CIBERCRIMEN TENDENCIAS - Evaluamos

Página creada Vanesa Gassías
 
SEGUIR LEYENDO
CIBERCRIMEN TENDENCIAS - Evaluamos
CIBER
   T
CIBERCRIMEN TENDENCIAS - Evaluamos
TENDENCIAS                                      TENDENCIAS

RCRIMEN                                            CIBERCRIMEN
                                                      COLOMBIA
                                                    2019 - 2020
                                                                     EQUIPO DE INVESTIGACIÓN
                                                                     ADRIANA CEBALLOS LÓPEZ

                                                                     CR (RA) FREDY BAUTISTA GARCÍA
                                                                                                     ALIADOS ESTRATÉGICOS

                                                                     LORENA MESA GUZMÁN

TENDENCIAS
                                                                     CARLOS ARGÁEZ QUINTERO

                                                                     EQUIPO DE POLICÍA NACIONAL

  CIBERCRIMEN
                                                                     TC ALEX DURÁN SANTOS

                                                                     MY FÉLIX MIRANDA HERRERA

                                                                     CT RODRIGO ACEVEDO NIETO

                                                                     TE. WOLFAN PRADA ROA

                                                                     IT JEFFER RUIZ LEAL

                                                                     PT HÉCTOR SANTOS ROCHA

      TENDENCIAS                                                     DISEÑO Y DIAGRAMACIÓN

CIBERCRIMEN
                                                                     LUNA BAUTISTA VARGAS

 Informe de las tendencias del cibercrimen en Colombia (2019-2020)
 Copyright © 2019
 Primera edición, Bogotá D. C.
 Octubre 29 de 2019
 http://www.ccit.org.co
 https://www.policia.gov.co/
 https://www.policia.gov.co/dijin
CIBERCRIMEN TENDENCIAS - Evaluamos
Tendencias de Cibercrimen en Colombia                                                                            TENDENCIAS
                                                                                                                CIBERCRIMEN
                                                                                                                   COLOMBIA
                                                                                                                 2019 - 2020

CONTENIDO
 CONTENIDO

                                        1.                         2.                              3.
                               Cibercrimen en   Principales modalidades de ataques a empre-     Ataque BEC
                                  cifras 2019                 sas en Colombia

                                        4.                         5.                              6.
                                 Ransomware                    Ataque DDoS                       Malware

                                        7.                         8.                              9.
                                Sim Swapping                   Cryptojacking                  Tendencias 2020

                                        10.                       11.                             12.
                             Recomendaciones                     Glosario                       Referencias
CIBERCRIMEN TENDENCIAS - Evaluamos
Tendencias de Cibercrimen en Colombia | Prólogo

   PRÓLOGO                                                                                  Conocer los riesgos asociados a la
                                                                                            ciberdelincuencia e identificar las
                                                                                                                                    nas y los ciudadanos en el 2020.
                                                                                                                                    Los invito a entender mejor la
                                                                                            buenas prácticas para enfrentar-        situación actual y el panorama que
                                                                                            los, fortalece el avance de la cultu-   anticipa este importante estudio,
                                                                                            ra empresarial de la seguridad de       pues no es lejano al análisis que
                                                                                            la información, además de elevar        agencias de carácter internacional
                                                                                            la confianza digital de las empre-      como el Centro Europeo Contra la
                                                                                            sas y ciudadanos para que el eco-       Cibercriminalidad de EUROPOL -
                                                                                            sistema pueda seguir creciendo          EC3 han identificado a nivel mun-
                                                                                            sin contratiempos. Este propósito       dial.
                                                                Alberto Samuel Yohai        claramente demanda el esfuerzo
                                                             Presidente Ejecutivo CCIT      integrado por parte del sector pri-
                                                                                            vado, los proveedores de tecnolo-
                                                                                            gía para la seguridad digital em-
                                                                                            presarial, y las autoridades respon-
   A medida que las tecnologías de                blica para entender detallada-            sables de enfrentar las amenazas.
   la información y las comunicacio-              mente la problemática y proponer          Por ello, durante el 2019 el centro
   nes (TIC) estén cada vez más pre-              acciones concretas para el bienes-        de investigación TicTac viene for-
   sentes en cada faceta de nuestras              tar general del empresariado en           taleciendo una alianza estratégica
   vidas, se requiere de una mayor                Colombia.                                 con la Policía Nacional para desa-
   conciencia para protegernos en el                                                        rrollar iniciativas conjuntas en ma-
   mundo virtual en el que vivimos.               Los ciberataques a nuestras em-           teria de ciberseguridad.
   Sabiendo que el cibercrimen se ha              presas pueden generar una serie
   convertido en uno de los principa-             de efectos colaterales que inclu-         El estudio Tendencias del Cibercri-
   les delitos del país, desde la                 yen      reducir    su   productividad,   men en Colombia 2019-2020, y el
   Cámara Colombiana de Informáti-                causar daños reputacionales e             programa de Seguridad Aplicada
   ca y Telecomunicaciones – CCIT,                incluso pueden llegar a generar           para el Fortalecimiento Empresa-
   encomendamos al Tanque de                      demandas y otros retos de carác-          rial (SAFE) en asocio con la Policía
   Análisis y Creatividad de las TIC              ter legal por fuga de información         Nacional - Centro Cibernético Poli-
   (TicTac), la tarea de analizar la              privilegiada y datos sensibles de         cial, presenta las cifras y modalida-
   situación actual y trabajar manco-             clientes     y     proveedores,   entre   des de los ciberdelitos en 2019 y las
   munadamente con la fuerza pú-                  otros.                                    tendencias que seguramente en-
                                                                                            frentarán las empresas colombia-
CIBERCRIMEN TENDENCIAS - Evaluamos
PRESENTACIÓN DEL ESTUDIO
 El estudio publica los datos esta-
 dísticos más relevantes de la
                                         Con la finalidad de establecer la
                                         relación de las tendencias iden-          INTRODUCCIÓN
 cibercriminalidad en Colombia y         tificadas en Colombia, en el con-
 los métodos y técnicas identifi-        texto supranacional, fueron utili-
 cadas en 2019 a partir del análi-       zados como fuente los datos pu-           El Cibercrimen actúa de una manera coordinada y dispone de recursos
 sis de las 15.948 denuncias y           blicados en el reciente informe           económicos ilimitados provenientes de las ganancias derivadas de activi-
 reportes realizados por empre-          IOCTA 2019 de Europol por sus             dades criminales previas.
 sas y ciudadanos al Centro              siglas en Ingles (Internet Orga-
 Cibernético Policial CECIP.             nised Crime Threat Assessment)            El fraude BEC, los ataques de Ranso-       Cuando se conocen las amena-
                                         Evaluación de amenazas del                mware, las oleadas de Malware, las         zas y los riesgos pueden ser
 Mediante la elaboración de              Crimen Organizado en Internet             ciberextorsiones entre otras amenazas      gestionados oportunamente y
 un instrumento interno aplica-          y los reportes de empresas líde-          vienen afectando la cadena productiva      las compañías desafortunada-
 do a estos reportes delictivos          res en el ámbito de la Ciberse-           de las empresas, y por ello es impor-      mente siguen siendo reactivas
 fueron identificados los princi-        guridad en la Región como Mi-             tante conocer las tipologías y modali-     y su actuación ante un inciden-
 pales vectores de infección utili-      crosoft, CISCO, McAfee, Absolut,          dades que utiliza el Cibercrimen en Co-    te descoordinada, en parte por
 zados por los ciberdelincuentes         Claro y Fortinet todos Aliados de         lombia.                                    que no conocen la problemáti-
 así como las técnicas de ofusca-        programa SAFE.                                                                       ca o no han definido de manera
 ción del malware con el cual                                                      Por primera vez se han detallado cada      adecuada los roles a seguir en
 afectan a las empresas y ciuda-         En el mismo sentido el informe            una de las modalidades de mayor afec-      la cadena de responsabilidad
 danos en el País.                       de Ciber Resiliencia Organiza-            tación e Impacto señalando los actores     organizacional establecida.
                                         cional publicado en mayo de               que intervienen en la cadena criminal
 Fueron analizadas 447 muestras          2019 por el TicTac de la CCIT y los       e identificando cuáles son los principa-
 en el laboratorio de informática        Estudios sobre Ciberseguridad             les métodos de engaño que emplean
 forense del centro cibernético          en el sector financiero de la OEA         los criminales a la hora de facilitar y
 policial en donde se identifica-        2018 y 2019.                              acometer los ataques.
 ron 33 nuevas clases de progra-
 mas malignos encontrados en                                                       Es claro que para enfrentar una ame-
 los enlaces, adjuntos y páginas                                                   naza es importante conocer como
 infectadas a las que accedieron                                                   actúa y que puntos débiles internos de
 las víctimas y que fueron gestio-                                                 la organización aprovecha. Identificar
 nadas desde la plataforma de                                                      las vulnerabilidades oportunamente
 ciberseguridad de la Policía Na-                                                  permite entonces corregir los fallos en
 cional a través de su laboratorio                                                 la seguridad e infraestructura e imple-
 de análisis de código malicioso.                                                  mentar planes de mejoramiento que
                                                   ADRIANA CEBALLOS LÓPEZ          abarquen desde los recursos tecnoló-
                                      Directora desarrollo de programas TicTac     gicos, humanos y del proceso mismo
                                                                                   afectado en el incidente presentado.       CR (RA ) FREDY BAUTISTA GARCIA
                                                      TC ALEX DURÁN SANTOS
                                          Jefe Centro Cibernético Policial DIJIN                                              Asesor Ciberseguridad TicTac CCIT
CIBERCRIMEN TENDENCIAS - Evaluamos
Tendencias de Cibercrimen en Colombia   Cibercrimen en cifras

    1.

