Reporte anual de seguridad cibernética de Avira 2020

2020 ha sido un año excepcional en muchos aspectos. El panorama global de amenazas dio un vuelco cuando los ciberdelincuentes comenzaron a utilizar la COVID-19 en sus campañas de suplantación de identidad.

El software malicioso para Windows continúa siendo el más habitual, pero todos los meses aumenta el número de amenazas para todo tipo de plataformas. Se ha consolidado tanto el software malicioso para OSX como para Android, y en ambos encontramos una singular mezcla de categorías de amenazas.

Nuestros mapas de puntos críticos también nos indican que el software malicioso no afecta por igual en todo el mundo. Hay países y regiones más propensos que otros a sufrir ataques.

Panorama mundial en 2020 y comparación con 2019

Solo un mes de 2020 presentó un volumen general de ataques claramente menor que en 2019: agosto. El mayor aumento lo encontramos a principios de año, con un pico importante en abril, así como en la última etapa de 2020, a partir de septiembre aproximadamente. Las cifras de principios de este año han estado marcadas por la situación derivada de la pandemia. Sin embargo, parece que los datos se estabilizaron en torno a junio.

En comparación con 2019, el número de amenazas prevenidas a nivel mundial ha crecido en torno a un 15 %. Los primeros meses de 2020 han sido especialmente determinantes en este aumento. 

Durante este año pasado, nos hemos encontrado con más amenazas únicas de software malicioso que nunca.

Nuestra base de datos pasó de 556 millones en 2019 a unos 652 millones al terminar 2020, lo que equivale a que en los últimos 12 meses se detectaron un 17 % de las amenazas que han conocido Avira o sus usuarios en toda su historia. Si bien este dato no nos dice exactamente cuántas amenazas podemos encontrar en el mundo real, sí que nos indica que los desarrolladores de software malicioso no descansan.

Echemos un vistazo al tipo de ataques que bloqueó Avira en 2020. Son datos que abarcan todas las plataformas (Windows, macOS y Android) y nos muestran en qué países han sufrido más ataques maliciosos los usuarios y sus dispositivos. En rojo, podemos ver los territorios con una tasa más alta de ataques. Cuanto más claro sea el color, menos probable fue que los usuarios de ese país se topasen con software malicioso.

 

Amenazas web 

Los bloqueos de URL y la suplantación de identidad suponen el mayor porcentaje en esta categoría.

Un bloqueo de URL se produce cuando el antivirus actúa para impedir que el usuario acceda de forma accidental a un sitio web infectado. Normalmente, estas páginas de suplantación imitan a las de bancos u otros servicios web muy utilizados, como PayPal o eBay. Una vez que el desprevenido usuario ha tecleado su nombre de usuario y contraseña, la página suele redirigirlo al sitio web real de eBay o PayPal, haciéndole creer que se equivocó al escribir sus datos. De este modo, la seguridad de las cuentas se ve comprometida sin que el usuario se dé cuenta, razón por la que perdura el estigma de que «la banca en línea es poco segura».

Esta categoría depende en gran medida de las campañas activas de suplantación de identidad, como correos electrónicos que llevan al usuario a una página falsa de inicio de sesión, y puede variar mucho de una semana a otra.

Amenazas web por país

Nuestro mapa de puntos críticos presenta una imagen muy clara: en los países del norte es mucho más probable toparse con un sitio web malicioso que en los del hemisferio sur. Esto no evita que India vuelva a aparecer en las primeras posiciones, junto con Singapur, Dinamarca y Estados Unidos (con probabilidades muy altas de sufrir ataques web). A continuación, se encuentran los países nórdicos, las islas británicas y Bélgica.

En la mitad superior, nos encontramos a Centroeuropa con los países germanoparlantes, Francia, Italia y España (con un nivel alto de amenaza).

La tasa más baja de bloqueo de URL se registró en el norte de África y en la región del oeste asiático (con un nivel medio o bajo de amenaza).

Las amenazas más importantes para Android en 2020

En 2020, hemos presenciado un incremento del 35 % en las detecciones bancarias para Android, lo cual puede explicarse con el mayor uso de la banca en línea en dispositivos móviles durante este año.

