10 de mayo Malware 2009 - SABIA-Groupsabia.tic.udc.es/docencia/ssi/old/2008-2009/docs/trabajos/Trabajo... · 4.1.4 Bomba lógica o de tiempo …………………………………………

Malware

10 de mayo

2009 Trabajo llevado a cabo durante el segundo cuatrimestre de la Asignatura de Seguridad de los Sistemas Informáticos 2008/2009, como práctica propuesta. El trabajo ha sido desarrollado por el alumno don José Luis Martínez Leyva.

MALWARE 10 de mayo de 2009

José Luis Martínez Leyva Página 2

Índice: 1. Introducción ……………………………………………………… Página 32. Conceptos generales de seguridad informática ………………….. Página 43. Programas Maliciosos (Malware) ………………………………… Página 94. Clasificación del software malicioso ……………………………... Página 114.1. Genéricos …………………………………………………………. Página 114.1.1 Virus ……………………………………………………………… Página 114.1.2 Gusano …………………………………………………………… Página 144.1.3 Troyano …………………………………………………………… Página 154.1.4 Bomba lógica o de tiempo ………………………………………… Página 184.1.5 Espía ………………………………………………………………. Página 194.1.6 Agujeros-Trampa del software ……………………………………. Página 224.2. Secundarios ………………………………………………………. Página 234.3. Gráficos resumen ………………………………………………….. Página 365. Detalles históricos acerca del software malicioso ………………… Página 385.1. Génesis (años 40 y 50) …………………………………………….. Página 385.2. Nace el Malware (años 70 y 80) y los “inmunizadores” ………….. Página 395.3. El apogeo del Malware …………………………………………….. Página 425.4. El nuevo milenio: amenaza global ………………………………... Página 495.5. La explosión global del malware (2007) …………………………. Página 556. Detalles sobre los casos más recientes de software malicioso …… Página 566.1. Ataques de Phising ……………………………………………….. Página 576.2. Ataques de Spoofing (contra teléfonos móviles) …………………. Página 576.3. Spam que no cesa ………………………………………………… Página 586.4. Falso Antivirus ……………………………………………………. Página 596.5. Herramientas de conexión inversa ……………………………….. Página 606.6. Redes sociales ……………………………………………………. Página 606.7. Troyano Download ……………………………………………….. Página 616.8. Gusanos que atacan a redes sociales ……………………………… Página 616.9. Redes inalámbricas maliciosas ……………………………………. Página 626.10. El Freeware que sale caro ………………………………………… Página 636.11. Ingeniería social ………………………………………………….. Página 646.12. Otros detalles recientes ……………………………………………. Página 647. Cómo conseguir niveles óptimos de seguridad …………………… Página 667.1. Análisis de riesgos ……………………………………………….... Página 677.2. Puesta en marcha de una política de seguridad …………………… Página 687.3. Amenazas “no informáticas” ……………………………………… Página 687.4. Consideraciones sobre el software ……………………………….. Página 697.5. Consideraciones sobre la red ……………………………………… Página 697.6. Algunas afirmaciones falsas sobre seguridad informática ……….. Página 707.7. Nivel óptimo de seguridad y protección de la información ……… Página 708. Conclusión y síntesis ….………………………………………... Página 72



1. Introducción.

“Sentenciado a 4 años de cárcel por distribuir software malicioso”. “El “Rey del Spam” es sentenciado a 3 años y 11 de prisión”.

“Cinco años de presión a personas que vendían software ilegal”. “Spammer condenado a más de dos años de prisión”.

Titulares de noticias aparecidas en prensa.

Hace sólo unos pocos años, este tipo de noticias eran simples anécdotas, sin embargo, hoy día son relativamente frecuentas y no solo eso, también es frecuente encontrarnos con spammers1 y hackers2 que son obligados a pagar multas millonarias. Por ejemplo, el personaje conocido por John Schiefer (“botmaster”), asesor de seguridad informática en la ciudad de Los Ángeles, que con tan solo 26 años infectó más de 250.000 ordenadores para, haciéndelas zombis3, robar información personal como identidades y cuentas bancarias, acaba de ser sentenciado a 4 años de cárcel con el cargo de distribuir software malicioso.

De acuerdo con los fiscales, Schiefer hacía uso de cierto software para infectar computadoras y convertirlas en zombis. Todos estos equipos

1 Profesional experto en informática situado en la cúspide del conocimiento en la materia específica de que se trate; en éste trabajo se confundirá muy a menudo con el término cracker (el hacker malicioso). 2 Distribuidor de correo electrónico basura. 3 Zombi, ordenador que infectado por algún tipo de software malicioso ejecuta determinadas actividades dañinas por un tercero que lo controla.



formaban parte de una red de bots4 . Además tendrá que pagar la suma de $19,000 dólares a PayPal5 y otras empresas que resultaron perjudicadas.

Por otro lado, en reciente estudio la empresa Google asegura que una de cada diez páginas de Internet contiene algún tipo de software malicioso. La ubicación de código malicioso en sitios de internet representa una tendencia distinta a los métodos más tradicionales de infectar computadoras, como por ejemplo la utilización de archivos adjuntos a mensajes de correo electrónico. De acuerdo con la investigación, el aumento del contenido generado por usuarios le ha ofrecido a los delincuentes nuevos canales para atacar, por ello los mensajes dejados en blogs y foros podrían contener vínculos a imágenes y otros contenidos que podrían infectar al usuario.

2. Conceptos generales de seguridad informática. La seguridad informática consiste en asegurar que los recursos del sistema de información (hardware y software) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Un sistema informático es seguro (aunque como veremos nunca al 100%), si se encuentra libre de peligro, daño o riesgo, que provoque malfuncionamiento del mismo o que de él se obtengan resultados no deseados. Para que un

4 BOT Robot en diminutivo, se trata de un programa informático que realiza diversas actividades imitando el comportamiento humano. 5 PayPal, empresa que se dedica a ofrecer servicio de pago por internet siempre que disponga de una cuenta de correo electrónico



sistema se pueda definirse como seguro, la información que contenga ha de estar sujeta a las características siguientes:

- Integridad: solo modificable por el que la creó. - Confidencialidad: accesible solo por el que esté autorizado. - Disponibilidad: accesible cuando se necesite. - No Repudio: que su autor no pueda negar que lo es.

Términos relacionados con la seguridad informática que hay que diferenciar: 2.1. Activo:

Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Se trata del elemento a proteger dentro del sistema y puede ser de tres tipos: la información en sí, elementos que soportan a dicha información (software y hardware) y los usuarios que la manejan. El activo más importante de la organización, se trata sin duda de la información, y más allá de los obstáculos físicos que interpongamos contra los posibles atacantes, es necesario establecer una serie de medidas que garanticen también la seguridad lógica, resguardando los datos y hacerlos solo accesibles a aquellos que estén autorizados; estas medidas compendiadas constituyen las políticas de seguridad que son consecuencia de un oportuno análisis de riesgos anterior.

2.2. Amenaza:

Evento que podría propiciar un incidente en la organización, originando daños materiales o pérdidas inmateriales en sus activos. Las amenazas pueden deberse a fenómenos tales como:

- Interrupción: se daña, pierde o deja de funcionar un parte del sistema, por ello su detección es inmediata y como ejemplo tenemos la destrucción de hardware, borrado de programas o datos, o fallos en el funcionamiento del sistema operativo.

- Interceptación: acceso a información por quienes no están autorizados; difícil de detectar o imposible como hacer copia ilícita de programas o hacer una escucha en línea.



- Modificación: acceso sin autorización con objeto de cambiar algo del sistema; de difícil detección aunque posible como por ejemplo cambios en el hardware o modificación de bases de datos.

- Generación: crear nuevos objetos en el sistema o falsificaciones, de difícil detección como por ejemplo añadir nuevos registros en una base de datos o realizar transacciones en la red sin autorización.

Un posible escenario resumen de las amenazas podría ser el siguiente:

2.3. Impacto:

Dada una determinada amenaza, la medida de las consecuencias de que se materialice, claro está dependiendo de los activos del sistema, sería el impacto. Existente una vulnerabilidad en determinado sistema (o, y valga como sinónimo, debilidad o bug6), ésta pasará a ser amenaza (o posible evento dañino) sobre el sistema cuando es fácil de explotar en cualquier sistema que la contenga, pasando a ser un riesgo (que veremos a continuación), que podría producir un impacto sobre el mismo tanto más grave conforme a la criticidad de la parte del sistema en que pueda actuar, no dependiendo, por tanto de la vulnerabilidad en sí. Un ejemplo claro fue el de la comprobación de que el algoritmo de hash MD57 (resumen de 128 bits) estaba realmente comprometido dada una

6 Bug del inglés polilla, proviene del error computacional que antiguamente se producía sobre los relés de las primeras computadoras cuando estos insectos se incrustaban en los circuitos aprovechando el calor que desprendían; hoy día se trata en general de debilidad o vulnerabilidad del sistema. 7 MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits.



posible explotación de colisiones (colisión fuerte8) para generar certificados falsos. En esencia, existe una Ley básica en seguridad informática que mide el impacto total sobre un sistema en razón a su coste económico: en general un medida encaminada a desfavorecer un posible impacto sobre un activo no ha de ser de mayor coste que el activo a proteger, teniendo en cuenta la posibilidad de materialización de la amenaza.

2.4. Riesgo: Posibilidad de que se produzca un impacto determinado en un Activo del sistema, en un Dominio o en toda la Organización. Como veremos, el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso, es un Plan estratégico consecuencia del análisis de riesgos pertinente, el cual nos permitirá alcanzar el nivel de seguridad adecuado y de paso conocer mejor el sistema a proteger (cuestión no baladí); Magerit9 o Chinchon10, aplicaciones gratuitas, constituyen buenas herramientas para llevar a cabo un buen análisis de riesgos. Como ya se dijo en el último párrafo del punto anterior, y redundando en ello, detrás del análisis de los riesgos sobre un sistema está el factor económico, que mide el activo en peligro. Básicamente llevaremos una labor de protección sobre el activo si se cumple la siguiente ecuación:

¿B < P ∗ L?

- B: carga o gasto que significa la prevención de una pérdida específica debido a una vulnerabilidad.

- P: probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa pérdida específica.

- L: impacto o coste total que significa la pérdida específica debido a esa vulnerabilidad que ha sido afectada por una amenaza.

8 Posibilidad computacional relativamente fácil de encontró un par de mensajes origen distintos con un hash igual Paradoja del cumpleaños: Para tener confianza en encontrar dos mensajes con el mismo resumen h(M) -probabilidad ≥ 50%- no habrá que buscar en 2n (p.e. 2128), bastará una búsqueda en el espacio 2n/2 (264). ¡La complejidad algorítmica se reduce de forma drástica! 9 MAGERIT, metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas. 10 CHINCHON, software consiste en una herramienta para el análisis de riesgo bajo la metodología Magerit 1.0. Requiere runtime de Java2 (Utiliza XML para especificar el sistema cuyos datos se desean analizar).



2.5. Vulnerabilidad: Como ya se ha dejado entrever anteriormente, se trata de un defecto tal en el activo o sistema, resultado de un error durante el proceso de creación o implementación, que puede ser aprovechado por un evento dañino o amenaza para producir determinado impacto. Es importante conocer las vulnerabilidades más típicas, como por ejemplo:

- Homogeneidad del sistema, como por ejemplo la utilización de aplicaciones de red o sistemas operativos únicos, donde aun no siendo más fácil llevar a cabo un ataque, su daño es mayor pues afectaría al todo.

- Defectos del software o bug (en un uso más limitado que el utilizado anteriormente) del mismo que han de solucionarse con los oportunos parches.

- Súper usuario: aquel que lo puede hacer todo sobre el sistema o súper privilegiado por el administrador sin serlo, realiza modificaciones internas que se traducen en inadecuadas cuando no existen controles más estrictos, pudiendo generar fallos de seguridad aprovechables por el Malware.

- Código sobre privilegiado: en algunos sistemas se resumen en la permisividad de ejecución de todo tipo de aplicaciones o programas por parte del usuario sin limitarse a su dominio, pudiendo ser aprovechado por Malware para ejecutarse si no se tiene especial cuidado en garantizar las fuentes del mismo.

2.6. Ataque: Evento dañino que, con éxito o sin él, atenta sobre el buen funcionamiento del sistema. Como ya se ha dicho en apartados anteriores, estos ataques pueden ser de interrupción, de interceptación, de modificación y de generación.

2.7. Desastre: Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

Considerados seguros tanto software como hardware del sistema, y abundando sobre los puntos 2.6 y 2.7 anteriores, donde se denota una intencionalidad, existe otro tipo de amenaza que podríamos caracterizar



como “no informática11”, imprevisible y hasta cierto punto inevitable. Estos fenómenos pueden ser causados por:

- Un usuario del sistema al que provoca un daño porque no le importa, o se descuida o lo hace.

- Una mala manipulación del sistema que provoque un robo, un incendio o una inundación, que lo dañe.

- “Pujas de poder” entre los miembros de un mismo sistema que provoquen irregularidades o incompatibilidades que lo dañen o lo pongan en peligro.

