• Servicios
• Seguridad
• Documentacion

Cifras para el año 2006

Figura: Clasificación en función al tipo de problema recibido en nuestros buzones

El año 2006 arroja los siguientes números:

• El número de Incident Reports recibidos durante el 2006 ha sido de 3661, de los cuales, 1729 corresponden a Incident Reports procedentes de los sistemas de alerta implantados a lo largo del presente año por los miembros del CERT.
• El número total de Incidentes se eleva a 1974, de los cuales:
  • 45 Incidentes corresponden el buzón abuse AbuseDesk. Se trata de problemas relacionados con Open Proxies ².
  • 1117 has sido generados por nuestros sistemas de alerta:
    • De esos 1117, en 53 de los casos se han recibido además denuncias procedentes de otras fuentes, y en 28 además se han recibido denuncias para RedIRIS.
    • 134 de esos 1117, correspondían a máquinas infectadas dentro de la comunidad RedIRIS.
  • 37 Incidentes tenían como destino el buzón de consultas o HelpDesk de IRIS-CERT.
  • También hemos recibido correos en los que aparecía la dirección de IRIS-CERT como Copia (Cc:), bien desde dentro de nuestra comunidad o desde grupos de seguridad internacionales. En total 71.
  • 48 Incidentes has sido Informativos ³.
  • Del total de Incidentes, de 686 (correspondientes tanto a la comunidad como a fuera de la comunidad) no hemos recibido ningún tipo de respuesta, lo que supone un 30.91% más que en el año 2005 (524). Como hemos comentado antes, este punto resta calidad al servicio y a los informes aquí mostrados al no poder dar información veraz al 100%.

Como viene siendo habitual, para poder comparar con el año anterior, y quitando los incidentes correspondientes a Helpdesk, AbuseDesk, Informativos y Copia, durante el 2006 se atendieron 1773 incidentes reales, lo que supone un 42% más que durante el año 2005 (1248).

Durante los últimos Grupos de Trabajo celebrados en Granada en el contexto de las JJTT06 comentamos que el número de denuncias recibidas (estábamos hablando de Noviembre de 2006) era menor que en el mismo periodo del año anterior. Las causas esgrimidas para explicar este decremento eran:

• Los patrones de ataque han cambiado. En los últimos años estamos asistiendo a ataques más silenciosos e inteligentes, por ende más difíciles de detectar. Atrás han quedado los ataques masivos de algunos gusanos que en muchos casos causaron verdaderos problemas en muchas de nuestras instituciones. Hay que dejar claro, que esto no significa que nuestra red sea más segura, muy al contrario, se ha incrementado el número de equipos comprometidos y que forman parte de redes de bots ⁴. Además según Secunia el número de vulnerabilidades que su equipo ha descubierto a lo largo del 2006 asciende a 75, lo que supone un incremento considerable respecto a las descubiertas en el año 2005 (53) ⁵, habiendo publicado además un total de 5000 advisories de seguridad durante ese año. Lo que nos queda a partir de ahora es reajustar nuestros sistemas de detección, o bien pasar a una estrategia basada en la detección de anomalías ⁶.
• En estas cifras no se contabilizan ataques por infracción de copyright (que si se contabilizaban en años anteriores), ya que en Mayo de 2005, se decidió en la reunión del Grupo de Trabajo de IRIS-CERT dejar de atender este tipo de denuncias.

Si al final del año, hemos obtenido un incremento respecto al año anterior ha sido (42%) es, como veremos a continuación, gracias al esfuerzo que hemos dedicado durante los últimos meses del 2006 a realizar una detección automática de posibles máquinas comprometidas dentro y fuera de nuestra comunidad, mediante el uso de Darknets, Monitorización de flujos de Red (detección de anomalías y escaneos) y LogSurfer (para la detección de intentos de inyección de código HTTP, y ataques SSH).