CenturyLink

Informe Sobre Amenazas

 Resumen ejecutivo:
Conforme proliferan las ciberamenazas, las empresas, los gobiernos y los
consumidores con frecuencia esperan encontrar la solución mágica a los
problemas de ciberseguridad. Con tantos puntos de vista distintos respecto del
panorama de estas amenazas, la tarea de identificar información adecuada para
actuar al tiempo que se prioriza a quién y qué proteger, no es sencilla. Mientras
tanto, el crecimiento de las ciberamenazas sigue siendo explosivo, y el costo de
proteger a las empresas y a los consumidores continúa en aumento.

Nadie es completamente inmune a las ciberamenazas actuales o futuras.

Esto puede relacionarse con los desafíos comerciales que las organizaciones
enfrentan en el mundo conectado actual. Al igual que nuestros clientes, en
CenturyLink trabajamos incansablemente para protegernos de los agentes
maliciosos en constante evolución y cada vez más sofisticados que se
encuentran al acecho para explotar cualquier debilidad.

En este informe, como hacemos de manera regular con nuestros clientes,

colegas investigadores sobre seguridad y otros proveedores de Internet líderes,
le ofrecemos a la comunidad de TI los mismos conocimientos exclusivos
que usamos para protegernos a nosotros y a nuestros clientes, con el fin de
retomar el control y anticiparnos a los ciberdelincuentes. Esta información se
diferencia de otros informes sobre amenazas en el sector debido a que se basa
exclusivamente en aquello que los Laboratorios de Investigación de Amenazas
de CenturyLink observan a través de nuestra red troncal mundial.

El informe comienza con nuestra percepción sobre las fuentes del tráfico
malicioso global y las víctimas a las que este apunta. Luego analizamos los
componentes del tráfico de ataques al identificar los orígenes de los servidores
de comando y control (C2s) y las bots que estos controlan, junto con un
informe sobre los objetivos de sus ataques, en comparación con los de todas
las amenazas que monitoreamos. Por último, se presenta un análisis profundo
y exclusivo sobre la evolución y las tendencias principales con respecto a las
botnets en dispositivos de IoT que se utilizan para generar ataques DDoS.

2
ÍNDICE
El complejo panorama de las amenazas globales..........................................4

Tráfico malicioso según el país de origen.....................................................4

C2s por país de origen...............................................................................6

Los 5 principales países que hospedan bots..............................................8

Hosts comprometidos (bots) por país de origen..........................................9

Principales países afectados por el tráfico de bots.......................................11

Análisis de las botnets en dispositivos IoT para ataques DDoS....................13

Los 10 C2 más activos de las familias Gafgyt y Mirai....................................14

Totales, clases y volúmenes de comandos de ataques

Gafgyt y Mirai.........................................................................................16

La diferencia de los Laboratorios de Investigación

de Amenazas de CenturyLink....................................................................17
 El complejo panorama de
las amenazas globales.
Nuestra visión única del mundo
Hoy en día, más de 4,000 millones de personas
–prácticamente la mitad de la población mundial–
tienen acceso a Internet. Entre los petabits de
datos que atraviesan nuestra red troncal mundial,
los Laboratorios de Investigación de Amenazas
de CenturyLink registraron una media de 195,000
amenazas por día en 2017, que afectaron a un
promedio de 104 millones de objetivos individuales
por día. A efectos del presente informe, “objetivos”
hace referencia a servidores, computadoras,
dispositivos portátiles o conectados a Internet
(IoT) que pertenecen a empresas, entidades
gubernamentales y consumidores individuales. El
término “víctimas” se utiliza para referirse a aquellas
entidades cuyos servidores, computadoras y
dispositivos se encuentran comprometidos y se
utilizan para atacar los objetivos antes descritos.
Primero nos fijamos en los atacantes. Como se
comunicó en ediciones anteriores de nuestro informe
sobre amenazas (véanse Attack of the Things [El
Tráfico malicioso según el país de origen en todo 2017
Primeros 10 países en el mundo
1. Estados Unidos de América
2. Rusia
3. China
4. Brasil
5. Ucrania
6. Alemania
7. Francia
8. Países Bajos
9. Turquía
10. Reino Unido
4 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017
ataque de las cosas] y How the Grinch Stole IoT
[Cómo el Grinch se robó la IoT]), las geografías
con un crecimiento fuerte o rápido de redes e
infraestructura de TI siguen siendo la principal
fuente de actividad cibercriminal. Hace poco, en
una cumbre sobre ciberseguridad llevada a cabo en
Denver, estado de Colorado, los oradores indicaron
que el énfasis en la capacitación en STEM (ciencia,
tecnología, ingeniería y matemáticas, por sus siglas
en inglés) en los países de rápido desarrollo se ha
sumado a la proliferación de los agentes maliciosos.
Sin embargo, los Estados Unidos, Rusia y China
llevan la delantera como las tres fuentes más
comunes de actividad maliciosa en Internet.
En cuanto al tráfico malicioso según el país de
origen, se han dividido los datos al clasificarlos
según los 10 países que más tráfico generan desde
una perspectiva mundial, y se incluyen divisiones
adicionales con respecto a los orígenes del tráfico
malicioso en Europa, América Latina y Asia Pacífico.
8
2
10 6 5
1 9 3
7
4
 Tráfico malicioso según el país de origen en todo 2017