- Un intruso que consigue acceder a los activos del sistema sin tener permiso para ello: cracker12, hacker13, viruxer14, script kiddie15, etcétera.

- Programas maliciosos o malware: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Éstos los veremos en el punto siguiente.

3. Programas maliciosos (Malware).

El concepto es sencillo, en esencia se trata de un programa o código oculto en otro “contenedor”, que instalado (con intención de y/o maldad) en el ordenador, y que abriendo una puerta a intrusos o bien modificando los datos, produce determinados daños. Estos programas pueden ser un virus, un gusano, un troyano, una bomba lógica o de tiempo, un espía, o los agujeros-trampa (estos últimos con alguna reserva). Aunque hay más, y tanto unos como otros los veremos a continuación, se puede decir que son variantes o composiciones de los primeros.

11 Informática entendida como tratamiento automatizado (por medio de ordenadores) de la información bajo un conjunto de métodos, procesos, técnicas y desarrollos con el objeto de almacenar, procesar y transmitir información (datos) de forma electrónica (digital); una forma de entender el tratamiento de la información que en principio no tiene en cuenta sus posibles usos maliciosos, aunque es muy cierto que existen técnicas informáticas que proveen usos malintencionados contra los datos almacenados o en transmisión en ordenadores o redes informáticas respectivamente. Por ello, el término “no informáticas” podría no considerarse del todo correcto. 12 Es cualquier persona que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño. 13 Experto en varias o alguna rama técnica relacionada con la informática. 14 Gente que investiga la programación de código de autorreplicación, intenta conseguir cierta reputación o utilizan los virus como herramientas para hacer una declaración personal, social o política 15 Cracker inexperto que usa programas, scripts, exploits, troyanos, ataques de denegación de servicio (DoS), etcétera, creados por terceros para romper la seguridad de un sistema



Un acercamiento mayor al concepto Malware (del inglés Malicious Software), nos indica que siendo un programa instalado con el objeto de hacer algún daño (del que existe un amplio abanico de posibilidades pues puede ser tan solo un espía que no produzca daños directos sobre el sistema sino contra el propietario o usuario) contiene el matiz de desconocimiento previo por parte del usuario o administrador del sistema. Para tratar de precisar de lo que estamos hablando, hay que diferenciar el término Malware del de virus, pues éste último comprende uno de los tipos del primero, aunque en muchos medios se confunden o simplemente por comodidad se usan indistintamente. Como veremos un virus es un programa que se infiltra en archivos del computador (sobre todo ejecutables) con el fin de propagarse a otros archivos y así esparcir su carga dañina sobre el sistema objeto en general o sobre algún activo del mismo en particular, mientras que el Malware se aplica sobre aplicaciones, computadores, sistemas operativos o redes con funcionamientos. El Malware, aprovecha las vulnerabilidades del sistema de tal modo que, dependiendo de su modalidad, y aprovechándose de ellas, esparce o ejecuta su carga dañina con múltiples propósitos. Para el estudio y clasificación del Malware, lo llevaremos a cabo mediante algún gráfico, al que se acompañará una definición lo suficientemente clara, hablaremos sobre su funcionamiento básico, se señalarán las vulnerabilidades que explota, las amenazas que representa y las posibles contramedidas contra su actividad.



4. Clasificación del software malicioso. Dado que bajo la definición de Malware o software malicioso, aparte de una clasificación genérica que ya se ha mencionado, tenemos multitud de variantes y/o composiciones con nombres más o menos descriptivos, veremos dos clasificaciones para determinar de una manera más comprensiva por una lado los tipos o modalidades principales (genéricos) y por otro, los demás o secundarios, como se ha dicho, variantes y/o composiciones de los primeros, además de diversa tipología de software consecuencia de los primeros. 4.1. Genéricos:

4.1.1 Virus a) Definición:

Programa autorreplicante que careciendo del permiso o conocimiento del usuario “legal” altera de una u otra manera el normal funcionamiento de un sistema o parte de él, afectando a uno o más activos del mismo. Aquí es importante tener presente que es el propio usuario el que lo “lanza”, aunque sin saberlo.

Características fundamentales: - Programa independiente (una vez en el sistema no depende de

agente externo alguno). - Se reproduce (con la capacidad de autorreplicación).

b) Funcionamiento: Es habitual que reemplacen con su código el de los archivos ejecutables del sistema objeto. Al ejecutarse el programa donde se encuentra “instalado” u oculto, del que depende pues no se propaga por sí solo, se queda como residente en la memoria RAM del



computador. Al término de la ejecución del programa ejecutado inicialmente, el virus aun queda en memoria, con el objeto de infectar los programas que se vayan “lanzando”. De esta manera puede tomar el control del Sistema Operativo de la máquina y finalmente añadirse al código de más programas, grabándose en disco. De esta manera, el proceso de réplica se ha llevado a cabo por completo.

c) Vulnerabilidades que explota: En general afecta a los sistemas que sobre privilegian al usuario, permitiéndole llevar a cabo cantidad de tareas sin autenticación ni permiso especial alguno; en ejemplo claro son los sistemas de Windows (aunque últimamente están mejorándolo), que permiten la instalación de cantidad de software sin control por parte de usuarios con escasa formación. Igualmente, y en paralelo, afecta a sistemas (como Windows) con gran nivel de integración entre sus aplicaciones, permitiendo ejecutar aplicaciones anexas al correo electrónico o “bajadas” de internet, dentro del entorno mismo del sistema, abriéndose paso sin restricciones y hasta su último rincón. Quizás, la popularidad del sistema mencionado ha sido también una de las causas por las que los “fabricantes” de este tipo de software maligno (virus) hayan centrado sus ataques en él, sin duda. De esta manera, y por intervención de usuarios poco cuidadosos, las contaminaciones por virus se producen por:

- Ejecución de archivos ejecutables adjuntos al correo electrónico con el código de virus en él “instalado”.

- Ingeniería social, donde se adjuntan links o programas que sin saberlo, y creyendo que hacen otra cosa, lanzan el virus.

- Entrada desde interfaces con el exterior: discos, USB, bluetooth, infrarrojos …

- Instalación de software ilegal o “pirata”.

d) Amenaza que representa: Desde una simple broma a dañar todo el sistema, provocando, según el nivel de “infección”, pérdidas en la productividad del sistema (pues añade tiempos para recobrar la situación inicial), cortes en los sistema de información o daños en los mismos datos. De todas maneras, hay que entender que cada virus plantea una situación distinta. Según el lugar donde se alojen pueden ser de varios tipos:



- Virus del sector de arranque: capaces de llevar a cabo desde bromas

pesadas hasta destrucción total del disco duro. - Archivo virus: se replica cuando se ejecuta el archivo ejecutable sin

quedar residente en memoria, o puede también destruir el archivo donde se ubica al sobrescribirlo, o replicar un ejecutable .exe con extensión .com infectado.

- Virus macro: código insertado en archivos generados por aplicaciones con capacidad para generar macros como Word o Excel.

- Virus BAT: instalados en la fila del ejecutable por lotes para llevar a cabo sus fines.

- Virus de internet: aprovechan la red para expandirse y replicarse.

e) Posibles contramedidas contra su actividad: Medidas activas - Antivirus: programas que tratan de descubrir el rastro conocido que

ha podido dejar el virus en su “infección”, basándose en una más o menos extensa base de datos. Pueden detectar y eliminar el virus, pero también pueden contener su propagación, notificando al usuario la incidencia y posibles acciones a realizar.

- Filtros de ficheros o firewall: software que se utiliza en sistemas conectados a una red y que pone a disposición del usuario solo determinados recursos según las políticas de seguridad seguidas.

Medidas pasivas - Limitación de conexiones de medios de almacenamiento masivo sin

control, como llaves USB, disquetes, Cd’s, etcétera.

- No instalar software que no sea original y/o sin licencia.

- Limitar descargas descontroladas de software de internet.

- Evitar abrir ficheros adjuntos en mensajes de correo electrónico de remitente desconocido o no fiable.

- Cuidado con los archivos ejecutables con apariencia de otra cosa

sobre todo en entornos como Windows donde la extensión está deshabilitada por defecto.



- El uso de aplicaciones P2P podría ser pernicioso y fuente común de

entrada de virus, solo un uso responsable y controlado puede permitir que el sistema permanezca limpio.

4.1.2 Gusano f) Definición:

Programa que a diferencia del Virus tiene la capacidad de autorreplicarse aprovechando ciertos procesos que corren de forma transparente al usuario en los sistemas operativos, y a diferencia también del Virus, no corrompen ficheros, sino que residen en la memoria RAM y desde allí llevan a cabo su labor “maligna”.


agente externo alguno). - Se reproduce (con la capacidad de autorreplicación).

g) Funcionamiento: Basan su actividad y se hacen peligrosos dentro de una red, reproduciendo copias de sí mismos que son enviadas al resto de terminales de la red donde se han infiltrado por medio de los procesos, que como se ha dicho, corren de forma automática e inadvertida para los usuarios usando internet y otras aplicaciones y protocolos como SMTP, IRC16, P2P17, etcétera.

16 IRC (Internet Relay Chat) es un protocolo de comunicación en tiempo real basado en texto, que permite debates en grupo o entre dos personas y que está clasificado dentro de los servicios de comunicación en tiempo real; se caracteriza por tener que acceder de antemano a un canal para comunicarse.



h) Vulnerabilidades que explota: Atacan sobre todo las debilidades que pueden contener los Sistemas Operativos en relación con esos procesos automáticos internos y transparentes al usuario, o simplemente engañando al mismo utilizando cebos diversos como archivos adjuntos a correo electrónico o mensajes en la WEB con hipervínculos a lugares inadecuados.

i) Amenaza que representa: Su incontrolada replicación puede originar el colapso del sistema al ocupar todo el espacio de memoria RAM, haciendo “penosas” las labores corrientes del sistema, volviéndolas lentas o no dejando ejecutarlas. También puede provocar el colapso de la red, generando tráfico basura descontrolado, volviendo lentas o imposibles las labores de red propias del sistema.

j) Posibles contramedidas contra su actividad: Medidas activas Igual que para los virus, incluyendo un software anti virus que incluya en sus oportunas bases de datos información sobre gusanos y heurísticas bien diseñadas. Parches de seguridad sobre vulnerabilidades del Sistema Operativo o aplicación de red, que el fabricante va conociendo. Medidas pasivas Igual que para los virus.

4.1.3 Troyano k) Definición:

Programa que se aloja en el sistema y que es capaz de “abrir puertas” a usuarios externos de una red, con el fin de llegar a controlar el sistema donde se aloja o recabar cierta información del mismo, diferenciándose de un virus en que éste actúa de forma destructiva y

17 Una red peer-to-peer (o P2P) es una red de computadoras en la que todos o algunos aspectos de esta funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan simultáneamente como clientes y servidores respecto a los demás nodos de la red.



aquel, bajo apariencia inocua u oculto, permite el acceso desde el exterior. El control del sistema permite llevar a cabo la labor de destrucción del mismo mediante la introducción de otro software malicioso utilizando “el canal” que ha dejado abierto el troyano.

Características fundamentales: - Programa dependiente (una vez en el sistema depende de agente

externo para llevar a cabo su daño). - No se reproduce (no tiene por tanto la capacidad de

autorreplicación).

l) Funcionamiento: Normalmente es un software de alguna manera “escondido” en una aplicación de uso normal, incluso del propio sistema operativo, o en un archivo imagen, música o video, que se instala en el sistema sin ser advertido, una vez se ejecutan éstos. Por ello, disfrazado de una utilidad, se manejan de forma oculta para llevar a cabo su labor maliciosa. Consta de dos partes fundamentalmente, un lado cliente, que es quien envía las funciones a realizar por el sistema infectado, y un lado servidor, que es quien recibe y realiza las funciones ordenadas por el cliente; por otro lado puede contener una librería y un editor, este último instalado en el servidor y que lo va a permitir modificar por parte del hacker desde el lado cliente. El tráfico cliente-servidor puede ser directo, cuando es el cliente el que inicia la conexión con el servidor, o inverso, cuando es al contrario, cuyo resultado es más eficaz pues traspasa fácilmente la mayoría de los firewall que no suelen analizar el tráfico saliente.



Es típica la forma de actuar del troyano cuando el servidor infectado se convierte en una especie de esclavo o “zombi” controlado por el cliente hacker, y éste, teniendo bajo su control un amplio número de ellos, los utiliza para llevar a cabo, por ejemplo, ataques de denegación de servicio contra otros servidores (de empresas o administraciones) para bloquearlos, o remisión de gran cantidad de correo basura (Spam) con varios fines. Otros usos que lleva a cabo el cliente mediante el troyano contra el servidor son los siguientes: - Borrado o sobre escritura de datos. - Apaga o reinicia el equipo. - Toma control del hardware del equipo. - Recolecta direcciones de correo para uso ulterior (como veremos es

un uso típicamente de espía). - Introduce virus o gusanos en el equipo o red a la que pertenece. - Abre puertos del equipo para uso ulterior. - Labores de keylogger (monitorización de pulsaciones), como por

ejemplo para conocer número de tarjeta de crédito, contraseñas, etcétera.