Estas son las principales amenazas que definieron la situación de los dispositivos Android en 2020:

  • Aplicaciones relacionadas con la COVID-19

Como mencionamos, con el inicio de la pandemia, los desarrolladores de software malicioso crearon todo tipo de tácticas para aprovecharse del miedo y del ansia de información de los usuarios. Un ejemplo de este tipo de acciones es una variante del troyano bancario Cerberus, a menudo detectada con el nombre «Corona-Apps.apk», que emplea técnicas de suplantación y un nombre relacionado con el virus para engañar a los usuarios y lograr que lo instalen en sus smartphones.

«Los desarrolladores de software malicioso llevan mucho tiempo empleando técnicas psicológicas para seducir a usuarios desprevenidos. Y, actualmente, nos encontramos en una situación en la que mucha gente busca respuestas y se preocupa por la COVID-19. Los desarrolladores de software malicioso se aprovechan especialmente de esta incertidumbre», explica Alexander Vukcevic, director del Laboratorio de protección de Avira.

  • Stalkerware

Las aplicaciones detectadas como stalkerware (también denominado spouseware) representan un subgrupo del software malicioso spyware, y ponen en peligro la privacidad del usuario y la seguridad del sistema local. La aplicación puede instalarse sin que lo sepa o lo consienta el propietario del dispositivo para espiar y monitorear en secreto la información personal de la víctima: imágenes, vídeos, mensajes o datos de ubicación.

Debido al aumento de la actividad de las aplicaciones de stalkerware en el entorno Android, Avira se unió a la Coalición contra el stalkerware para sumarse a la lucha contra esta amenaza. En este artículo, encontrarás más información al respecto y un análisis de la aplicación de stalkerware típica.

  • Troyanos bancarios para Android 

Los troyanos bancarios siempre han tenido un papel protagonista en la escena del software malicioso para Android y este año no ha sido la excepción. Además de la estrategia de enmascararse tras la COVID-19, estos troyanos tampoco reniegan de lo clásico: disfrazarse de una aplicación muy usada, solicitar permisos poco habituales e intentar robar datos de tarjetas de crédito. 

Amenazas para Android por país

La pandemia ha incrementado el ansia de información del público general, que ha caído presa de todo tipo de artimañas de los creadores de software malicioso para Android. Casi todas orbitaron alrededor de aplicaciones que dicen informar al usuario de si se ha contagiado o que simplemente incluyen palabras clave específicas de la COVID en el nombre de la aplicación (como «corona» o «covid», por ejemplo).

En nuestro mapa mundial de puntos críticos, hemos detectado un nuevo patrón. Las amenazas para Android son más frecuentes en Irán, Argelia, India o Pakistán (con un nivel muy alto de amenazas para Android); mientras que los usuarios de Japón, Canadá o Finlandia (nivel medio de amenazas para Android) se exponen a menos ataques, por un margen importante. Aún así, el volumen total de ataques se ha igualado un poco, lo que quiere decir que solo algunos países tienen un nivel de amenazas que está muy por encima o muy por debajo de la media.

Amenazas para macOS 

Existe la creencia de que macOS es invulnerable ante el software malicioso. Hubo un tiempo en que esto era cierto, pero, dado el índice actual de adopción de entornos macOS, ya hace tiempo que los creadores de software malicioso descubrieron formas de acceder a los sistemas OSX. 

Este año, el adware y las PUA suponen más de la mitad del total de detecciones en macOS. 

Un software con aspecto legítimo es la forma más sencilla de superar los filtros que aplica Apple, y seguir generando ingresos derivados del spam publicitario en el sistema infectado. Además, hay otros tipos de software malicioso más clásicos, como bloqueadores de pantalla o ladrones de información.

Algunas aplicaciones maliciosas, que se distribuyen en paquetes de instalación, spam o mediante actualizadores falsos de Adobe Flash Player, presentan varios comportamientos potencialmente no deseados, como publicidad intrusiva o cambio del motor de búsqueda predefinido por el usuario, lo que puede ocasionar problemas de privacidad.

Los ataques basados en secuencias de comandos o en Office son muy comunes en macOS: en total, representan un 21,5 % de las detecciones.

Los ataques basados en secuencias de comandos o en Office suelen ser virus de archivo de primera etapa, lo que quiere decir que descargan la carga útil una vez que han conseguido infiltrarse en un sistema.