Primeros 10 países europeos

1
1. Rusia
2. Ucrania
6 5
37
3. Alemania 4 9
4. Francia 8
5. Países Bajos 10 2
6. Reino Unido
7. Polonia
8. Italia
9. Rumania
10. España

Primeros 5 países latinoamericanos 3

5
1. Brasil
2. Argentina
3. México
1
4. Chile
5. Colombia
4
2

Primeros 5 países de Asia Pacífico 1 2

4
1. China
2. Corea del Sur 3
3. Vietnam
4. India 5
5. Australia

5 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 A continuación, se observan algunas de las diferentes variedades de actividad maliciosa que monitorea
CenturyLink, comenzando por la parte más alta de la jerarquía en que los ataques son dirigidos por sistemas C2.

El tráfico entre una red y un servidor C2 es un indicador de riesgo poderoso de que existe un host vulnerable
y que puede estar comprometido. Según la topología de la red, este host comprometido también puede
darle al atacante acceso a los dispositivos detrás de los mecanismos de seguridad vigentes. El rastreo de
datos de servidores C2 revela los hotspots (zonas de gran actividad) de las víctimas y los núcleos donde se
concentra la actividad de los agentes maliciosos.

Servidores de C2 según el país de origen en todo 2017

Primeros 10 países en el mundo 6

3 2
10 8 5
1. Estados Unidos de América 1 4
2.
7
Rusia
3. Ucrania
4. China
5. Alemania
9
6. Países Bajos
7. Francia
8. Reino Unido
9. Brasil
10. Canadá

Primeros 10 países europeos

1
1. Rusia 6 4
2. 39
Ucrania 5 7
3. Alemania 10
4. Países Bajos 8 2
5. Francia
6. Reino Unido
7. Italia
8. España
9. Polonia
10. Turquía

6 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 Servidores de C2 según el país de origen en todo 2017

Primeros 5 países de Asia Pacífico 1 2

3
4 5
1. China
2. Corea del Sur
3. Japón
4. India
5. Hong Kong

Primeros 5 países latinoamericanos 2

4
1. Brasil
2. México 1
3. Argentina
4. Colombia
5. Chile
5
3

7 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 Mientras que el análisis de C2 en general coincide en gran medida con el tráfico malicioso por país, es
importante tener en cuenta que es probable que quien controla el C2 no se encuentre en el mismo país
que el servidor de C2. La ubicación del C2 es afectada por los mecanismos disponibles al delincuente. Los
Estados Unidos encabezan la lista debido a la solidez de las redes y al volumen de dispositivos dentro de sus
fronteras. A su vez, los países que permiten la operación no controlada de empresas de hosting mostrarán
también un volumen desproporcionado de C2 dentro de sus fronteras, lo que hace que en este caso Rusia y
Ucrania ocupen puestos más altos en la lista. Los proveedores de servicios de Internet que operan en países
que prestan atención limitada o poco estricta a las leyes o reglamentos suelen denominarse bullet-proof (a
prueba de balas).