- Mediante ingeniería social consigue datos del usuario en su provecho (uso típico de espía).

- Captura de pantallas. - Introduce software espía. - Permite acceso remoto a herramientas de administración. - Descarga o sube archivos a internet. - Degrada archivos y general el sistema, haciéndolo lento e

inoperante. - Etcétera.

m) Vulnerabilidades que explota: Puede considerarse un virus a los efectos de las vulnerabilidades que explota pues la manera que tiene de introducirse en los sistemas es mediante el disfraz de la inocuidad o el engaño: ficheros adjuntos al correo electrónico, visita a sitios web poco fiables, ficheros en dispositivos de almacenamiento descontrolados. También son vulnerables los equipos donde se ejecutan servicios propios de http, ftp o smtp, así como los que usan programas de



compartición de archivos (mensajería, P2P), que abren puertos que facilitan la labor del atacante.

n) Amenaza que representa: Un troyano en sí no es dañino, pues es el uso que de él haga el atacante o hacker de lo que dependerá el efecto más o menos dañino al sistema. El daño por tanto, será tanto como lo sea, por ejemplo, el programa malicioso que se introduzca en el sistema a través de la “puerta abierta” que ha dejado el troyano.

o) Posibles contramedidas contra su actividad: Medidas activas Igual que para los anteriores, incluyendo un software anti troyano con sus oportunas bases de datos y heurísticas bien diseñadas. Parches de seguridad sobre vulnerabilidades del Sistema Operativo o aplicación de red, que el fabricante va conociendo. Medidas pasivas Igual que para los anteriores.

4.1.4 Bomba lógica o de tiempo p) Definición:

Básicamente un troyano, pero diferenciándose de él en que no es el lado cliente el que inicialmente toma la iniciativa de activación del mismo bajo demanda, siendo una determinada fecha/hora o número de ejecuciones en las bombas de tiempo, y por reunir determinados requisitos el sistema en las lógicas.




agente externo alguno). - No se reproduce (no tiene por tanto la capacidad de

autorreplicación).

q) Funcionamiento: De manera idéntica a la de los troyanos se inician o se activan por ejemplo: - Bombas lógicas: pulsación de una tecla o una combinación de las

mismas, levantamiento de un interfaz de red concreto, ejecución de un archivo concreto del sistema operativo o una aplicación, etcétera.

- Bombas de tiempo: día de la semana, año o mes concreto, hora del sistema, o número de ejecuciones de determinado fichero.

r) Vulnerabilidades que explota:

Las mismas que los troyanos.

s) Amenaza que representa: Las mismas que el troyano.

t) Posibles contramedidas contra su actividad: Las mismas que el troyano.

4.1.5 Espía u) Definición:

Programas que sin consentimiento del usuario, sea persona u organización, recopila información para usos diversos. Se trata de un troyano avanzado de origen Adware o mensaje publicitario.





autorreplicación).

v) Funcionamiento: Surcando el espacio de la Web, trata de hacerse con la información de los usuarios haciéndoles cliquear sobre determinados enlaces que, de forma creíble parecen ser lo que no son y donde han de introducirse datos sobre sí mismos, o simplemente llevan a cabo labores de monitorización del sistema observando el uso que de los recursos web efectúan los usuarios, recogiendo una serie de información de cierto valor para el atacante. También puede ser usado de forma legal por parte de las autoridades para monitorizar el uso de las máquinas de ciertos usuarios en busca de delitos de toda índole. Hay varios tipos, principalmente tres, los benignos (recogen ciertos datos personales de forma más o menos legal y se supone para usos inocuos), los neutros (ciertas empresas como google o yahoo los utilizan para conocer los hábitos de sus navegantes; no producen daño al usuario pero pueden ser molestos por la exigencia de recursos del sistema que requieren) y los malignos (los generados por hackers para sus fines interesados y en ocasiones ilegales). Señalar que el uso de cookies en el sistema podría tener que ver con los usos del típico software espía pues al fin y al cabo recopila información de sesión de los usuarios que aprovecha para futuras conexiones e incluso aprovecha su contenido para seleccionar perfiles publicitarios.



w) Vulnerabilidades que explota: Las propias de virus y troyanos, aunque es común en equipos con sistemas operativos “piratas”.

x) Amenaza que representa: El recoger información personal sin autorización es en sí un daño que se produce al usuario pues contraviene su derecho a la protección e intimidad por ley protegidos, pero aparte produce efectos perniciosos no deseados por el tráfico que genera en ocasiones y por la molestias que provocan al llevar a cabo acciones no deseadas, como la aparición repentina de pop-ups de publicidad no deseada.

y) Posibles contramedidas contra su actividad: Medidas activas - Igual que para los anteriores, incluyendo un software anti espía con

sus oportunas bases de datos y heurísticas bien diseñadas.

- Parches de seguridad sobre vulnerabilidades del Sistema Operativo o aplicación de red, que el fabricante va conociendo.

- Utilización de Sistemas Operativos genuinos.

- Mantenimiento y control de las cookies, historial de navegación y

archivos temporales, borrándolos de vez en cuando. Medidas pasivas - No instalar software que no sea original y/o sin licencia.

- Limitar descargas descontroladas de software de internet.

- Evitar abrir ficheros adjuntos en mensajes de correo electrónico de

remitente desconocido o no fiable.

- Cuidado con los archivos ejecutables con apariencia de otra cosa sobre todo en entornos como Windows donde la extensión está deshabilitada por defecto.



- El uso de aplicaciones P2P podría ser pernicioso y fuente común de entrada de virus, solo un uso responsable y controlado puede permitir que el sistema permanezca limpio.

4.1.6 Agujeros-Trampa del Software z) Definición:

Código de alguna manera oculto sobre todo en los Sistemas Operativos, aunque también en otras aplicaciones, que sus creadores han dejado de tal manera que en determinadas condiciones o a demanda podría ser una puerta de acceso “sin la autenticación” debida en los sistemas donde trabaja, y lo que es peor, sin restricciones y con total impunidad, con el fin de llevar a cabo tareas malignas en su beneficio, aprovechando tal vulnerabilidad por ejemplo “cargando” otro malware. Aunque no se trata de un software preparado expresamente para hacer daño, puede considerarse un malware de forma estricta pues es una puerta abierta al control del sistema.



autorreplicación).

aa) Funcionamiento: Se trata de hacer uso por ejemplo de una determinada combinación de teclas que en determinadas configuraciones de los sistemas dan acceso sin restricción y sin la autenticación debida al atacante que ha dejado el agujero-trampa preparado.



bb) Vulnerabilidades que explota: “Errores” que el programador ha dejado en el software sin revisar, o pirateado.

cc) Amenaza que representa: La de cualquier software malicioso que introduzca en el sistema aprovechando la “trampa” dejada.

dd) Posibles contramedidas contra su actividad: Medidas activas - Parches de seguridad sobre vulnerabilidades del Sistema Operativo

o aplicación de red, que el fabricante va conociendo.

- Utilización de Sistemas Operativos genuinos.

Medidas pasivas - No instalar software que no sea original y/o sin licencia.

4.2. Secundarios:

Aquí los mencionaremos de forma genérica relacionándolos con uno o más de los genéricos. Los señalados como trampa se refieren a más o menos complicados engaños llevados a cabo por el atacante aprovechando lo incauto del usuario o su escasez de conocimientos. 4.2.1 Adware o anuncio Software publicitario que aparece sin previo aviso y que suele acompañar a determinado software, pirata o shareware, o que puede ser el resultado de una labor de espía, pero que en esencia es un troyano primitivo. En sí no tendría que ser ilegal o pernicioso si el usuario tiene conocimiento, no lo sería sin él, aunque hay gran controversia sobre el tema.



Para limitar su aparición es oportuno manejarse cautamente con el software gratuito, shareware o pirata. 4.2.2 Backdoor o puerta trasera Software que permite el acceso al sistema sin la debida autentificación o facilitando la entrada de información no deseada desde fuera, pues han abierto algún puerto en el equipo. Se trata de un agujero-trampa y su funcionamiento en el primer caso se asemeja al de un troyano, en el segundo caso al de un gusano. Se limita cuando se toman las medidas señaladas contra malware troyano y/o gusano. 4.2.3 Badware alcalino Software que insertado en las ventanas del sistema en internet se lanza sobre un usuario “despistado” esparciendo su carga maliciosa de forma similar a una mezcla de espía y puerta trasera. Se limita cuando se toman las medidas señaladas contra malware de puerta trasera, es decir troyano y/o gusano, y/o contra espía. 4.2.5 Bomba fork Software que de manera muy rápida y simultánea, se auto replica como un virus y genera tráfico intenso de procesos en el equipo al modo de un ataque de denegación de servicio (DoS, Denial of Service) como un gusano. Por ello no se puede considerar un gusano pues no aprovecha la red de computadoras para propagarse, ni tampoco un virus pues no infecta programas o documentos; se podría decir que es una composición de características de ambos. Para prevenir un ataque, o que éste pueda contrarrestarse satisfactoriamente una vez ejecutado, es una buena solución limitar el número de procesos máximo que un usuario puede hacer “correr· en el sistema de forma simultánea, dejando espacio suficiente para restaurarlo en caso de aparición de este tipo de malware. 4.2.6 Bot Software robot encargado de realizar labores rutinarias del sistema que puede ser utilizado para generar algún tipo de daño cuando se ha tenido



acceso a él de forma indebida. También puede tratarse de un programa que actuando como humano se hace pasar por él ante incautos usuarios, engañándole para obtener datos del usuario para beneficio del atacante. Puede lograr mediante engaño tomar el control del equipo para convertirlo en zombi. Se habla de las redes de bots zombi o simplemente botnet, como una colección de bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC.

1. El operador de la botnet manda virus/gusanos/etc. a los usuarios. 2. Los PC entran en el IRC o se usa otro medio de comunicación. 3. El Spammer le compra acceso al operador de la Botnet. 4. El Spammer manda instrucciones vía un servidor de IRC u otro canal a los PC infectados... 5... causando que éstos envíen Spam al los servidores de correo.

Se trata de una especie de troyano-espía, por ello su prevención se basa en la mencionada para ellos. 4.2.7 Bug Error del software que provoca un mal funcionamiento del equipo donde se encuentra instalado, o que, convirtiéndose en una puerta franca para el acceso de intrusos sin autorización, permite la entrada de software malicioso de todo tipo. Se puede considerar como un agujero-trampa, pero éste no tiene por qué haber sido provocado de manera consciente por el programador, pudiéndose considerar un error que no ha sido debidamente depurado. Su prevención consiste precisamente en llevar a cabo una buena labor de depurado pos codificado y pruebas; pero es un hecho, que estos errores no son siempre localizables en estos procesos, “para ello están los hacker”



que de alguna u otra manera conseguirán localizarlos en su provecho. De esta manera, los progresivos parches de los fabricantes se convierten en la solución, por ello es necesario mantener el software actualizado. 4.2.8 Cookies Almacenes de información del usuario en su navegación por la red que puede ser aprovechada por un hacker para, teniendo acceso a ellas, conseguir datos personales o historiales de navegación. El acceso a estas por parte de intrusos, cuando están activas en el navegador, es una forma de espía, siendo una posible solución la desactivación de las mismas en la web o su borrado al finalizar sesión. 4.2.9 Crackers Programa que monitorea las contraseñas de la máquina, de las que hace uso un hacker para su aprovechamiento; por ello es un uso típico de los troyanos o espías. Se denomina cracker también a aquel hacker con malas intenciones. Se prevención es la necesaria tanto para troyanos como para espías. 4.2.10 Secuestrador de archivos o Ransomware Programa típicamente introducido por hacker mediante troyano que cifra ficheros del sistema objeto (de cierta importancia); dicho archivo cifrado al ser accedió por el usuario lícito lanza un mensaje anunciando que para la obtención de la clave para descifrarlo ha de transferir cierta cantidad a determinada cuenta bancaria en paraíso fiscal. Para evitarlos es necesario tomar las medidas contra troyanos. Aunque de tratarse de usuarios con ciertos conocimientos de Criptología, se podría resolver el problema descifrando el archivo por sus propios medios pues se trata de un tipo de cifra, la simétrica (misma clave para cifrar y descifrar), de fácil criptoanálisis. 4.2.11 Dialers o marcadores de números de teléfono Programa que ejecutados temerariamente por algún usuario incauto en su navegación por internet, siempre y cuando utilice modem (en desuso), marca de manera oculta determinado número de teléfono de tarificación



especial, que incluidos en virus (por lo que aumenta su poder dañino al ser propagados rápidamente) repercuten en beneficio económico del que los explota. La utilización de banda ancha ha eliminado este problema. Se tratan de un software trampa. 4.2.12 Exploit Componente software de algún gusano que ataca vulnerabilidades de los sistemas operativos para demostrar precisamente eso, que son vulnerables, por ello no son necesariamente maliciosos. 4.2.13 Falso antivirus Programa que con la apariencia de antivirus gratuito se instala en el sistema y hace creer al incauto usuario que tiene algún tipo de infección (en eso no miente), y que para limpiar el sistema debe comprar la licencia. Tratar de desinstalarlo genera errores y molestias, e incluso informa de la necesidad de compra de un código al efecto. En muchas ocasiones la gente se descarga programas de Internet sin ninguna garantía, tan sólo porque se trata de programas gratuitos (freeware). Esta circunstancia es aprovechada por los desarrolladores de software malicioso para infectar a sus víctimas. Uno de los tipos de software más descargado es precisamente el que se dedica a la limpieza del malware y, por ello, un firme candidato para su suplantación. Se trata de la consecuencia de una navegación inapropiada y podría clasificarse como un software trampa. 4.2.14 Hijacking o secuestro Diferentes técnica de software que roban o se adueñan de información que pertenece al usuario; se introduce en el sistema mediante troyanos aprovechándose de la labor de programas espía, modificando aspectos del sistema como por ejemplo:

- Secuestro de conexiones TCP/IP en sesiones Telnet para permitir ataques Dos.