 CIBERCRIMEN
 EN CIFRAS
Tendencias de Cibercrimen en Colombia | Cibercrimen en cifras                                                                                                                                                     8

                                                                                                                12.879 incidentes cibernéticos es decir un 43% de los casos reportados en
     La dinámica actual del Cibercrimen en Colombia refleja un crecimiento                                      2019, fueron gestionados sin que se llegara a instaurar una denuncia ante
     gradual en el número de incidentes cibernéticos reportados a las autori-                                   la Fiscalía General de la Nacional.
     dades del ecosistema de ciberseguridad.

      A través de los canales de atención a empresas y ciudadanos dispuestos                                    Esta cifra representa un incremento del 54% respecto del 2018, cuando
     por la Policía Nacional fueron registrados 28.827 casos durante el 2019.                                   fueron gestionados 8.363 casos.

      Del total de los casos registrados, 15.948 fueron
                                                                                          CIFRAS
                                                                                                                                        Los incidentes más reportados en Colombia siguen
      denunciados como infracciones a                                                          2019                                     siendo los casos de Phishing con un 42%, la Suplanta-
                                                                                                                                        ción de Identidad 28%, el envío de malware 14% y los
      la ley 1273* de 2009 por parte de las víctimas,

                                                                                          54%
                                                                                                                                        fraudes en medios de pago en línea con 16%.
      esta cifra corresponde al 57% del total de casos
      informados.

      Respecto al 2018 las denuncias disminuyeron                                                                 DELITOS INFORMÁTICOS QUE MÁS AFECTAN A LOS COLOMBIANOS:
      un 5.8 % tras una variación negativa de 983                                 Incremento en el número de
                                                                                  incidentes respecto al 2018
      casos.
                                                                                                                  El principal interés de los Cibercriminales en Colombia se basa en la moti-
      *Tipifica las conductas de Delitos Informáticos en Colombia.                                                vación económica y la posterior monetización de las ganancias genera-
                                                                                                                  das en cada Ciberataque.
            2015                  2016                  2017                   2018              2019

           7.523               11.225                15.840                22.524               15.948
                                                                                                                   El delito informático más denunciado en Colombia
                                    Denuncia Física                        Denuncia Virtual
                                                                                                                    es el    Hurto por medios informáticos con un
                                             54,5%                                  45,5%                          total de 31.058 casos, los cibercriminales saben
                                                                                                                   que el dinero está en las cuentas bancarias y por
            Cifras denuncias 2015- 2019 / Fuente: SIEDCO Policía, SPOA Fiscalía, ADenunciar.
                                                                                                                   eso buscan comprometer los dispositivos utiliza-
                                                                                                                   dos en la interacción entre usuarios y banca.
                                              El 45% del total de denuncias por ciberdelitos
                                              en el país se hace a través de la aplicación
                                              ADenunciar. Desde julio de 2017 se han recibi-
                                              do un total 24.711 denuncias por ciberdelitos en
                                              esta plataforma virtual.
                                                                                                                Las cifras de denuncias entorno a los fraudes en el sector financiero han disminuido ante la no
                                                                                                                obligatoriedad de este trámite para reclamaciones ante las entidades bancarias.
                                              Fuente: Policía
Tendencias de Cibercrimen en Colombia | Cibercrimen en cifras                                                                                                                       10

                 80%
     En segundo lugar, se encuentra la Violación
                                                                                                             Finalmente, en quinto lugar se sitúa el delito de Uso de Software
                                                                                                             Malicioso con 2.387 casos.
     de datos personales con 8.037 casos.
     Este dato revela que la segunda amenaza en Co-                                                          DELITOS INFORMÁTICOS POR CIUDADES:
     lombia para empresas y ciudadanos es el Robo
     de Identidad.
                       Correos Fraudulentos Personalizados                                                   La concentración del fenómeno criminal en 2019 sitúa a Bogotá,
                               (Spear Phishing).                                                             Cali, Medellín, Barranquilla y Bucaramanga como las ciudades con
                            El tercer delito más denunciado es el Acceso abusivo a
                                                                                                             mayor afectación por esta problemática con un 55% de los casos
                          sistema informático con 7.99437%
                        53%                               casos, y esto se explica
                                                                                                             registrados.
                          en razón a que, en las fases primarias de los Ciberata-
                                                                                           Sitio infectado

                            ques, los cibercriminales buscan comprometer los sis-                            Si bien la cifra obedece a los centros urbanos con mayor densidad
                            temas informáticos logrando ganar el acceso a los                                poblacional y penetración de internet en el país, el factor de desa-
                            mismos.                                                                          rrollo económico influye en los objetivos de los cibercriminales,
                                                                                                             que enfocan su actuar hacia PYMES, entidades financieras y gran-
                         Enmascaramiento de correos    Infección de sitios frecuentemente visitados
                           En cuarto lugar,
                                (Spoofing). con  3.425 casos  se empleados
                                                             por encuentra(Watering
                                                                                la Trans-Hole).              des compañías con asiento en estas ciudades.
                            ferencia no consentida de activos, conducta criminal
                            que facilita al atacante sustraer el dinero o transferir
                            valiosos activos financieros de las víctimas
                                                                                                                                                            BOGOTÁ
                                                                                                                                                            5.308 casos

      Las Money Mules prestan su nombre o su cuenta bancaria para recibir transferencias                                                                    CALI
      de dinero producto de la actividad ilícita de los cibercriminales.
                                                                                                                                                            1.190 casos
                                       Contacto grupo APPS                    Facilita su cuenta como
                                           mensajería                         receptora de dinero de                                                        MEDELLÍN
           Ofertas laborales con                                                     cibercrimen
             apariencia legal                                                                                                                               1.186 casos
                                                                                        Inmigrantes
                                                                                        Estudiantes
        Contacto personal a través                                                    Desempleados                                                          BARRANQUILLA
             del reclutador
                                                                  Money Mule: Transfiere                                                                    643 casos
                                                                     ilegalmente dinero
                                         Contacto en redes
                                     sociales (grupos cerrados)
                                                                                                                                                            BUCARAMANGA

     Las Money Mules o mulas monetarias se convierten en el eslabón primario de la                                                                          397 casos
     cadena criminal del Cibercrimen, perciben generalmente un 10% a 15% del total de
     ganancias.

     Algunos pueden ser engañados con esquemas de teletrabajo y las redes del Ciber-
     crimen pueden estar en otros continentes.
Tendencias de Cibercrimen en Colombia                         Principales modalidades de cibercrimen en Colombia: Ataque BEC

    3.

 ATAQUE BEC
 Compromiso de cuentas empresariales

                                        Cerca del 90% de los ciberataques que sufren las empresas en Colombia se deben
                                        a ingeniería social.

                                        A través de distintas técnicas los cibercriminales obtienen información confidencial
                                        de empresas, directivos y empleados, para luego suplantar identidades, falsificar
                                        correos electrónicos y conseguir en la mayoría de los casos desviar dinero hacia
                                        cuentas bancarias bajo su control o generar despachos de insumos y mercancías
                                        engañando a clientes y proveedores.
Tendencias de Cibercrimen en Colombia | Ataque BEC                                                                                                                                                                     14
                                                                                                                              Según el FBI, los ataques BEC durante el 2018 gene-
                                                                                                                              raron pérdidas en organizaciones globales por valor
                                                                                                                                                                                                  CIFRAS
                                                                                                                              de 12.000 millones de dólares.

                                                                                               BEC
                                                                                                                                                                                                  300 a 5.000
  Los Ataques BEC son una de las principales                                                                                                                                                   millones de pesos
                                                                                                                              En Colombia, el monto promedio de las cifras de                      en pérdidas
  amenazas a la cadena de suministros, com-
                                                                                                                              pérdidas por ataque puede oscilar entre 300 millo-             Dependiendo del tamaño
  ponente fundamental en la actividad diaria                                                   (por sus siglas en inglés)     nes y 5.000 millones de pesos, según el tamaño de                 de las empresas
  de una empresa. Las comunicaciones con                                                                                                                                                           afectadas.
                                                                                                 Business Email               la empresa afectada.
  proveedores externos y socios de confianza
  requieren de entornos seguros, que garanti-                                                     Compromise
  cen la integridad de correos electrónicos y                                                                                 Las modalidades más utilizadas por los cibercriminales:
  servicios de mensajería instantánea utiliza-
  dos.