Aunque los Laboratorios de Investigación de Amenazas de CenturyLink trabajan junto con los proveedores
para desmontar los servicios de soporte, los hosts bullet-proof rara vez cumplen con las normativas y, como
resultado de ello, su tráfico resulta mitigado a través de nuestro backbone global.

Por lo general, para iniciar un ataque eficaz, los servidores de C2 necesitan controlar una botnet. Las botnets
son grupos de hosts individuales comprometidos, o bots, a menudo controlados por un solo C2. Una bot
puede ser un servidor, una computadora o cualquier dispositivo IoT comprometido, como un DVR, una
cámara de seguridad, un teléfono celular, etcétera. Las botnets más peligrosas contienen cientos de miles de
miembros esperando para atacar de manera inmediata; afortunadamente, las botnets
de esta magnitud son cada vez menos frecuentes en la actualidad.

Al ser una bot, el dispositivo comprometido ya ha sido infectado por malware. Se ha comunicado con el C2
y ha identificado qué es y cuáles son sus capacidades. En este momento, la bot simplemente espera recibir
instrucciones para lanzar un ataque contra un objetivo utilizando un conjunto específico de parámetros.

Se comprobó que cada uno de los millones de bots que rastrean los Laboratorios de Investigación de
Amenazas de CenturyLink estaba en comunicación con un servidor de C2 conocido.

1.8 5 principales países que más bots alojan – (promedio diario)

millones

454,000

248,000

158,000 147,000

Estados Unidos China Brasil Reino Unido Alemania

de América

8 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 Este cuadro y los que le siguen muestran una visión más integral del panorama de las bots por región.
Se ha comprobado la interacción de estos hosts con servidores de C2 conocidos a través del backbone
global de CenturyLink.

Hosts comprometidos (bots) según el país de origen en todo 2017

Primeros 10 países en el mundo

7
1. Estados Unidos de América
4 59
2.
6 1 8 2
China 10
3. Brasil
4. Reino Unido
5. Alemania 3
6. Canadá
7. Rusia
8. Francia
9. Italia
10. India

Primeros 5 países europeos

3
1. Reino Unido 1
2. Alemania 2
4
3. Rusia 5
4. Francia
5. Italia

9 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 Hosts comprometidos (bots) según el país de origen en todo 2017

Primeros 5 países latinoamericanos 2

5 4
1. Brasil
2. México 1
3. Argentina
4. Venezuela
5. Colombia

Primeros 5 países de Asia Pacífico 1 5 3

4
2
1. China
2. India
3. Japón
4. Taiwán
5. Corea del Sur

Se ha considerado sobre todo a los agentes maliciosos que controlan los C2 y las botnets; sin embargo,
también es importante evaluar los objetivos de estos ataques.
Los países y las regiones con una sólida infraestructura de comunicaciones no solo suministran sin saberlo
el ancho de banda para estos ataques, sino que además son los mayores objetivos según el volumen de
comandos de ataque.

10 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 Primeros 20 países en el mundo afectados por el tráfico de bots en todo 2017

1. Estados Unidos 2. China 3. Alemania 4. Rusia 5. Reino Unido

de América

6. Brasil 7. Japón 8. Francia 9. Italia 10. Corea del

Sur

11. Canadá 12. Países Bajos 13. España 14. Taiwán 15. Sudáfrica

16. Suecia 17. Polonia 18. Australia 19. Noruega 20. Argentina

En estos gráficos se puede apreciar la distribución de los ataques según los principales países y
regiones que son víctima de ataques.

Primeros 5 países - Mundial Primeros 5 países - Europa

Objetivo en todo 2017 Objetivo en todo 2017
Estados Unidos Reino Unido
de América
Alemania
China
Rusia
Brasil
Reino Unido España