Amenazas para macOS por país

El panorama es muy distinto en el entorno macOS que en Android. Aquí, el mapa está dividido por la mitad. Por un lado, tenemos países con un riesgo de infección alto o muy alto; y por otro, países con un volumen de ataques registrados bajo o muy bajo.

Está claro que los desarrolladores de software malicioso para macOS y distribuidores de adware se están centrando en mercados con la tasa más elevada de adopción de dispositivos Apple, con Estados Unidos a la cabeza (nivel de amenaza para OSX muy alto), seguido por Canadá, Europa Occidental, Australia y Japón (nivel de amenaza para OSX de alto a muy alto).

Hay muy pocos territorios en un nivel intermedio. Es el caso de Italia o China, países ambos con cifras elevadas, pero mucho más bajas que los mencionados anteriormente. Sudamérica, África y Asia no son, salvo excepciones, blanco habitual de los ataques de software malicioso para macOS.

Ataques para el internet de las cosas

 

El volumen de amenazas al internet de las cosas ha seguido aumentando en 2020. Pasamos más tiempo en casa y, por eso, cada vez hay más dispositivos inteligentes conectados de forma constante a internet. Si bien la mayoría de estos dispositivos son seguros, hay decenas que presentan brechas de seguridad en su configuración tanto de software como de hardware.

Como no suele intervenir un usuario al que engañar para que instale software malicioso mediante una aplicación de adware o un correo de suplantación, las amenazas del internet de las cosas centran sus esfuerzos en estos dos vectores de infección:

  • Explotación de vulnerabilidades de ejecución del código remoto
  • Ataques de fuerza bruta a credenciales

El segundo es especialmente trágico, ya que solo es posible si no se cambian las contraseñas estándar o si las contraseñas no son lo bastante sólidas para un dispositivo que suele estar conectado permanentemente a internet.

Las amenazas que explotan las vulnerabilidades conocidas de los dispositivos son más complicadas de evitar. Los dispositivos antiguos del internet de las cosas son más susceptibles de tener brechas de seguridad no reparadas que pueden usar los ciberdelincuentes para acceder de forma ilícita a una red doméstica o corporativa.

Pronóstico para 2021: Un panorama de amenazas en evolución 

Predecir el futuro no es fácil, sobre todo si tenemos en cuenta la capacidad de adaptación y la creatividad de ciertos desarrolladores de software malicioso. No obstante, veamos cómo evolucionará, en nuestra opinión, el panorama de amenazas en 2021.

Una cuestión importante es el paso de las amenazas PE tradicionales al uso de archivos no PE y a los ataques sin archivo. Los ataques sin archivo constituyen formas de infectar un dispositivo mediante la ejecución del software malicioso en la memoria. No se descarga ningún archivo «físico», así que este tipo de ataques son más difíciles de detectar para los motores antivirus tradicionales.

Otro tema del que aún no hemos hablado en este informe son los exploits. Cada año supera al anterior en términos de brechas de seguridad detectadas en aplicaciones comunes. Los programas que usamos son cada vez más complejos y el mundo está más conectado que nunca, lo cual supone un paraíso para los ávidos cazadores de exploits que buscan nuevas vulnerabilidades. Por supuesto, no todos los cazadores de vulnerabilidades son desarrolladores de software malicioso (¡menos mal!), pero nos da la impresión de que en 2021 veremos más explotación de vulnerabilidades que nunca.

También presenciamos un cambio organizativo. Cada vez más piratas informáticos emplean herramientas y software malicioso que no han desarrollado ellos mismos, sino que recurren a otros creadores de amenazas para que se lo faciliten o se lo vendan. Esto aleja aún más a los «piratas informáticos» de los «creadores de software malicioso»: dos categorías en un mismo sector. Claro está, esperamos que ciertos grupos y agencias gubernamentales se guarden sus creaciones para sí, y que solo las usen en ataques muy precisos contra objetos de alta prioridad; por ejemplo, mediante el diseño y el uso de sus propias amenazas persistentes avanzadas (APT).

Este artículo también está disponible en: FrancésItalianoPortugués, Brasil

Content Manager
Former journalist. Storyteller at heart.