                                                                                                                              1. ESTAFA DE CEO (suplantación de gerente)
  Los cibercriminales diseñan escenarios simulados para engañar a em-
  pleados clave suplantando a ejecutivos, con el fin de que realicen accio-                                                                               A través de un correo malicioso (Phishing), los
  nes no autorizadas que conllevan a defraudar a las empresas o consiguen                                                                                 cibercriminales se apoderan de la cuenta de correo
  suplantar a sus clientes y proveedores mediante el robo de identidad                                                                                    del gerente de una compañía y así generan comu-
  basado en ingeniería social.                                                                                                                            nicados y correos falsos a los empleados responsa-
                                                                                                                                                          bles de dispersar pagos o realizar transferencias.
  Los principales vectores de engaño en 2019 fueron:

                                                                                                                                                     6.
                 80%
                 80% 80%80%                               60% 60%
                                                          60%  60%
                                                                                                                                                                                                  Sitio infectado

                                                                                                                                                                     3.
             Correos Fraudulentos Personalizados          Suplantación de identidad.
                                                                                                                                                                                             5.
                         Correos
             Correos FraudulentosFraudulentos
                                  Personalizados
                              Correos
                     (Spear Phishing).
                                                Personalizados
                                       Fraudulentos      SuplantaciónSuplantación
                                                    Personalizados      identidad. de
                                                                     deSuplantación  deidentidad.
                                                                                        identidad.                                                                                                      BANCO
                     (Spear Phishing).
                                 (Spear  Phishing).
                                       (Spear Phishing).                                                                              1.                  2.
                                                                                                                                                          x         4.
              53% 53%53%                                37% 37%
                                                        37% 37%                                                                                                               Financiero
                                                                             Sitio infectado         Sitio infectado
                                                                          Sitio infectado         Sitio infectado
                                                                                                                                           GERENTE

                                Enmascaramiento    de correos     Infección  de sitios frecuentemente  visitados                                                                               Fake Whatsapp
                 Enmascaramiento
                 Enmascaramiento de correos
                                 de  correos     Infección  de sitios frecuentemente       visitados
                           Enmascaramiento    deInfección
                                                  correos de sitios
                                         (Spoofing).
                                                                    frecuentemente
                                                              Infección   de empleados
                                                                         por
                                                                                         visitados
                                                                              sitios frecuentemente
                                                                                           (Watering  visitados
                                                                                                     Hole).                 Se presenta cuando se aproximan fechas de pagos
                        (Spoofing).
                        (Spoofing).                     porempleados
                                                       por  empleados(Watering
                                                                          (WateringHole).
                                                                                        Hole).                                                                                              Los criminales pueden
                                    (Spoofing).                       por empleados       (Watering Hole).
                                                                                                                            de nómina o cuando el gerente se encuentra fuera               suplantar conversaciones
                                                                                                                            de la compañía. En ocasiones vincula suplantacio-              a través de chats falsos.

             -                                                                                                              nes o instrucciones simuladas a través de servicios
         En el último año, los ataques BEC lideran las cifras                                                               de mensajería.
 2019    de denuncias por estafas recibidas por las
         Autoridades: (Fiscalía y Policía).
Tendencias de Cibercrimen en Colombia | Ataque BEC                                                                                                                                                                            16
                                                                                                                   3. SUPLANTACIÓN DE CLIENTES
   En una variante de esta modalidad, los cibercrimina-
   les utilizan técnicas de ingeniería social basados en                                                             En esta modalidad los cibercriminales engañan a clientes para que
   SOCMINT y OSINT para obtener información de las                                                                   hagan pagos de sus facturas pendientes y el dinero llegue a cuentas
   compañías, sus proveedores y clientes.                                                                            bajo control del atacante.
                                                                                                                                                                           2.
                                                                                                                                                                                    FACTURA
                                                                                                                                                                                             $
                                                                                                                                                                                             $

                                                                                                                                                                                             $

                                                                                                                                                COMPAÑÍA                             TOTAL
                                                                                                                                                                                             $
                                                                                                                                                                                             $

                                                                                                                                                                                             $

                                          COMPAÑÍA                                                          5.                                                                                                3.
                                                                                                                                                              1.    FACTURA
                                                                                                                                                                                $
                                                                                                                                                                                $

                                                                       2.                                                                                          TOTAL
                                                                                                                                                                                $
                                                                                                                                                                                $
                                                                                                                                                                                $

                                                                                                                                                                                $

                                                            1.                     3.                                                                                                                B ANCO
                                              PRODUCCIÓN
                                                                   x                                                               5.
                                                                                                                                                   CARTERA

                                                                                                                                                                                             4.
                                                                                        PR
                                                                                             OV
                                                                                               EE
                                                                                                    DO
                                                                                                      R

                                                                                                                     Para poder retirar el dinero, los criminales abren cuentas
                                                                                                                     bancarias con datos y documentación sustraída de las
                                                                                                              4.     empresas afectadas mediante ingeniería social. Luego,
   Luego de recolectar información disponible en redes
                                                                                                                     dispersan el dinero valiéndose de mulas bancarias.
   sociales y fuentes abiertas, los criminales diseñan
   escenarios simulados o Pretexting y mediante
   Spoofing Mail envian correos fraudulentos a provee -
   dores de mercancías o suministros y otros, consiguien-                                                                                                                                                Money Mule
   do al final que dichos productos sean despachados a                                                                                                                                            Son personas que pres
   lugares bajo control de estas organizaciones crimina-                                                                                                                                          tan sus datos y cuentas
   les.                                                                                                                                                                                           bancarias para recibir
                                                                                                                                                                                                  dinero producto de activi
                                                                                                                                                                                                  dades ilícitas.

           De:     gerente@empresacolombia.com              Spoofing Mail                                                                                                    x
           Para:
                                                            Creación de correos electrónicos suplantando la                                             Solicitud Datos
                                                            identidad de una persona o empresa, para hacerse                                  GERENTE
                     De:     gerente@empresa_colombia.com   pasar por ella y engañar al destinatario. En ocasio_
                     Para:   Proveedor                      nes, los cibercriminales solo cambian un símbolo o
                                                            letra del correo remitente original.

                                                                            correo@empresacolombia.com                                                       COMERCIAL              RR.HH                FINANCIERO
                                                                            correo@empresacolombia.org
                                                                            correo@empresacolombia.co
         De igual manera, pueden adquirir dominios                          correo@empresacolombia.gov
         no asegurados por la compañía víctima.
Tendencias de Cibercrimen en Colombia                             Principales modalidades de cibercrimen en Colombia: Ransomware

    4.

 RANSOMWARE
 Una ciberamenaza subestimada en Colombia

                                            Aunque no se trata de una modalidad reciente, este tipo de ataque que deriva su
                                            nombre de la combinación de las palabras Ransom ó rescate en inglés y ware alusi-
                                            vo a Software (Ransomware: Software de Rescate), ha tenido un auge en los últimos
                                            dos años en Colombia muy vinculado al creciente uso de las Criptomonedas como
                                            medio para monetizar las ganancias del Cibercrimen a nivel mundial.
Tendencias de Cibercrimen en Colombia | Ransomware                                                                                                                                                                          20

RANSOMWARE
      Colombia recibió el 30% de los ataques de Ransomware
      en Latinoamérica en el último año, seguido de Perú (16%),
      México (14%), Brasil (11%) y Argentina (9%).
             Las PYMES fueron el blanco preferido por los cibera-
                                                                                               83%
                                                                                      De las empresas carecen
                                                                                                                  Los vectores utilizados por los cibercriminales apuntan generalmente
                                                                                                                  al envío masivo de correos electrónicos con llamativos y alarmantes
                                                                                                                  asuntos que consiguen en un porcentaje muy alto que las víctimas den
                                                                                                                  clic sobre los enlaces incluídos en los mensajes que notifican.
      tacantes, pues conocen que los niveles de seguridad                             de      protocolos     de
                                                                                      respuesta a la violación
      suelen ser más bajos en este tipo de compañías.                                 de políticas de seguridad   El principal medio de propagación del Ransomware de tipo Lockscreen
                                                                                      de la información.
                                                                                                                  (caracterizado por impedir el acceso y el uso del equipo mediante una
                                                                                                                  pantalla de bloqueo), sigue siendo el correo electrónico, puesto que una
                                  Empresas reportaron ataques de Ransomware
                       717         exitosos contra sus sistemas en 2019.                                          vez engañado el usuario es dirigido a un servidor para descargar el
                                                                                                                  malware.
                                                                                                                  Una vez ejecutado el archivo infectado, este cifra la información, evitan-
                                                                                                                  do cualquier acción por parte de diferentes sistemas de seguridad
      Esta problemática mundial ahora ocupa el esfuerzo por igual de com-
                                                                                                                  como antivirus, Sandbox, firewall, para exigir una posterior suma de
      pañías de ciberseguridad, servicios antimalware y fuerzas de ley respon-
                                                                                                                  dinero a cambio de posiblemente restablecerla.
      sables de la lucha contra el cibercrimen global como lo es EUROPOL e
      INTERPOL.
                                                                                                                                            3.    consultacomparendos.co
                                                                                                                                                                           Servidor web donde se
      Pese a todos estos esfuerzos la posibilidad de acceder a la información                                                                                               almacena el archivo
                                                                                                                                                      DESCARGAR
      secuestrada sigue siendo muy baja, en parte porque a diario se detec-                                                                                                       infectado

      tan nuevas familias de Ransomware y la capacidad de encontrar las                                                1.
      claves descifradoras se hace igualmente compleja.