Alemania Francia

Primeros 5 países - Latinoamérica Primeros 5 países - Asia Pacífico

Objetivo en todo 2017 Objetivo en todo 2017

Brasil China
México Japón
Argentina Corea
Colombia India
Chile Taiwán

11 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 Análisis de las botnets en dispositivos IoT
para ataques DDoS
Gafgyt y Mirai
La explotación de los dispositivos de IoT para
crear botnets para ataques DDoS volumétricos
comenzó seriamente en los últimos años. Tal como
lo informaran los Laboratorios de Investigación de
Amenazas de CenturyLink, Gafgyt, un precursor
de Mirai, comenzó a usar dispositivos IoT como
botnets para ataques DDoS en 2014.
Gafgyt (que también se denomina
BASHLITE, Lizkebab y Torlus) es una
forma de malware diseñado para
infectar los sistemas Linux con el
fin de lanzar ataques DDoS.
Escrita en lenguaje C, Gafgyt fue diseñada para ser
compilada entre las múltiples arquitecturas con las que
se ejecuta Linux, lo que la hace especialmente eficaz
para comprometer dispositivos IoT y otros sistemas
que suelen utilizar sistemas operativos de código
abierto para disminuir los costos. Gafgyt implementa
una arquitectura estándar cliente/servidor modelada
vagamente sobre una conversación interactiva en
Internet relay chat (IRC, por sus siglas en inglés).
Mirai apareció por primera vez en el otoño de 2016
y pronto demostró una evolución eficaz para el
lanzamiento de ciberataques basados en dispositivos
IoT. Mirai es responsable del lanzamiento de lo que,
hasta marzo de 2018 fue el mayor ataque DDoS del que
se tenga registro. Además de atacar krebsonsecurity.
com, sus variantes fueron responsables del ataque a
Dyn, que detuvo el tráfico dirigido hacia varios sitios
web populares en Europa y Norteamérica. Desde
que se lanzó el código fuente de Mirai en octubre de
2016, CenturyLink ha seguido varias evoluciones de
Mirai, incluidas Satori, Masuta, OMG y Okiru. Seguimos
trabajando con investigadores en todo el mundo para
aislar e identificar nuevas variantes. Dado que estos
derivados de imitación no difieren en gran medida del
Mirai original, en nuestra investigación se los categoriza
bajo el encabezado de Mirai.
12
Cómo funcionan las botnets de dispositivos IoT:
La base de estas dos botnets consiste en escanear
dispositivos vulnerables. Una vez identificados los
dispositivos vulnerables, se les ordena conectarse
a un servidor de descarga para instalar el malware.
Luego pueden recibir instrucciones de escanear
puertos en busca de dispositivos vulnerables o de
utilizar escáneres externos para encontrar y desarrollar
nuevas bots potenciales. En algunos casos, los
propios agentes utilizan los servidores de C2 para
escanear e infectar. Existen varios métodos de
infección diferentes, que incluyen forzar credenciales
de registro en líneas de comando seguras (SSH) y
servidores Telnet, como también la explotación de
falencias de seguridad conocidas en otros servicios.
¿Cómo deciden los agentes maliciosos qué variante
de malware utilizar? Tienen muchas herramientas a su
disposición al momento de atacar sus objetivos. Estas
botnets DDoS son apenas algunas de las herramientas
que pueden llegar a utilizar. Hemos visto a los mismos
operadores alternar entre Gafgyt y Mirai, para atacar
algunas veces al mismo objetivo.
Mirai y Gafgyt han sido relacionadas con ataques DDoS
contra servidores de videojuegos y contra quienes
eran considerados rivales del dueño de la botnet.
Los operadores intentan orientar el tráfico hacia los
servidores de videojuegos que ellos controlan. Según
Krebs on Security, un exitoso y extendido servidor de
Minecraft con más de mil jugadores que inician sesión
todos los días, fácilmente puede hacerles ganar a los
dueños del servidor más de USD 50.000 por mes. Los
ingresos provienen principalmente de jugadores que
alquilan el espacio en el servidor para construir sus
mundos de Minecraft y adquirir artículos y habilidades
especiales en el juego.
También pueden operar según un modelo de alquiler
de DDoS, mediante el cual alquilan los servicios de
website stressor a terceros bajo el pretexto de que el
dueño del sitio quiere “poner a prueba” o estresar la
conectividad de su sitio web en Internet.
Desde luego, no hay confirmación de que alguien sea
el dueño del sitio web que desea “poner a prueba”.
 Es importante tener en cuenta que con estas dos familias y sus operadores los objetivos tienden a cambiar
con frecuencia. No hace mucho hemos identificado que varios de estos operadores se pasaron o cambiaron
a minería de bitcoins, utilizando las bots que habían cultivado para robar los recursos de procesamiento en
lugar de utilizarlas para atacar.

