros y recursos de impresión en máquinas Microsoft Windows 2000 y XP. Aparecieron, así mismo, una serie de herramientas (gusanos) que aprovechaban la mencionada vulnerabilidad. Ejemplo de algunas de estas herramientas son: el W32/Deloder, GT-Bot, sdbot, W32/Slackdor, que a su vez dieron lugar a diversos ataques de DoS y DDoS.
  • En general, Marzo fue un mes cargado de problemas de seguridad con la aparición de múltiples vulnerabilidades en diversos servicios y productos ampliamente utilizados (sendmail, BIND, WebDAV, núcleo del S.O Linux, etc..).
  • En Mayo detectamos un incremento de ataques a servidores Web que tenían instalados tablones de anuncios y/o portales dinámicos (casi todos albergados en máquinas Linux). Estos problemas seguramente se debieron al aprovechamiento de diversas vulnerabilidades de inyección de código en varias versiones del php-nuke.
  • El descenso de incidentes en el mes de Junio (que también se viene observando en años anteriores) se podría deber a la coincidencia de la época de exámenes en las universidades, si bien es verdad que los ataques normalmente se deben a modas o a la aparición de gusanos/exploits específicos en una determinada fecha.
  • El mismo razonamiento aplicado al mes de Junio se podría utilizar para explicar el descenso en los meses de Enero-Febrero.
  • A finales de Julio aparecen diversas vulnerabilidades que afectan a los mensajes RPC utilizados para la activación de DCOM en el interface RPC de Microsoft (el primer exploit aparecido utilizaba el puerto 4444/tcp para establecer una puerta trasera). Poco después de la aparición de este exploit comienza a propagarse el gusano Blaster. El Blaster utiliza el puerto 135/tcp para lanzar el ataque, aunque también se detectó actividad relacionada con este gusano en los puertos 139/tcp y 445/tcp. Este gusano en su payload contenía una ataque de DoS contra el servidor windowsupdate.com de Microsoft.
  • Tras la aparición del Blaster, aparece otro gusano, el Welchia o Nachi que aprovechaba la misma vulnerabilidad del Blaster, aunque en este caso los ataques de DoS asociados no tenían un destino especifico y utilizaban el protocolo ICMP.
  • Durante Junio-Julio aparece una variante del Bugbear, el Bugbear.B. El Bugbear.B tenía funcionalidades de gusano, virus y puerta trasera (en el 1080/tcp) y se propagaba mediante mail y por recursos compartidos en redes locales de Windows.
  • Durante Diciembre hemos detectado un incremento de escaneos al puerto 6129/tcp. Este puerto es empleado por un programa de control remoto llamado Dameware, del que se publicó un fallo de seguridad principios de dicho mes. Este programa de control remoto se emplea para controlar equipos Windows previamente comprometidos. Las denuncias sobre escaneos a este puerto se han hecho más intensas durante principios del año 2004.

Figura: Porcentaje de incidentes por prioridad alcanzada
Image prioridad.png

La figura anterior muestra la distribución de los incidentes atendidos por IRIS-CERT durante el año 2003 clasificados según la prioridad asignada (se puede consultar el criterio de prioridad que sigue el equipo aquí).

Esta gráfica no es realmente significativa puesto que la mayoría de los incidentes de seguridad se producen tras la recepción de un correo de queja o denuncia que en la mayoría de los casos se refiere a escaneos de puertos o pruebas. Estos escaneos, en los últimos tiempos, en muchos casos estaban relacionados con máquinas comprometidas por alguno de los gusanos comentados anteriormente (por el tipo de puerto indicado en la denuncia). En definitiva, muchos de los incidentes que se han clasificado como escaneos (prioridad de baja a normal) al final han resultado ser debidos a gusanos, troyanos, compromisos de root, etc.. (con prioridad alta), y algunos de los incidentes que se han catalogado como gusanos al final se debían a escaneos simples y por tanto falsos positivos. Para evitar esta confusión, en los últimos tiempos hemos intentado catalogar de primeras como gusanos aquellos incidentes que mostraban escaneos a puertos relacionados con puertos de propagación de los gusanos activos en ese momento. Otra opción ha sido la de catalogarlos como escaneos de prioridad normal (en lugar de baja) cuando el puerto escaneado tenía que ver con la actividad de una herramienta/gusano de moda en ese momento.