                                                                                                                                                                                                 DESCARGAR
                                                                                                                                                                                     INFECTADO
                                                                                                                                                                                     INFECTED

      VECTORES MÁS COMUNES EN UN ATAQUE DE RANSOMWARE:
                                                                                                                  Crea o copia el código fuente
                                                                                                                                                                                                                 4.
                                                                                                                          Ransomware
                                                                                                                                                                                      Link de descarga

                                                                                                                       2.                                                                        5.

                                                                        Foto      Citaciones         a                                                                                SECUESTRO DE INFORMACIÓN
        Embargos       Reportes a centrales   Alarmas de transfe-                                                    ARCHIVO INFECTADO
                                                                     comparendo   diligencias judicia-                                                                                    Usuario abre el correo,
        judiciales         de riesgos.        rencias no consenti-                                                 Suplantación de identidad
                                                                                  les                                                                                             ejecuta y descarga el archivo infectado
                                                      das.                                                           Sube archivo servidor
Tendencias de Cibercrimen en Colombia | Ransomware
                                                                                                                                                                                                                                           22

       En todos los casos, bien sea por archivos adjuntos a correos electrónicos                                                                                        Oops, sus archivos han sido encriptados

       o redireccionamientos a enlaces se consigue la infección del sistema a                                  1.                                                             Sus archivos importantes están encriptados!

                                                                                                                                                                              Muchos de sus documentos, fotos, videos, bases de datos y
                                                                                                                                                                              otros archivos no están disponibles porque han sido

       comprometer.                                                                                                                                     El pago debe
                                                                                                                                                        hacerse en:
                                                                                                                                                                              encriptados.

                                                                                                                                                                              Puede recuperar sus archivos. Si quiere recuperárlos todos

       En Colombia han sido detectado principalmente cinco tipos de clases de
                                                                                                                                                                              deberá pagar: haga click aquí para completar el trámite.

                                                                                                                                                        Tiempo restante
                                                                                                                                                        06:23:58:55

       Ransomware:                                                                                                                                      o perderá sus
                                                                                                                                                                                                            B
                                                                                                                                            5.          archivos
                                                                                                                                                                                      Revisar pago                          Desencriptar

                      Ransomware de cifrado  cifra archivos
                      personales y documentos, hojas de cálcu-
                      lo, imágenes y videos.                                           2.
                      Lock Screen Ransomware WinLocker
                      Bloquea la pantalla del PC y solicita el                              COMERCIAL                FINANCIERO        AUDITORÍA

                      pago.
                                                                                              DATOS COMPAÑÍA          DATOS COMPAÑÍA

                                                                                       3.
                                                                                                                                       DATOS COMPAÑÍA
                                                                                                       $                       $
                                                                                                       $                       $                $
                                                                                                                                                $

                      Master Boot Record (MBR) Ransomwa-                                                                                                                                         4.                            GERENTE

                      realware es la parte del disco duro del PC
                      que permite iniciar el sistema operativo.
                                                                                             COMERCIAL                FINANCIERO         AUDITORÍA

                      Ransomware de cifrado de servidores web
                      Su objetivo son los servidores web y cifrar
                      sus archivos.                                                Las cifras de cobro de rescate oscilan entre 0,5 y 5 BITCOINS, y el monto

                      Ransomware de dispositivos móviles   Los                     que perciben los atacantes depende de la cotización de la criptomoneda.
                      dispositivos móviles (principalmente An-                     La dificultad en la trazabilidad de las transacciones de Criptomonedas, se
                      droid) pueden infectarse mediante des-                       ha convertido en un aliciente para las redes de cibercriminales que, en el
                      cargas no oficiales.
                                                                                   modelo de ecuación criminal, entienden que siempre las ganancias perci-
                                                                                   bidas serán mayores a las probabilidades de ser arrestados o condenados.

       Del análisis de muestras remitidas al laboratorio se destacan variacio -
       nes de Wannacry, Crysis, Darma, y Ryuk, los cuales han sido responsa -
       bles de la interrupción, obstaculización, modificación y encriptación del                                    Existe ransomware que secuestra la información de teléfo
       flujo normal de los datos en la mayoría de las entidades afectadas.                                          nos celulares y en estos casos, el vector de infección es un
       Estos enlaces redireccionan a sitios web maliciosos desde los cuales el                                      enlace remitido a través de un mensaje de texto o chat.
       cibercriminal consigue que la víctima descargue el malware que compro-
       mete los datos de la compañía.
Tendencias de Cibercrimen en Colombia | Ransomware                                                                                                                                   24

    Número de muestras de ransomware

    3,5                                                                                                     En los últimos meses el RANSOMWARE “SAMSAM” cobró relevancia
                                                                                                            en Colombia, porque permite al atacante el robo de contraseñas
    3
                                                                                                            para el acceso remoto a los dispositivos a través del acceso a creden-
    2,5
                                                                                                            ciales RDP (Remote Desktop Protocol ) y de ese modo secuestrar la
    2                                                                                                       información de las compañias víctimas.
    1,5
    1
    0,5                                                                                                     Estos ataques estuvieron dirigidos a entidades o individuos con efec-
    3       Enero     Febrero    Marzo            Abril   Mayo      Junio     Julio   Agosto   Septiembre   tos altamente severos por la complejidad del ataque. SamSam elevó
             0
             0
                        0
                        0
                                   0
                                   0
                                                    0
                                                    0
                                                           0
                                                           0
                                                                      0
                                                                      0
                                                                               0
                                                                               0
                                                                                        0
                                                                                        0
                                                                                                   0
                                                                                                   0
                                                                                                            el monto de los rescates al situarlo entre 32 millones de COP hasta
             0          0          0                0      0                            0          0
                                                                                                            más 160 M por ataque.
                                                                      0        1
             0          0          0                0      0          0        1        0          0
             0          0          0                0      0          0        0        0          0
             0          0          0                0      0          0        0        0          0
             0          0          0                0      0          0        0        0          0
             0          0          0                0      0          0        0        0          0
             0          0          0                0      0          0        0        0          0        El Ransomware GandCrab mucho mas común que SAM SAM exigió
             0          0          0                0      0          0        0        0          0
             0          0          0                0      0          0        0        0          0        rescates a partir de 3 M COP . Todos los rescates se piden en Bitcoin.
             0          0          0                0      0          0        0        0          0
             1          0          1                0      0          2        1        0          0

                                         Uliwis                  CryptoWall
                                         Satan                   TeslaCrypt
                                                                                                            Para los casos que fueron atendidos por el laboratorio, se ha podido
                                         Ryuk                    Mamba                                      evidenciar un notorio crecimiento en este tipo de ataques, debido a
                                         Darma                   Petya
                                                                                                            que los ciberdelincuentes utilizan diversos métodos criptográficos
                                         Crysis                  Grandcrab
                                         Reveton                 WannaCry
                                                                                                            para poder incorporar nuevos mecanismos de dificultan la detección.
                                         TottentLocker

        Este tipo de software no discrimina el tamaño de las organizaciones ni la
        infraestructura, por el contrario, su alcance logra sobrepasar los controles
        de seguridad, volviéndose generalmente inmune a cualquier sistema de                                                                                       32M COP
        prevención y detección, debido a sus técnicas de ofuscamiento en la                                                                                         a 160M
        estructura del código.                                                                                                                                    por ataque
Tendencias de Cibercrimen en Colombia                    Principales modalidades de cibercrimen en Colombia: Ataque DDOS

    5.

 ATAQUE DDOS
 Ataque de denegación de servicio

                                        Los Ataques de Denegación de Servicio son utilizados para inhabilitar un servi-
                                        cio ofrecido por un servidor, haciendo colapsar el sistema aprovechando sus
                                        vulnerabilidades.
Tendencias de Cibercrimen en Colombia | Ataque DDoS                                                                                                                             28

      Las páginas y demás aplicaciones Web, son activos esenciales para el                                 Bien sea por competencia desleal, empleados inconformes o ciber-
      negocio de muchas empresas en Colombia, pues desde allí se atienden                                  criminales, los Ataques DDoS consiguen saturar los recursos de los
      a terceros y clientes o se convierten en las principales plataformas infor-                          sistemas que alojan los servicios que se quieren degradar hasta el
      mativas de sus productos y servicios online (eCommerce).                                             punto de dejarlos en estado no funcional.
        convierten en las principales plataformas informativas de sus productos y servicios
      Un ataque de denegación de servicios dis-
      tribuído DDoS, inhabilita el uso de un siste-
                                                                               eCommerce
      ma,ataque de denegación
          una aplicación o unde servicioscon
                              servidor,   DoS,elinha
                                                 fin                            Colombia
       bilita el uso deel
                       unservicio
                          sistema,para
                                  una aplicación o un ser                                                  ATAQUE DE DENEGACIÓN DE SERVICIO
      de   bloquear                    el que está
       vidor, con el fin de bloquear el servicio para el que                 1.5% PIB
      destinado. Estos ataques pueden tener su
       está destinado. Estos ataques pueden tener su
      origen en fallas de configuración o- em-
       origen en fallas de configuración o empleados                                                                                    1.
      pleados inconformes.

