Microsoft advierte sobre la continua amenaza de Conficker

El estudio más reciente analiza los datos de más de 600 millones de sistemas en todo el mundo y ofrece soluciones para mitigar los ataques tanto dirigidos como masivos de Conficker.

Microsoft Corp. publicó hoy el doceavo volumen de su Reporte de Inteligencia de Seguridad (SIRv12), el cual encontró que el gusano Conficker fue detectado casi 220 millones de veces en los últimos dos años y medio, lo que lo convierte en una de las amenazas más graves para las empresas. El estudio también muestra que el gusano continúa esparciéndose como resultado de contraseñas débiles o robadas y de vulnerabilidades, para las cuales ya existe una actualización de seguridad.

De acuerdo con el Reporte de Inteligencia de Seguridad volumen 12 (SIRv12), las detecciones trimestrales del gusano Conficker han aumentado más de 225% desde principios del 2009. Tan solo en el cuarto trimestre del 2011, Conficker se detectó en 1.7 millones de sistemas en todo el mundo. Al analizar los motivos detrás de las prevalencia de Conficker en las empresas, el estudio mostró que el 92% de las infecciones de Conficker fueron resultado de contraseñas débiles o robadas, y el 8% de las infecciones se debieron a la explotación de vulnerabilidades, para lo cual ya existe una actualización de seguridad.

“Conficker es uno de los problemas de seguridad más grandes que enfrentamos, pero está en nuestro poder defendernos en contra de él”, dijo Tim Rains, director de Computación Confiable en Microsoft. “Es sumamente importante que las empresas se enfoquen en los aspectos básicos de la seguridad para poder protegerse en contra de las amenazas más comunes”.

El Reporte de Inteligencia de Seguridad de Microsoft también reveló que muchas de las amenazas con frecuencia descritas como ‘Amenazas Persistentes Avanzadas’ o ‘APT’, por sus siglas en inglés, no son más avanzadas ni sofisticadas que otros tipos de ataques. En la mayoría de los casos, esos ataques aprovechan vectores conocidos como contraseñas débiles o robadas o explotaciones de vulnerabilidades, para lo cual ya existen actualizaciones de seguridad, pero su eficacia yace en la persistencia y determinación de probar diferentes tácticas para poner en riesgo al objetivo. Por tal motivo, Microsoft se refiere a esos tipos de amenazas como ‘ataques dirigidos realizados por adversarios determinados’ en lugar de APT.

“Etiquetar las amenazas cibernéticas como ‘avanzadas’ en ocasiones puede ser equivocado y distraer la atención de las empresas de los problemas básicos de seguridad que pueden evitar que las amenazas más comunes se infiltren en sus sistemas”, dice Rains. “La mayoría de los ataques no cuentan con tecnologías ni técnicas súper avanzadas como lo implica la etiqueta de APT. En casi todos los casos, simplemente explotan contraseñas débiles o robadas y vulnerabilidades, para lo cual ya existe una actualización de seguridad, y emplean ingeniería social”.

Microsoft recomienda a los clientes y a las empresas a seguir las prácticas de seguridad básicas para asegurarse de que estén protegidos:

  • Utilice contraseñas fuertes y explique a los empleados la importancia de las mismas
  • Mantenga sus sistemas actualizados mediante la aplicación periódica de actualizaciones disponibles para todos los productos
  • Utilice software antivirus proveniente de una fuente confiable
  • Invierta en productos más nuevos que ofrezcan una calidad mayor de protección de software
  • Considere la nube como un recurso para su empresa

Tal y como lo indicó Scott Charney, vicepresidente corporativo de Computación Confiable de Microsoft, durante su conferencia magistral en RSA 2012, Microsoft recomienda a las empresas definir una estrategia más completa para manejar los riesgos y ayudar a protegerse en contra de los ataques tanto masivos como dirigidos que incluya los siguientes elementos:

  • Prevención: Aplicar prácticas básicas de seguridad y poner atención especial a la administración de las configuraciones y a la instalación puntual de las actualizaciones de seguridad.
  • Detección: Supervisar detenidamente los sistemas y realizar análisis avanzados para identificar las amenazas. Mantenerse al día sobre los incidentes de seguridad y utilizar fuentes veraces de inteligencia de seguridad.
  • Contención: Si la empresa objetivo ha configurado su ambiente pensando en los ataques dirigidos realizados por adversarios determinados, es posible contener las actividades del atacante y, de ese modo, ganar tiempo para detectar, reaccionar y mitigar el ataque. Para contener el ataque, se debe considerar el desarrollo de modelos de administración de dominio que restrinjan la disponibilidad de credenciales de administrador y empleen tecnologías como codificación de red basada en IPsec para limitar la interconectividad innecesaria en la red.
  • Recuperación: Es importante contar con un plan de recuperación bien trazado que tenga una capacidad adecuada de respuesta a incidentes. Asimismo, se sugiere formar un “comité de crisis” para definir las prioridades de respuesta y participar en ejercicios que evalúen la capacidad de la empresa para recuperarse de diferentes escenarios de ataque.

Microsoft publica su Reporte de Inteligencia de Seguridad dos veces al año para mantener a la industria informada sobre el cambiante panorama de las amenazas y proporcionar una guía práctica a los clientes en un esfuerzo por crear experiencias de cómputo más seguras y confiables para todos.  El reporte más reciente, Volumen 12, brinda una perspectiva sobre los datos de las amenazas en línea, con información nueva para el periodo de julio a diciembre de 2011 y con un análisis de datos de más de 100 países y regiones de todo el mundo. Para más información sobre el doceavo volumen del Microsoft Reporte de Inteligencia de Microsoft, visite http://www.microsoft.com/sir.

Hipólito Delgado
Hipólito Delgado

Fundador de HD.com.do. Entusiasta de la tecnología, cine, rock, beisbol, CrossFit (CF-L1), entre otros. Experiencia en diseño gráfico, diseño y programación web.

Artículos: 3258