- Modificación de una página Web desfigurando su aspecto. - Hacerse con el dominio ajeno.



- Lanzamiento de pop-ups publicitarios, modificación del motor de búsqueda o de la página de inicio, redirigiendo la navegación al lugar que le interesa al atacante.

- Cambio en la configuración del acceso a internet por modem (se une al Dialer).

- Re direccionamiento de temas en determinados foros o blogs a lugares que nada tienen que ver.

El evitarlos supone tomar las medidas oportunas contra troyano y/o espía. 4.2.15 Keyloggers o registro de teclas pulsadas Programa espía que monitorean y analizan el sistema en busca de claves y otros datos que el usuario ponga a disposición del atacante y a éste le interese, mediante las pulsaciones del teclado. Aquí pueden interesar desde claves de sesión de Windows, pasando por las claves de acceso a determinadas aplicaciones, hasta el rastreo de claves en páginas de banca electrónica u otros similares, incluso el rastreo de conversaciones comprometidas o íntimas. Es trivial ponerlo a funcionar mediante un troyano, como parte de un virus o un gusano, pero su funcionamiento es típico de un software espía. Si en un principio puede evitarse el rastreo utilizando interfaces mediante ratón, actualmente los keyloggers también las monitorizan. Las medidas contra éstos, además de las señaladas contra troyano y/o espía, podrían pasar por localizarlos y eliminarlos exprofeso:



- Si observamos especial lentitud en el manejo del teclado podría ser síntoma de un proceso oculto de keylogging.

- Eliminable mediante el análisis del monitor de procesos, por ejemplo.

- O se le puede engañar utilizando técnicas de despiste entre teclado o ratón, o utilizando “el corta y pega”.

4.2.16 Hoaxes o bulos Programa que se asemejan a virus pero que no lo es y que el precursor solo utiliza para preocupar al usuario e incluso hacer borrar, a los incautos, algún archivo importante para el sistema. Puede considerarse una trampa y su prevención no pasa de ser la de un mantenimiento de ciertos niveles de conocimiento del sistema que se está usando. 4.2.17 Ladilla virtual Programa maligno en general que se introducen en el sistema, pero que tienen la particularidad de infectarlo cuando el usuario hace uso de páginas de pornografía. Llevar a cabo una navegación controlada y mantener las medidas oportunas contra todo software maligno es lo que se debe hacer para evitar infecciones de estas características. 4.2.18 Ranas o leapfrog Programa espía que tratan de hacerse con la información de claves de acceso y cuentas de correo almacenadas en la libreta de direcciones para distribuir mediante correos masivos una carga maligna como por ejemplo un gusano. El evitarlas suma las características anti espía y anti gusano. 4.2.19 Parásito informático Programa maligno que unido a una aplicación (ejecutable), la utiliza para propagarse. Si se ejecuta, el parásito lo hace antes, llevando a cabo su labor dañina concreta.



En la protección del software contra estas infecciones se ha avanzado bastante, y son las propias aplicaciones que se ejecutan quienes lo advierten. Pero, como ya podemos imaginarnos, no sería suficiente y es necesario mantener una política general anti software maligno. 4.2.20 Pharming o acceso a la “granja” de servidores (lista de DNS) Software que explota vulnerabilidades del DNS en el propio equipo, pudiendo redirigir la explotación de determinada página web a otra que ha puesto el atacante en su lugar, uniéndose al phising en su actuación (del que se habla en el siguiente punto). Es una forma de espía pues su objetivo es captar información de interés, por ejemplo la necesaria para el acceso a la página de un banco (banca electrónica) mediante la creación de una interfaz muy parecida que engaña al usuario. Aunque el término pharming más bien hace referencia al de fármaco, se quiere hacer derivar de farming o farm (granja), relacionándolo con el archivo host del sistema donde se especifica la tabla DNS que es suplantada. Existen dos modos de defensa ante este malware que dependen del sistema a proteger:

- Si se trata de un gran servidor se utilizará un software especializado para proteger el DNS.

- Para navegadores es posible la instalación de software de ayuda que puede detectarlo, por ejemplo las barras de navegación que proveen buscadores como google o yahoo (toolbars).



4.2.21 Phising o pescando Programas que fraudulentamente se hacen con información confidencial de los usuarios mediante el correo electrónico o una página web aparentemente “legales”; su funcionamiento, típicamente producto de una labor de espía, se basa en el engaño o la trampa, lanzando interfaces similares a las de por ejemplo un banco para robar contraseñas y vaciar las cuentas. Estás interfaces engañosas pueden presentarse a través de un correo electrónico o de una página web, pero también puede hacerse con una simple carta postal, una llamada telefónica o un sms que advierte de la necesidad de remitir de alguna manera los datos personales del incauto. En su lucha se advierten dos métodos básicos: el de la concienciación social y el de la técnica. Así, por un lado precisamos de la:

- Concienciación necesaria a los usuarios para que no caigan en el engaño, sabiendo reconocer estas formas de fraude. ¿Cómo? Por ejemplo, su banco nunca le pedirá datos personales a través de medios inseguros como lo es el correo electrónico o un formulario web, o dándose cuenta que los correos de servicios reconocidos siempre harán uso de su nombre de usuario para realizar alguna tarea.

- Utilización de técnicas por parte de los prestadores de servicio en la Web (legales) de autenticación y de canalización segura de sesiones a través de protocolos SSL y https, basadas en infraestructuras de clave pública. Existen aplicaciones concretas que reconocen contenido phising en correos electrónicos recibidos o en las páginas Web visitada, dando a conocer su dominio real.



Para evitar caer en este tipo de estafas se recomienda tomar las siguientes medidas:

- Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. Nunca llame a los teléfonos de contacto notificados en los mensajes recibidos.

- Para visitar sitios Web, introduzca la dirección Web directamente en la barra de direcciones. No siga los enlaces proporcionados en un correo electrónico.

- Asegúrese de que el sitio Web utiliza cifrado. En Internet Explorer puede comprobarlo con el icono con forma de candado de color amarillo situado en la barra de estado. Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a continuación de "Enviado a" debe coincidir con el del sitio en el que se encuentra. Si no está seguro de la legitimidad de un certificado, no introduzca ninguna información personal. Sea prudente y abandone el sitio Web.

- Consulte frecuentemente los saldos de sus cuentas y tarjetas de crédito.

- Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.

4.2.22 Rabbits o conejos Gusanos que se caracterizan por replicarse de forma muy rápida para llenar el disco duro del equipo y colapsarlo, o por ejemplo, enviar infinitas copias a la cola de impresión para colapsarla también; en ambos casos se puede lograr saturar la red rápidamente. Su defensa es la usual contra el gusano. 4.2.23 Rootkit o caja de herramientas administrativas Conjunto de herramientas que se introducen en un sistema una vez se tiene controlado mediante un troyano, y que permite la ejecución a discreción del atacante de multitud de procesos en su beneficio y sin dejar rastro. Los métodos anti troyano son los que han de utilizarse contra ellos.



4.2.24 Scumware o escoria Software que realiza cambios significativos en una página web para mostrar otras publicidades o anuncios en vez de las que debían ser o para redirigir los enlaces por ejemplo a lugares no deseables o para ejecutar acciones impropias del servicio “legal”, provocando mal funcionamiento y mala reputación, en ocasiones llevado a cabo por la competencia. Su funcionamiento básico podría asemejarse al de un troyano pues esconde un código que es iniciado por un usuario, resultando no realizar la función deseada o esperada, por ello también puede considerarse un software trampa. Los métodos anti troyano son los que han de utilizarse contra ellos. 4.2.25 Spam o correo basura Correos electrónicos enviados de forma masiva a direcciones electrónica que determinada empresa ha adquirido legal o ilegalmente con el fin de hacer publicidad de sus productos. Aunque se relaciona más con el correo electrónico, es una realidad que este tipo de mensajes no solicitados empiezan a abrirse camino en blogs, foros, noticias, motores de búsqueda, diccionarios, pop-ups, imágenes y texto en muchas páginas web, e incluso en el teléfono móvil. Producto de una labor de espía previa de las direcciones de correo electrónico e incluso de los historiales de navegación del equipo o usuario.

Existen muchas técnicas, pero básicamente se trata de ocultar de alguna manera las direcciones de correo electrónico para que no sean accesibles de forma fácil por parte del Spammer:



- En principio un software anti espía no viene mal. - Un específico anti Spam es más eficaz. - ¡Cuidado! El insertar la dirección de correo electrónico de manera

indiscriminada en la WEB como por ejemplo en las páginas personales, foros, blogs, etcétera, permite al Spammer disponer de ellas con facilidad, por eso es necesario ocultarlas de alguna manera: insertarlas como imagen y no como texto, no insertar la “@” .

- Los administradores de foros y blogs deben llevar una administración que permita llevar a cabo filtros mediante listas autorizadas de acceso.

- No contribuir a las cadenas. - El envío de correos masivos es poco aconsejable y si se hace, mejor

utilizando la opción de copia oculta. - No reenviar correos sin borrar contenidos con información de correo

electrónico del anterior. - Llevar a cabo las actualizaciones de seguridad del sistema operativo. - Firewall y antivirus activados. - Llevar a cabo una buena política de filtrado de correos para no

autorizar su entrada. - Y otras.

4.2.26 Pup-ups o ventanas emergentes Programas que generan ventanas que aparecen durante la navegación y que de alguna manera molestan al usuario, y que suelen mostrar publicidad o enlaces diversos. Son típicas las ventanas que se generan durante la navegación y que solo parecen intentar abrirse para colocarse en segundo plano, haciéndose visibles al término del la sesión con el navegador, impidiendo que el usuario conozca el lugar donde se originó. Se trata de una funcionalidad escondida bajo una página web, por tanto podría considerarse un troyano, lo cual no deja de ser una afirmación demasiado atrevida, aunque también es producto de una labor espía de la navegación del usuario por la web en ocasiones incauta. Al tratarse de aplicaciones en ocasiones molestas e indeseables podríamos considerarlas como software trampa. Es posible utilizar un software para bloquear ventanas emergentes, que podría no ser del todo útil, pues no siempre son perniciosas. Para ello existen bloqueadores integrados en los navegadores que realizan un filtrado de pop-ups por contenido o a demanda.



4.2.27 Spoofing

Técnica desarrollada desde 1997 para llevar a cabo suplantación de identidad en la red para usos maliciosos, aunque también existe para la investigación.

Se trata en fin de una trampa que puede ser de diferentes tipos:

- Suplantación de IP para llevar cabo ataques por inundación como los de Denegación de Servicio los routers actuales están protegidos de este ataque.

- Suplantación de la tabla ARP (IP-MAC), y así, a nivel de datos de Ethernet es posible desviar el tráfico hacia el atacante (sinffer) se pueden usar tablas ARP estáticas lo que equivale a usar IP estáticas también (engorroso en redes grandes) o utilizar herramientas que detecten cambios en la tabla ARP.

- Suplantación de Nombre de Dominio (falsear la relación Nombre de dominio-IP al tratar de resolverla en un determinado servidor DNS), provocando un envenenamiento o infección cuidado con los servidores poco fiables.

- Suplantación de una Página WEB que a modo de proxy intercepta y modifica la información que emite la víctima hacia las WEB´s reales que visita, saltándose incluso el protocolo SSL (no estamos hablando aquí de Phising) es difícil de detectar, por eso hay que desconfiar si ocurre que durante la navegación la dirección IP de las visitas, no cambia (existen plugin que permiten verlas en todo momento).

- Suplantación de correo electrónico de otras personas o entidades para, por ejemplo, emitir Spam o como suplemento de phising; solo hay que configurar un servidor SMTP “pirata” al efecto se debería comprobar la IP del remitente y la del servidor SMTP, o incluso, usar firmas digitales.

4.2.28. Troyano download Caso específico de troyanos muy usual, que descarga otros malware desde la Red (normalmente Internet) sin el consentimiento del usuario para luego instalarlos en el ordenador. Es típica la aparición de este troyano bajo la apariencia de un códec necesario para por ejemplo, reproducir música en el Windows Media Player.



4.3. Gráficos resumen: 4.3.1. En el siguiente gráfico se muestran el porcentaje de cada una de las amenazas actuales, y se puede apreciar que los virus (como tales) tienden a desaparecer.

