• Artículo

Redes

Informe de inteligencia en seguridad de Microsoft

Tim Rains

 

Resumen:

  • Tendencias en divulgaciones de vulnerabilidad de software y malware
  • Repercusión de las amenazas para diferentes versiones de Windows
  • Áreas más y menos infectadas del mundo

Los datos procedentes de cientos de millones de sistemas conectados a Internet y algunos de los servicios en línea más usados del mundo ofrecen a Microsoft una visión única de las amenazas de seguridad a las que se enfrentan los usuarios de Internet en la actualidad.

Microsoft comparte estos datos dos veces al año en su Informe de inteligencia en seguridad (SIR). Entre los colaboradores del informe se encuentran Microsoft® Malware Protection Center (MMPC), Microsoft Security Response Center (MSRC), Trustworthy Computing (TwC) Group y muchos otros grupos de productos. El SIR ofrece una visión detallada de las tendencias recientes en divulgaciones de vulnerabilidad de software, software malintencionado y software potencialmente no deseado, como el software espía y el adware. El informe incluye también detalles de cómo han respondido varias versiones del sistema operativo Windows en el marco del panorama de amenazas y qué regiones del mundo son las más infectadas con malware y otro software intrusivo. La última versión del informe, que se centra en las tendencias observadas en la primera mitad de 2007, incluye una sección nueva acerca de los puntos de vulnerabilidad del software. Si la seguridad de los equipos es su responsabilidad o el tema le interesa, el SIR será una lectura valiosa, puesto que se ha concebido para ayudar a informar acerca de las amenazas relacionadas con Internet.

El último SIR revela que los investigadores en materia de seguridad encuentran más vulnerabilidades en el software de todos los proveedores. De hecho, se han divulgado más de 3.400 vulnerabilidades de software nuevas tan sólo en la primera mitad de 2007. A pesar de este número considerable, el porcentaje general de vulnerabilidades de sistemas operativos divulgadas disminuye.

¿Qué significa esto? Una posibilidad es que los investigadores en materia de seguridad se centran más en las aplicaciones porque la seguridad de los sistemas operativos ha ido mejorando. Además, puesto que el número de aplicaciones nuevas supera con creces el número de sistemas operativos nuevos, es probable que la proliferación de aplicaciones sea una fuerza impulsora de estas tendencias recientes de divulgación de vulnerabilidades.

Durante 2006, el 29,3 por ciento de las vulnerabilidades conocidas de productos de Microsoft tenía código que aprovechaba vulnerabilidades disponible públicamente, mientras que a 1 de agosto de 2007, sólo el 20,9 por ciento de vulnerabilidades conocidas tenía el código disponible públicamente. Aunque el número de vulnerabilidades continúa aumentando, la proporción del código que aprovecha las vulnerabilidades permanece estable e incluso muestra un leve descenso. El código que aprovecha las vulnerabilidades de los productos recientes es más difícil de localizar. Hemos realizado una comparación producto por producto que sugiere que las versiones más nuevas de los productos tienen menos riesgo que las versiones de producto que llevan más tiempo en el mercado. De media, la capacidad de aprovechamiento disminuye a lo largo de la vigencia del producto, lo que significa que para la mayoría de los productos las versiones posteriores son menos aprovechables en este sentido. Esto es muy evidente en el caso de Windows y de los productos de Microsoft Office System. Las versiones más recientes de ambos (Windows Server® 2003, Windows Vista®, Office 2003 y 2007 Office System) muestran una clara reducción del número de vulnerabilidades a lo largo de la vigencia del producto.

El SIR ofrece valiosas perspectivas de las tendencias del software malintencionado (conocido como malware). Estas tendencias son una indicación de las tácticas que se usan actualmente para atacar a los usuarios. Si se observan los datos de algunos orígenes significativos, como Microsoft Exchange Hosted Services (EHS), Windows Live® OneCare y Windows Live OneCare Safety Scanner, Windows Malicious Software Removal Tool (MSRT) y Windows Defender, se obtiene una visión del panorama de amenazas desde posiciones estratégicas diferentes.

La ingeniería social desempeña un papel cada vez más importante en la distribución de malware. Los ataques de estas características suelen ser efectivos al engañar a los usuarios para que emprendan acciones que pueden disminuir la eficacia de los mecanismos de seguridad. Los datos de EHS indican que durante la primera mitad de 2006, la mayor amenaza derivada del correo electrónico estaba compuesta por los gusanos clásicos de correo electrónico, que representaron el 95 por ciento del malware detectado en el correo electrónico. A partir de la segunda mitad de 2006, esta cifra bajó al 49 por ciento y permaneció estable en toda la primera mitad de 2007 (consulte la figura 1). Las operaciones de suplantación de identidad (phishing) y el correo electrónico con ataques IFrame malintencionados representaron el 27 por ciento del malware detectado durante la segunda mitad de 2006 y ascendieron al 37 por ciento durante la primera mitad de 2007. Los troyanos de descarga incluidos en el correo electrónico llegaron a la cifra máxima del 20 por ciento durante la segunda mitad de 2006, pero bajaron hasta el 7 por ciento en la primera mitad de 2007.

