INSTITUTO NACIONAL DE CIBERSEGURIDAD INCIBE_

Alberto Hernández Moreno Director de Operaciones

30 de Octubre de 2015

Ciberseguridad en ciudadanos y empresas

Marco estratégico de INCIBE

Agenda Digital para España-

(Aprobada Consejo de Ministros 15/02/2013)

Objetivos

generales

6 Objetivos específicos Objetivo 4. Reforzar la confianza en el ámbito digital

4.2. Reforzar las capacidades para la confianza digital

9 Planes de Acción

•Reflejar la estrategia del Gobierno en el ámbito digital y de las telecom.

•Cumplimiento de los objetivos de la Agenda Digital para Europa.

Plan de Confianza en el ámbito Digital

Estrategia de

Ciberseguridad Nacional

(Aprobada 5/12/2013)

Agente competente en ciberseguridad: Línea 1 Coordinación de capacidades

Línea 4 Capacidades para la investigación

del ciberterrorismo y la ciberdelincuencia Línea 5 Colaboración público –privada

Línea 6 Generación y gestión del talento

Línea 7 Cultura de ciberseguridad

Línea 8 Cooperación internacional

Implicación

INCIBE

Directa : Línea 3 Seguridad en IICC

• Implantación normativa PIC

• Capacidades y colaboración

• Ciberejercicios con el sector

privado

• Modelos de simulación en IICC

Convenio SES-SETSI

(04/10/2012)

Lucha contra los ciberdelitos

y el ciberterrorismo

Protección de las IICC Difusión, concienciación,

formación y capacitación

Inicio del caso

Cuando se recibe la notificación, por

parte del operador o alerta desde el

propio CERT

Respuesta

Tras un análisis del mismo y se da una primera respuesta,

con las acciones correctivas a tomar

Seguimiento o actualizaciones

Comunicación bidireccional con el operador y terceras

partes afectadas (ISP, CERTs, FCSE,

etc.)

Cierre del incidente

Una vez cerradas todas las vías de investigación y

resuelto el problema que generó el

incidente

Contenidos e Investigación

I+d+i

PECS

Desarrollo de Tecnologías

CERTSI_

Nuestra Actividad

• Elaboración y desarrollo de

contenidos de ciberseguridad

• Investigación en ciberseguridad

• Comunicación y difusión

• Equipo I+D+i

• Formación especializada

• Programa de becas

• Polo Tecnológico

• Red de excelencia

• Captación talento

• Desarrollo de Tecnologías • Respuesta a Incidentes

• Servicios Especializados

Roban datos personales de empleados del

gobierno estadounidense

Ataque contra los sistemas informáticos

del Parlamento alemán

El mayor ataque conocido contra

la AppStore

Ofrecen un millón de dólares

por una vulnerabilidad

en iOS9

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Vigilancia Tecnológica (septiembre 2015)

¿Qué está pasando?

4

Bitácora de ciberseguridad

https://www.incibe.es/technologyForecastingSearch/CERT/Alerta_Temprana/Bitacora_de_ciberseguridad/

Bitácora de ciberseguridad de INCIBE

5

En los últimos 2 años se han producido casi 150 hechos relevantes

https://www.incibe.es/technologyForecastingSearch/CERT/Alerta_Temprana/Bitacora_de_ciberseguridad/

1

65 5

32

3

76 6

98

5

109

10

87

12 12

43

0

2

4

6

8

10

12

14

2014 2015

1

1

2

3

3

3

3

3

3

4

4

5

5

5

6

7

7

8

10

14

16

22

37

39

46

0 10 20 30 40 50

Wordpress

Herramientas

Bitcoin

Encriptación

Google

Android

Comercio electrónico

Sistemas Operativos

Sistemas de Control Industrial

0day

Ciberespionage

Botnet

Denegación de Servicio

Vulnerabilidad

DNS

SSL

Microsoft

Apple

Infraestructura Crítica

Internet

APT

Malware

Cibercrimen

Fuga de Información

Incidente

Bitácora de ciberseguridad de INCIBE: Tipologías

6

Los tipos reflejan la preferencia de los atacantes sobre

objetivos monetarios y fuga de información

Ciberseguridad para Ciudadanos

Soluciones tecnológicas Servicios atractivos Punto oficial de lucha contra las botnets Mensajes cercanos

Alertas y avisos

Herramientas gratuitas

Servicio Antibotnet

Historias reales

CAU

8

Ciberseguridad para Empresas

Ciudadanos

Empresas

Operadores

estratégicos e II.CC

Red Académica

Prevención Detección Notificación Respuesta

10

235 llamadas telefónicas atendidas en OSI

[Acumulado 2015: 3.841].

5.804 informes recibidos sobre posibles incidentes1

[Acumulado 2015: 68.031].

3.274 incidentes gestionados [Acumulado 2015:

39.186].

3.799 direcciones IPs de dominios con indicios de

actividad maliciosa [Acumulado 2015: 113.587].

3.015 notificaciones enviadas a ISPs, empresas y

empresas estratégicas [Acumulado 2015: 38.857].

448.839 equipos o recursos comprometidos de

forma diaria en España2.

Informe de Ciberseguridad Septiembre 2015

11

Informe de Ciberseguridad Septiembre 2015

Incidentes por Público Objetivo

Informes

Septiembre

Acumulado

2015

Ciudadanos y empresas 2.958 36.095

Red Académica (RedIris) 305 3.028

Infraestructuras Críticas (IICC) 11 63

Infraestructuras Críticas

12

Evolución histórica del número de incidentes

Notificaciones enviadas

13

4880

4451

5848 5788

4539 4440

5110

3508

3186

0

1000

2000

3000

4000

5000

6000

7000

Enero Febrero marzo abril mayo junio julio agosto septiembre

Servicio Antibotnet – Piloto de Notificación a Usuarios 14

+

-

Información Amenazas

Herramientas Desinfección

Concienciación y

Prevención

Soporte y contenidos OSI

Motor

Inteligencia

Ciberseguridad

INCIBE

Lucha contra Botnets: Fuentes de

detección internas y externas. Trabajo

e investigación a nivel internacional.

