Mapa de sitios web maliciosos Los dominios mรกs peligrosos del mundo
Mapa de sitios web maliciosos
1
Mapa de sitios web maliciosos Los dominios más peligrosos del mundo
Escrito por: Barbara Kay, CISSP, Secure by Design Group Paula Greve, Director of Research, McAfee Labs™
ÍNDICE Introducción
3
Resultados clave: Mapa de sitios web maliciosos IV
4
Por qué es importante la realización de este mapa
6
Cómo se aprovechan los delincuentes de los dominios de nivel superior
7
Metodología
9
Algunas advertencias acerca de las clasificaciones
11
Desglose de las clasificaciones
12
El cambiante espectro de amenazas
21
Testimonios de las entidades de registro y de los operadores de dominios de nivel superior
23
Conclusión
26
Introducción ¿Bonanza o botnet? La próxima vez que busques la foto de un personaje famosos o instrucciones para realizar alguna actividad, presta especial atención a los dominios de nivel superior (TLD), los caracteres que se encuentran al final de las URL en los resultados de búsqueda. En el estudio Mapa de sitios web maliciosos de este año, McAfee encontró que el riesgo en la red escaló a un nivel récord de 6,2% entre más de 27 millones de dominios evaluados en este informe. Si los usuarios no hacen clic en los enlaces con cuidado, el simple hecho de ver una página puede llegar a costarles muy caro. Este año, ha aumentado el número de sitios web que contienen códigos maliciosos que roban contraseñas e información de identificación, que se aprovechan de las brechas de seguridad en los navegadores, o que instalan en silencio los ingredientes que convierten a los ordenadores en zombis. Si supieras de antemano que tres de cada cinco sitios en determinados TLD son peligrosos, probablemente elegirías otro lugar desde donde descargar esa fotografía que estás buscando. Por ejemplo, a pesar del creciente atractivo de Vietnam como destino de vacaciones, quienes visiten sitios registrados en
Amenazas a la seguridad evaluadas por McAfee® Global Threat Intelligence™
Vietnam (.VN) deberían considerarlo una zona para no visitar. Este año, .VN apareció en nuestra lista entre los cinco TLD más peligrosos de Internet, después de que registráramos que un 58% de los sitios web que rastreamos presentaban contenidos y actividades dañinos, tanto real como potencialmente, incluidos: • Software malicioso (Malware). Código que puede dañar el sistema, robar información o llevar a cabo actividades maliciosas en otro ordenador (incluyendo registradores de pulsaciones, ladrones de contraseñas y kits de zombis). • Exploits de navegadores. Ataques y malware que se aprovechan del software vulnerable.
Exploits de navegadores
Reputación peligrosa (motores de archivo, de red, de Internet y de correo electrónico)
• Phishing (robo de identidad). Proveniente de la palabra inglesa “fish” (pescar), son sitios falsos que parecen legítimos pero que están diseñados para “pescar” información o instalar códigos maliciosos.
Software publicitario/software espía/Troyanos/virus
Marketing agresivo con ventanas emergentes
• Grado de spam. Formularios de registro que luego generan enormes cantidades de correos electrónicos comerciales, o correo no deseado (spam).
Alto volumen de correos electrónicos comerciales (“spam”)
Asociación con otros sitios de riesgo
• Asociaciones que entrañan riesgos : Sitios con enlaces que llevan al usuario a sitios web maliciosos, y sitios que tienen relaciones sospechosas, tales como de propiedad, de registro o de servicio de hosting.
Determinamos el nivel de riesgo basándonos en los modos en que diferentes características se relacionan con cada sitio.
Los TLD .INFO y .CM tienen casi la misma cantidad de sitios peligrosos que de sitios seguros, mientras que el TLD .VN tiene más cantidad de sitios peligrosos que de sitios seguros.
Mapa de sitios web maliciosos
3
Resultados clave: Mapa de sitios web maliciosos IV En este cuarto análisis anual del riesgo relativo de los TLD, McAfee ha descubierto que el riesgo total en la red se ha incrementado con respecto al año pasado. Hemos visto que el riesgo ha aumentado en algunas partes de la red que ya eran peligrosas, tales como .INFO; que en algunos casos ha habido reducciones significativas en el riesgo de algunos de los TLD con más riesgo del año pasado, especialmente Singapur (.SG) y Venezuela (.VE); y que han surgido algunas nuevas áreas de preocupación, tales como Vietnam (.VN), Armenia (.AM) y Polonia (.PL). Nota: Salvo que se indique lo contrario, todas las estadísticas de riesgo se refieren al riesgo ponderado.
• Riesgo en aumento. La media total ponderada de sitios web peligrosos aumentó de 5,8% (2009) a 6,2% (2010). En 2007 y 2008, encontramos que un 4,1% de sitios web estaban clasificados con los colores rojo (evitar) y amarillo (precaución). Si bien utilizamos una metodología diferente durante los dos primeros años, la línea de tendencia hacia arriba y hacia la derecha parece mantenerse. Navegar por la red en modo seguro se está volviendo cada vez más difícil.
Porcentaje de sitios peligrosos en la red
7 6 5 4 3 2 1
2010
2009
2008
2007
0
• Los cinco TLD más peligrosos. Con un riesgo ponderado del 31,3%, .COM (Comercial, el TLD con más tráfico), es el TLD más peligroso, y le quitó así el título a .CM (Camerún), que cayó al cuarto puesto este año, mientras que .INFO logró hacerse con una posición que indica mayor riesgo, colocándose en el segundo lugar desde el quinto que ocupaba el año pasado. Los cinco TLD con mayor porcentaje de registros peligrosos fueron: -- .COM (Comercial)
31.3%
-- .INFO (Información)
30.7%
-- .VN (Vietnam)
29.4%
-- .CM (Camerún)
22.2%
-- .AM (Armenia)
12.1%
• Distribución global. La región de Europa, Oriente Medio y África (EMEA por sus siglas en inglés) se ha ganado nuevamente la distinción de tener los TLD más peligrosos entre los top 20, con siete participantes, incluyendo los nuevos ingresantes a la top 20, Armenia (.AM) y Polonia (.PL) Le siguió la región Asia Pacífico (APAC), con seis TLD, mientras que los dominios genéricos, como Network (.NET), se quedaron con el quinto lugar entre los 20 más peligrosos. El único participante de América fue Estados Unidos (.US) en el puesto 14. • Liderazgo de los genéricos. Como contrapartida del riesgo por región, los TLD genéricos y patrocinados presentaban el promedio de riesgo más elevado. Con un 7,9%, estos TLD superaron el promedio total, mientras que los tres grupos regionales presentaron un promedio de 6,2%. APAC pasó de un promedio del 13% a un promedio del 4,9%; América presentó un promedio de 2,7%; EMEA sólo el 1,9%.
Mapa de sitios web maliciosos
4
• Algunas mejorías importantes: Singapur (.SG) se merece un reconocimiento por haber disminuido el nivel de peligro y haber pasado así del puesto número 10 el año pasado al puesto número 81 este año; Venezuela (.VE) pasó del puesto 21 al 88 este año; y Filipinas (.PH), del número 6 en 2009 al 25 este año. • Algunos TLD a los que prestar atención. Sólo evaluamos los TLD de los que obtuvimos resultados en 2000 o más sitios activos. No obstante, dos TLD de bajo tráfico hubieran escalado hasta los primeros cinco lugares si hubiéramos incluido todos los TLD. -- Con un 33% de riesgo, Senegal (.SN) estaría en el puesto número uno, tal vez porque no impone restricciones de registro (http://en.wikipedia.org/wiki/.sn). -- El Territorio Británico del Océano Índico (.IO) hubiera ocupado el quinto lugar (11,5% de riesgo). -- Tal vez este sea un TLD popular porque no tiene restricciones de registro de segundo nivel que limite los nombres que pueden aparecer antes del TLD, por lo que ofrece ingeniosas posibilidades de reutilización: “.IO se utiliza en piratería de dominios, como eugen.io, moustach.io, o pistacch.io, así como también en servicios para hospedar archivos, como drop.io”. (http://en.wikipedia.org/wiki/.io).
• Perfectamente limpios. Los cinco TLD que registraron la menor cantidad de registros peligrosos, con un 0,1% o menos de dominios clasificados como peligrosos, fueron: -- .TRAVEL (Sector de viajes y turismo)
.02%
-- .EDU (Educativo)
.05%
-- .JP (Japón)
.08%
-- .CAT (Cataluña)
.09%
-- .GG (Guemesey)
.10%
Nota: Estas clasificaciones se basan en evaluaciones del sitio web en su conjunto, y no en clasificaciones de las páginas individuales. Los usuarios deben saber que existen riesgos dentro de las URL individuales que se encuentran en dominios que son generalmente seguros. Encontramos, por ejemplo, muchas URL peligrosas a nivel de página en los sitios .EDU (Educativo).
• Los sitios gubernamentales pierden su liderazgo. El TLD más seguro en el 2009, el Gubernamental (.GOV), quedó atrás en el puesto número veintitrés entre los menos peligrosos este año. No obstante, mantuvo el mismo grado de riesgo, un mero 0,3%. Todos los sitios web peligrosos que encontramos allí fueron clasificados con el color rojo.
Mapa de sitios web maliciosos
5
Por qué es importante la realización de este mapa McAfee publica el informe Mapa de sitios web maliciosos para tres comunidades diferentes, con tres objetivos principales:
• Para la entidad de registro de dominios y la comunidad de registros, esperamos que este informe ofrezca un reconocimiento a quienes se esfuerzan por reducir el número de registros de estafadores y por cerrar sitios web maliciosos, y que motive a otros a acercarse a estos líderes para adoptar los mejores procedimientos para estos desafíos. Una de las recompensas es la reducción del riesgo. En el pasado, hemos trabajado para ayudar a los entes de registro con la lista de los “peores agresores”, proporcionando investigaciones sobre los riesgos. Como consecuencia, hemos observado una importante reducción de la cantidad de sitios peligrosos en sus TLD.
• Para los propietarios de sitios web, esperamos que el informe pueda ser una guía de consulta útil a la hora de decidir sobre la “ubicación” de cara al público para sus registros. • Para los consumidores y los directores de empresas de TI, esperamos que el informe actúe como una revisión de la realidad, una advertencia de que el riesgo está ampliamente distribuido por toda la Red, que los riesgos van en aumento y se están volviendo cada vez más ingeniosos, y que incluso los usuarios más experimentados necesitan la ayuda de un software de seguridad integral y actualizado, con funcionalidad de búsqueda segura.