4.3.2. Gráfico donde se muestra un mapamundi con los principales emisores de malware.



4.3.3. Tabla resumen donde se especifican los seis tipos genéricos relacionados con los veintisiete secundarios. Con una “V” si se identifica claramente como tal (en cursiva si no está muy claro) y con una “C” si son consecuencia de…

Virus Gusano Troyano Bomba Espía Agujero-Trampa TrampaAdware V C Backdoor C C V Backware Alcalino V V Bomba Fork V V Bot V V V Bug V Coockies V Crackers V V V Secuestrador V V Dialers C V Exploit C Falso Antivirus V Hijacking V V V Keyloggers C C C C V Hoaxes V Ladilla C/V C/V C/V C/V C/V C/V C/V Rana C V Parásito C/V C/V C/V C/V C/V C/V C/V Pharming V Phising C V Rabbit V Rootkit C C Escoria C C V Spam C C C V Pop-ups V V C V Spoofing C V Troyano Download V

4.3.4 Tabla donde se indica para los genéricos un resumen relativo a su carácter independiente y de autorreplicación. Autorreplicante No se replica Independiente Virus Gusano Dependiente Bomba Espía Troyano Agujero 4.3.5 Tabla donde se señala la relación de los genéricos respecto a su necesidad de transmisión mediante la red.

Precisa la Red Gusano/Espía/Troyano No Precisa la Red Virus Ambos según caso Agujero-Trampa/Bomba



5. Detalles históricos del software malicioso.

No se trata de hacer aquí una extensa exposición sobre la historia del software malicioso desde sus inicios hasta la actualidad, ni tampoco mencionar a todos y cada uno de las variantes aparecidas. Simplemente se darán ciertas pinceladas sobre las claves históricas de mayor repercusión.

5.1. Génesis (años 40 y 50).

5.1.1 . Nace el concepto de la máquina autorreplicante: virus. Se puede considerar a John von Neumann18 como el padre del concepto de virus. Así, en su Teoría sobre los Autómatas Autorreplicantes, como una visión, observó que el programa escrito y persistente en el computador con la capacidad de ejecutarse una y otra vez en su memoria, podría de alguna manera reproducirse, llevándole a la definición de su Máquina de von Neumann que nos conduce ya en el año 1949 al concepto de virus informático: “una máquina que extrae un mineral hace un trabajo n en un tipo t, si esta máquina se dedica además a construir con dicho mineral una máquina igual será más lenta en la extracción del mineral pero poco después habrá dos máquinas realizando el mismo trabajo, que se autorreplicarán a su vez, generando una mejora exponencial en el trabajo”.

18 Matemático estadounidense de origen húngaro (1903-1957) que hizo contribuciones importantes en diversas áreas del conocimiento, entre ellas la ciencia computacional o informática.



5.1.2. Primeros experimentos.

A finales de los años 50 los laboratorios AT&T Bell llevaron a cabo experimentos de lucha entre programadores que debían generar programas que captasen la mayor parte de memoria mediante la técnica de autorreplicación.

5.2. Nace el Malware (años 70 y 80) y los “inmunizadores”. 5.2.1. El primer virus y el primer gusano.

Se puede considerar al Creeper como el primer virus. Aparece en los 70 en ARPANET y solo mostraba un mensaje desafiando al usuario a atraparle. Poco después aparece un antídoto contra el mismo. También en los 70 aparece un tipo de gusano, el Dubbed Rabbit, que se multiplicaba de manera vertiginosa una y otra vez hasta bloquear los sistemas.

5.2.2. Primeros troyanos.

El primero de los troyanos aparece en el año 1975 (aunque no ha podido demostrarse que lo fuese pues su autor atestiguaba que era solo un error cometido en el código), el Pervading Animal, escondido en un juego desarrollado para Univac 1108, que en determinadas circunstancias (generación de respuestas encadenadas), se autocopiaba una y otra vez. Se podía considerar también como un bug o un agujero-trampa diseñado por el creador. Se solucionó cambiando el sistema de archivos por el nuevo Exec 8.

5.2.3. Redes distribuidas abiertas y la popularización del ordenador. A partir de los años 80 con el avance en las tecnologías, así en las telecomunicaciones (aparición de las BBS – Servidores de acceso abierto donde se compartían programas y bases de datos –), como en los propios equipos (popularidad de los ordenadores personales), fueron apareciendo multitud de creadores de software que iban escribiendo sus propios programas para compartirlos con los demás. Aparecieron entonces troyanos de indudable malignidad, que aunque no tenían la capacidad de autorreplicarse como los virus o los gusanos, sí ponían en riesgo los equipos donde se descargaban y se instalaban.



En el año 1981 aparece el virus ELK KLONER, para el sistema operativo Apple II, en el que se propagaba mediante disquetes de inicio. Sus efectos iban desde mensajes de broma como “se le pegará como la goma de pegar”, hasta imágenes en rotación, pasando por textos borrosos y otros. En el año 1985 fue el año del virus BRAIN que insertado en los sectores de arranque, infectó ordenadores compatibles IBM extendiéndose por todo el mundo. Aunque no llevaba a cabo labores destructoras, era realmente molesto pues modificaba el nombre de los disquetes por @Brain y, haciendo visible una línea de texto donde incluía la referencia al autor, dirección y teléfono, daba una gran publicidad a su creador.

5.2.4. Virus para DOS y los primeros inmunizadores y antivirus. Aparece en el año 1986 el primer programa que podía copiarse a sí mismo en entornos DOS, añadiendo su código a los ejecutables .COM. Se trataba del programa VIRDEM.

En el año 1987 aparece el virus VIENA y entre debate y debate sobre sus posibles autores, lo más destacado estriba en que un tal Berna Fix logró neutralizarlo. Se puede decir que es el comienzo de las modernas técnicas antivirus. Pero 1987 fue un año en que aparecieron muchos más virus: el Lehigh (Universidad de Pensilvania) destruía datos, la familia de virus Suriv (Israel) de virus al revés que tenían como blanco los ejecutables del sistema operativo DOS, luego algunos que infectaban el sector de arranque de los discos como el Yale (EEUU), el Stoned (Nueva Zelanda), y el Ping Pong (Italia), y también el primer virus auto-cifrado, el Cascade, que destacaba porque al iniciarse presentaba un caída de los caracteres de la pantalla como una cascada.



También en el año 1987 aparece el gusano Christmas Tree desde una Universidad de Alemania que al activarse presentaba en pantalla un árbol de navidad y luego enviaba copias a todos los usuarios de la red.

En 1988 aparece el virus Jerusalem, de la familia Suriv, que en muchas empresas e instituciones del mundo operó de forma destructiva sobre los archivos de las máquinas infectadas. Aparecen los primeros inmunizadores que instalados en las máquinas hacían creer a los virus conocidos que ya estaban infectados, y por tanto no se propagaban en ellas. La aparición de más tipología los invalidó pues no era factible crear un inmunizador para cada uno de ellos. 5.2.5. Primeros antivirus y aparición de las bromas. Fue un año, el 1988, de amplia difusión de virus, sobre todo por culpa del factor humano, no concienciado e incrédulo ante la amenaza. Pero también fue un año en el que aparecen los primeros sistemas antivirus modernos como el Norton Antivirus de Symantec. También aparece el primero foro dedicado al tema.

En el año 1988 aparecen las primeras bromas o hoaxes, difundiendo rumores que fueron ampliamente comentados y debatidos, llevando a los “crédulos” al mayor de los descréditos. También aparece el gusano Morris que provocó daños en más de 600 sistemas en EEUU, incluso en la NASA, aprovechando vulnerabilidades del sistema operativo UNIX.

Aparece el antivirus Dr. Salomon en este mismo año. 5.2.6. Ataques a la FAT, secuestradores y Kaspersky. En el año 1989 aparecen variantes del Jerusalem como los virus Datacrime que formateaba a bajo nivel el cilindro 0 del disco duro con la pérdida consiguiente de la FAT y con ella la de los datos, y el FuManchu una variante del mismo. También aparecen los de la familia Vacsima y Yankee, y el gusano WANK. En ese año también aparece el primer secuestrador que al instalarse hacía invisibles todos los archivos del sistema excepto uno que aconsejaba pagar cierta cantidad de dinero para recuperar el sistema; fue distribuido por medio de un disquete que ofrecía información sobre el SIDA.



Eugenio Kaspersky lanza su antivirus, y también otras compañías. IBM desclasifica su investigación antivirus y lanza su Viruscan para MS-DOS por 35 dólares. 5.2.7. Primeras publicaciones antivirus, y primeras comunidades de hackers. Es un año, el 1989, en el que se fundan las primeras publicaciones sobre antivirus predecesoras de Secure Computing y Virus Bulletin de Sophos.

5.3. El apogeo del Malware. En el año 1990 los creadores de virus se afanan en darles nuevas características y en organizarse en comunidades. Aparece el virus polimórfico Chamaleon, que evolucionó del Viena y del Cascade, añadiéndole mutaciones con cada infección con lo que complicaba el uso de contramedidas que hasta esa fecha se limitaban a la búsqueda de fragmentos de código conocido. Kaspersky fue quien halló soluciones contra estos virus que mutaban. Tuvo también repercusión en la década de los 90 la fábrica búlgara de producción de virus, destacando por incorporar nuevas formas de infección y de camuflaje. Solían atacar a las BBS y su creador más destacado fue Dark Avenger, quien no tuvo empacho para crear su propia BBS donde ofrecía un foro para intercambio de virus y otra información de interés para sus creadores. Nacen los primeros “phising”, aunque no se denominaban todavía así; se trataba de conseguir números de tarjeta de crédito válidos para el acceso a los servicios AOL19. Los hackers obtenían así accesos legítimos a este servicio de modo fraudulento. 5.3.1 El apogeo del Malware, la comunidad internacional reacciona. Fue curiosa e histórica la infección que tuvo lugar durante el año 1990 provocada por el virus Diskkiller por haber sido distribuido en un disquete gratuito con la revista PC Today.

19 American Online Inc., compañía de EEUU que proveía servicios y medios de acceso a Internet.



Otros virus de aquel año fueron el Frodo y el Whale, de complicado algoritmo, también los primeros virus rusos Petrburg, Voronezh y LoveChild. A finales del año 1990 se funda el Instituto Europeo de Investigación Antivirus, el EICAR, en Alemania. A partir del año 1991 se alcanza los 300 virus por lo que, dado los problemas que ocasionan, obligan a la aparición de productos innovadores antivirus como las evoluciones de Norton Antivirus de Symantec. Comunidades de Crackers aparecen por todo el mundo: Jack en Italia, Gonorrhea en Alemania, Demoralized en Suiza, Hellpit en EEUU, Dead on Arrival y Sernaj en Inglaterra, etcétera. Aparece en el año 91 el virus de sector de arranque Tequila, de origen suizo que en principio surgió con fines de estudio, pero que fue robado para hacer daño. En general, fue un año tranquilo. 5.3.2. Ataques masivos sobre compatibles IBM y MS-DOS. En el año 1992 los sistemas IBM o MS-DOS empezaron a sufrir los ataques más despiadados, las vulnerabilidades de los sistemas distintos no son caldo de cultivo para nuevos virus y por tanto, no surgen para ellos. Los ataques se centraban sobre los sectores de arranque de los discos del sistema operativo MS-DOS. Auspiciado por Dark Avenger, aparece un generador de virus polimórficos, el MTE, que los programas antivirus tenían dificultad para detener. Surgen iniciativas por parte de las fuerzas de seguridad para detener a los hacker, y así en Gran Bretaña se neutralizó la comunidad clandestina que allí existía. En marzo de 1992 aparece Michelangelo, que causó histeria en la prensa, aunque realmente no dañó a tantos equipos como se suponía. En julio del mismo año surgen constructores de virus, el VLC y el PS-MPC, que ¡permitía crear y personalizar tus propios virus!, de forma similar a MTE.



5.3.3. Primer virus para Windows e Intel 386. El primer virus para Windows fue el Win.Vir 1.4 que infectaba los ejecutables del sistema (ventanas sobre el MS-DOS antiguo). En el año 1993 surgen nuevos virus polimórficos con mayor funcionalidad: infección, penetración mayor en los sistemas, destrucción de datos y camuflaje respecto a los antivirus: PMBS para sistemas 386 de Intel, el Strange (único virus “invisible” en ese momento) que actuaba sobre ciertas interrupciones del procesador 386, el virus Carbunclo que inicia una generación de virus “de compañía”, Emmie, Bomber, Uruguay y Cruncher se camuflaban bien. Windows lanza su antivirus propio para sus sistema MS-DOS que demostró ser efectivo al principio, posteriormente fue desechado. 5.3.4. El soporte CD y correo electrónico; también Kaspersky. En 1994 los virus reconocen la importancia del soporte CD para propagarse. Aparece en Reino Unido el SMEG.Pathogen y el MEG.Queeg, que dieron durante muchos años dolores de cabeza. También aparece el GoodTimes que causó pánico pues vía internet infectaba los equipos mediante los correos electrónicos. Aparecen muchos otros como el Shifter, el ScrVir (de código fuente en C y Pascal), el OneHalf y el Zaraza, pero también nuevos productos antivirus, donde Kaspersky gana adeptos, colocándose en el primer lugar de los productos antivirus. 5.3.5. Windows 95, primeros macros, publicaciones infecciosas y Scotland Yard. En el año 1995 no aparecen significativos virus para MS-DOS, solo los complejos Nightfall, Nostradamus y Nutcracker, y otros interesantes como el virus “bisexual” RMNS. Microsoft distribuyó grandes cantidades de su Windows 95 en versión beta con el virus Form. Windows fue golpeado con dureza por el virus Concept que en solo un mes dio la vuelta al globo. Amipro, popular procesador de textos de los años 90 fue infectado por el Green Stripe.