Feed de Bots

URL SERVICIO ANTIBOTNET

+ Código de información

sobre la amenaza

Diseño y Servicios

Servicio Antibotnet

Notificaciones: Servicio AntiBotnet

• Desde Noviembre de 2014: Una media de 30.000 evidencias diarias detectadas por INCIBE son enviadas a Telefónica.

• Telefónica ha enviado más de 150.000 notificaciones a más de 20.000 clientes distintos.

• Cada mes se notifica de media a 1.100 clientes nuevos.

• Más de 12.000 tickets consultados en la OSI por usuarios afectados.

• Después de 5 semanas tras la última notificación, han dejado de aparecer evidencias para el 53% de los usuarios, que podemos considerar desinfectados.

15

Alerta Temprana de INCIBE_

16

Avisos elaborados Más de 700 avisos de seguridad elaborados por

INCIBE_ en los últimos 2 años

15

11

7

11

6

12

17

21

14

1916

13

2220

31 32

26

15

22

17

26

32

19

23 24

32 32

21

31

39

44

27

34

86

2

6

3 3 3 2 3 24

2

53

79 8

46

2

5 6

1

4

1

8 7

0

8

11

86

47

5 5 53

9

14

19

11

17

12 11

17 17

24 23

18

11

16 15

21

26

18 19

23 24 25

2123

28 28

17

27

8

4 3

0

5

10

15

20

25

30

35

40

45

50

TOTAL INCIBE_ (OSI + CERTSI_ + Protege tu EMPRESA) OSI CERTSI_ PROTEGE TU EMPRESA

Evolución histórica de incidentes por su tipología

17

-500

0

500

1000

1500

2000

2500

3000

Contenido abusivo Contenido malicioso Obtención de información Acceso/Intrusión

Disponibilidad Fraude HelpDesk Otros

Tipología de los incidentes

18

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE] Contenido abusivo

Contenido Malicioso

Obtención de información

Acceso / Intrusión

Disponibilidad

Fraude

HelpDesk

Ransomware

19

Top10 de Fraudes a Ciudadanos

1. Estafas en productos falsificados / falsas tiendas de productos “outlet”

2. Falsos prestamistas

3. Falsas ofertas de trabajo

4. Vales de regalo fraudulentos

5. Phishing

6. Muleros

7. Estafas en alquileres

8. Compra-venta de artículos usados

9. Novias por internet

10. Herencias y loterías

20

21

Ranking/porcentaje de Fraudes Tiendas falsas

Prestamistas falsos

Falsas Ofertas empleo

Falsos vales regalo

Phising

Muleros

Alquileres falsos

Artículo Usados

Novias Extranjeras

Herencias, fortunas,loterias

Top10 de Fraudes a Ciudadanos

Phishing

22

Phishing

23

24

Phishing

25

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE]

[PORCENTAJE] [PORCENTAJE]

[PORCENTAJE]

GOOGLE

FACEBOOK

PAYPAL

CORREO WEB

APPLE

YAHOO

DROPBOX

AOL

OTRAS

Phishing

Defacements

26

Defacements

27

Motivación

[PORCENTAJE]

12%

[PORCENTAJE] [PORCENTAJE] [PORCENTAJE] [PORCENTAJE] 2%

Sólo por diversión

Quiero ser el mejor Defacer

Razones políticas

NS/NC

Venganza contra un sitio web

Porque supone un reto

Patriotismo

163.705140.480

128.278

93.152127.794

1.102.131

996.7751.044.432

672.881

892.276

0

200.000

400.000

600.000

800.000

1.000.000

1.200.000

1.400.000

1.600.000

05/2015 06/2015 07/2015 08/2015 09/2015

Conficker

ZeroAccess

Jenxcus

Mevade

ZeuS

Ramnit

Citadel

Sality

Virut

Bladabindi

Top 10 Botnets España

28

Detecciones de botnets en empresas y ciudadanos

Top 10 Botnets España

40,00%

70,00%

40,00%

10,00%

40,00%

10,00%

20,00%

0%

10%

20%

30%

40%

50%

60%

70%

80%

SPAM Robo de información

Ataques DoS Mineria BitCoin Distribución Malware

Proxy Fraude Anuncios

PRINCIPALES USOS DE LAS BOTNETS

29

Top 10 Botnets España

30

HTTP 50% P2P 30%

TOR 10%

IRC 10%

MÉTODOS DE COMUNICACIÓN DE BOTNETS

D R I V E - B Y - D O W N L O A D

R E D

M E D I O S D E A L M A C E N A M I E N T O E X T R A Í B L E S

C A M P A Ñ A S D E S P A M

W E B C O M P R O M E T I D A S

70% 20%

50%

40%

10%

MÉTODOS DE INFECCIÓN DE LAS PRINCIPALES BOTNETS

CyberCamp 2014 2015 201X

Servicio Antibotnet – Piloto de Notificación a Usuarios 32

+

-

Información Amenazas

Herramientas Desinfección

Concienciación y

Prevención

Soporte y contenidos OSI

Motor

Inteligencia

Ciberseguridad

INCIBE

Lucha contra Botnets: Fuentes de

detección internas y externas. Trabajo

e investigación a nivel internacional.

Feed de Bots

URL SERVICIO ANTIBOTNET

+ Código de información

sobre la amenaza

Servicio Anti-Botnet

Servicio Antibotnet

Estamos a su servicio