Mapa de sitios web maliciosos
6
Cómo se aprovechan los delincuentes de los dominios de nivel superior Un TLD es uno de los organizadores de la red, el código de letras que se encuentra al final de un sitio web y que dice dónde se encuentra registrado el sitio. Si bien es probable que todos reconozcan .COM y .GOV, muchos TLD son más difíciles de interpretar, como .AM para Armenia o .CM para Camerún. Los estafadores se aprovechan de este desconocimiento, así como de la realidad de que muchos consumidores simplemente no prestan atención al sufijo TLD cuando buscan en la red. Muchos consumidores hacen clic en el primer resultado que suena interesante, y se convierten así en víctimas de los delincuentes que dedican tiempo a optimizar sus sitios web para los motores de búsqueda. Algunos TLD son más peligrosos que otros para visitar. Los estafadores y los hackers registran sus operaciones en los lugares donde es más sencillo hacer negocios o donde advierten posibilidades financieras debido a errores de escritura o a asociaciones lógicas. Por ejemplo, dado que es fácil omitir la “O” en una dirección .COM, podría registrar la dirección www.mcafee.cm en Camerún (.CM) esperando
obtener tráfico de cualquiera que se preocupe por la seguridad. Por ejemplo, este podría ser un sitio elegible para colocar un programa antivirus no autorizado, a la espera de que un consumidor responda a un mensaje de alerta que diga: “tiene un virus, instale este software”. Las entidades de registro trabajan duro para erradicar esta actividad, conocida como “typosquatting” o redireccionamiento intencionado (con la creación de un sitio falso en una dirección web que suele escribirse mal). El redireccionamiento intencionado obtiene resultados desde los sitios que generan ganancias publicitarias a partir de los errores de escritura hasta de los sitios que buscan vender esa dirección a sitios web de phishing que pretenden obtener información personal o instalar software malicioso. El software más peligroso (llamado a veces “software de descarga inadvertida”) es invisible a los ojos de los usuarios, ya que no es necesario que estos hagan clic ni acepten de forma consciente la descarga para que su ordenador sea infectado o atacado. La mayoría de los software maliciosos y de los ataques hacen todo lo posible para no ser detectados. Los consumidores pueden no darse cuenta durante días o incluso semanas de que hay un problema, mientras que los delincuentes vacían cuentas bancarias, acceden a cuentas de juegos online, infectan a los “amigos” de las redes sociales, o aprovechan ciclos del procesador para sus botnets. Del mismo modo, el usuario normalmente no sabe si un .COM está alojado en Estados Unidos o en China. A menos que utilice una herramienta de asesoramiento de clasificaciones de seguridad, el visitante necesita buscar información adicional para determinar si un sitio es de confianza para visitar. ¿.VN es para Vietnam o para Venezuela? La respuesta puede ser determinante para establecer el riesgo.
Mapa de sitios web maliciosos
7
Mientras que los buenos trabajan para mejorar el control y la supervisión de los registros1, los delincuentes invierten en software hábiles e infraestructuras resistentes (ver la nota sobre zombis en el recuadro). Cuando un TLD comienza a ser controlado, los delincuentes mudan rápidamente sus puertas de entrada en Internet a hogares más compasivos y flexibles, sin que necesariamente reubiquen servidores físicos ni alteren contenido.
Cuidado con los zombis Los zombis son ordenadores infectados ubicados en hogares y empresas. Los delincuentes los conectan entre sí para lanzar diferentes clases de ataques: envío de correo no deseado, phishing y robo de información. Las botnets son grupos de zombis que distribuyen la actividad, y ayudan así a que los dueños de las redes de bots se mantengan “fuera del radar” y a que, por lo tanto, eviten ser detectados y controlados mediante, por ejemplo, bloqueos en las instalaciones de ISP. Obtienen así una infraestructura para la ciberdelincuencia de primera clase a un coste insignificante. Además de tener bajos costes de operación, los zombis ayudan a los administradores de las redes de bots a mantener su anonimato. El éxito de esta estrategia podría explicar la diferencia de impacto entre el bloqueo de McColo, que redujo drásticamente los volúmenes de correo no deseado a nivel global en 20082, y el bloqueo de la botnet Zeus en marzo de 2010, que duró sólo algunas horas.3
El TLD nos dice dónde se encuentra registrado un sitio. El sitio web en sí mismo, incluido su contenido, sus servidores, sus dueños, puede estar ubicado en otra parte. Es una tendencia entre los delincuentes ubicar el contenido dentro de servicios de compartición de archivos gratuitos y luego propocionar el contenido a otros TLD cuando fuera necesario. Debido a que los archivos almacenados en servicios tales como BitTorrent, YouTube y RapidShare cambian constantemente, vigilar este contenido se ha vuelto muy difícil. Son varios los factores que inciden en que los delincuentes elijan determinados TLD: • Precio más bajo. En igualdad de condiciones, los estafadores prefieren entidades de registro que ofrezcan cuotas baratas, descuentos por volumen y políticas de devolución generosas. • Falta de regulación. En igualdad de condiciones, los estafadores prefieren entidades de registro “que no hagan preguntas”. Cuanta menos información tenga que dar un estafador, mejor. Asimismo, los estafadores prefieren entidades de registro que actúen de forma lenta, si lo hacen, cuando se les avise de la existencia de dominios maliciosos. • Facilidad de registro. En igualdad de condiciones, los estafadores prefieren entidades de registro que les permitan registrarse en masa. Esto es especialmente cierto para los suplantadores (phishers) y los spammers (quienes envían correo electrónico no deseado) que necesitan grandes volúmenes de sitios web para compensar el alto índice de bloqueos efectuados por los administradores de TLD.
1 McAfee 2010 Threat Predictions [Predicción de amenazas 2010 de McAfee], p. 9, disponible para descargar en varios idiomas en http://www.mcafee.com/us/threat_center/white_paper.html 2 http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spam-levels-yet-to-recover.ars 3 http://www.thetechherald.com/article.php/201010/5363/ISP-takedown-deals-smashes-Zeus-botnet-%E2%80%93-for-a-few-hours
Mapa de sitios web maliciosos
8
Metodología No hubo cambios en la metodología de este año. Como en el informe del año pasado, este informe utiliza la base de datos McAfee Global Threat Intelligence, que recoge información de más de 150 millones de sensores ubicados en más de 120 países. Estos sensores (equipos individuales, dispositivos de entrada a redes, software con puntos terminales, servicios hospedados en la nube) provienen de consumidores, de pequeñas y medianas empresas, de clientes corporativos, de instituciones educativas y de agencias gubernamentales.
Nuestra metodología tiene como objetivo identificar el riesgo analizando patrones de tráfico en Internet, comportamiento del sitio web, contenido alojado y enlaces. Evaluamos los sitios web individuales buscando contenido y comportamiento malicioso o peligroso y también analizamos lo que podría llamarse el contexto del sitio, es decir, cómo se encuentra registrado, cómo se hace referencia a él, cómo es utilizado y cómo se accede a él. • Los sitios web son comprobados para determinar si se aprovechan de las vulnerabilidades del explorador, si se detectan prácticas de phishing y si proliferan excesivamente los elementos emergentes. El aprovechamiento de las vulnerabilidades del navegador, que a menudo se identifica también con descargas inadvertidas, permite que se instalen virus, capturadores de pulsaciones del teclado o spyware, en el equipo de un usuario sin su consentimiento y, a menudo, sin que lo sepa. También examinamos enlaces salientes para ver si dirigen a los visitantes a otros sitios web clasificados como peligrosos por McAfee.
• Se analizan las descargas mediante la instalación de software en nuestros equipos de pruebas y se comprueba la existencia de virus, software publicitario integrado, spyware u otros programas potencialmente no deseados. McAfee no comprueba archivos individuales ofrecidos a través de programas de uso compartido P2P ni programas para compartir archivos BitTorrent o plataformas de contenidos como iTunes o Rhapsody. Comprobamos archivos listos para descargar desde numerosos sitios de software gratuito y software para compartir y evaluamos software P2P y software BitTorrent. La misma clase de servicios que se utiliza para compartición de archivos gratuita funciona también para la distribución de malware. • Los formularios de registro se rellenan utilizando una dirección de correo electrónico de un solo uso para que pueda rastrearse el volumen y el “grado de spam” de cualquier correo electrónico posterior. El grado de spam se refiere a las características del contenido comercial del correo electrónico, así como al uso de tácticas para engañar a los programas que actúan como filtro del correo electrónico no deseado. Además, McAfee Global Threat Intelligence establece una correlación entre la información disponible de otros vectores de amenazas, incluidos el tráfico de correo electrónico, el tráfico intrusivo de red y análisis de malware, para llegar a una puntuación de reputación integral de un sitio web.
Mapa de sitios web maliciosos
9
Se clasifica con rojo a los sitios web que contienen código malicioso (como los Troyanos, los virus y los spyware) o a exploits de navegadores que se han ganado una reputación peligrosa debido a su relación con determinados archivos, con el correo electrónico, con Internet y con las redes. Se clasifica con amarillo a los sitios web que merecen precaución antes de ser utilizados, generalmente debido al grado de spam, a la presencia de elementos emergentes agresivos o a enlaces que llevan a sitios peligrosos. Casi todos los TLD tienen una mezcla de sitios clasificados en rojo y en amarillo. Cuanto más creativos se vuelven los delincuentes, más sofisticadas deben ser las contramedidas
A medida que los delincuentes se vuelven más artesanales, también nosotros nos volvemos más artesanales. McAfee cuenta con más de 400 investigadores que se dedican al análisis de las amenazas. El equipo mundial desarrolla nuevas herramientas para detectar cambios en la red, analiza datos de estos sensores e identifica el comportamiento y las “huellas digitales” que son signo de peligro. Cada nuevo hallazgo se introduce en la Global Threat Intelligence Network para proceder a un análisis más exhaustivo. Así, mientras que nuestra metodología sigue siendo la misma, constantemente introducimos cambios para asegurarnos de poder obtener una evaluación precisa del riesgo real que hoy en día enfrentan los usuarios de la red.
Riesgo ponderado
Las clasificaciones
Ejemplo: Un TLD con 100 sitios de riesgo sobre 10 000, donde esos 100 sitios de riesgo son parte de 200 sitios de riesgo en total en todos los TLD [(50%*100/10 000)+(50%*100/200)=25.5%] se clasificaría como más riesgoso que un TLD que cuenta con 10 sitios de riesgo sobre 100 [(50%*(10/100)+(50%*(10/200)=7.5%].
TLD N.º 1
Todos los sitios
No establecemos un tiempo para este estudio ni promediamos los resultados utilizando varias muestras. Además, no anunciamos la fecha. Al tomar muestras al azar en forma no programada, podemos asegurarnos de no haya trampas en el proceso.