Cómputo de C2 por familia (con respecto a la

Gafgyt
actividad registrada en 2017):
562 C2 exclusivos registrados en 2017,
Mirai y sus variantes han sido foco de numerosos Tiempo de actividad mínimo: un día,
Tiempo de actividad máximo: 117 días.
titulares y de una cobertura constante en las
noticias; no obstante, los Laboratorios de Mirai
Investigación de Amenazas de CenturyLink han 339 C2 exclusivos registrados en 2017,
registrado más ataques de Gafgyt con más víctimas Tiempo de actividad mínimo: un día,
y de duración mucho más extensa. Tiempo de actividad máximo: 83 días.

Los 10 C2 más activos de cada familia en 2017:

Este cuadro rastrea los C2 más activos de las familias de botnets Gafgyt y Mirai, así como el tiempo durante el
que han estado activas. Si bien CenturyLink no puede desactivar un C2 que no esté dentro de nuestra esfera de
control, sí podemos evitar que acceda a nuestra red y recursos. No obstante, mitigar un C2 siempre es el último
recurso, y apuntamos a trabajar con la comunidad más extensa de Internet para resolver el riesgo en primer lugar.
Después de identificar un C2, los Laboratorios de Investigación de Amenazas de CenturyLink confirman que se
trata de una amenaza viable que busca provocar daños y hace varios intentos para notificar el problema a los
proveedores de hosting y servicios upstream.

Luego de estos intentos, se mitiga el tráfico del C2 sobre nuestro backbone global para que los ciberdelincuentes
no puedan utilizar los recursos de nuestra red para perpetrar ataques. En muchos casos, cuando es necesario,
incluso contactamos al dominio de nivel superior (top level domain, TLD) y al registrador para intentar desactivar
el dominio, aunque esta medida arroja resultados diversos. Por consiguiente, a pesar de que el cuadro que sigue
indica que algunos C2 han estado activos hasta cuatro meses, los Laboratorios de Investigación de Amenazas
de CenturyLink mitigaron el tráfico a pocos días de haber identificado la amenaza, de acuerdo con nuestro
compromiso de servir como buenos administradores de Internet.

Días de actividad de Gafgyt C2 Días de actividad de Mirai C2

185.165.29.39 117 network.bigbotpein.com 83

185.165.29.47 104 ikbensupercool.nl 60
185.165.29.25 95 snicker.ir 60
185.165.29.41 67 cn.uvgczsuidrtg.com 57
185.165.29.111 66 185.188.206.99 54
103.214.111.121 58 upfiles.online 53
179.43.146.30 50 cnc.linuxam.com 51
185.165.29.117 44 internetpolice.ml 39
185.165.29.125 44 serversrus.club 39
104.168.171.25 43 neuvostoliitto.tk 36

13 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 El importante tiempo de actividad máximo de los C2 de Gafgyt y Mirai suele ser resultado de proveedores de
hosting que no tienen control sobre el contenido que manejan (bullet-proof), como ya se ha indicado.

El atractivo de los desarrollos de Mirai y Gafgyt es que les ofrecen a los agentes maliciosos una amplia variedad
de opciones personalizables para llevar a cabo sus ataques. La determinación del tipo de ataque específico
utilizado se basa en la capacidad del software, los deseos del cliente malicioso, el objetivo y el resultado
deseado. Cada comando de ataque puede incluir una lista de direcciones IP objetivo, dominios objetivo,
puertos, servicios y duraciones específicas.

Total de mandos de ataque emitidos por mes

Segundo semestre de 2017
22,000
112,013 Gafgyt
20,000
71,473 Mirai
18,000

16,000

14,000

12,000

10,000

8,000

6,000

4,000

2,000

Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Total

El cuadro que sigue revela las formas UDP y STD (las descripciones aparecen a continuación) como la clase
principal de ataque de Gafgyt según nuestras observaciones.

