Incidentes de Seguridad año 2008
Incidentes de Seguridad Enero 2008-Diciembre 2008

Evolución de los incidentes a lo largo de los años

next up previous contents
Next: Algunos datos más Up: Estadísticas Previous: Cifras para el año   Contents

Evolución de los incidentes a lo largo de los años

En el siguiente gráfico se muestra la evolución de los incidentes de seguridad a lo largo de los años desde el año 1999.

Image evolucion

Las cifras detalladas son los siguientes 5:


Año Incidentes totales Incremento
1999 195 -
2000 416 113.333%
2001 1038 149.51%
2002 1495 44.02%
2003 1294 -13.44%
2004 1714 32.45%
2005 1248 -27.48%
2006 1773 42%
2007 2949 63.32%
2008 2260 -23.36%


Podemos destacar, entree los incidentes del 1008, los siguientes tipos de ataque como más comunes o particularmente significativos:

  • Escaneos indiscriminados de puertos, en busca de máquinas vulnerables. De los escaneos de puertos, se sigue manteniendo como uno de los más frecuentes, y como ocurría en años anteriores, los intentos de acceso/ataques de fuerza bruta SSH.
  • Los usuarios finales siguen siendo el objetivo mayoritario de los ataques (la menor protección de éstos, la disponibilidad de más máquinas para los atacantes y las buenas conexiones a internet de este tipo de máquinas están entre las causas de esta tendencia). Dado también que cada vez hay más concienciación sobre el uso de cortafuegos y otras medidas de seguridad perimetral por parte de los usuarios, y que cada vez hay más servicios basado en Web, los ataques Web siguen copando un puesto importante como vía de infección de máquinas vulnerables. Durante este año, de los múltiples patrones de ataques Web, hemos observado una tendencia a modificar páginas HTTP para cargar javascripts maliciosos. En el caso de páginas estáticas, se consigue acceso a la máquina objetivo mediante ataques de fuerza bruta SSH y/o FTP, o mediante el robo de credenciales. Para páginas dinámicas se consigue acceso mediante la inyección de código HTTP y SQL.
  • La incidencia del troyanos Storm Worm, que afectaba a máquinas Windows y que supuso a nivel de Internet una de las infecciones más masivas de los últimos años, se ha dejado sentir también en la Red Académica durante los primeros meses del 2008. El troyano, cuya actividad fue descubierta a principios del 2007, se propagaba mediante correos electrónicos con adjuntos que permitían descargar el código malicioso de determinados sitios de Internet. El Storm Worm tenía capacidades de Rootkit y hacía que la máquinas comprometidas participaran en una botnet. Otra característica digna de mencionar sobre este troyano es la alta capacidad cambiante del mismo a lo largo del tiempo.
  • En Julio de 2008 se publicaba una actualización coordinada para resolver una vulnerabilidad inherente el protocolo DNS que permitía falsear la respuestas DNS de los servidores, lo que permitía redirigir tráfico a sitios maliciosos. La actualización para resolver esta vulnerabilidad, descubierta por Kaminsky, supuso uno de los primeros ejemplos de actuación coordinada por parte de la mayoría de fabricantes y programadores de productos y dispositivos DNS. Desde IRIS-CERT se hizo un llamamiento a las instituciones afiliadas para que se tomaran las pertinentes, a corto y largo plazo, para poner solucón al problema.
  • Los ataques de Phishing y otros tipos de fraude on-line, las máquinas comprometidas participantes en redes de botnes y los ataque de fuerza bruta han seguido teniendo un gran protagonismo durante el año 2008.

    • Durante el verano de 2008 varias Universidades Españolas sufrieron una ataque de Phishing dirigido cuyo objetivo era el de recopilar credenciales webmail para realizar, a partir de dichas cuentas, diversos ataques de envío de SPAM indiscriminado, suplantación de identidad, etc.. El ataque dirigido se presentaba como mensajes de correo electrónico falsificado, aparentemente originados por el servicio de comunicaciones de la propia Universidad, que instaba a los usuarios a verificar las credenciales de webmail de los usuarios so pena de perder sus cuentas si no contestaban a dicho correo con la información que se les solicitaba. Los correos eran reencaminados a diversas cuentas de proveedores de correo gratuito. Fueronn 12 las instituciones de RedIRIS afectadas por este ataque, y aunque el número de cuentas de webmail comprometidas no fue muy elevado, el uso de las mismas por los atacantes para enviar SPAM fue extensivo.
  • Debido a la proliferación de redes inalámbricas en nuestra comunidad, durante el pasado año hemos intentado monitorizar los incidentes de seguridad que tienen origen usuarios móviles en muestra comunidad. En el caso de máquinas comprometidas conectadas a través de eduroam, hemos observado que la localización de las mismas ha sido exitosa en todos los casos. Esto reafirma que se cumple la Política movilidad de la iniciativa eduroam ES. Sin embargo, en el caso de usuarios comprometidos conectándose a través de wifis abiertas en las instituciones, no se pudo localizar, en la mayoría de los casos, al usuario final por falta de registros de conexión en el servidor NAT de gestión de tráfico Wifi o de salida general de la institución.


next up previous contents
Next: Algunos datos más Up: Estadísticas Previous: Cifras para el año   Contents
IRIS-CERT 2009-02-10