Método ponderado
TLD N.º 2
TLD N.º 1
TLD N.º 2
10
100
10
100
100
10.000
100
10.000
No relevante
No relevante
200
200
10,0%
1,0%
7,5%
25,5%
de riesgo Clasificación de riesgo
Hemos incluido sólo los dominios activos, aquellos que se encontraban activos en el momento de la medición: 27 304 797 dominios. La información activa es una instantánea neutral que captura el estado del sistema TLD durante el día en que obtenemos nuestra información. Existe una variación en el riesgo que es natural, de modo que una medición realizada una semana más tarde podría arrojar resultados diferentes. No programada y sin aviso
Método no ponderado
Total de sitios
Todos los dominios frente a los dominios activos
Cada año, los delincuentes desarrollan técnicas cada vez más complicadas e innovadoras para ocultar sus actividades. Este año, por ejemplo, las botnets han dado un gran salto en nuevas categorías de sitios maliciosos, una de nuestras clasificaciones de análisis que incluye virus, Troyanos y botnets.
AL igual que en años anteriores, hemos restringido nuestro análisis a los TLD de los que hemos monitoreado al menos 2000 sitios web. Para este
Sitios de riesgo
informe, hemos incluido 106 TLD de los 271 que hemos monitoreado, representando dos dominios más con respecto al 2009.
Al igual que en el informe del año pasado, el riesgo se pondera: 50% de la clasificación proviene de la proporción de los sitios de riesgo de un TLD con respecto a sus sitios totales, y un 50% proviene de la proporción se los sitios de riesgo de un TLD con respecto a todos los sitios de riesgo. Consideramos que esta metodología de clasificación refleja el nivel de riesgo al que se enfrenta un usuario típico cuando navega por toda la red. En otras palabras, consideramos que un usuario de la red debería ser más reticente a visitar un TLD sabiendo que contiene un 50% de todos los sitios de riesgo de la red, incluso si esos sitios de riesgo representan sólo el 1% de los dominios totales de ese TLD.
Esta metodología implica que, en algunos casos, un TLD con muchos sitios de riesgo pero con una clasificación de riesgo total menor puede ser clasificado como más riesgoso que un TLD pequeño que presenta un proporción de sitios de riesgo relativamente más alta. Example: El 6,1% de los 15,5 millones de sitios .COM (Comercial) que analizamos fueron clasificados como riesgosos, un poco menos que nuestro promedio total de 6,2%. Sin embargo, cuando ponderamos el riesgo de .COM por la cantidad total de sitios de riesgo en todo el mundo, este índice aumentó al 31,3%, lo que lo convirtió en el TLD de más riesgo. Por el contrario, el 58% de los 24 988 sitios web .VN (Vietnam) que evaluamos eran de riesgo, pero cuando ponderamos ese riesgo de acuerdo con su parte de sitios riesgosos en todo el mundo, el índice descendió a un 29,4%, lo que lo colocó detrás de .COM en términos de riesgo.
Mapa de sitios web maliciosos
10
Algunas advertencias acerca de las clasificaciones No ponderamos de acuerdo con el tráfico
No ponderamos por tamaño del TLD
Nuestras clasificaciones de riesgo no se ponderan de acuerdo con el tráfico que recibe un TLD. No hacemos distinciones entre un TLD muy popular que recibe una gran cantidad de tráfico dirigida a sus sitios web de riesgo y un TLD menos popular que recibe menos tráfico. Esta metodología se corrobora en la realidad de que los sitios web maliciosos en general escalan rápidamente a la lista del millón de sitios de Internet más visitados (de acuerdo con las mediciones de tráfico), y se mantienen allí durante algunas semanas mientras infectan a los usuarios. Un usuario que sólo evita los sitios web populares, o los primeros en las listas de resultados de búsqueda, sigue estando en peligro.
McAfee no tiene acceso a cada uno de los “archivos de zona” de las entidades de registros, ni a la lista de todos los dominios públicos registrados. Por lo tanto, en determinados casos no podemos evaluar el porcentaje de sitios web públicos de un TLD del que tenemos clasificaciones. No obstante, al limitarnos a clasificar sólo aquellos TLD de los que tenemos una muestra importante, consideramos que nuestras evaluaciones de riesgo total y, por lo tanto, nuestras clasificaciones, resultan significativas desde el punto de vista estadístico.
No ponderamos de acuerdo con el tipo de riesgo Nuestros análisis no distinguen entre amenazas menores, moderadas, e insignificantes. En otras palabras, un dominio que ha sido clasificado como amarillo debido a una descarga levemente peligrosa cuenta igual que uno que ha sido clasificado en rojo por alojar código exploit de descarga inadvertida. El registro de un sitio web que luego genera correo no deseado se pondera igual que un sitio que presenta una descarga infectada con un virus.
Ejemplo: Tomamos los 297 946 dominios .PL (Polonia). De estos, encontramos que 17 398 eran de riesgo, o bien 5,8% del total. Suponiendo que la población total de los dominios .PL sea 2 970 000, el tamaño de nuestra muestra es de apenas un 10%. Con un nivel de confianza de 95%, nuestro intervalo de confianza es +/- 0.08%. En otras palabras, podemos tener un 95% de confianza en que el porcentaje real de sitios de riesgo es de entre 5,72% y 5,88%.
Dominios en lugar de URL Este estudio incorpora sólo clasificaciones a nivel de dominio, no URLs individuales dentro de un dominio. Esto es importante porque McAfee ha encontrado muchos ejemplos de URLs individuales maliciosas dentro de dominios seguros, tales como .HR (Croacia) y .EDU (Educativo). No realizamos ajustes por bajas de sitios de riesgo Sabemos que los operadores de TLD a veces se encuentran bajo obligaciones contractuales que no les permiten dar de baja a ciertos tipos de dominios que McAfee puede considerar de riesgo. Además, el comportamiento de los sitios web que puede llevar a la baja en algunas entidades de registro podría no ser considerado inapropiado en otra entidad. McAfee no hace distinción entre estas reglas diferentes. Otros Por último, nuestras clasificaciones no tienen en cuenta dominios que no rastreamos.
Mapa de sitios web maliciosos
11
Desglose de las clasificaciones Clasificaciones totales ALTO RIESGO
BAJO RIESGO
País o Nombre
Región
TLD
Clasificación de riesgo en el mundo (2010)
Índice de riesgo ponderado
Índice de riesgo no ponderado (2010)
Clasificación Índice de de riesgo riesgo mundial ponderado (2009) (2009)
Cambios por año en el riesgo ponderado
Total de dominios evaluados
Total de dominios peligrosos
Comercial
Genérico
COM
1
31.3%
6.1%
2
32.2%
-2.8% ↓
15,530,183
948,995
Información
Genérico
INFO
2
30.7%
46.6%
5
15.8%
94.5% ↑
533,711
248,806
Vietnam
APAC (Asia Pacífico)
VN
3
29.4%
58.0%
39
0.9%
3.107,9% ↑
24,988
14,492
Camerún
EMEA (Europa, Oriente medio y África)
CM
4
22.2%
44.2%
1
36.7%
-39.5% ↓
3,947
1,746
Armenia
EMEA (Europa, Oriente medio y África)
AM
5
12.1%
24.2%
23
2.0%
512.9% ↑
3,145
760
Islas Cocos (Keeling)
APAC (Asia Pacífico)
CC
6
10.5%
20.2%
14
3.3%
215.4% ↑
58,713
11,869
Asia Pacífico
Genérico
ASIA
7
10.3%
20.6%
N/A
N/A
N/A
3,122
642
Red
Genérico
NET
8
10.1%
10.5%
7
5.8%
73.7% ↑
1,556,813
163,466
Rusia
EMEA (Europa, Oriente medio y África)
RU
9
10.1%
16.8%
9
4.6%
116.7% ↑
329,136
55,373
Samoa Occidental
APAC (Asia Pacífico)
WS
10
8.6%
16.9%
4
17.8%
-51.8% ↓
22,070
3,734
Tokelau
APAC (Asia Pacífico)
TK
11
8.4%
15.9%
19
2.3%
262.0% ↑
91,876
14,630
Organización
Genérico
ORG
12
6.4%
7.4%
11
4.2%
50.3% ↑
1,224,870
90,290
Negocios
Genérico
BIZ
13
6.3%
11.8%
13
3.6%
74.3% ↑
121,622
14,350
Estados Unidos
América
US
14
6.0%
11.2%
17
3.1%
95.7% ↑
119,861
13,365
República Popular de China
APAC (Asia Pacífico)
CN
15
4.8%
8.3%
3
23.4%
-79.5% ↓
261,298
21,711
Antigua Unión Soviética
EMEA (Europa, Oriente medio y África)
SU
16
4.6%
9.2%
8
5.2%
-9.8% ↓
8,478
784
Santo Tomé y Príncipe
EMEA (Europa, Oriente medio y África)
ST
17
3.7%
7.3%
12
3.8%
-1.6% ↓
11,997
880
Rumanía
EMEA (Europa, Oriente medio y África)
RO
18
3.7%
7.1%
20
2.2%
63.5% ↑
56,312
3,982
Georgia
EMEA (Europa, Oriente medio y África)