                                Según cifras del Centro Cibernético Policial, 170 empresas
          170                   reportaron ataques DDoS que consiguieron interrumpir sus
                                servicios de cara a sus clientes.

                                                                                                                                  2.
      En los últimos años los ciber atacantes han evolucionado sus técnicas hasta                                                                           4.
      el punto de utilizar complejas redes maliciosas o BOTNETS con las que consi-
      guen elevar de manera considerable el número de peticiones al servicio                                                                                      5.
      online que se quiere afectar.

                                                                                         2019
      Esto, hasta lograr la caída e interrupción del ser-
                                                       -
      vicio, ocasionando graves daños reputacionales                                Ataques DDos
      y operativos a las compañías. Esta variante se                           Aumentó la demanda de                           CARGANDO

      conoce como Ataque DDoS.                                                 ataques de larga duración             3.
                                                                               mediante inundación de
                                                                               HTTP.

                                            Es una red de equipos informáticos o Bots controlados
                       Botnet                remotamente y utilizados como plataforma para
                                              lanzar Ciberataques.
Tendencias de Cibercrimen en Colombia | Ataque DDoS                                                                                                                              30

       FACTORES MÁS COMUNES DE ATAQUES DDOS EN COLOMBIA:

     1. Reconocimiento y escaneo de los servicios de la compañía a afectar.

                                                                                            Correo Electrónico
     2. Utilización de redes Botnet para lanzar ataques dirigidos a los servi-
                                                                                            Fecha: Miércoles, 15 Feb 2019 12:42:31 +000
     cios online.                                                                           From: DDoS team 
                                                                                            btw: Ataque temporalmente detenido.
                                                                                            Si el pago no se recibe en 5 horas, el ataque se reinicia y el precio se doblará.
     3. Interrupción de los servicios para los usuarios y terceros (clientes).
                                                                                            ------------ Original Message ----------------

     4. Exigencia mediante correo electrónico o chat de ciberextorsión.
                                                                                            From: DDoS team 
                                                                                            Subject: ATAQUE DDOS!
                                                                                            Fecha: Miércoles, 15 Feb 2019 09:32:33
     5. Solicitud y demanda de pagos en criptomonedas, principalmente                       Hola,
     Bitcoins.                                                                              Sus cuentas son extremadamente vulnerables a un ataque DDos. Quiero ofrecerle
                                                                                            información acerca de cómo configurar su protección y seguridad, para que no sufra
                                                                                            de algún ataque de denegación de servicios.
                                                                                            Si quiere arreglarlo, consigne 1.5BTC a - 1E8R3hjksd2UhjkfsZ76SHGUJHWW6 -

                                                                Los cibercriminales en
                                                                promedio pueden exigir
                                                                montos que oscilan
                                                                entre 4- 10 BTC.

      Dado el impacto generado en las compañías y la necesidad de poder                  En algunos casos, el cibercriminal aprovecha la proximidad de fechas
      restablecer oportunamente la operación, el Cibercrimen ha incorpora-               clave para el negocio de la empresa objetivo del ataque y envían co-
      do extorsión o Ciberchantaje a la cadena criminal de este ataque.                  rreos electrónicos o chats a los responsables de TI o directivos de com -
                                                                                         pañías, para que transfieran pagos a cuentas y billeteras electrónicas y
      Según INTERPOL, acceder a las pretenciones de los cibercriminales                  así suspender los ataques.
      sólo contribuye a que estas redes dispongan de más recursos para
      sofisticar sus ataques.
Tendencias de Cibercrimen en Colombia                              Principales modalidades de cibercrimen en Colombia: Malware

    6.

 MALWARE
 Software malicioso

                                        Los cibercriminales utilizan el malware con múltiples finalidades, tales como
                                        extraer información personal o contraseñas, robar dinero o evitar que los propieta-
                                        rios accedan a su dispositivo. Puede protegerse contra el malware mediante el uso
                                        de software antimalware.
Tendencias de Cibercrimen en Colombia | Malware                                                                                                                                                                             34

                                                                                                                                     De los ciberdelitos repor-

MALWARE
        El malware o software malicioso hace referencia a cualquier tipo de
        software maligno que trata de afectar a un ordenador, a un teléfono
                                                                                                                              57%
                                                                                                                               57%   tados en el país corres-
                                                                                                                                     ponden a hurtos por
        celular u otro dispositivo.                                                                                                  medios informáticos.                                        3.

        Se considera un tipo dañino de software si es destinado a acceder a
                                                                                                                                                                                                 Hurto por medio informático
        un dispositivo sin el conocimiento del usuario consiguiendo el con-
        trol de los datos y/o la información de la víctima o realizando proce-
        sos sin la autorización del titular del sistema comprometido.                                                                                 POLICÍA
                                                                                                                                                                            2.
                                                                                                                                                                POLICÍA

                                                                                            COLOMBIA                                                                             FINANCIERO
                                                                                                                                                                                                       Robo de Datos

        El malware puede afectar equipos de cómpu-
        to, tablets, teléfonos celulares e incluso dispo-
                                                                                             612%                                        1.                      DIAN
                                                                                        Fue el crecimiento de
        sitivos IoT. La motivación de los atacantes en                                  los ataques de Malware
                                                                                                                                                                                                       Ransomware
                                                                                        en el país a en el último
        Colombia se basa en intereses económicos.                                       año.
                                                                                                                                                                                    ASESOR

                                                                                                                                                                TRÁNSITO

           MÉTODOS DE DISPERSIÓN DE MALWARE:
                                             32%
                                               32%                                                                                                              MIGRACIÓN
                                                                                                                                                                COLOMBIA

                                             32%                                                                                                                                    SECRETARIO

   63%
     63%                                                                              5%5%                                      El vector más utilizado para la infección de Malware en las compañías sigue
   63%                                                                                                                          siendo el envío masivo de correos electrónicos con archivos adjuntos que
                                          Redireccionamiento hacia sitios
                                                                                      5%                                        esconden el programa malicioso a instalar por el atacante.
                                                 Redireccionamiento
                                          web infectados               hacia sitios
                                                         por el atacante.
                                                 web infectados por el atacante.
                                                                                                                                Los asuntos más utilizados como señuelo para conseguir que la víctima
                                          Redireccionamiento hacia sitios
Correos     con    notificaciones          web infectados por el atacante.                                                       abra el correo, siguen siendo las alertas, notificaciones y citaciones judicia-
       Correos    con     notificaciones                                          Descarga de aplicaciones maliciosas.
suplantando entidades públicas.                                                        Descarga de aplicaciones maliciosas.
       suplantando entidades públicas.                                                                                          les, siendo nuevamente la suplantación de identidades gubernamentales
Correos    con     notificaciones
                                                                                  Descarga de aplicaciones maliciosas.
                                                                                                                                por tercer año consecutivo.
suplantando entidades públicas.

         La infección de Malware sigue en crecimiento, pasando de 99 casos de                                                                        En 2019, el Centro Cibernético Policial ha analizado
         empresas que reportaron infección de malware en su infraestructura en                                                                       447 muestras nuevas de Malware, con una tasa de
                                                                                                                                                     30% de éxito en el compromiso de sistemas de em-
         el año 2018 a más de 705 casos registrados durante el año 2019. Siendo                                                                      presas en Colombia.
         las PYMES las más afectadas por estos ataques.
Tendencias de Cibercrimen en Colombia | Malware                                                                                                                                                                           36

                                                                                                                 ANÁLISIS DE MUESTRAS 2019
      INFORME ANÁLISIS DE PROGRAMA MALIGNO EN COLOMBIA 2019:                                               140

                                                                                                                                                                                                       123
                                                                                                           120

                                                                                                                                                                                  100
      Para el año 2019, se han logrado analizar un total de 447 muestras, de las                           100

      cuales 33 han sido identificadas como código malicioso (Malware),                                    80

                                                                                                                                                                                                                    71
      correspondientes a: Virus, Troyanos, Backdoors, Rootkit, RAT, Dropper y                              60
                                                                                                                                                     50
      Ransomware.
                                                                                                           40                                                           34
                                                                                                                                         30

                                                                                                           20
                                                                                                                                                                  15
                                                                                                                     14
                                                                                                                              10                                            10         10
                                                                                                                                                                                                   6                7
                                                                                                                               1                        2         1
                                                                                                           0         0                      0

                                                                                                                    Enero    Febrero   Marzo       Abril    Mayo       Junio     Julio      Agosto           Septiembre
      ANÁLISIS DE MUESTRAS ESTADÍSTICAS GENERAL                                                                      14        10       30          50       15        34        100         123               71
                                                                                                                     0         1        0           2        1         10        10          6                 7
                                                                                           Ransomware: 7
       Android: 234
                                            Microsoft Windows: 50                                                     Muestras analizadas
                                                                                                                      Muestras positivas malware
                                  52%                          Mac OS: 24
                                                                                                           Muestras Analizadas por mes- Fuente Laboratorio Informática Forense

                                            15%                                    2%

                                                                                                                 PRINCIPALES MEDIOS PARA PROPAGAR MALWARE:
                                                  3%

                                                                                                1%              El correo electrónico se ha convertido en el medio más utilizado por los
                                                                                                                ciberdelincuentes para realizar campañas masivas de distribución de
                                                                                                                Malware a través de la suplantación de entidades oficiales (Fiscalía Ge-
                               28%
                                                                                                                neral de la Nación y la Dirección de Impuestos y Aduanas Nacionales).