Tipos y volúmenes de mandos de ataques de Gafgyt Observados

Segundo semestre de 2017
12,000
11,000 47,877 std
10,000 45,607 udp
9,000 10,248 http
8,000 8,281 tcp
7,000
6,000
5,000
4,000
3,000
2,000
1,000

Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Total

14 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017

 Los ataques HTTP flood (saturación) y UDP (saturación y simple) son tres de los tipos de ataques más
utilizados con Mirai, según nuestras observaciones.
Tipos y volúmenes de mandos de ataques de Mirai Observados
Segundo semestre de 2017
10,000
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
Junio Julio Agosto
Diferentes clases de ataques relacionados con Gafgyt y Mirai
UDP Flood [Mirai] y STD [Gafgyt]
Se usa un ataque por saturación del protocolo
de datagramas de usuario (UDP, por sus siglas en
inglés) para lanzar un bombardeo de paquetes hacia
un objetivo específico. En un ataque de clase UDP
flood, el puerto de destino puede estar predefinido
o ser aleatorio. Por lo general, el puerto fuente es
aleatorio, y el IP fuente puede ocultarse con facilidad,
con lo que el atacante se pone a salvo de recibir una
respuesta del sistema atacado de manera remota.
 
Valve [Mirai]
Valve Source Engine Query Flood es un ataque
basado en UDP diseñado para enviar pedidos
de Source Engine Query (consulta de motor de
búsqueda), que generan demandas de recursos
excesivas sobre el servidor objetivo cuando se las
envía desde varias direcciones falsificadas en altos
volúmenes. El volumen de solicitudes satura el
servidor, lo que provoca que se deniegue el servicio.
Este tipo de ataques se ha utilizado con servidores
de videojuegos debido a su posibilidad de
amplificación. Cuando se envía este tipo de consulta,
el servidor responde con información acerca del
servidor de videojuegos, y esto se aprovecha para
generar demoras en el juego o cortes en el servicio
para obtener ventajas competitivas.
15 Fuente: Laboratorios de Investigación de Amenazas de CenturyLink, todo 2017
21,180 http_flood
20,517 udp_plain
10,339 syn_flood
8,370 udp_flood
5,671 ack_flood
5,396 valve
Septiembre Octubre Noviembre Diciembre Total
SYN Flood [Mirai] TCP [Gafgyt]
Un ataque por saturación de clase TCP SYN consiste
en que un agente malicioso envía solicitudes
sucesivas de sincronización (SYN) para desbordar
los servidores de la víctima, lo que resulta en
la incapacidad de esta última de responder
simultáneamente a las solicitudes de tráfico legítimo.
 
ACK Flood [Mirai] TCP [Gafgyt]
Un ataque por saturación ACK está estrechamente
relacionado con el SYN flood. El agente malicioso
satura el firewall de la víctima con paquetes ACK de
identidad falsa con el objetivo de desbordar el servidor.
  
UDP Plain [Mirai] UDP [Gafgyt]
El ataque UDP Plain es esencialmente un tipo de ataque
por saturación de UDP, solo que optimizado para que
tenga mayor velocidad. La falsificación de la identidad
(spoofing) no es posible con este tipo de ataque.
 