GE
19
3.5%
7.0%
N/A
N/A
N/A
2,311
162
Polonia
EMEA (Europa, Oriente medio y África)
PL
20
3.4%
5.8%
60
0.5%
574.2% ↑
297,946
17,398
India
APAC (Asia Pacífico)
IN
21
3.4%
6.5%
22
2.0%
67.8% ↑
49,368
3,218
Montserrat
EMEA (Europa, Oriente medio y África)
MS
22
3.2%
6.3%
N/A
N/A
N/A
3,382
213
Pakistán
APAC (Asia Pacífico)
PK
23
2.8%
5.5%
18
2.8%
0.5% ↑
4,947
273
Niue
APAC (Asia Pacífico)
NU
24
2.5%
5.0%
24
1.9%
32.3% ↑
27,420
1,362
Filipinas
APAC (Asia Pacífico)
PH
25
2.2%
4.3%
6
13.1%
-83.4% ↓
9,625
418
Montenegro
EMEA (Europa, Oriente medio y África)
me
26
2.1%
4.3%
N/A
N/A
N/A
5,465
233
Tonga
APAC (Asia Pacífico)
TO
27
2.1%
4.2%
33
1.1%
94.5% ↑
13,150
550
Trinidad y Tobago
América
TT
28
1.9%
3.8%
51
0.6%
217.6% ↑
4,287
165
Familias e individuos
Genérico
NAME
29
1.7%
3.3%
16
3.1%
-45.9% ↓
6,726
223
Tuvalu
APAC (Asia Pacífico)
TV
30
1.7%
3.2%
38
0.9%
80.1% ↑
40,770
1,316
Kazajstán
EMEA (Europa, Oriente medio y África)
KZ
31
1.5%
3.1%
15
3.1%
-50.2% ↓
4,708
144
Islas Turcas y Caicos
América
TC
32
1.5%
3.0%
40
0.9%
74.8% ↑
11,187
338
Dispositivos móviles
Genérico
MOBI
33
1.5%
3.0%
25
1.7%
-14.4% ↓
6,861
204
Marruecos
EMEA (Europa, Oriente medio y África)
MA
34
1.5%
3.0%
N/A
N/A
N/A
2,024
60
Laos
APAC (Asia Pacífico)
LA
35
1.5%
2.9%
26
1.6%
-8.7% ↓
4,143
122
Colombia
América
CO
36
1.5%
2.9%
68
0.4%
249.0% ↑
3,618
106
Belice
América
BZ
37
1.3%
2.5%
30
1.2%
2.2% ↑
3,472
88
Mapa de sitios web maliciosos
12
Clasificaciones totales (cont.) ALTO RIESGO
BAJO RIESGO
País o Nombre
Región
TLD
Clasificación Índice de Índice de de riesgo en riesgo riesgo no el mundo ponderado ponderado (2010) (2010)
Clasificación de riesgo mundial (2009)
Índice de Cambios Total de Total de riesgo por año dominios dominios ponderado en el riesgo evaluados peligrosos (2009) ponderado
Corea del Sur
APAC (Asia Pacífico)
KR
38
1.1%
2.2%
28
1.5%
-26.7% ↓
70,261
1,530
Isla de Christmas
APAC (Asia Pacífico)
CX
39
1.1%
2.2%
74
0.4%
195.6% ↑
6,084
136
Latvia
EMEA (Europa, Oriente medio y África)
LV
40
1.1%
2.1%
71
0.4%
163.1% ↑
10,015
210
Canadá
América
CA
41
0.9%
1.6%
64
0.5%
90.5% ↑
169,543
2,777
Eslovaquia
EMEA (Europa, Oriente medio y África)
SK
42
0.9%
1.7%
45
0.8%
11.4% ↑
37,643
649
Serbia
EMEA (Europa, Oriente medio y África)
RS
43
0.9%
1.7%
N/A
N/A
N/A
2,031
35
Unión Europea
EMEA (Europa, Oriente medio y África)
EU
44
0.8%
1.6%
59
0.5%
60.3% ↑
80,278
1,288
Ucrania
EMEA (Europa, Oriente medio y África)
UA
45
0.8%
1.6%
36
1.0%
-19.7% ↓
38,619
615
Estados Federados de Micronesia
APAC (Asia Pacífico)
FM
46
0.7%
1.5%
66
0.4%
69.7% ↑
4,075
60
Malasia
APAC (Asia Pacífico)
MY
47
0.7%
1.5%
80
0.3%
122.1% ↑
15,200
221
Tailandia
APAC (Asia Pacífico)
TH
48
0.7%
1.5%
32
1.1%
-34.8% ↓
8,912
130 8,503
Reino Unido
EMEA (Europa, Oriente medio y África)
UK
49
0.7%
0.9%
55
0.6%
30.3% ↑
898,229
Moldavia
EMEA (Europa, Oriente medio y África)
MD
50
0.7%
1.4%
N/A
N/A
N/A
2,644
38
Belarús
EMEA (Europa, Oriente medio y África)
BY
51
0.7%
1.4%
29
1.3%
-44.8% ↓
4,372
62
Islas Georgia y Sándwich del Sur
EMEA (Europa, Oriente medio y África)
GS
52
0.6%
1.2%
48
0.6%
-7.1% ↓
4,578
55
Perú
América
PE
53
0.6%
1.2%
41
0.9%
-32.9% ↓
5,176
60
República Checa
EMEA (Europa, Oriente medio y África)
CZ
54
0.6%
1.0%
54
0.6%
-4.7% ↓
101,781
1,068
Irán
EMEA (Europa, Oriente medio y África)
IR
55
0.5%
1.1%
37
0.9%
-42.5% ↓
17,874
191
Lituania
EMEA (Europa, Oriente medio y África)
LT
56
0.5%
1.1%
44
0.8%
-36.9% ↓
11,517
121
Ecuador
América
EC
57
0.5%
1.0%
49
0.6%
-18.8% ↓
2,496
26
Emiratos Árabes Unidos
EMEA (Europa, Oriente medio y África)
AE
58
0.5%
1.0%
65
0.5%
7.9% ↑
4,123
42
Uruguay
América
UY
59
0.5%
1.0%
75
0.4%
35.0% ↑
3,277
33
Hong Kong
APAC (Asia Pacífico)
HK
60
0.5%
1.0%
34
1.1%
-53.8% ↓
17,960
176
República de China (Taiwán)
APAC (Asia Pacífico)
TW
61
0.5%
1.0%
52
0.6%
-16.3% ↓
56,000
534
Bélgica
EMEA (Europa, Oriente medio y África)
BE
62
0.5%
0.9%
81
0.3%
49.2% ↑
123,606
1,124
Liechtenstein
EMEA (Europa, Oriente medio y África)
LI
63
0.5%
1.0%
90
0.2%
110.3% ↑
3,000
29
Timor Oriental
APAC (Asia Pacífico)
TL
64
0.5%
1.0%
58
0.5%
-11.6% ↓
5,309
51
Hungría
EMEA (Europa, Oriente medio y África)
HU
65
0.4%
0.9%
53
0.6%
-23.9% ↓
71,650
614
Alemania
EMEA (Europa, Oriente medio y África)
DE
66
0.4%
0.5%
83
0.3%
43.8% ↑
1,504,163
7,052
Arabia Saudita
EMEA (Europa, Oriente medio y África)
SA
67
0.4%
0.9%
42
0.9%
-48.7% ↓
2,630
23
Bosnia
EMEA (Europa, Oriente medio y África)
BA
68
0.4%
0.9%
46
0.8%
-43.9% ↓
2,671
23
Indonesia
APAC (Asia Pacífico)
ID
69
0.4%
0.8%
56
0.6%
-23.7% ↓
6,138
52
Brasil
América
BR
70
0.4%
0.7%
70
0.4%
5.0% ↑
290,350
2,084
Finlandia
EMEA (Europa, Oriente medio y África)
FI
71
0.4%
0.8%
85
0.3%
41.5% ↑
35,046
283
Argentina
América
AR
72
0.4%
0.8%
50
0.6%
-36.7% ↓
80,324
603
España
EMEA (Europa, Oriente medio y África)
ES
73
0.4%
0.7%
27
1.6%
-75.6% ↓
103,555
749
Nueva Zelanda
APAC (Asia Pacífico)
NZ
74
0.4%
0.7%
94
0.2%
86.8% ↑
56,240
416
Francia
EMEA (Europa, Oriente medio y África)
FR
75
0.4%
0.7%
61
0.5%
-24.8% ↓
244,237
1,626
Austria
EMEA (Europa, Oriente medio y África)
AT
76
0.4%
0.7%
89
0.2%
58.4% ↑
139,244
966
Israel
EMEA (Europa, Oriente medio y África)
IL
77
0.4%
0.7%
31
1.2%
-70.4% ↓
29,113
209
Mapa de sitios web maliciosos
13
Clasificaciones totales (cont.) ALTO RIESGO
BAJO RIESGO
País o Nombre
Región
TLD
Clasificación de riesgo en el mundo (2010)
Índice de riesgo ponderado
Índice de riesgo no ponderado (2010)
Clasificación de riesgo mundial (2009)
Índice de riesgo ponderado (2009)
Cambios por año en el riesgo ponderado
Total de dominios evaluados
Total de dominios peligrosos
Nauru
APAC (Asia Pacífico)
NR
78
0.4%
0.7%
62
0.5%
-29,9% ↓
8,199
58
Turquía
EMEA (Europa, Oriente TR medio y África)
79
0.4%
0.7%
47
0.7%
-46,6% ↓
36,466
252
Suecia
EMEA (Europa, Oriente SE medio y África)
80
0.4%
0.7%
88
0.3%
35,8% ↑
102,870
684
Singapur
APAC (Asia Pacífico)
SG
81
0.3%
0.7%
10
4.6%
-92,6% ↓
15,632
105
Noruega
EMEA (Europa, Oriente NO medio y África)
82
0.3%
0.6%
77
0.4%
-8,5% ↓
50,089
317
Grecia
EMEA
83
0.3%
0.6%
73
0.4%
-22,7% ↓
41,357
243
Gubernamental
EMEA (Europa, Oriente GOV medio y África)
84
0.3%
0.6%
104
0.0%
1,188,3% ↑
6,415
38
México
Genérico
MX
85
0.3%
0.6%
69
0.4%
-26,7% ↓
49,601
284
Luxemburgo
América
LU
86
0.3%
0.6%
98
0.1%
102,4% ↑
6,750
38
Italia
EMEA (Europa, Oriente IT medio y África)
87
0.3%
0.5%
78
0.3%
-17,6% ↓
314,171
1,495
Venezuela
EMEA (Europa, Oriente VE medio y África)
88
0.3%
0.5%
21
2.1%
-86,7% ↓
5,842
32
Estonia
América
EE
89
0.3%
0.5%
76
0.4%
-30,1% ↓
11,302
58
Sudáfrica
EMEA (Europa, Oriente ZA medio y África)
90
0.3%
0.5%
96
0.2%
50,6% ↑
72,629
357
Portugal
EMEA (Europa, Oriente PT medio y África)
91
0.2%
0.5%
86
0.3%
-13,2% ↓
38,869
189
Vanuatu
EMEA (Europa, Oriente VU medio y África)
92
0.2%
0.5%
97
0.2%
49,1% ↑
15,211
70
Países Bajos
APAC (Asia Pacífico)
NL
93
0.2%
0.3%
84
0.3%
-24,4% ↓
583,943
1,980
Bulgaria
EMEA (Europa, Oriente BG medio y África)
94
0.2%
0.5%
43
0.8%
-73,1% ↓
17,974
81
Dinamarca
EMEA (Europa, Oriente DK medio y África)
95
0.2%
0.4%
91
0.2%
0,7% ↑
151,472
627
Islandia
EMEA (Europa, Oriente IS medio y África)
96
0.2%
0.4%
87
0.3%
-19,8% ↓
6,102
26
Eslovenia
EMEA (Europa, Oriente SI medio y África)
97
0.2%
0.4%
79
0.3%
-36,6% ↓
11,339
48
Australia
EMEA (Europa, Oriente AU medio y África)
98
0.2%
0.3%
93
0.2%
-4,3% ↓
256,103
871
Suiza
APAC (Asia Pacífico)
99
0.1%
0.3%
95
0.2%
-13,3% ↓
217,863
572
Irlanda
EMEA (Europa, Oriente IE medio y África)
100
0.1%
0.2%
101
0.1%
-5,7% ↓
32,120
71
Croacia
EMEA (Europa, Oriente HR medio y África)
101
0.1%
0.2%
100
0.1%
-11,1% ↓
22,511
50
Guemesey
EMEA (Europa, Oriente GG medio y África)
102
0.1%
0.2%
57
0.6%
-81,1% ↓
12,092
25
Catalán
EMEA (Europa, Oriente medio y África)
CAT
103
0.1%
0.2%
99
0.1%
-31,6% ↓
3,936
7
Japón
Patrocinado
JP
104
0.1%
0.1%
103
0.1%
6,6% ↑
464,408
547
Educativo
APAC (Asia Pacífico)
EDU
105
0.1%
0.1%
102
0.1%
-48,6% ↓
14,002
15
Sector de viajes y turismo
Genérico
TRAVEL
106
0.0%
0.0%
92
0.2%
-88,6% ↓
2,013
1
GR
CH
Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año.