                                            iOS: 122                   Linux: 10
                                                                                                                 Mediante el uso de mensajes de engaño inducen al usuario a visitar
       Muestras analizadas por Sistema Operativo- Fuente Laboratorio Informática Forense
                                                                                                                 lugares de dudosa reputación, evidenciado en la descarga de archivos
                                                                                                                 de características ejecutables, que terminan vulnerando la seguridad
                                                                                                                 del sistema para suplantar servicios legítimos del sistema operativo y
                                                                                                                 robar todo tipo de datos.
      De las cepas analizadas, un 8% se han recibido a través del servicio de CAI
      VIRTUAL y el 92% restante corresponden a solicitudes formales realizadas
      por diferentes despachos judiciales.
Tendencias de Cibercrimen en Colombia | Malware                                                                                                                                                           38

                                                                                                                             MALWARE “ZEBROCY”:

              Correo Electrónico
              De: Fiscalía General 
                                                                                                                           “ET TROJAN APT28 / Sofacy Zebrocy Go Variant CnC Activity”
              Date: jue, 12 sept 2019 a las 12:32
              Subject: BOLETA CITA FISCAL No. 004741
              To:
                                                                                                                           Mediante análisis realizado a un correo electrónico que contenía una
                                       De: FISCALÍA GENERAL DE LA NACIÓN N0. 07 Sede Bogotá
                                                        Enviado 11/09/2019                                                 dirección URL, se logró detectar la presencia del Malware Zebrocy de tipo
                                              Asunto: IMPORTANTE BOLETA CITA FISCAL
                                                 Número de Proceso: 0091-002018.0917764
                                                                                                                           Backdoor, potencialmente catalogado como peligroso, debido al alto nivel
                        El presente es un requerimiento enviado a declarar por el proceso 0091-002018.0917764 con fecha    de sofisticación en su estructura, puesto que puede ocultar componentes
                        de inicio 27 agosto de 2019. Respectivamente anexamos su boleta de citación a la Fiscalía 07 con
                        motivos de declaraciones donde se detalla lugar, fecha y hora de ésta misma, y así mismo toda la   maliciosos como Downloader´s y Troyanos en el sistema operativo Win-
                        información necesaria para usted.
                                             Éste archivo está protegido por su seguridad.                                 dows, además de contar con un tipo de inteligencia artificial que no le per-
                                          VISUALIZAR A TRAVÉS DE UN COMPUTADOR
                                                                                                                           mite ejecutarse bajo ambientes controlados.
                        Descargar su Proceso Judicial en: https://fiscaliagen.gov.co/proceso-0091-002018.0917764

                                                                 Atentamente,                                              Este software permite tomar control de la máquina mediante comandos
                                                     Fiscalía General de la Nación Sede 7
                                                    Diagonal 22B #52 - 01 (Ciudad Salitre)                                 conocidos como (REG_GET_KEYS_VALUES, CMD_EXECUTE), los cuales
                                                               +57 (1) 570 20 00
                                                      Abierto · Atendemos hasta las 4pm                                    envían al ciberatacante información sobre llaves de registro del sistema, en
                                                          Ciudad Bogotá- Colombia.
                                                                                                                           un lapso de entre 2 a 5 minutos, omitiendo los diferentes controles de segu-
                                                                                                                           ridad de los diferentes antivirus.

       Durante los meses de Septiembre y Octubre se analizaron diversas mues-
       tras de Malware para Sistemas Operativos Android (.APKs), identificando
       un común denominador frente a los permisos cargados en memoria (an-
       droid.permission.WRITE_EXTERNAL_STORAGE) el cual permite que se mo-
       difique la información almacenada en los dispositivos externos conectados
       (MicroSD), exponiendo la información del usuario e incrementado los índi-
       ces de compromisos.

       Es de aclarar que no todas las aplicaciones móviles necesitan utilizar alma-
       cenamiento interno para su funcionamiento, pero en su mayoría son                                                      Tabla de Importaciones- Fuente Laboratorio de Informàtica Forense
       usados como memoria secundaria.
Tendencias de Cibercrimen en Colombia | Malware                                                                                                                                                                          40

                                                                                                                                           MUESTRAS MÁS ANALIZADAS:
        La efectividad en que este malware logra múltiples .DLL (Bibliotecas de
        enlaces dinámicos), para poder realizar llamados a componentes malicio-
        sos, demuestra una gran capacidad para escalar privilegios de usuario.                                                         Para el presente estudio se analizaron un total de 234 muestras bajo la
        El archivo binario original utiliza packer UPX, para poder ofuscar la                                                          extensión APK. pertenecientes a Sistemas Operativos Android, hallando
        estructura de la tabla de importaciones, con el fin de ser indetectable                                                        muestras positivas para Malware, de las cuales un 89% llegan a ser Crypto-
        por los antivirus.                                                                                                             miner y el otro 11% Adware.

           37 MUESTRAS DE MALWARE ANALIZADAS
           Ransomware
                                                                                                                                       El método tradicional que utiliza el cibercriminal para infectar los dispositi-
                                   19%
                                                                                                         7                             vos es el de propagar anuncios publicitarios fraudulentos por medio de las
           Troyanos
                                               27%                                                                                     redes sociales y diferentes navegadores, con la finalidad de atraer la aten-
                                                                                                                          10

           CriptoMiner                                                                                                                 ción del usuario, para que ejecute la acción deseada y así lograr infectar el
                              3%
                                         1                                                                                             dispositivo móvil.
           Exploits
                              5%
                                                     2

           Gusanos
                              3%
                                         1
           Spyware
                               11%
                                                                        4
           Backdoors

                                         24%
                                                                                                                     9
           Adware

                              3%
                                         1
           Virus

                              5%
                                                     2

                      Virus          Adware          Backdoors   Spyware    Gusanos   Exploits   CriptoMiner   Troyanos   Ransomware
                       5%                3%              24%      11%        3%        5%           3%          27%            19%
                       2                 1               9        4          1         2            1           10             7

                           Porcentaje de afectación
                           Malware analizado
         Muestras de Malware Analizadas - Fuente Laboratorio Informática Forense                                                       Este malware hace que se deteriore la vida útil del dispositivo, toda vez
                                                                                                                                       que requiere utilizar un 100% de los recursos físicos con que cuenta el
                                                                                                                                       mismo, para poder realizar procesos de minería en la creación de mone-
        Es de anotar que la muestra más analizada pertenece a Malware de tipo                                                          das virtuales.
        Troyano, siendo este un indicador de compromiso de alto riesgo, ya que
        por su comportamiento pueden poner en riesgo la infraestructura tecno-                                                         En segundo puesto con un 27% le siguen los ejecutables con extensión
        lógica de cualquier organización.                                                                                              .IPA con un total de 122 muestras analizadas propias de sistemas operati-
                                                                                                                                       vos iOS.
Tendencias de Cibercrimen en Colombia                   Principales modalidades de cibercrimen en Colombia: SIM Swapping

    7.