Aparecen los primeros virus de macro que golpean con fuerza las aplicaciones office, obligando a los fabricantes antivirus a revisar conceptos para extender sus vacunas contra la nueva tipología.

En dos ocasiones la prensa fue precursora de infecciones, al ofrecer en sus publicaciones informáticas suplementos de software gratuito en disquetes que resultan estar infectados, así lo hace Houses PC con el virus Sampoo y Computer Life con el virus Parity Boot. Scotland Yard en su lucha contra el crimen cibernético da caza al autor del virus Queeg y Pathogen, un tal Christopher Pile que finalmente fue condenado a 18 meses de prisión. En el año 1996 surgen virus interesantes para Windows 95, el Zhengxi, polimórfico de origen ruso. En el mes de marzo se produce una terrible epidemia que afectó a la plataforma Windows 3.x producida por el virus Win.Tentacle, el primer virus creado de forma específica contra Windows. Aparece también en este año el primer virus para Excel, el Loroux, similar al mismo para Word, basado en macros de Visual Basic, que infectaba las tablas. Varios hacker crean potentes constructores para virus de macro, NaghtMare Joker y Wild Worker, inglés y alemán respectivamente. Windows se ve afectado en sus productos software en CD por el virus Wazzu. También se ve afectado por el primer virus residente en memoria, como un driver VxD. Se trata de un año en el que los productos de Microsoft son duramente atacados, Windows 95, Windows NT y Microsoft Office, alcanzando mayores cotas de evolución al ser capaces de mantenerse imperceptibles y polimórficos, incubándose en plataformas de 32 bits.

También las compañías antivirus evolucionan, ya sí lo hace Computer Associates al comprar Cheyenne Software y lanzar el antivirus InocuLAN. Se realiza la primera mención al término Phising en un grupo de noticias de hackers.



5.3.6. Virus para Linux y macros para MS Office 97. En el año 1997 aparece el primer virus para Linux, el Bliss, pero no son comunes dada la popularidad de Windows. También en este año, el de la aparición del Office 97 supuso la migración de los virus de macro para la misma, alcanzando notoriedad el ShareFun, el primer en expandirse mediante el correo electrónico de MS Mail.

5.3.7. Infección por FTP y miRC. En el mes de abril de 1997 aparece el gusano Hommer que utilizó FTP para propagarse. Con la aparición de miRC (el chat de Internet), y que tuvo un gran éxito, captó la atención de los hacker para difundir “sus productos”, gusanos en su mayor parte.

5.3.8. McAfee y Dr. Salomon.

Aparece también en el año 97 Secure Corporation que utilizaba el motor antivirus Kaspersky, pero es McAfee la mayor ahora. Hubo durante aquel año disputas judiciales entre McAfee y Dr. Salomon, pues la una denunciaba trucos engañosos en el funcionamiento del otro. Pero también Kaspersky y otras se enzarzaron entre sí, y contra McAfee con acusaciones de robo de patentes. Surgen los primeros ataques por spoofing. 5.3.9. Troyanos evolucionan a espía, Chernobil, Corel y nuevos macros. En el año 1998, los ataques de virus a los productos Microsoft se acrecentaron y a la vez evolucionaron al usar nuevos modos de infección. Así aparecen troyanos diseñados para robar contraseñas y programas maliciosos tipo puerta trasera para lograr administración remota sin autorización. PC Game contribuyó sin saberlo a distribuir en sus discos infecciones para Windows con el CIH (también conocido como Chernobil), que fue realmente global y dañino (podía borrar la Flash BIOS y con ello obligar al reemplazo de la placa madre) y el Mrburg.



El Corel DRAW 8.1 para Mac OS se encargó de difundir el virus AutoStart.

Surgieron nuevos virus macro para Excel y el primero para Acces, incluso para todas las aplicaciones office a la vez, como el virus Cross o Triplicate, que también invadía al PowerPoint. Los usuarios de aplicaciones Microsoft empezaban a aceptar la vulnerabilidad consabida de los productos de dicha compañía. 5.3.10. Java y scripts VBS. En Agosto de 1998 aparece el primer módulo maligno Java ejecutable, el Java.StrengeBrew, demostrando la vulnerabilidad de las aplicaciones activas en Internet. Los programas maliciosos que infectaban los scripts de VBS fueron evolucionando y Kaspersky trató de concienciar al mundo antivirus de dicha amenaza potencial. La acusaron a su vez de incitadora al pánico, y poco después un tipo de virus de esta modalidad causó estragos, el LoveLetter, con lo que tuvieron que darle la razón. Finalmente los virus para VBS terminar escritos totalmente en HTML; así fue el HTML.Internal focalizado contra la red. Los creadores de virus tenían claro que un tipo de software malicioso gusano que atacara la red y que dañara las aplicaciones office de Microsoft tendrían marcada resonancia, y así lo hicieron, por ejemplo el Attach que atacó Power Point y que dio grandes dolores de cabeza a las empresas antivirus.

Proyectos como el VB 100% fueron diseñados para dar confianza a los sistemas sobre el análisis antivirus completo. Por otro lado IBM y Symantec realizarían esfuerzos conjuntos uniendo sus soluciones antivirus bajo el nombre de la segunda. Mientras, la norteamericana NAI compró Dr. Salomon, que desapareció definitivamente.

5.3.11. Las compañías antivirus se unen: CA. CA (Computer Associates) adquiere nuevos antivirus para unirlos a los suyos, creando CA Vet Antivirus y CA Innoculatelt. Eso fue lo más sonoro de 1999.



5.3.12. MS Outlook y la explosión global del software maligno. También aparece el gusano Happy99 que se convirtió en epidemia global pues permitía su reproducción a través de MS Outlook, de uso extendió en EEUU y Europa, se trató del primer gusano moderno. 5.3.13. Más macros, y reacciones gubernamentales y Corel. Aparece en 1998 el virus macro Calígula que atacaba MS Word y que en busca de llaves de cifrado PGP encontraba las bases de datos que protegía para enviarlas FTP bajo sesión remota secreta. También el Melissa (virus macro contra MS Word) actuó para llevar a cabo su replicación enviando correos con él adjuntos a las 50 primeras direcciones de MS Outlook, forzando a cerrar temporalmente los servidores de Microsoft, Intel y Lookheed Martin, produciendo pérdidas notables. Las fuerzas anti crimen cibernético de los EEUU “cazaron” al autor del Melissa, un tal David Smith, que fue sentenciado a 10 años de prisión y a una multa de 400 mil dólares. Mientras, en Taiwan “cazaron” al autor del CIH (Chen Ing Hao).

También en este año, el virus Gala puso en peligro las aplicaciones Corel pues infectaba todos los archivos de sus aplicaciones.

5.3.14. Gusanos y troyanos: ¡que viene el año 2000! A finales del verano de 1999 el gusano ZippedFiles (o ExploreZip) hizo su aparición en forma de ejecutable EXE, con la capacidad de destruir las aplicaciones más populares del sistema. Otro gusano, el Termita, infectaba los archivos DOS o Windows y se difundía mediante correos enviados por la aplicación Pegasus o canales IRC. En octubre aparece un virus específico para el Sistema Operativo Infis. También aparece el primer virus contra MS Project y un predecesor del LoveLetter, el Freelinks. En noviembre surge una nueva generación de gusanos propagados vía correo electrónico que se esparcía al leer los mensajes, se trataba del BubleBoy, seguido del KakWorm, explotando vulnerabilidades de Internet Explorer. Microsoft distribuyó ese mismo mes los oportunos parches.



A finales de año, tras una larga lista de troyanos brasileños, aparece el más peligroso, el Vecna. También aparece el primer gusano-troyano capaz de renovarse remotamente, descargándose versiones de virus nuevas en cada conexión, se trataba del Babilonia. La misma técnica aplicaría Sonic e Hybris.

Fue un año, el 1999, donde las empresas antivirus se plantearían dos posiciones frente al efecto 2000:

- Los ordenadores estaban preparados para ejecutar por sorpresa cientos de virus para destruir la civilización humana mensaje: “Instale un antivirus o aténgase a las consecuencias”.

- Mantener la calma pues dichas advertencias no tenían fundamento.

Al final llegó el año 2000 como cualquier otro.

5.4. El nuevo milenio: amenaza global. 5.4.1. Año 2000.

Los usuarios de Windows 2000 esperaban el comienzo del año con cierto desasosiego y antes incluso del lanzamiento de la nueva versión definitiva ya habían surgido virus contra el mismo.



Proverbio, virus macro de origen ruso contra MS Word, hizo su aparición en el 10 de Downing Street. El virus LoveLetter rompió records, tal y como predijo, Kaspersky en 1998, contaminado archivos VBS y TXT, destruyendo las tablas de archivos y transmitiéndose a su vez por MS Outlook. En el mes de junio de 2000 aparece el primer virus que se contagiaba vía teléfono móvil, se trataba del Timofónica, que aprovechaba el operador de móvil de Telefónica, Movistar. En verano aparecen troyanos y puertas traseras, como el BO2K. Otro contra los archivos de AutoCAD, el Dilber que contenía a su vez una batería con el CIH, el SK y el Bolzano que dependiendo de la fecha activaba uno u otro, un gusano, el Jer, caracterizado por estar alojado en páginas Web disponible para los incautos que ejecutaban su HTML. Aparece también el Liberty, el primer troyano en afectar al Sistema Operativo PalmOS. En septiembre se descubre un virus, el Stream, capaz de manipular y dañar los ADS (información asociada a los ficheros, por ejemplo iconos) del sistema de fichero NTFS, con él cundió el pánico. En octubre se produjeron ataques sobre los sistemas internos de Microsoft por parte de hackers rusos, mediante el gusano QAZ. En noviembre, la empresa Kaspersky se convierte en la mayor antivirus del mercado. El año 2000 fue en el que los correos electrónicos fueron la mayor herramienta de infección (se estimaba que el 85% de las infecciones se producía por dicha vía). También fue un año de notable actividad de los creadores de virus contra sistemas Linux. Al final de año los virus basados en script sustituyeron a los macro como más comunes. Éstos, escritos en lenguajes como VBS, javascript, PHP, etcétera, infectaban otros scripts “buenos” así como otros formatos de archivo, por ejemplo loa HTML.

5.4.2. Internet y redes locales, también Linux (año 2001 y 2002). Año 2001



El año 2001 fue de gran actividad para las empresas antivirus, sin embargo los ataques maliciosos no cesaron. Los virus clásicos dieron paso a los gusanos conforme se desarrollaba Internet y las redes locales. Software que explotaba diferentes vulnerabilidades de los sistemas se esparcía en forma de gusano provocando serias epidemias. Así lo hicieron el CodeRed, el Nimda, el Aliz o el Badtrasil. Aparecen variantes del LoveLetter, el ILoveYou, el magistr y el Sircam. Sube al 90% el número de infecciones como consecuencia del uso del correo electrónico.

Las bajadas de archivos de internet se convierten cada vez más en fuente de infección; aquí los hacker sustituían por su código malicioso el insertado en páginas web de diversa índole, explotando vulnerabilidades del Internet Explorer de Microsoft.

También, ICQ o Messenger fueron convirtiéndose en canales de infección. Así, el gusano Mandragore se aprovechaba de las características especiales de estas aplicaciones.

Aparecen programas maliciosos contra Linux, el gusano Ramen es buen ejemplo. Éste penetró en numerosas corporaciones, incluso la NASA. Aparece un nuevo reto para las empresas antivirus con la aparición de gusanos que actuando desde la RAM, no usaban ningún archivo para transmitirse o actuar. Contra Windows ahora se ceban varios tipos de gusanos, no ya los clásicos virus macro o script de anteriores años, sobre los que las protecciones eran ya bastante eficaces. Finalmente, el año 2001, fue el año de las bromas u hoaxes, destaca la amenaza para el día de San Valentín de una variante del virus ILoveYou que fue bastante efectiva. Año 2002

El año 2002 tuvo nada menos que 12 epidemias serias y 34 menores, además de continuar activos los de anteriores años. Los hacker fueron adaptando sus ataques a las nuevas tecnologías y plataformas que iban apareciendo.