Mapa de sitios web maliciosos
14
Región de América ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Clasificación de riesgo en el mundo (2010)
Índice de riesgo ponderado
Índice de riesgo no ponderado (2010)
Clasificación de riesgo mundial (2009)
Índice de riesgo ponderado (2009)
Cambios por año en el riesgo ponderado
Total de dominios evaluados
Total de dominios peligrosos
Estados Unidos
US
14
6.0%
11.2%
17
3.1%
95,7% ↑
119,861
13,365
Trinidad y Tobago
TT
28
1.9%
3.8%
51
0.6%
217,6% ↑
4,287
165
Islas Turcas y Caicos
TC
32
1.5%
3.0%
40
0.9%
74,8% ↑
11,187
338
Colombia
CO
36
1.5%
2.9%
68
0.4%
249,0% ↑
3,618
106
Belice
BZ
37
1.3%
2.5%
30
1.2%
2,2% ↑
3,472
88
Canadá
CA
41
0.9%
1.6%
64
0.5%
90,5% ↑
169,543
2,777
Perú
PE
53
0.6%
1.2%
41
0.9%
-32,9% ↓
5,176
60
Ecuador
EC
57
0.5%
1.0%
49
0.6%
-18,8% ↓
2,496
26
Uruguay
UY
59
0.5%
1.0%
75
0.4%
35,0% ↑
3,277
33
Brasil
BR
70
0.4%
0.7%
70
0.4%
5,0% ↑
290,350
2,084
Argentina
AR
72
0.4%
0.8%
50
0.6%
-36,7% ↓
80,324
603
México
MX
85
0.3%
0.6%
69
0.4%
-26,7% ↓
49,601
284
Venezuela
VE
88
0.3%
0.5%
21
2.1%
-86,7% ↓
5,842
32
• .CO (Colombia) presentó uno de los mayores crecimientos en el riesgo, pasando del número 68 al número 36 este año. Hemos hallado que los riesgos principales asociados con .CO se relacionan con actividades maliciosas: las URL funcionan como intermediarias de otros hosts maliciosos, tales como botnet de sistemas comprometidos y los centros de control que los manejan. • .VE (Venezuela) fue uno de los TLD que más ha mejorado este año, pasando del número 21 en 2009 a la posición 88 este año.
Mapa de sitios web maliciosos
15
Región Pacífico Asiático (APAC) ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Vietnam
VN
Islas Cocos (Keeling) Samoa Occidental
Clasificación de riesgo en el mundo (2010)
Índice de riesgo ponderado
Índice de riesgo no ponderado (2010)
Clasificación de riesgo mundial (2009)
Índice de riesgo ponderado (2009)
Cambios por año en el riesgo ponderado
0.9%
3.107,9% ↑
Total de dominios evaluados
Total de dominios peligrosos
24,988
14,492 11,869
3
29.4%
58.0%
39
CC
6
10.5%
20.2%
14
3.3%
215,4% ↑
58,713
WS
10
8.6%
16.9%
4
17.8%
-51,8% ↓
22,070
3,734
Tokelau
TK
11
8.4%
15.9%
19
2.3%
262,0% ↑
91,876
14,630
República Popular de China
CN
15
4.8%
8.3%
3
23.4%
-79,5% ↓
261,298
21,711
India
IN
21
3.4%
6.5%
22
2.0%
67,8% ↑
49,368
3,218
Pakistán
PK
23
2.8%
5.5%
18
2.8%
0,5% ↑
4,947
273
Niue
NU
24
2.5%
5.0%
24
1.9%
32,3% ↑
27,420
1,362
Filipinas
PH
25
2.2%
4.3%
6
13.1%
-83,4% ↓
9,625
418
Tonga
TO
27
2.1%
4.2%
33
1.1%
94,5% ↑
13,150
550
Tuvalu
TV
30
1.7%
3.2%
38
0.9%
80,1% ↑
40,770
1,316
Laos
LA
35
1.5%
2.9%
26
1.6%
-8,7% ↓
4,143
122
Corea del Sur
KR
38
1.1%
2.2%
28
1.5%
-26,7% ↓
70,261
1,530
Isla de Christmas
CX
39
1.1%
2.2%
74
0.4%
195,6% ↑
6,084
136
Estados Federados de Micronesia
FM
46
0.7%
1.5%
66
0.4%
69,7% ↑
4,075
60
Malasia
MY
47
0.7%
1.5%
80
0.3%
122,1% ↑
15,200
221
Tailandia
TH
48
0.7%
1.5%
32
1.1%
-34,8% ↓
8,912
130
Hong Kong
HK
60
0.5%
1.0%
34
1.1%
-53,8% ↓
17,960
176
República de China (Taiwán)
TW
61
0.5%
1.0%
52
0.6%
-16,3% ↓
56,000
534
Timor Oriental
TL
64
0.5%
1.0%
58
0.5%
-11,6% ↓
5,309
51
Indonesia
ID
69
0.4%
0.8%
56
0.6%
-23,7% ↓
6,138
52
Nueva Zelanda
NZ
74
0.4%
0.7%
94
0.2%
86,8% ↑
56,240
416
Nauru
NR
78
0.4%
0.7%
62
0.5%
-29,9% ↓
8,199
58
Singapur
SG
81
0.3%
0.7%
10
4.6%
-92,6% ↓
15,632
105
Vanuatu
VU
92
0.2%
0.5%
97
0.2%
49,1% ↑
15,211
70
Australia
AU
98
0.2%
0.3%
93
0.2%
-4,3% ↓
256,103
871
Japón
JP
104
0.1%
0.1%
103
0.1%
6,6% ↑
464,408
547
Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año.
• En conjunto, la región Asia Pacífico fue la dominante en la categoría de los que más mejoraron, ocupando el cuarto de cinco puestos, con Singapur (.SG) como líder número uno, seguido por la República Popular de China (.CN), Filipinas (.PH) y Samoa Oriental (.WS). Este logro es especialmente sorprendente si se tiene en cuenta que estos 4 LTD se encontraban en la lista de los diez TLD más peligrosos del año pasado. • No obstante, Vietnam (.VN) pasó del puesto de riesgo número 39 en 2009 al número 3. Al igual que Colombia (.CO), los riesgos principales asociados a .VN se relacionan con actividades maliciosas, sitios que son utilizados para llegar a otros hosts maliciosos, así como actividades de comandos y control. • Japón apareció nuevamente como uno de los TLD menos peligrosos del mundo, y una vez más resultó ser el menos riesgoso de la región APAC.
Mapa de sitios web maliciosos
16
Región de Europa, Oriente Medio y África (EMEA) ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Clasificación de riesgo en el mundo (2010)
Índice de riesgo ponderado
Índice de riesgo no ponderado (2010)
Clasificación de riesgo mundial (2009)
Índice de riesgo ponderado (2009)
Cambios por año en el riesgo ponderado
Total de dominios evaluados
Total de dominios peligrosos
Camerún
CM
4
22.2%
44.2%
1
36.7%
-39,5% ↓
3,947
1,746
Armenia
AM
5
12.1%
24.2%
23
2.0%
512,9% ↑
3,145
760
Rusia
RU
9
10.1%
16.8%
9
4.6%
116,7% ↑
329,136
55,373
Antigua Unión Soviética
SU
16
4.6%
9.2%
8
5.2%
-9,8% ↓
8,478
784
Santo Tomé y Príncipe
ST
17
3.7%
7.3%
12
3.8%
-1,6% ↓
11,997
880
Rumanía
RO
18
3.7%
7.1%
20
2.2%
63,5% ↑
56,312
3,982
Georgia
GE
19
3.5%
7.0%
N/A
N/A
N/A
2,311
162
Polonia
PL
20
3.4%
5.8%
60
0.5%
574,2% ↑
297,946
17,398
Montserrat
MS
22
3.2%
6.3%
N/A
N/A
N/A
3,382
213
Montenegro
ME
26
2.1%
4.3%
N/A
N/A
N/A
5,465
233
Kazajstán
KZ
31
1.5%
3.1%
15
3.1%
-50,2% ↓
4,708
144
Marruecos
MA
34
1.5%
3.0%
N/A
N/A
N/A
2,024
60
Latvia
LV
40
1.1%
2.1%
71
0.4%
163,1% ↑
10,015
210
Eslovaquia
SK
42
0.9%
1.7%
45
0.8%
11,4% ↑
37,643
649
Serbia
RS
43
0.9%
1.7%
N/A
N/A
N/A
2,031
35
Unión Europea
EU
44
0.8%
1.6%
59
0.5%
60,3% ↑
80,278
1,288
Ucrania
UA
45
0.8%
1.6%
36
1.0%
-19,7% ↓
38,619
615
Reino Unido
UK
49
0.7%
0.9%
55
0.6%
30,3% ↑
898,229
8,503
Moldavia
MD
50
0.7%
1.4%
N/A
N/A
N/A
2,644
38
Belarús
BY
51
0.7%
1.4%
29
1.3%
-44,8% ↓
4,372
62
Islas Georgia y Sándwich del Sur
GS
52
0.6%
1.2%
48
0.6%
-7,1% ↓
4,578
55
República Checa
CZ
54
0.6%
1.0%
54
0.6%
-4,7% ↓
101,781
1,068
Irán
IR
55
0.5%
1.1%
37
0.9%
-42,5% ↓
17,874
191
Lituania
LT
56
0.5%
1.1%
44
0.8%
-36,9% ↓
11,517
121
Emiratos Árabes Unidos AE
58
0.5%
1.0%
65
0.5%
7,9% ↑
4,123
42
Bélgica
BE
62
0.5%
0.9%
81
0.3%
49,2% ↑
123,606
1,124
Liechtenstein
LI
63
0.5%
1.0%
90
0.2%
110,3% ↑
3,000
29
Hungría
HU
65
0.4%
0.9%
53
0.6%
-23,9% ↓
71,650
614
Alemania
DE
66
0.4%
0.5%
83
0.3%
43,8% ↑
1,504,163
7,052
Arabia Saudita
SA
67
0.4%
0.9%
42
0.9%
-48,7% ↓
2,630
23
Bosnia
BA
68
0.4%
0.9%
46
0.8%
-43,9% ↓
2,671
23
Finlandia
FI
71
0.4%
0.8%
85
0.3%
41,5% ↑
35,046
283
España
ES
73
0.4%
0.7%
27
1.6%
-75,6% ↓
103,555
749
Francia
FR
75
0.4%
0.7%
61
0.5%
-24,8% ↓
244,237
1,626
Austria
AT
76
0.4%
0.7%
89
0.2%
58,4% ↑
139,244
966
Israel
IL
77
0.4%
0.7%
31
1.2%
-70,4% ↓
29,113
209
Turquía
TR
79
0.4%
0.7%
47
0.7%
-46,6% ↓
36,466
252
Suecia
SE
80
0.4%
0.7%
88
0.3%
35,8% ↑
102,870
684
Noruega
NO
82
0.3%
0.6%
77
0.4%
-8,5% ↓
50,089
317
Grecia
GR
83
0.3%
0.6%
73
0.4%
-22,7% ↓
41,357
243
Luxemburgo
LU
86
0.3%
0.6%
98
0.1%
102,4% ↑
6,750
38
Italia
IT
87
0.3%
0.5%
78
0.3%
-17,6% ↓
314,171
1,495
Estonia
EE
89
0.3%
0.5%
76
0.4%
-30,1% ↓
11,302
58
Sudáfrica
ZA
90
0.3%
0.5%
96
0.2%
50,6% ↑
72,629
357
Portugal
PT
91
0.2%
0.5%
86
0.3%
-13,2% ↓
38,869
189
Mapa de sitios web maliciosos
17
Región de Europa, Oriente Medio y África (EMEA) (continuación) ALTO RIESGO
País o Nombre
BAJO RIESGO
TLD
Clasificación de riesgo en el mundo (2010)
Índice de riesgo ponderado
Índice de riesgo no ponderado (2010)
Clasificación de riesgo mundial (2009)
Índice de riesgo ponderado (2009)
Cambios por año en el riesgo ponderado
Total de dominios evaluados
Total de dominios peligrosos
1,980
Países Bajos
NL
93
0.2%
0.3%
84
0.3%
-24,4% ↓
583,943
Bulgaria
BG
94
0.2%
0.5%
43
0.8%
-73,1% ↓
17,974
81
Dinamarca
DK
95
0.2%
0.4%
91
0.2%
0,7% ↑
151,472
627
Islandia
IS
96
0.2%
0.4%
87
0.3%
-19,8% ↓
6,102
26
Eslovenia
SI
97
0.2%
0.4%
79
0.3%
-36,6% ↓
11,339
48
Suiza
CH
99
0.1%
0.3%
95
0.2%
-13,3% ↓
217,863
572
Irlanda
IE
100
0.1%
0.2%
101
0.1%
-5,7% ↓
32,120
71
Croacia
HR
101
0.1%
0.2%
100
0.1%
-11,1% ↓
22,511
50
Guemesey
GG
102
0.1%
0.2%
57
0.6%
-81,1% ↓
12,092
25
Nota: Las entradas marcadas como “N/A” eran TLD nuevos en el informe de este año, por lo que no presentan un cambio de año a año..