 SIM
 SWAPPING
 Secuestro o cambio de SIM CARD

                                        Este tipo de estafa explota una de las mayores vulnerabilidades de las tarjetas
                                        SIM: el hecho de que funcionan en cualquier plataforma. Lo hace gracias a lo
                                        que se conoce como “ingeniería social”, la técnica de los cibercriminales para
                                        llevar a cabo el SIM swaping, el cual consiste en confundir a los vendedores de
                                        empresas de celulares y lograr que transfieran los números a tarjetas controla-
                                        das por ellos.
Tendencias de Cibercrimen en Colombia | Sim Swapping                                                                                                                                                                                         Tendencias de Cibercrimen en Colombia | Sim Swapping                                                                                                         44

                                                                                                                                                                                                                                             Los cibercriminales pueden conseguir datos de las víctimas en mercados ile-                                                   SEGURIDAD APLICADA AL FORTALECIMIENTO DE LAS EMPRESAS

     Según datos de la Comisión Federal de Comercio de los EEUU FTC por
                                                                                                                                                                                                                                             gales en las darknet o bases de datos de usuarios infectados con Malware y
     sus siglas en inglés (Federal Trade Commission), los casos reportados por
                                                                                                                                                                                                                                             víctimas de suplantanción de identidad. Con esta información reportan como
     robo de identidad para la obtención de SIMCARD ante operadores de
                                                                                                                                                                                                                                             robado el teléfono ante el operador y consiguen obtener un duplicado de la
     telefonía celular representan actualmente 9,8% del total de casos repor-
                                                                                                                                                                                                                                             tarjeta SIM de la víctima.
     tados en 2018.
                                                                                                                                                                                                          Celulares son reportados como
     Lo más complejo del asunto es que                                                                                                                                                            99        robados en Colombia cada hora.
                                                                                                                                                                                                                                                                                                                              Operador teléfonico
     los criminales usan la “nueva” SIM
     CARD, para tener acceso a cuentas                                                                                                                                                                                                                                                                                                      2.
     financieras que usan autenticación
                                                                                                                                                                                                 30%          Hurto de celulares en                                                     1.                   datos

                                                                                                                                                                                                              Colombia en 2019.
     de dos factores a través de mensajes
     de texto (2FA).
                                                                                                                                                                                       La autenticación de dos factores (2FA),
                                                                                                                                                                                                                                                            6.
                                                                                                                                                          Nuevo password
                                                                                                                                                                             X X X X   proporciona seguridad adicional en el                                                                    datos                   3.
                                                                                                                                                                                       proceso de inicio de sesión. Utiliza la con-
                  BANC O

                  Autenticación de Usuario
                  Lorem ipsum dolor sit amet, consectetuer adipiscing elit, sed diam nonummy nibh euismod tincidunt ut laoreet dolore magna aliquam erat volutpat. Ut wisi
                  enim ad minim veniam, quis nostrud exerci tation

                                                                                                                                                                                       traseña habitual para acceder a un
                                                                                                                                                                                       correo electrónico o una cuenta, y
                                                                                                                                                                                       además proporciona un código de verifi-
                                                                                                                                                                                       cación de un segundo dispositivo, nor-                                                                  GERENTE

                                                                                                                                                                                       malmente un teléfono móvil.
                                                                                                                                                                                                                                                                                                                                                    4.
                                                                                                                                                                                                                                                                                                             Nuevo Password
                                                                                                                                                                                       El 2FA es utilizado por servicios de correo elec-                                       BA NCO                   5.           xxxx
                                                                                                                                                                                       trónico, redes sociales, y muchas otras aplicacio-
                                                                                                                                                                                       nes.

     El duplicado de la tarjeta SIM es fundamental para obtener la doble veri-

SIM
     ficación que muchos bancos utilizan para autorizar pagos y transferen-                                                                                                                                                                  Posteriormente, consiguen suplantar al usuario en el sistema financiero y ob-
     cias a sus clientes, generalmente un código es enviado vía SMS al teléfo-                                                                                                                                                               tener el código 2FA para realizar transacciones y afectar los activos económi-
     no celular del usuario para poder finalizar estas transacciones.                                                                                                                                                                        cos de las empresas.

     Las apps de los bancos son muy seguras, y disponen                                                                                                                                                                                                   El SIM Swapping también es usado en la

SWAPPING                                                                                                                                                                                                                                                                                                                                            55%
     de claves de acceso, cifrado de las comunicaciones                                                                                                                                                                                                   cadena criminal del BEC y permite crear
     y teclados virtuales. Sin embargo, los ciberdelin-                                                                                                                                                                                                   chats falsos suplantando a gerentes
     cuentes a través de ingeniería social, consiguen en-                                                                                                                                                           Ce rca del 90% de los      ante las áreas financieras, consiguiendo me-                                            De los ciberdelitos denuncia-
                                                                                                                                                                                                                    ciberataques que                                                                                                    dos en Colombia son por        -
     gañar por medio de técnicas de persuación y mani-                                                                                                                                                              sufren las empresas        diante engaño la transferencia de activos a                                                  hurto informático.
                                                                                                                                                                                                                    en Colombia se deben
     pulación psicológica.                                                                                                                                                                                          a ingeniería social.
                                                                                                                                                                                                                                               cuentas bajo control del criminal.
Tendencias de Cibercrimen en Colombia                              Principales modalidades de cibercrimen en Colombia: Cryptojacking

    8.

 CRYPTOJACKING
 Minería de criptomonedas

                                        El uso de un hardware del visitante de una página web sin su permiso, para minar
                                        criptomonedas es un problema para usuarios y compañías que se financian con la
                                        publicidad (el 90% de Internet). Y más ahora que el Bitcoin está batiendo récords.
Tendencias de Cibercrimen en Colombia | Cryptojacking                                                                                                                                                                                               48

                                                                                                                                                                                                 SEGURIDAD APLICADA AL FORTALECIMIENTO DE LAS EMPRESAS

              Un ataque de cryptojacking tiene como objetivo generar criptomo-
              nedas por medio de comandos computacionales de un tercero.                                                                    4.
              Los cibercriminales utilizan al menos dos técnicas con las cuales se
              valen del poder computacional de servidores, equipos de cómputo                                                                                          3.
              e incluso teléfonos celulares de las víctimas.
                                                                                                                                                   4.
                                                                                                                                                                      3.
              Las víctimas pueden ser objeto de ataques de Criptojacking cuando
              acceden a sitios web infectados. En este caso, las páginas visitadas por
              los empleados pueden contener un código javascript que transforma                                                 1.
                                       Millones de dólares es el estimado percibido por la
                                        56
              de manera pasiva y silenciosa  el navegador
                                          criptominería    del usuario en un criptomi-
                                                        ilegal.
              nero. Como resultado, los sistemas se ralentizan ya que la capacidad
                                                                                                                                       1.

              de procesamiento de la máquina afectada empieza a ser utilizada por
                                                                                                                                            2.
                                                                                                                                                   2.
              el atacante.
                        4.
                                                                         3.                                            Trojan.Nymeria.12
                                                                                                                               Trojan.Nymeria.12

                                                                Millones de dólares es el estimado percibido por la
                                                        56         criptominería ilegal.

                                                                                                                                                                                43%
                                                                                                                                                                                   Monero en circulación ha

                                                                                                                                                                                 43%
                                     SITIO WEB
                                                                                                                                                                                            Monero
                                                                                                                                                                                   sido generado       en circulación
                                                                                                                                                                                                     mediante
                                                                                                                                                                                   cryptojacsido
                                                                                                                                                                                              king. generado median

                                 4.4.                                                                                                                                                cryptohacking.
                                                                         3.3.                                         En una segunda modalidad, el Centro Cibernético Policial (CCP) analizó
                                                                                                                      muestras de malware encontradas en correos electrónicos enviados a
                                                 SITIOSITIO
                                                      WEB WEB
                                                                                                                      distintas empresas en Colombia. El resultado permitió identificar el
                                                 www
1.                      2.                                                                                            malware “Trojan.Nymeria.12”, que se hace pasar por el Host de servicios
                                                                                                                      nativos de Windows “Svchost.exe”, bajo el nombre de “Scvhost.exe”.

                                 2.2.                                                                                 Las pruebas realizadas permitieron percibir un déficit del funcionamien-
              1.1.                                                                                    33.000          to de la máquina, creando llaves de registro y consumo excesivo de
                                                                                                                      recursos físicos usados para poder minar criptomonedas.
                                                                                                  Sitios WEB
                                                                                                33.000
                                                                                           Se Sitios
                                                                                                 calcula
                                                                                                     WEB que están
                                                                                           infectados con Coin
                                                                                                                       Este método sobrecarga los equipos y disminuye la pro-
                                                                                         SeHive.
                                                                                             calcula que están                                                                    CARGANDO
                                                                                                                       duccción de la empresa y puede sobrecargar el consumo
                                                                                         infectados   con   Coin
                                                                                         Hive.
                                                                                                                       de otros recursos.
Tendencias de Cibercrimen en Colombia           Principales modalidades de cibercrimen en Colombia: Tendencias Cibercrimen 2020

    9.

 TENDENCIAS
 CIBERCRIMEN
 2020

                                        Durante el 2020, se prevé un incremento en el número de ciberataques que utilizan
                                        inteligencia artificial, además de la automatización de ataques ya consolidados
                                        como phishing bancario a través de redes sociales.
52

2020
 TENDENCIAS 2020
                                                                                                      BEC basado en Deepfake
                                                                           Las empresas en Colombia podrán recibir audios e inclu-
                                                                           so videos, en los cuales los cibercriminales suplanten a
                                                                           ejecutivos, clientes y proveedores para conseguir trans-
        En 2020 el Cibercrimen seguirá sofisticando su actuar de-          ferencias de dinero o despacho de productos.
        lictivo y utilizará las capacidades tecnológicas disponibles
        a su favor.                                                        La tecnología Deepfake es una técnica basada en Inteli-
                                                                           gencia Artificial, que coloca imágenes o videos sobre
                                                                           otro video, así como imitación de voces.