LFM y Donet fueron los gusanos más destacados, propagándose ex profeso por las redes .NET para demostrar su vulnerabilidad, no para causar daño. También el gusano Spida apareció atacando servidores SQL. Benjamin se reprodujo en el caldo de cultivo ideal de la red Kazaa, para su perdición. El gusano Slapper hizo su aparición contra Linux demostrando su vulnerabilidad. Los escritores profesionales de virus se vieron superados por los más sencillos programas para robo de información confidencial por parte de los hacker deseoso de vaciar cuentas bancarias. Aparecen nuevos gusanos que se propagaban al conectarse directamente a servidores SMTP. Técnica que se desarrolla debido a las mejoras en seguridad de las aplicaciones cliente de correo electrónico como MS Outlook. Desaparecen casi por completo los gusanos de LAN, P2P e IRC. Klez, gusano de internet que causó un grave daño a finales del año 2002, permaneció activo durante más de 2 años. Fue curiosa la aparición nuevamente de virus macro, variantes de los de los 90s, debido a que los usuarios pensaron que ya estaban superados, bajando la guardia ante ellos y propiciando su renacimiento en MS Word. Así aparecen el Elkern, CIH, FunLove y Spaces. Continuaron los hoaxes como Virtual Card for You, California IBM o Girl Thing. Fue en definitiva un año realmente activo en cuanto a virus, aunque no muy dañinos, juntos formaron un verdadero “batallón”.

5.4.3. El ataque global y los espías en busca de cuentas bancarias, primeros ataques contra teléfonos móviles (2003-2006). Año 2003

El año 2003 propició dos ataques globales contra Internet, los más grandes de su historia:



- El gusano Slammer atacó vulnerabilidades de los servidores MS SQL propiciando en el mes de enero un aumento de tráfico en la red que hizo caer segmentos importantes.

- El gusano Lovesan (o Blaster) aparece en agosto para demostrar nuevamente las debilidades de Windows, aprovechando las vulnerabilidades del servicio RPC DCOM del 2000 y el XP pocos usuarios de internet con esto sistemas se salvaron de sus efectos.

El resto del año fue tranquilo en cuanto a novedades aunque no cesaron las epidemias de gusanos esparcidas por el correo electrónico. Así lo hicieron Ganda en los países escandinavos y Avron, primer gusano ruso de efectos globales. El gusano Sobig.f se convirtió en el más distribuido de la historia en internet; así, uno de cada veinte mensajes de correo electrónico lo contenían. También, el gusano Tanatos tuvo repercusión. Aparecen más gusanos, esta vez de origen indio y pakistaní, que se reproducían en forma de archivos ZIP adjuntos a mensajes infectados. El gusano ruso Mimail provocó una epidemia global usando una vulnerabilidad de internet Explorer de Microsoft que permitía extraer código binario de los archivos HTML y ejecutarlo. Esta técnica fue aprovechada por troyanos como el Win32.StarPage1, también ruso.

En setiembre aparece el Swen.I-worm-Swen, uno de los gusanos más distribuidos. Ya en 2002, pero sobre todo en 2003 empiezan a proliferar troyanos y backdoor para realizar labores espía. Ejemplo de los mismos son el Agobot y Afcore. Producto de estos, surgen las primeras redes zombi. Aparece a finales de año, los troyano proxy, señal de que los escritores de virus y sus propagadores se habían unido. Los propagadores de virus utilizaban las “puertas abiertas” de los equipos infectados de troyanos. También los spammers comenzaron a proliferar usando la tecnología de correo no solicitado. Por último señalar que los virus macro siguieron actuando, como el Macro.Word97.Saver, que tuvo especial relevancia.



Ya hacia finales de año, los troyanos sobrepasaron a los virus. Año 2004

En el año 2004 se produjeron grandes epidemias y estuvo marcado por el combate entre desarrolladores de distintas tendencias. El gusano Mydoom aparece propagándose por el correo electrónico y la red, para aprovechándose de las redes Kazaa inundar los servidores UNIX y Microsoft, mediante la técnica zombi. Bagle o Beagle demuestra ser un virus tipo gusano realmente “inteligente” por su persistencia en Internet a lo largo de los años. El gusano Nesky aparece en febrero de 2004 con su propio motor SMTP para propagarse. En mayo aparece el gusano llamado Sasser a la caza de sistemas Windows 2000, 2003 y XP sin parchear. Varias recompensas ofrecidas por Microsoft dieron sus frutos, dando con los autores, primero del Blaster, y después del Sasser y Netsky (de éstos últimos un alemán de 18 años, Sven Jaschan). Poco después se detuvo a otro joven de 21 años en Alemania, como autor del Agobot. Para MAC aparecen troyanos como el MP3Concept que hacían parecer ficheros MP3 los ejecutables maliciosos. El riesgo de propagación por tecnología móvil se hace ahora más patente. De esta manera aparece el Cabir, capaz de propagarse por tecnología móvil bluetooth con Sistemas Operativos EPOC o Symbian. Para la tecnología Pocket PC aparece el Brador, troyano ruso que infectaba estos aparatos con Sistema Operativo Windows CE, con el objeto de tomar el control de los mismos. Año 2005

En el 2005 se confirma la tendencia de los últimos años. La red se inunda de gusanos y troyanos capaces de armar redes de bots con el



objeto de obtener dinero. ¡Ya no es un entrenamiento para sus creadores, se trata de un negocio realmente rentable! Prueba de ellos son los espías bankers distribuidos mediante Spam y/o troyanos. Son básicamente troyanos a la caza de transacciones bancarias y comerciales para usar la información en su provecho. Permanecen en memoria y monitorean la navegación del usuario, y una vez ingresa datos sensibles (contraseñas, nombres de usuario, números de tarjetas de crédito, cuentas bancarias, etcétera), son robados. El gusano Sober se expandió y logró repercusión desde el mes de agosto hasta finales de año. A finales de año aparece un misterioso rootkit de Sony para proteger sus discos musicales. Su código fue aprovechado por hacker de toda índole para sus propios fines. Aparecen virus como el CommWarrior que se propagó mediante los mensajes multimedia en terminales móviles con el sistema operativo Symbian. Año 2006 En el año 2006 aparece el Leap, virus que afectaba al sistema operativo MAC OS X propagándose por el programa de mensajería instantánea iChat. Aparecen nuevos virus de macro, cuando ya se creían desaparecidos, como el Stardust para los paquetes OpenOffice y Staroffice. Aparecen en este año nuevas familias de gusanos y troyanos como el Brontok, HaxDoor, IRCBot, ExploitVML y Stration (o Spamta). En Marruecos se condenó a dos jóvenes por la creación y propagación del gusano Zotob.

5.5. La explosión global del malware (2007).

El malware aparecido en este año multiplica por diez al anterior, un 800% más que el 2006 y casi un 200% más que en 2005. Se trata en este año de una epidemia silenciosa, pues no se da excesiva publicidad a los casos que se conocen, pero realmente peligrosa.



Allá afuera hay muchos listillos que se las ingenian para ganar dinero a base de la venta de software ilegal… en ese mismo año ha salido a la luz ha sido el de un matrimonio que ha sido condenado a cinco años de prisión por vender software ilegal de Microsoft.

Estas personas junto con un socio, invirtieron 30 millones de dólares comprando software de Microsoft. El truco estaba en que se las ingeniaban para obtener importantes descuentos comprando este software a través del programa de Microsoft que ofrece descuentos a estudiantes. Una vez ya hechos con el producto, lo vendían a personas que no eran estudiantes.

Con esta práctica obtuvieron en ganancias más de 5 millones de dólares, afortunadamente el FBI logró arrestarlos y ahora pasarán cinco años en prisión.

El envío de Spam poco a poco está siendo más castigado por la vía legal y cada vez podemos ver más noticias de spammers que paran en la cárcel por inundar nuestra correo de mensajes basura. Recientemente, Tod Moeller, un Estadounidense de New Jersey, fue condenado a dos años y tres meses de prisión por ser responsable en el envío de Spam a 1.2 millones de cliente de AOL.

Moeller, quien fuera detenido mientras negociaba una aplicación de envío de Spam a un informante del Gobierno, se declaró culpable por el delito de envío de mensajes Spam y de modificar el filtro antispam de AOL. Junto con otra persona de nombre Adam Vitale, Tod Moeller obtenía ganancias de hasta 40.000 dólares por mensajes a través de la estafa por Spam.

6. Detalles sobre los casos más recientes de software malicioso.

En este punto se detallarán ciertos aspectos relativos al software malicioso que haya destacado recientemente, años 2008 y 2009. Solo en 2008, los internautas tuvieron que "enfrentarse" a 2.000 nuevos virus o mutaciones de anteriores, ¡diarios!, cerca de 50.000 intentos de phishing y más de 1 millón de equipos infectados. Por países, Francia encabeza la lista con más de un 20 por ciento de amenazas de infección, seguido de China con un 16,25 por ciento, Estados Unidos con algo más de un 7 por ciento, y España, con un 4,14 por ciento. Se prevé que durante el presente año la tendencia de propagación de virus por e-mail siga creciendo y que aumenten las aplicaciones maliciosas que aprovechan vulnerabilidades para robar datos confidenciales y las amenazas a las redes sociales.



6.1. Ataques de Phising.

Como ya se mencionó en el punto anterior aparece de forma primitiva en los años 90, y se le conoce con el término actual desde el año 1996, hoy en día está más vigente que nunca. Millones de mensajes falsos circulan por la Web y al parecer provienen de lugares conocidos y confiables. El usuario incauto responde y facilita números de tarjeta de crédito, contraseñas, información de cuentas corrientes u otros datos personales ¡Ha caído en el engaño! Pero también cae engañado cuando el estafador incluye un vínculo que parece llevar al lugar legítimo cuando realmente se trata de uno falso que pretende robarle. Así se cree que en los astilleros sudcoreanos de Hyundai Havey Industries, donde se fabrican buques con el radar AEGIS, tuvo lugar un ataque de este tipo para el robo de información.

Trascendió a mediados de 2008 que cinco miembros de un equipo de crackers llamado D.O.M. (Dark OwneD Mafia) fueron arrestados en distintas ciudades de España acusados de haber atacado a unas 20.000 páginas en Internet desde Julio del 2005, incluyendo algunos sitios gubernamentales.

Los cinco arrestados de diversas edades que van desde los 16 a 20 años fueron detenidos en Barcelona, Buros, Málaga y Valencia tras una investigación de varios meses por parte de la policía. Los responsables aparentemente nunca se habían conocido en personas, únicamente se comunicaban a través de Internet junto con otros miembros del grupo.

Una buena noticia, ahora esperemos que los atacantes sean juzgados de manera adecuada por todos los delitos cometidos.

6.2. Ataques de Spoofing (contra teléfonos móviles).

En los últimos años, los teléfonos móviles han ido conquistando mayores prestaciones, hasta convertirse en diminutos ordenadores capaces de realizar las tareas cotidianas que podría necesitar cualquier usuario: paquetes de ofimática, lector de archivos en diferentes formatos, multimedia (audio y video), agendas, correo electrónico, aplicaciones, juego, etc. Sin embargo, estas prestaciones los hace susceptibles de ser objeto de ataques similares a los sufridos



por los ordenadores. Su capacidad para establecer una comunicación con cualquier recurso en red u otro dispositivo a su alcance (bluetothh, wireless, etcétera), facilita la manipulación desde ellos de documentación sensible. Desde el punto de vista de seguridad, el teléfono móvil también puede ser un medio para mejorar la seguridad de nuestro ordenador. Hay soluciones informáticas que lo utilizan para bloquear y desbloquear el ordenador cuando el usuario se aleja o acerca, de forma automática. Una de estas herramientas es LockItNow.

Actualmente, los ataques de spoofing podrían llevar a afectar nuestro propio teléfono móvil mediante el ataque Blue MAC Spoofing.

¿En qué consiste?

La mayoría de usuarios de teléfonos móviles Bluetooth ha tenido la necesidad alguna vez de emparejar su teléfono con otro dispositivo con el fin de transferir archivos vía Bluetooth o conectarse a equipos manos libres o receptores GPS. La conducta habitual suele ser mantener esos enlaces activos aun cuando estos se encuentren en desuso o la conexión haya sido esporádica. ¿Qué ocurriría si cada uno de esos enlaces activos pudiera convertirse en una puerta trasera a nuestro teléfono, con acceso transparente al control total de las funciones del teléfono y los archivos almacenados? Dado que todos los mecanismos de seguridad empleados por Bluetooth se realizan a nivel de dispositivo, y no de usuario, suplantar la identidad de un dispositivo emparejado y utilizar sus credenciales de confianza para acceder a un teléfono sin que el usuario se percate resulta una acción trivial.

6.3. Spam que no cesa.

Robert Alan Soloway, el conocido “rey del Spam”, fue sentenciado a 47 meses de prisión luego de que fuera arrestado en 2007 y se declarara culpable por los cargos de fraude electrónico, fraude postal y evasión de impuestos.

Aunque el rey del spam se enfrentaba a 26 años de cárcel por 40 cargos, la fiscalía decidió retirar los demás cargos por haberse declarado culpable de tres de ellos. Además la juez tomó en cuenta la inmadurez de Soloway cuando para realizar su sentencia.