• Dos TLD de la zona EMEA han aumentado el riesgo significativamente este año comparando con el 2009: .PL (Polonia) pasó del puesto 60 al puesto 20 este año, y .AM (Armenia) pasó del número 23 al número 5. • .PL tiene dominios asociados con todos los riesgos, incluyendo actividad maliciosa, descargas maliciosas y hospedaje de URL asociadas con ataques y campañas de correo no deseado. • Los riesgos asociados con .AM están más concentrados, principalmente en actividades maliciosas, incuidas las de comandos y control y otros servicios de este tipo.
Mapa de sitios web maliciosos
18
LTD genéricos y patrocinados ALTO RIESGO
Nombre
Comercial
BAJO RIESGO
Region
Genérico
TLD
COM
Clasificación Índice de Índice de riesgo Clasificación de riesgo riesgo no ponderado de riesgo mundial ponderado (2010) mundial (2010) (2010) (2009) 1
31.3%
6.1%
Índice de Cambios por Total de riesgo año en el riesgo dominios ponderado ponderado evaluados (2009) (2010)
Total de dominios peligrosos (2010)
2
32.2%
-2.8% ↓
15,530,183
948,995 248,806
Información
Genérico
INFO
2
30.7%
46.6%
5
15.8%
94.5% ↑
533,711
Asia Pacífico
Genérico
ASIA
7
10.3%
20.6%
N/A
N/A
N/A
3,122
642
Red
Genérico
NET
8
10.1%
10.5%
7
5.8%
73.7% ↑
1,556,813
163,466
Organización
Genérico
ORG
12
6.4%
7.4%
11
4.2%
50.3% ↑
1,224,870
90,290
Negocios
Genérico
BIZ
13
6.3%
11.8%
13
3.6%
74.3% ↑
121,622
14,350
Familias e individuos
Genérico
NAME
29
1.7%
3.3%
16
3.1%
-45.9% ↓
6,726
223
Dispositivos móviles
Genérico
MOBI
33
1.5%
3.0%
25
1.7%
-14.4% ↓
6,861
204 38
Gubernamental
Genérico
GOV
84
0.3%
0.6%
104
0.0%
1,188.3% ↑
6,415
Catalán
Patrocinado
CAT
103
0.1%
0.2%
99
0.1%
-31.6% ↓
3,936
7
Educativo
Genérico
EDU
105
0.1%
0.1%
102
0.1%
-48.6% ↓
14,002
15
Sector de viajes y turismo
Genérico
TRAVEL
106
0.0%
0.0%
92
0.2%
-88.6% ↓
2,013
1
• Casi la mirad (47%) de los sitios de información (.INFO) se clasificaron en color rojo o amarillo, con mayoría de sitios en rojo (43%). Muchos de los riesgos identificados con los TLD .INFO se asociaban con hospedaje de contenido utilizado para campañas de correos no deseados. Este contenido podía ser tanto de productos como de software malicioso o antivirus falsos. Además, hubo muchos sitios dentro del TLD .INFO que estaban asociados con otros dominios y servidores maliciosos. Muchos de estos sitios aparecieron más tarde en campañas de antivirus falsos y en actividades de la botnet Zeus, • Más del 14% de las URL de Koobface (45 213) se encontraban dentro del TLD Comercial (.COM), sin que tuvieran presencia significativa en otros TLD.
Mapa de sitios web maliciosos
19
Predominancia de riesgo rojo contra amarillo Se clasifica con rojo a los sitios web que contienen código malicioso (como los Troyanos, los virus y los spyware) o a exploits de navegadores que se han ganado una reputación peligrosa debido su relación con determinados archivos, con el correo electrónico, con Internet y con las redes. Se clasifica con amarillo a los sitios que merecen precaución antes de ser utilizados, generalmente debido al grado de spam, a la presencia de elementos emergentes agresivos o a enlaces que llevan a sitios web peligrosos. La mayoría de los TLD tiene una mezcla de sitios clasificados con rojo y con amarillo. Algunos, sin embargo, tienen una predominancia de amarillo o de rojo. Por ejemplo, dentro de los 642 dominios de riesgo de la región Asia Pacífico (.ASIA), 619 eran amarillos. Como contrapartida, el 100% de los dominios que eran de riesgo en Gubernamental (.GOV), Islandia (.IS), Educativo (.EDU) y el Sector de viajes y turismo (.TRAVEL) eran rojos. De todas maneras, no hay necesidad de preocuparse demasiado por estos cuatro TLD. Ninguno de ellos tiene más de 40 sitios de riesgo en total y, en general, son seguros. No obstante, Vietnam (.VN) tuvo 14 492 sitios rojos, que representan el 99,89% de sus sitios de riesgo, y lo que ayudó a justificar que se encuentre en el tercer puesto entre los TLD más peligrosos.
Predominancia de amarillo País o Nombre
TLD
Total de sitios de riesgo
Porcentaje amarillo
Porcentaje rojo
Pacífico Asiático
ASIA
642
96.4%
3.6%
Armenia
AM
760
94.2%
5.8%
Finlandia
FI
283
89.1%
11.0%
Tokelau
TK
14,630
86.3%
13.7%
Islas Cocos (Keeling)
CC
11,869
85.5%
14.5%
Canadá
CA
2,777
82.0%
18.0%
Reino Unido
UK
8,503
77.8%
22.2%
Tuvalu
TV
1,316
77.7%
22.3%
Dispositivos móviles
MOBI
204
76.0%
24.0%
Malasia
MY
221
74.7%
25.3%
Niue
NU
1,362
73.3%
26.7%
Suecia
SE
684
65.2%
34.8%
Estados Federados de Micronesia
FM
60
65.0%
35.0%
Nueva Zelanda
NZ
416
61.8%
38.2%
Colombia
CO
106
56.6%
43.4%
Samoa Occidental
WS
3,734
55.8%
44.2%
China
CN
21,711
55.5%
44.5%
Rusia
RU
55,373
55.4%
44.6%
Perú
PE
60
51.7%
48.3%
Australia
AU
871
51.7%
48.3%
Biased toward red País o Nombre
TLD
Total de sitios de riesgo
Porcentaje amarillo
Porcentaje rojo
Gubernamental
GOV
38
0.0%
100.0%
Islandia
IS
26
0.0%
100.0%
Educativo
EDU
15
0.0%
100.0%
Sector de viajes y turismo
TRAVEL
1
0.0%
100.0%
Vietnam
VN
14,492
0.1%
99.9%
Islas Turcas y Caicos
TC
338
3.3%
96.8%
Polonia
PL
17,398
3.5%
96.5%
Trinidad y Tobago
TT
165
4.2%
95.8%
Timor Oriental
TL
51
5.9%
94.1%
Croacia
HR
50
8.0%
92.0%
Serbia
RS
35
8.6%
91.4%
Información
INFO
248,806
8.6%
91.4%
Nauru
NR
58
8.6%
91.4%
Arabia Saudita
SA
23
8.7%
91.3%
Hungría
HU
614
9.1%
90.9%
Emiratos Árabes Unidos
AE
42
9.5%
90.5%
Negocios
BIZ
14,350
9.8%
90.2%
Santo Tomé y Príncipe
ST
880
10.3%
89.7%
Tailandia
TH
130
10.8%
89.2%
Georgia
GE
162
11.1%
88.9%
Turquía
TR
252
11.5%
88.5%
Isla de Christmas
CX
136
11.8%
88.2%
Guemesey
GG
25
12.0%
88.0%
Uruguay
UY
33
12.1%
87.9%
Laos
LA
122
12.3%
87.7%
Montserrat
MS
213
13.6%
86.4%
Mapa de sitios web maliciosos
20
El cambiante espectro de amenazas Los volúmenes de malware continúan aumentando en 2010: los primeros seis meses de este año han sido los más activos de todos los tiempos en términos de producción total de malware .4 Los tipos de software malicioso están evolucionando, con más software auto-ejecutable (generalmente desde Un nuevo tipo de zombi: el software malicioso que nunca muere
dispositivos USB), con más antivirus falsos (software de alertas falsas), con más malware de redes sociales y con correos no deseados mucho más personalizados y creíbles. Las amenazas avanzadas recurrentes (APT por sus siglas en inglés)
Una de las noticias más resonantes a
pueden combinar varias técnicas para tejer sus redes o para ejecutar sus
principios de junio fue acerca de un
ataques, de modo que un sitio web es sólo una parte del rompecabezas.