En cifras, la distribución de los incidentes atendidos por IRIS-CERT durante el 2003 en función a la prioridad alcanzada es la siguiente:


Prioridad Cantidad %
Baja 265 21%
Normal 653 50%
Alta 376 29%
Emergencia 0 0%



En la siguiente tabla aparece reflejado el porcentaje de cada uno de los incidentes clasificados a partir del primer mensaje que se recibe, y siguiendo nuestra taxonomía de alto nivel3. Es decir, si inicialmente se recibe un mensaje indicando un escaneo de puertos, el incidente se clasifica como "sondeo", aunque posteriormente al investigar se observe que se trata de un acceso a un equipo y se proceda a investigar el incidente.


Tipo de Incidente Cantidad %
Denegación de Servicio 76 5.87%
Sondeo 837 64.68%
Acceso a cuentas privilegiadas 133 10.27%
Troyanos 6 0.46%
Gusano 213 16.49%
Uso no autorizado 15 1.15 %
Otros 14 1.08%



Como vemos en la tabla anterior, la suma de los incidentes debidos a escaneos de puertos y redes y los debidos a gusanos suman más de un 80% del total de incidentes atendidos por IRIS-CERT a lo largo del año.

Figura: Porcentajes de incidentes
Image tarta_por_tipo.png

Las denuncias de uso no autorizado se han debido fundamentalmente a equipos Proxies mal configurados que permiten conexiones a equipos externos a la organización, y a problemas con socks proxies.

En cuanto a los incidentes catalogados como "Otros", se han debido fundamentalmente a problemas de suplantación de personalidad, insultos o amenazas utilizando medios telemáticos, aunque en este caso nosotros lo que recomendamos es que los afectados se pongan en contacto directamente con la Policía y Guardia Civil.

En cuanto a los referente a Troyanos sobre todo se han atendido incidentes relacionados con el Subseven, RedShad y kuang2.

Este año ha sido, como el año anterior, bastante prolífico en gusanos (Blaster, Nachi, Slammer, Bugbear, etc.). Pero además de estos gusanos de nueva aparición, durante el 2003 se ha detectado actividad de algunos gusanos que ya aparecieron el el 2002 e incluso en el 2001, sobre todo Nimda (que aprovechaba una vulnerabilidad en el Internet Information Server de Microsoft), pero también Code Red, Slapper (Apache/mod_ssl), Opaserv (Netbios) y SQLSnake (Servidores SQL de Microsoft).

En cuanto a los escaneos de puertos, y si aplicamos la lógica, los puertos más escaneados han sido los relacionados con la actividad de algunos de los gusanos mencionados anteriormente y por lo tanto podemos destacar, como los puertos de los que hemos recibido más denuncias, los siguientes:

  • netbios
    1. 135/tcp-udp, location service
    2. 137/tcp-udp, netbios name sarver
    3. 138/tcp-udp, netbios datagram service
    4. 139/tcp-udp, netbios session service
    5. 445/tcp-udp microsoft-ds
  • http (80/tcp) (gusanos IIS, WebDAV4)
  • 1434/tcp, 1433/udp (MS-SQL)
  • 1080/tcp (socks proxy, puerta trasera Bugbear)
  • 554/tcp (RTSP, Real Time Streaming Protocol5)
  • 6129/tcp (Dameware)


next up previous contents
Siguiente: Incidentes de SPAM 2003 Subir: Estadísticas Anterior: Estadísticas   Índice General
Chelo Malagón 2004-01-26