                                   Inteligencia Artificial y Malware
            El escaneo automatizado de vulnerabilidades por parte de
                                                                            Uso de Botnet para difusión de correos extorsivos
                                                                            Se prevé el incremento de casos de Sextorsión, basados
            los Cibercriminales facilitará la detección de víctimas po-
                                                                            en el envío masivo de mensajes por parte de los ciber-
            tenciales. El Malware podrá detectar si un sistema de
                                                                            criminales utilizando equipos controlados remota-
            seguridad le está analizando (sandbox) y se auto eliminará.
                                                                                                                         Monero
                                                                            mente (Botnet). La tasa podrá alcanzar hasta 30     en circulación
                                                                                                                            mil co-
  Lo anterior supone un desafío adicional para los investigadores,          rreos por hora.                              sido generado median

  porque estas técnicas antiforenses eliminarán evidencia digital en los
  equipos y sistemas infectados de empresas y ciudadanos víctimas.

                                                                                         Uso de mercados ilegales en DarkNet
                                                                            El cibercrimen seguirá utilizando los foros de la Dark-
                                                                            Net para la venta de datos bancarios en la internet Pro-
                          Uso de perfiles falsos en redes sociales          funda. Aprovecharán e l creciente uso de Criptomonedas
                                        para difusión de Malware            en Colombia para facilitar la dispersión de las ganancias
               Cuentas falsas en redes sociales como Twitter y Face-        de los Ciberataques.
               book serán usadas para generar contenidos de manera
               automatizada masificando las cifras de infección de
               malware.
Tendencias de Cibercrimen en Colombia             Principales modalidades de cibercrimen en Colombia: Recomendaciones

  10.

 RECOMENDACIONES

                                        Para ayudar a las empresas en Colombia a poner en marcha los procesos
                                        internos con los que mejorar su ciberseguridad hemos preparado una serie
                                        de recomendaciones a implementar según el nivel de madurez y avance de
                                        su plan y marco de seguridad adoptado.
56
RECOMENDACIONES
                                                                                                           El uso del teléfono celular por parte de empleados y ejecutivos
El 60% de las pequeñas y medianas empresas, no                                                             se ha convertido en otro factor de riesgo. Al gestionarse desde
pueden sostener sus negocios más de seis meses                                                             a l l í tareas tan sensibles para una organización c o m o e l c o r r e o e l e c t r ó n i c o ,
luego de sufrir un ciberataque importante.
Ésto demuestra que los factores en torno a los Ci-                                       60%               puede perderse información valiosa o incluso necesitarse inver-
                                                                                                           tir altas sumas de dinero para recuperar datos y volver a prote-
berataques a PYMES en Colombia comprometen
seriamente los activos económicos e impactan                                            PYMES              ger las plataformas y sistemas comprometidos.
asuntos estrictamente legales y de cumplimiento
de las compañías.

                                                                                                           U n a adecuada gestión del correo electrónico disminuye l a o p o r t u n i d a d q u e
                                                                                                           tienen los cibercriminales de afectar a las compañías. Una ade-
                                                                                                           cuada política de almacenamiento de información en la nube
R e c i e n t e m e n t e f u e p r e s e n t a d o e l E s t á n d a r ISO/IEC 27701, c u y o o b j e -   sería de mucha utilidad; establecer por ejemplo, qué tipo infor-
tivo es proporcionar orientación sobre la protección de la privaci-                                        mación y durante qué tiempo puede permanecer almacenada en
dad, incluida la forma en que las organizaciones deben gestionar                                           estos repositorios virtuales.
la información personal, además de ayudar a demostrar el cumpli-
miento de la normativa en privacidad, como el Reglamento Gene-
ral de Protección de Datos, en todo el mundo.

L a s c o m p a ñ í a s q u e n o d i s p o n g a n d e u n SGSI Sistema de Gestión de Seguri-
dad de la Información p u e d e n i m p l a n t a r l a s n o r m a s I S O / I E C 2 7 0 0 1 e            E s t a b l e c e r p a u t a s r e s p e c t o a l a prohibición de uso de la cuenta de correo
ISO/IEC 27701 de manera conjunta.                                                                          corporativo p a r a d a r s e d e a l t a e n u n s e r v i c i o d e i n t e r é s p e r s o n a l
                                                                                                           tales como una aplicación de juegos, citas u ocio. Las empresas
                                                                                                           tardan meses e incluso años en enterarse que las contraseñas de
   La privacidad de la información, sin duda, es muy importan-                                             correo de las cuentas de sus directivos y empleados han sido
   te para todos los tipos de organizaciones, grandes                                                      comprometidas y expuestas en foros de data leaks en internet,
                                                                                                           luego de que cibercriminales han conseguido robar información
   o pequeñas sin importar si pertene-
                                                                                                           de servidores de terceros en los cuales se habían registrado em-
   cen al sector público o privado o se
                                                                                                           pleados haciendo uso de credenciales corporativas.
   trata de una entidad gubernamen-
   tal o sin ánimo de lucro.
58

Otro aspecto para considerar en las compañías guarda una re-                                     L a C i b e r s e g u r i d a d e m p r e s a r i a l e x i g e q u e l a s organizaciones sean diná-
l a c i ó n d i r e c t a c o n l a política de proveedores y clientes y su relacionamiento      micas e innovadoras. P o r e l l o , c a m b i a r l a s e s t r u c t u r a s t r a d i c i o n a l e s
con la Ciberseguridad empresarial. E l f r a u d e B E C , a p r o v e c h a p o r e n d e       puede ser una importante decisión a la hora de enfrentar ame-
cualquier duda o espacio que exista como punto débil de las                                      nazas, de acuerdo con su tamaño y activos a proteger las com-
comunicaciones entre una empresa y sus partes interesadas                                        p a ñ í a s d e b e n e s t u d i a r l a i n c o r p o r a c i ó n d e l a fi g u r a d e l C I S O ( O -
en la cadena productiva.                                                                         fi c i a l o D i r e c t o r d e S e g u r i d a d d e l a I n f o r m a c i ó n ) .

Esta ruptura o falla en el relacionamiento conlleva a que se
generen por ejemplo pagos no autorizados, despachos a ter-                                       Cada empresa sigue un modelo organizativo diferente, por lo
ceros sin validar o transferencias de activos hacia cuentas en                                   que las funciones del CISO pueden variar según la madurez o la
poder de los cibercriminales. Por ello, es muy importante que                                    actividad de la organización, pudiendo haber una fusión entre
e l empresario defina todos los procedimientos q u e s e d e b e n s e g u i r e n s u           e s t a fi g u r a y o t r a s c o m o l a d e l D P O ( D a t a P r o t e c t i o n O f fi c e r ) o l a
organización para autorizar pagos u otros, siempre en aras de                                    d e l C S O ( C h i e f S e c u r i t y O f fi c e r ) .
minimizar la oportunidad de fraude.

La tecnología entonces juega un papel muy importante pues
                                                                                                 Sin importar el escenario del Ciberataque y la complejidad que
establecer mecanismos perimetrales de protección a y u d a a d e t e c t a r d e
                                                                                                 e s t e s i g n i fi q u e p a r a l a e m p r e s a , t o d a s l a s o r g a n i z a c i o n e s d e b e n
manera temprana muchas de las amenazas cibernéticas a las
                                                                                                 prepararse para gestionar un incidente cibernético. Esa labor
que se ven expuestas las compañías, por ejemplo, servicios
                                                                                                 previa involucra a todos los empleados y directivos, por lo que es
antivirus, antimalware y anti-phishing deben ser considera-
                                                                                                 m u y i m p o r t a n t e definir cuales son los roles y responsabilidades q u e t i e n e
dos como esenciales a la hora de implementar la infraestruc-
                                                                                                 cada uno de los actores involucrados en el plan de respuesta y
tura para la operación del negocio.
                                                                                                 gestión de un incidente cibernético.

                                                                                                 La formación y concienciación en ciberseguridad contribuyen en
                                                                                                 e s e n c i a a q u e c a d a i n t e g r a n t e d e l a o r g a n i z a c i ó n i d e n t i fi q u e l o s
                                                                                                 riesgos y las amenazas a las que está expuesta la compañía y
                                                                                                 como se convierte en la primera barrera de contención de un
                                                                                                 ataque.

                                                                                                 La Ciberseguridad es un compromiso de todos.
   Recuperarse de un ciberataque es muy importante, y las
   c o m p a ñ í a s d e b e n d e s a r r o l l a r l a capacidad de Ciberresiliencia e n u n
   enfoque de extremo a extremo sobre tres áreas críticas: la
   seguridad de la información, la continuidad del negocio y la
   capacidad de recuperación de las redes de las empresas;
   para garantizar que las organizaciones sigan funcionando
   durante los ciberataques.
También puede leer