ataque de inyección SQL masivo. Un ataque que “salpicó” a decenas de miles de sitios web y que introducía un iFrame (marco flotante) que redireccionaba a los usuarios a una página maliciosa, que luego descargaba y ejecutaba un archivo. Estos ataques suceden regularmente: por lo menos una vez cada tres meses. Una vez que el dominio malicioso se da de baja, las noticias y la preocupación acerca de ese ataque en particular desaparecen en la nada. Pero de lo que no nos enteramos es de la cantidad de sitios que no logran limpiarse después de un ataque como este. Un mes después del ataque de junio, conocido como www.robint.us, hemos contado 51 900 sitios que aún estaban infectados con esta inyección SQL. Esta falta de limpieza no es única. El ataque 1677.in aún redirecciona a usuarios hacia 26 800 páginas web; yahoosite.ru aún afecta a 1380 sitios; el exploit killpp. cn de 2008 todavía se encuentra presente en 680 páginas; y k.18xn.com al día de hoy continúa plagando 583 sitios web. Es probable que estos problemas empeoren a medida que la naturaleza dinámica y fluida de la red haga cada vez más sencilla la inyección y la ocultación de ataques. — McAfee Threats Report: Second Quarter 2010 [Informe de amenazas de McAfee: Segundo trimestre de 2010]
Los sitios de redes sociales hacen que el trabajo delictivo se vuelva fácil, ya que los enlaces maliciosos o encubiertos pueden incluirse en publicaciones y mensajes de amigos que gozan de la “confianza transitiva”. Confío en ti, por lo que puedo confiar en tu “amigo”, ¿no es así? Desde 2008, el gusano Koobface ha estado aprovechándose de estas redes de confianza para encontrar nuevas víctimas para sus códigos maliciosos y nuevos bots zombis para sus botnets.5 Durante 2010, ha habido una gran actividad por parte del gusano Koobface. Hemos categorizado 315 415 URL como maliciosas en relación con Koobface. Más del 14% de estas URL (45 213) se encontraban dentro de nuestro TLD más peligroso, .COM, sin que tuvieran presencia significativa en otros TLD. Un microcosmos de este torbellino de malware ha sido el segundo TLD que entraña más riesgo de este año: .INFO. Hacer clic en un enlace a este dominio presentaba un 47% de posibilidades de llegar a una página de riesgo. Cuando investigamos las clases de amenaza para .INFO, la gran mayoría se señalaban como de riesgo por el modo en que se registraban y por la reputación de su dominio, información obtenida de nuestra base de datos de actividades sospechosas observadas a lo largo del tiempo. El otro factor de riesgo de .INFO eran los sitios web maliciosos. Algunos de estos sitios distribuyen malware, exploits o una variedad de ambos. Algunos funcionan como servidores de comandos y control, como servidores comprometidos o como dominios en un servidor controlado por un bot. Muchos sitios contenían descargas de antivirus falsos (también conocidos como software para amedrentar o software de alertas falsas) y malware de la botnet Zeus, y reflejaron sus actividades dominantes en el espectro de amenazas en conjunto. Las botnets Zeus utilizan técnicas particularmente sofisticadas para eludir los sistemas de autenticación utilizados para transacciones bancarias online, incluyendo contraseñas de un solo uso, por lo que implican una seria amenaza
para consumidores y empresas. Por último, los sitios de phishing representan un porcentaje importante de los sitios rojos de .INFO. Cuanto más trabajamos, más trabajo tenemos A medida que las entidades de registro refuerzan las restricciones para utilizar sus dominios, los delincuentes buscan formas alternativas para aprovecharse de la red. Kits de herramientas de malware listo para ejecutarse se cuelan a través de las débiles barreras de seguridad en tecnologías 2.0, como AJAX, XML, Flash, iFrames y JavaScript, y en navegadores, ordenadores y sitios web mal configurados o poco mantenidos. Combinaciones infinitas de herramientas y vulnerabilidades de software hacen que sea sencillo colocar contenido de riesgo en dominios que pueden considerarse legítimos. Este contenido invisible para el usuario no necesita que el usuario “haga clic para descargar” para aprovecharse de las vulnerabilidades del navegador. Por ejemplo, un hacker puede utilizar un ataque especial llamado inyección SQL para implantar un tipo específico de código invisible llamado iFrame (cuadro flotante). El iFrame, que puede ser pequeño como un píxel y que puede esconderse detrás de otras imágenes o de ventanas emergentes, incluye una URL que, de forma silenciosa, direcciona a los usuarios a un sitio en el que recibirán la carga maliciosa. En un intento de desbaratar la detección de URLs falsas por parte del navegador, el iFrame incorporado puede utilizar servicios de abreviación de URL, como bit.ly o Tinyurl, para ocultar la URL. Los servicios de abreviación de URL están intentando hacer mejor su trabajo reconociendo este abuso, pero sus esfuerzos hasta el momento han resultado fáciles de eludir. Por ejemplo, los delincuentes pueden detectar el lugar de origen de los visitantes y seleccionar sólo el tráfico que desean conectar al sitio.
4 cAfee Threats Report: Second Quarter 2010 [Informe de amenazas de McAfee: Segundo trimestre de 2010], disponible M para descargar en varios idiomas en http://www.mcafee.com/us/threat_center/white_paper.html 5 Craig Schmugar, “Koobface remains active on Facebook” [Koobface se mantiene activo en Facebook], McAfe Labs blog. www.avertlabs.com/research/blog/index.php/2008/12/03/ koobface-remains-active-on-facebook/
Mapa de sitios web maliciosos
21
Al utilizar redireccionamiento entre sitios web, el atacante separa el contenido de la línea de ataque inicial. Así, el contenido puede ser reutilizado en ataques en serie, y también puede ser cambiado levemente para eludir las herramientas que detectan la frecuencia de aparición. ¿Se ha vuelto demasiado conocido este contenido en Koobface o en Zeus? Prueba con este otro. Objetivos cambiantes y actualizados Es posible introducir material malicioso en sitios que no cuentan con una protección adecuada, así como en cualquier contenido generado por un usuario, ya sea un archivo JPEG, un blog o un fórum. Si bien algunos sitios poco mantenidos generalmente alojan malware conocido durante meses o años (ver margen de la página 21), algunas de las amenazas más inteligentes aparecen y desaparecen en el curso de algunas horas. Un centro de comandos y control de botnet puede estar “despierto” sólo durante algunos minutos por día. Para poder protegerse contra estas actividades fugaces (pero lucrativas), se deben actualizar con frecuencia las evaluaciones a nivel de URL y a nivel de ruta. Esta es la razón por la que resulta beneficioso para los usuarios la inspección de contenido (escaneos en busca de los últimos malware) realizada en tiempo real. Después de colocar malware en un sitio web, los términos de búsqueda infectados se mantienen como las formas más populares –e inadvertidas en que los delincuentes desvían tráfico hacia sus sitios web. Los delincuentes están atentos a las
catástrofes, a las travesuras de las celebridades, a los eventos deportivos y a otros temas de interés. Crean anuncios y fabrican sitios web con términos populares, hacen que los motores de búsqueda los indexen, y luego utilizan botnets y motores de clic para hacer escalar su contenido hasta la primera página de los resultados de búsqueda. Cuando los usuarios hacen clic en estos artículos en los resultados de búsqueda, viajan a sitios en los que recogen descargas maliciosas. Un sitio malicioso puede ser uno nuevo, creado para tal fin con contenido de actualidad, o un sitio web inocente que ha sido pirateado. Cada una de estas metodologías recompensa con información personal, información de ingreso a cuentas, información de cuenta de amigos, contraseñas y zombis de botnets. Dispositivos móviles El puesto de riesgo número 33, Dispositivos móviles (.MOBI), era uno de los TLD más seguros de la red este año, pero estamos monitoreándolo de cerca, junto con el uso de Internet móvil en su conjunto. Por ejemplo, se están incorporando más ataques a los dispositivos móviles. La botnet Zeus puede pedir a los usuarios que proporcionen su número de móvil y un número de autorización y luego utilizar esa información en una transacción financiera. Si un mensaje de correo no deseado o un formulario web obtiene un número de móvil, ese número puede ser utilizado en otros ataques sucesivos, enviando más correo no deseado, señuelos de phishing, o enlaces a sitios que alojan malware. Los millones de teléfonos inteligentes (smartphone) con función para navegar en Internet que están en circulación no hacen más que ampliar las oportunidades para los delincuentes habilidosos.
“En 2009, el 6% de las URLs maliciosas que McAfee identificó y de las que protegió a los usuarios se encontraban a nivel de ruta. En 2010, este porcentaje ya ha aumentado a 16%”. — McAfee Threats Report: Second Quarter 2010 [Informe de amenazas de McAfee: Segundo trimestre de 2010]
Mapa de sitios web maliciosos
22
Comentarios de las entidades de registro y de los operadores de dominios de nivel superior Además de nuestras ideas, hemos querido incluir las opiniones de la comunidad TLD que se encuentra en la línea de combate en la gestión del riesgo. Hemos solicitado comentarios por parte de los TLD que hemos mencionado en este informe, para que proporcionaran experiencias, matices y contexto para nuestro análisis.
.INFO (Información)
“Como administrador del registro .INFO, Afilias se compromete a frenar la actividad abusiva en el dominio .INFO. Es por esta razón que hemos establecido en 2008 nuestra Política Anti-abuso líder en el mercado y hemos estado trabajando de forma proactiva con nuestras entidades de registro (quienes venden directamente a los usuarios finales) para combatir activamente el phishing y otras clases de abusos. Desafortunadamente, el crecimiento de .INFO en términos de popularidad ha atraído la atención de quienes envían spam, por lo que hemos comenzado a poner en práctica nuevas tácticas. Aún hay mucho por hacer. El desafío se ha vuelto difícil porque, como operador de registro TLD, Afilias no tiene permiso para decidir quién vende nombres de dominio .INFO, ni a quién. .INFO es hogar de millones de sitios web útiles y legítimos, por lo que bloquear el correo electrónico basándose simplemente en la dirección TLD es inadmisible y puede dañar injustamente a más
víctimas inocentes. Tal vez una mejor solución sea implementar métodos de filtro de los correos más sofisticados que puedan aliviar estos indeseables efectos secundarios”. — Roland LaPlante, Vicepresidente senior y Gerente de marketing de Afilias .JP (Japón)
“Creo que nuestros esfuerzos continuos por mejorar la seguridad de los nombres de dominio .JP han llevado a aumentar la confianza de los propietarios y los usuarios en el dominio JP. Para registrar un nombre de dominio JP, debes cumplir con los requisitos de elegibilidad. En especial, el nombre de registro del dominio JP de tipo Organizativo (ej. EXAMPLE.CO.JP) tiene diferentes requisitos de acuerdo con el tipo de dominio (ej. sólo empresas incorporadas en Japón pueden registrar EXAMPLE.CO.JP). Si resultara que un nombre de dominio registrado JP no cumple con todos los requisitos, el registro se invalida siguiendo los procedimientos correspondientes. En este caso, en el pasado, tanto JPRS como el registro revisaban el estado y tomaban acciones para invalidar el nombre, cuando correspondiera, a través de los entes de registro JP. En junio de 2008, JPRS reforzó la regla de registro de nombre de dominio JP cambiándola por CO.JP e hizo posible que el registro borre los registros falsos en el caso de que la cancelación por parte de las entidades de registro no funcione. Además, en noviembre de 2009, extendimos el alcance de la regla a todos los tipos Organizativos y Geográficos de los nombres de dominio JP. Al mejorar estas reglas y mediante una cooperación continua con las entidades de registro JP, JPRS se encarga de forma rigurosa y expeditiva del problema de los registros falsos.