HTTP [Gafgyt] HTTP Flood [Mirai]
El tipo de ataque HTTP es un ataque de capa 7.
Crea una conexión válida con datos aleatorios, y se
completan cabeceras HTTP basadas en respuestas
HTTP. Los atacantes pueden usar tipos de solicitudes
GET y POST.
 Interpretación de los datos
Las empresas y los organismos gubernamentales necesitan una solución de
inteligencia que les ofrezca la capacidad de mantener la confidencialidad, la
integridad y la disponibilidad de los datos, los recursos de red y otros activos.
La diferencia de los Laboratorios de Investigación
de Amenazas de CenturyLink:
Los Laboratorios de Investigación de Amenazas
de CenturyLink recogen sus datos de una de
las mayores redes troncales del mundo, lo que
nos ofrece un campo de visión de enorme
profundidad cuando se trata de ciberamenazas
emergentes y en evolución.
CenturyLink compila 114 mil millones de registros
de NetFlow todos los días, lo que permite
capturar más de 1.3 mil millones de eventos
de seguridad diariamente y monitorear 5.000
servidores de C2 conocidos de manera continua.
Como uno de los equipos líderes en investigación
de seguridad en el sector para el rastreo y la
emisión de informes sobre botnets, y debido
a nuestra visión única de Internet, CenturyLink
contribuye con varios de los principales medios
de comunicación para informar a la comunidad
tecnológica más amplia acerca de las amenazas
que pueden afectarla, lo que incluye a Ars
Technica, CSO, MIT Technology Review, PC Mag,
Wall Street Journal, WIRED y muchos otros.
16
A diferencia de otras entidades de
investigación en seguridad, los Laboratorios
de Investigación de Amenazas de CenturyLink
no se limitan a monitorear el tráfico malicioso
de manera pasiva a través de la red. Este
equipo trabaja para prevenir activamente que
los agentes maliciosos usen los recursos de la
red de CenturyLink (o los de nuestros clientes)
para llevar a cabo actividades delictivas. Se
identifican decenas de nuevos C2 al mes y
se trabaja con los proveedores upstream de
servicio para inhabilitar sus servicios. En caso
de que no pudieran o no tuvieran la voluntad
de tomar acción alguna, es ahí cuando
CenturyLink interviene y toma las medidas
para proteger su red y las de sus clientes
(alrededor de cuarenta C2 por mes reciben
este tratamiento).
CenturyLink también colabora con otros
equipos líderes en inteligencia de Amenazas
a nivel global para compartir conocimientos
esenciales con el fin de crear una Internet
más segura.
Para mantenerse a la par de un enemigo que está en Conforme las organizaciones continúan obteniendo
evolución constante, es necesario que las empresas beneficios operativos al adoptar cada vez más
y los gobiernos comprendan el panorama de servicios basados en la nube, el perímetro de
amenazas en su totalidad, ya que afecta a sus redes. seguridad sigue variando y, en algunos casos, se
Al mismo tiempo, la inteligencia de amenazas sin disuelve. Mientras tanto, el gasto en seguridad crece
los filtros y las personalizaciones apropiados puede de manera exponencial. Al abordar la seguridad con
resultar fácilmente en una inundación de información un enfoque integral que recibe información sobre
que en última instancia paralice el análisis. amenazas que posibilita la acción, las empresas y
los organismos gubernamentales pueden acortar la
Con el gran volumen y la variedad de tipos de brecha de protección.
amenazas, aún dentro del subgrupo de ataques DDoS
a dispositivos de IoT, resulta fácil perder de vista las El alcance y la profundidad de los Laboratorios de
amenazas más peligrosas. Esto se advierte cuando Investigación de Amenazas de CenturyLink provienen
los titulares de las noticias buscan revelar los motivos, de una de las mayores redes troncales de IP del
las técnicas y las fuentes de las amenazas, pero mundo, de la infraestructura crítica que respalda las
pasan por alto avances importantes. Un ejemplo es operaciones globales de CenturyLink y las relaciones
la atención desproporcionada que recibe Mirai, con que se forman con nuestros clientes y pares del
un tiempo de permanencia notablemente inferior y un sector. CenturyLink adopta un enfoque proactivo
caudal de víctimas más bajo por volumen, por encima para proteger la Internet: cuando advertimos algo,
de la que se le presta a Gafgyt, que hasta ahora ha lo frenamos. Consideramos que la Internet es una
demostrado ser una amenaza más persistente. aldea, y cada uno de nosotros debe cumplir con su
parte para protegerla.

El presente documento se ofrece con fines informativos únicamente y puede requerir de investigación y corroboración adicional por parte
del usuario final. Asimismo, la información se provee “como está”, sin ninguna garantía o condición de ninguna naturaleza, ya sea expresa o
implícita. El uso de esta información es responsabilidad del usuario final. CenturyLink no garantiza que esta información vaya a satisfacer los
requisitos del usuario final ni que su implementación o uso arrojen el resultado deseado por el usuario final. El presente documento representa
los productos y las ofertas de CenturyLink desde la fecha de emisión.

Call +54.11.5170.1444 | Click centurylink.com | Email contacto.latam@centurylink.com

Lo servicios no están disponibles en todas partes. Solo para clientes empresariales. CenturyLink puede cambiar o cancelar productos y servicios o remplazar productos y servicios similares a su exclusivo
criterio sin previo aviso. ©2018 CenturyLink. Todos los derechos reservados. La marca, las rutas, el logo y determinados nombres de productos de CenturyLink son propiedad de CenturyLink. Las restantes
marcas son propiedad de sus respectivos propietarios.