Figura 1 Composición del correo electrónico infectado en la primera mitad de 2007

Figura 1** Composición del correo electrónico infectado en la primera mitad de 2007 **(Hacer clic en la imagen para ampliarla)

Los datos de telemetría recopilados de Windows Live OneCare y Windows Live OneCare Safety Scanner (safety.live.com) indican que las tasas de infección de virus, puertas traseras, programas de interceptación de contraseñas y troyanos de robo de datos aumentaron en la primera mitad de 2007.

La herramienta MSRT se ha diseñado para ayudar a identificar y eliminar la presencia de software malintencionado frecuente en los equipos de cliente. Se lanza principalmente como actualización crítica por medio de Windows Update (WU), Microsoft Update (MU) y Actualizaciones automáticas (AU). Durante los dos últimos años, la herramienta MSRT ha eliminado 50,3 millones de infecciones de 20,5 millones de equipos en todo el mundo. El número total de ejecuciones de MSRT hasta la fecha se sitúa en más de 7.400 millones; ello incluye 1.900 millones de ejecuciones en la primera mitad de 2007.

La herramienta MSRT es una fuente de información fantástica para Microsoft y sus clientes. Las tasas de infección observadas por MSRT son apreciablemente más bajas en los sistemas Windows Vista y Windows XP SP2 que en los sistemas operativos anteriores de Windows, como muestra la figura 2. La herramienta MSRT ha limpiado malware de un 60 por ciento menos de equipos que ejecutan Windows Vista que de equipos que ejecutan Windows XP SP2, y un 91,5 por ciento menos de equipos que ejecutan Windows XP sin ningún Service Pack instalado. Resulta interesante que el número de desinfecciones por equipo ha permanecido constante con el paso del tiempo, con un promedio de 2,2 desinfecciones por equipo infectado.

Figura 2 Versiones del sistema operativo limpiadas por MSRT en la primera mitad de 2007

Figura 2** Versiones del sistema operativo limpiadas por MSRT en la primera mitad de 2007 **(Hacer clic en la imagen para ampliarla)

Por regla general, la herramienta MSRT encuentra proporcionalmente más malware en países en vías de desarrollo que en países desarrollados. Por ejemplo, los países más infectados en Europa son Albania y Turquía, mientras que los menos infectados son Italia y Finlandia. En la región Asia-Pacífico, los más infectados son Mongolia y Tailandia y los menos, Nueva Zelanda y Japón. En proporción, Estados Unidos está menos infectado que la mayoría de los países y regiones del continente americano, con una tasa de infección que se sitúa alrededor de la media mundial. De promedio, la herramienta MSRT limpió 1 de cada 216 equipos durante la primera mitad de 2007.

Windows Defender se ejecuta en Windows Vista, Windows XP y Windows Server 2003. Globalmente, se detectaron 50,7 millones de unidades de software potencialmente no deseado durante la primera mitad de 2007, con 2,8 veces menos unidades detectadas en equipos que ejecutaban Windows Vista que en los que ejecutaban Windows XP SP2. De forma similar, el número de detecciones de software potencialmente no deseado en equipos que ejecutan Windows Vista fue la mitad que el encontrado en equipos que ejecutan Windows Server 2003.

Y usted puede estar preguntándose ahora mismo: aparte de lo interesantes que puedan resultar las estadísticas en sí mismas, ¿cómo ayudan a protegerse mejor? En el último SIR, cada sección principal tiene un prólogo en el que hay un resumen de los puntos destacados de esa sección y un conjunto de "estrategias, mitigaciones y contramedidas". Puede usar estas listas para obtener rápidamente más información acerca de las conclusiones clave de cada sección del informe.

Además, puede usar los datos, las perspectivas y la orientación que ofrece el SIR para evaluar y mejorar su postura actual en materia de seguridad dado el panorama de las amenazas en continuo cambio. El informe completo, que ofrece estrategias, mitigaciones y contramedidas basadas en las conclusiones clave, puede descargarse en microsoft.com/sir.

Tim Rains es director de productos en el Microsoft Malware Protection Center (MMPC). Administra la producción del informe de inteligencia en seguridad de Microsoft (SIR). Los autores del SIR son Jeff Jones (director, Microsoft Trustworthy Computing Group), Jeff William (director del MMPC), Mike Reavey (responsable de grupos, Microsoft Security Response Center), y Ziv Mador (administrador jefe de programas y coordinador de respuestas, MMPC).

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.