Mapa de sitios web maliciosos
23
También tomamos medidas para combatir el problema de los nombres de dominio que se registran y se utilizan para actividades fraudulentas, como phishing. A través de la cooperación con JPCERT/CC y otras organizaciones relacionadas, JPRS examina el grado de malevolencia de los nombres de dominio que presentan supuestos abusos. Si se confirma que el nombre presenta abusos, JPRS solicita a la entidad de registro JP que invalide el nombre. Además, JPRS ha implementado de forma continua, desde 2006, la eliminación de registros de servidor DNS en los casos en que el nombre del host contiene un nombre de dominio JP que no existe. Con respecto a las Domain Name System Security Extensions (DNSSEC), planeamos comenzar a firmar de forma digital la zona JP en octubre de 2010 e introducir DNSSEC a los servicios de nombre de dominio JP en enero de 2011. Además, con el objetivo de promover la introducción de las DNSSEC en toda la comunidad, se habilitó un fórum llamado “DNSSEC Japón” en noviembre de 2009. Uno de los miembros de equipo de JPRS hace las veces de vicepresidente del fórum. Estos esfuerzos continuos han dado buenos resultados: por ejemplo, el número de quejas sobre phishing que recibe JPRS ha sido bajo, aproximadamente una queja por mes.” — Yumi Ohashi Gerente de relaciones internacionales y gubernamentales de JPRS .SG (Singapur)
“El Centro de información de la red Singapur (SGNIC por sus siglas en inglés) fomenta la adopción y el uso de nombres de dominio .SG por parte de empresas y privados. Además de identificarse mejor con los usuarios y los clientes de Singapur, podrán también extender su presencia en el mercado mundial.
SGNIC para asegurar la responsabilidad. Esto se debe a que alguien que solicita un nombre de dominio .SG debe presentar documentación apropiada cuando busca registrar un nombre de dominio bajo las diferentes categorías de nombres .sg, las que reflejan su estado. Por ejemplo, alguien que se registra con el nombre ‘.com.sg’ podría tener que presentar pruebas de que es una entidad comercial registrada en la Autoridad normativa y de contabilidad de Singapur (ACRA) o en cualquier ente profesional, mientras que alguien que registra el nombre ‘.EDU.SG’ debe registrarse en el Ministerio de Educación (MOE) o ser reconocido por otras agencias de relevancia. Para registros por parte de corporaciones extranjeras, las solicitudes deben contar con el apoyo de una dirección de contacto de Singapur. Cuando SGNIC recibe una devolución negativa acerca del uso de un nombre de dominio .SG, esta investigará inmediatamente, trabajará junto con las entidades de registro y, cuando correspondiera, consultará a las agencias relevantes para asegurar el cumplimiento de sus reglas de registro. Cualquier nombre involucrado en casos de tergiversación o fraude, o que se utilice para alojar material que infrinja las leyes o las reglas de las autoridades reguladoras deberá ser rectificado por el propietario. Si esto no ocurriera, podrá ser suspendido o eliminado por SGNIC. Debido a que el contenido de Internet puede alojarse en cualquier parte, incluso después de que un nombre se haya registrado en Singapur, SGNIC trabaja de forma activa con la comunidad de Internet internacional, incluidos grupos especializados en seguridad y estabilidad de Internet, para monitorear y prevenir potenciales abusos de los nombres de dominio .SG. SGNIC considera que estas medidas han ayudado a asegurar que los nombres de dominio .SG sigan siendo seguros y utilizados para propósitos que vayan de acuerdo con la ley.” — Sr. Lim Choon Sai Gerente general Singapore Network Information Centre Pte Ltd.
Quienes visitan un sitio web .SG pueden estar seguros de que cumple con los requisitos de registro
Mapa de sitios web maliciosos
24
.WS (Samoa Occidental)
“A lo largo del último año, nos hemos concentrado en reducir la cantidad de dominios de riesgo en nuestro TLD .WS utilizando módulos de verificación y seguridad en nuestra infraestructura de registro. El monitoreo proactivo de registros de dominio nos permite evitar que se publique contenido malicioso. También nos hemos asociado con empresas consolidadas de seguridad online para implementar un sistema optimizado de realimentación que nos notificará rápidamente acerca de dominios potencialmente maliciosos que podrían ser detectados más tarde por los visitantes del sitio web. A medida que nos damos cuenta del modo en que se crean y ejecutan las amenazas en Internet, podemos identificar y neutralizar potenciales problemas antes de que puedan causar daños. Utilizando esta información y estrechando nuestros lazos con nuestros usuarios acreditados .WS, hemos podido desarrollar un sistema de notificación para avisar a los usuarios acerca de registros de nombres de dominio potencialmente maliciosos. Del mismo modo, se encuentra también activo un servicio para notificar a las entidades que proporcionan servicios de hosting para dominios .WS. Para combatir el correo electrónico no deseado, el monitoreo avanzado de las actividades del correo electrónico desde nuestros servidores permite reconocer rápidamente a quienes envían spam y así bloquear sus estrategias.
Como registro oficial del dominio de nivel superior .WS, hemos siempre valorado nuestra reputación en la comunidad online, desde que lanzamos la zona hace más de una década. Global Domains International fue una de las primeras empresas en formar parte del Conficker Working Group a nivel de registro. Trabajamos a su lado, ayudándolos en sus esfuerzos por identificar el gusano y mitigar el daño, y seguimos haciéndolo para asegurar que nuestro TLD .WS no sea utilizado para hacer proliferar la amenaza Conficker. Las modificaciones realizadas en nuestro sistema de registro se transforman constantemente para hacer frente a las cambiantes tácticas de abuso. Como resultado de habernos familiarizado con los métodos populares empleados por quienes intentan involucrarse en actividades maliciosas en Internet, podemos asegurar la integridad y la seguridad dentro de la zona .WS”. — Alan Ezeir Presidente Global Domains International
Mapa de sitios web maliciosos
25
Conclusión El nivel de riesgo está aumentando, mientras que los tipos de riesgo en la red cambian cada vez más rápidamente. A medida que más delincuentes encuentran modos de ocultar sus actividades, los usuarios de la red deben encontrar nuevas maneras para mantenerse a salvo de estas amenazas, al tiempo que preservan la diversión y el valor de navegar en Internet. Es probable que los consumidores no puedan recordar todos los lugares de riesgo incluidos en este informe. Incluso si pudieran, hemos demostrado que el TLD que entraña más riesgo este año puede ser el que más mejore el año que viene. Los consumidores pueden evitar los lugares peligrosos de la red utilizando software de seguridad actualizados con función de búsqueda segura, como McAfee Total Protection™. Este es uno de los casos en que es una buena idea dejar que la tecnología ayude.
Los operadores de TLD de riesgo deberían encontrar esperanza en este informe. Es realmente posible convertir una reputación de riesgo o mantener una buena reputación. Las empresas que se dedican a la seguridad, como McAfee, asumen el compromiso de ayudarte. Con la red de inteligencia de amenaza mundial más extensa del mundo, podemos ofrecer información actualizada sobre lo que está sucediendo e ideas inteligentes acerca de lo que puedes hacer para reducir tu exposición.
Las empresas hoy en día saben que la red es esencial para sus operaciones, y que muchos empleados sienten que tienen derecho a acceder a Internet mientras trabajan. Esta expectativa crecerá a medida que el límite entre la vida laboral y la vida personal se desdibuje con una fuerza de trabajo más móvil y remota, con el mayor uso de dispositivos personales, y un cambio incesante hacia la conectividad constante. La manera más simple de ayudar a los usuarios a que naveguen a través de los riesgos de la red es agregar una funcionalidad de reputación de la red a sus otras defensas. Señales visuales que se actualizan en tiempo real pueden ayudar a enseñarles acerca de los riesgos mientras los protegen de forma activa.
El año próximo, tal vez veamos que las botnets de zombis han sido suplantandas por una nueva táctica que se articula en cientos de millones de dispositivos móviles con función para gestionar datos en todo el mundo. Esperamos informar acerca de su progreso –y de las contramedidas de las entidades de registro de TLD y la comunidad de seguridad el próximo año.
Mapa de sitios web maliciosos
26
Acerca de McAfee, Inc. McAfee, Inc., con sede en Santa Clara, California, es la empresa dedicada a la tecnología de seguridad más importante del mundo. McAfee proporciona servicios y soluciones proactivas y comprobadas que ayudan a hacer más seguros los sistemas, las redes y los dispositivos móviles en todo el mundo, y permiten a los usuarios conectarse, navegar y comprar en Internet con mayor seguridad. Respaldada por el incomparable McAfee Global Threath Intelligence, McAfee crea productos innovadores que ayudan a los usuarios, las empresas, el sector público y los proveedores de servicios, permitiéndoles cumplir con las normativas, proteger datos, prevenir interrupciones, identificar vulnerabilidades, así como controlar y mejorar continuamente la seguridad. McAfee asegura tu mundo digital.
http://www.mcafee.com
McAfee, Inc. 2821 Mission College Blvd Santa Clara, CA 95054 1.866.622.3911 www.mcafee.com
La información incluida en este documento se proporciona sólo con fines educativos y para la conveniencia de los clientes de McAfee. La información aquí contenida está sujeta a cambios sin previo aviso y se proporciona “TAL COMO ESTÁ”, sin garantía ni aval en cuanto a la precisión o la aplicabilidad de la información relacionada con cualquier situación o circunstancia específica. McAfee, el logotipo de McAfee, McAfee Global Threat Intelligence, McAfee Labs , y McAfee Total Protection son marcas registradas o marcas comerciales de McAfee, Inc. o sus subsidiarias en los Estados Unidos y en otros países. Otras marcas pueden reclamarse como propiedad de otros. Los planes, especificaciones y descripciones de los productos aquí mencionados se ofrecen sólo con fines informativos, están sujetos a cambio sin previo aviso y se proporcionan sin garantía de ningún tipo, ya sea expresa o implícita. Copyright © 2010 McAfee, Inc. 10902rpt_mapping-mal-web_0910
Mapa de sitios web maliciosos
27