Así pues, con esto termina el caso de Robert Soloway, quien fuera demandado por Microsoft en el 2005 y posteriormente por otras



compañías por el envío masivo de correos electrónicos. Soloway ha sido sentenciado a 46 meses de prisión, 3 años de libertad condicional una vez que salga de prisión, 200 horas de servicio social y el pago de $704.000 dólares.

El volumen de correo electrónico no deseado (Spam) enviado en todo el mundo se desplomó a finales del año 2008 después que una empresa dedicada al hosting, de renombre en las comunidades de seguridad por vincularse la actividad Spam, fuese puesta fuera de línea. El ejército americano está tomando medidas contra el uso de memorias USB tras la infección de redes de defensa con el gusano SillyFDC. Este malware descarga código de Internet para lanzar ataques de denegación de servicio o envío de correo no deseado (Spam). El Ministerio de Defensa español estima que el 95% del tráfico de correo electrónico en sus servidores se trata de spam o correo basura que de alguna manera es filtrado para no llenar los buzones de correo de los usuarios. Se trata de aplicaciones del modelo I*Net o de “ventana hacia el exterior” que ejecutan de modo transparente a la navegación una serie de procesos de protección y de análisis del tráfico.

6.4. Falso Antivirus. 7.5.1 Año 2008.

Nuevas amenazas se ciernen sobre los sistemas. Incluso por parte de herramientas que supuestamente nos vienen a proteger. Destaca el Antivirus XP 2008, muy molesto, pues una vez instalado se conducía de tal manera que no permitía su desinstalación mientras no se pagara cierta cantidad por su licencia.

7.5.2 Año 2009.

Un ejemplo reciente de un falso antivirus es el denominado Antivirus 2009 Antivirus 2010 o Antimalware 2010, que son una evolución del conocido Antivirus XP 2008 y detectado por ESET NOD32 como Win32/Adware.Antivirus2009. En este caso, al abrir el sitio web de promoción del producto se despliega también una publicidad para adquirir viagra.



6.5. Herramientas de conexión inversa.

Utilizando herramientas para conexión remota cifrada se puede conseguir el acceso sin autorización a sistemas. Esto preocupa sobremanera a organizaciones empresariales y administraciones pues es posible mediante procedimientos de puerta trasera “saltarse” todas las políticas de seguridad perimetral. Ejemplos de estas herramientas las tenemos con Webex (la utilizan grandes proveedores en momentos críticos para acceso inmediato a los sistemas), LogMeIn (conexión remota del usuario a su propio equipo), Zeebede Server (tunelización IP mediante http para redireccionamiento a cualquier puerto).

6.6. Redes sociales.

Fuente de negocio para multitud de empresas y lugar de reunión cibernética para millones de personas, las redes sociales, como sistemas abiertos de intercambio de información, han alcanzado una popularidad notable (casi la mitad de los internautas las utilizan, y 7 de cada 10 son menores de 35 años). ¿Para qué las utilizan?

- Subir y compartir fotos un 70 por ciento. - Envío de mensajes privados un 62 por ciento. - Comentar fotos y eventos un 55 por ciento. - Cotilleo casi un 50 por ciento.

¿Están exentas de peligro? NO El principal problema es la pérdida de privacidad; por ello las Autoridades de protección de datos de muchos países, entre ellos la Agencia Española para la Protección de Datos, han adoptado medidas desde el año 2008 alertando de los peligros potenciales (privacidad) en redes como FaceBook, MySpace, Tuenti o Hi5. Señalan puntos críticos en:

- El mismo momento del registro a través de los datos personales que se facilitan.

- Actividades desarrolladas en la red. - El darse de baja en dichas Webs es un arduo camino de obstáculos.

¿Riesgos?



- Una inadecuada configuración del perfil puede dar lugar a una

suplantación de identidad. - La instalación de cookies sin conocimiento del usuario permite

almacenar información a veces sensible (personal y de navegación).

- La recopilación de direcciones de correo electrónico en los perfiles permite la generación de Spam a las mismas.

- La mayoría de estas páginas no permiten confiabilidad a la hora de verificar la edad de sus usuarios.

- Ataques a la privacidad mediante la introducción de nuevos gusanos y virus a partir del correo electrónico.

- ¿Prevención? - Utilizar pseudónimo en vez de nombre real. - Sobre todos a los menores no facilitar datos de teléfono ni

dirección. Dos chicas de 14 años han sido puestas a disposición judicial por un delito contra la intimidad. Las jóvenes usurparon la identidad en el programa de mensajería instantánea "Messenger" de una joven mayor de edad, para insultar y ofrecer favores sexuales. El acceso a la cuenta de correo fue posible mediante la pregunta "secreta" que debe responder para que le recuerden su clave.

6.7. Troyanos Download que infectan ficheros multimedia. Un ejemplo es el GetCode, bastante usual en las redes P2P donde

existen archivos de música y video (MP3, WMA, WMV o ASF), que aprovecha la vulnerabilidad que representa la, a su vez la facilidad, el reproductor de Microsoft (Windows Media Player), para la descarga de un ejecutable (el troyano) haciendo creer al usuario que se trata de un códec necesario para reproducir el contenido del archivo infectado.

6.8. Gusanos que atacan a redes sociales. 6.4.1 Año 2008.

En 2008 el Koobface se propaga enviando mensajes a usuarios de FaceBook y MySpace con enlaces maliciosos que le permiten infectar los sistemas de las víctimas y robar sus datos personales. Tras ello, se reenvía a los usuarios de la red de la víctima.



Un problema que afecta a usuarios de Microsoft que no tienen actualizado el Sistema Operativo o no cuentan con un buen software antivirus.

6.4.1 Año 2009. Una variante del mismo gusano aparece de nuevo y con más virulencia que en el 2008. Se trata de un mensaje que invita a ver un inocente video pero que al hacer clic sobre él redirige la navegación a lo que parece YouTube donde se indica la necesidad de descargar un plugin de Adobe Flash Player ¡la perdición! Si se lleva a cabo la descarga, damos entrada a un troyano, el Worm_KoobFace.Az que conectándose al sitio con las credenciales de la víctima (las almacenadas en las cookies), envía menajes a los componentes de su red. Un gusano que utilizando técnicas de Phising, introduce un troyano que realiza labores de espía y control del equipo de la víctima. De esta manera se han hallado datos técnicos del helicóptero del presidente Obama en redes P2P.

6.9. Redes inalámbricas maliciosas.

El ataque a dichas redes es sencillo desde hace años, permitiendo a usuarios con pocos conocimientos tener acceso ilícito a las mismas para ocupar su ancho de banda y “navegar gratis”. Es un esquema en el que el atacante es el usuario final. ¿Qué ocurre si el propio punto de acceso es “el malo”? Es una nueva técnica que ha surgido recientemente y que permite a un atacante poner a disposición de los incautos un acceso libre y legítimo. Una vez establecida la conexión el atacante dispone de varias alternativas para obtener información sensible de la víctima:

- Configuración del DHCP del usuario para redirección el tráfico a la

máquina del atacante (credenciales, cookies, etcétera). - Redireccionamiento a un portal de malicioso que con técnicas de

ingeniería social consigue que el usuario se descargue todo tipo de software malicioso.



- Acceso al equipo del incauto mediante técnicas de explotación de vulnerabilidades tradicional.

¿Qué hacer? No conectarse a punto inalámbricos en los que no se confíe. Ni mantener conexión automática a redes no favoritas. Vigilar que la lista de redes contenga solo redes confiables y si con identificador no genérico SSID. En China se ha localizado una red, la Chostnet que espiaba ordenadores de seguidores del Dalai Lama, acusándose al propio gobierno chino. Por otra parte, herramientas como Prev para Linux o Adeona para Windows permiten recoger información sobre el ordenador para enviarla a cierto buzón previamente configurado. La idea es que si llega el día en que nuestro portátil desaparece, la información recogida por estas herramientas, permita su rastreo IP o red WiFi, incluso la foto del ladrón.

6.10. El Freeware que sale caro.

Ya se habló anteriormente de este tipo de software cuando se trata de un falso antivirus, pero hay más: Uno de los casos más recientes es el que utilizando como cebo la Semana Santa y mediante el correo electrónico, se remitía un video que mientras visionábamos de forma gratuita enlazaba realmente y de forma transparente con un servidor que instala un troyano bancario, el Banker.LSL. De esta manera, los datos del incauto iban a parar a las mafias. Esto es posible, y como se dijo anteriormente, en los falsos antivirus, las mafias también pueden redirigirnos a páginas similares a YouTube, pero que realmente son nidos de malware. Otro video utilizado bajo este sistema es el que se colaba en las redes sociales, el Dancing Girl, que obligaba para su visionado un plugin que realmente era un gusano. ¿Defensas?

- Actualizaciones y parches del Sistema Operativo. - Antivirus bueno y actualizado.



- Firewall o cortafuegos. - Realizar copias de seguridad. - Instalar herramientas de recuperación de archivos borrados. - Crear puntos de restauración del sistema. - No acceder a páginas no confiables y si aun así lo hacemos… no

descargarnos nada de ellas. - Desconfiar de archivos anexos a correos electrónicos procedentes

de fuentes no confiables. - Leer mucho sobre seguridad informática.

6.11. Ingeniería social.

Es un tipo de espionaje que condensa todo artilugio, treta y técnica basada en el engaño a las personas con el objeto de que revelen sus datos sensibles para “robarles” y/o obtener beneficio económico. Las mafias ahorran esfuerzos pues ya no tienen que acceder a los sistemas, asunto cada vez más complicado, son los propios usuarios quienes incautamente les dan todo hecho. ¿Cómo lo consiguen?

- Demanda directa, donde se le demanda a un individuo completar

una serie de tareas de menor éxito pero muy fácil. - De forma indirecta, cuando se persuade a la víctima haciéndole

creer lo que se le dice aprovechando medias verdades y gran cantidad de incoherencias que confunden al usuario incauto.

- Una nueva estrategia es convencer al usuario para que se descargue determinado video sin que haga falta plugin alguno; solo se le solicita un código de acceso. Aquí comienza la segunda parte: la ventana ofrece la posibilidad de generar un código de acceso haciendo clic sobre un botón y… un troyano entra en el sistema, el TrojanDropper.Agent.

6.12. Otros detalle recientes.

6.12.1 Obama y su Blackberry.

Obama ha tenido que apagar su Blackberry 8700c, un dispositivo del que rara vez se separa. Durante la campaña era fácil sorprender al nuevo presidente de EE.UU contestando correos o con el teléfono colgado del cinturón. De acuerdo con la información aportada por el New York Times, todas las comunicaciones del presidente deben estar recogidas de forma oficial y ser puestas a disposición del público



al cabo de unos años. Los presidentes, por tanto, deben abandonar sus cuentas de correo personales. Además, hay preocupación sobre la seguridad que se puede garantizar a los correos utilizando cualquier dispositivo electrónico y miedo a que los mensajes puedan ser interceptados. Por lo general, el presidente permanece comunicado gracias a los colaboradores y ayudantes. 6.12.2 Espías, Spam y DDoS.

Un virus informático bloqueó durante el mes de enero de 2009 la red informática interna de la flota inglesa, dejando inoperativos el correo electrónico y el acceso a Internet. Aunque los sistemas de armas y de navegación no se han visto afectados, si ha supuesto un duro golpe para las dotaciones de los buques. Heartland Payment Systems, una empresa dedicada a tramitar las transacciones que pequeños negocios realizan con tarjetas de crédito, ha reconocido que la infección por virus de uno de sus ordenadores ha dejado en manos de piratas informáticos los datos de millones de movimientos. El problema en los sistemas de seguridad de Heartland se produjo el año pasado (2008), pero la causa última, la infección por malware de uno de sus sistemas informáticos, no se conoció hasta el mes de enero de 2009. Y se ha hecho público coincidiendo con el momento de toma de posesión de Barack Obama. Heartland, que gestiona las transacciones con tarjeta de crédito de 250.000 negocios en todo el territorio de EE UU, dice desconocer qué cantidad de movimientos de su red han sido capturados por el malware que se instaló en sus ordenadores, pero podrían ser millones. El pequeño país de Kyrgyzstan ha recibido una serie de ataques DDoS (Distributed Denial of Service) por parte de hackers rusos, similar al sufrido por Georgia el año anterior. En un ataque DoS (Denial of Service) se coordinan cientos, miles o incluso millones de ordenadores para “derribar” un servidor víctima. La característica distintiva que tiene un ataque DDOS es el hecho de que participan ordenadores de diferentes regiones del mundo, haciendo imposible cerrar la ruta de donde proviene, dejando como única opción desconectar el servidor de la red y esperar a que el ataque cese. En el caso del ataque a Kyrgyzstan, los expertos de seguridad han determinado que participaron entre 150 y 180 millones de ordenadores esclavos, denominados "Zombis".



Descubren una red de malware de 1.9 millones de ordenadores. El servidor que controla estos ordenadores se encuentra en Ucrania y está gestionado por seis personas. Esta red está funcionando desde febrero de 2009. Los países más afectados son: Estados Unidos con el 45% de los ordenadores infectados, Reino Unido con el 6%, Canadá y Alemania con el 4% y Francia con el 3%. El malware instalado en los ordenadores se controlaba de forma remota. Parte de estos ordenadores eran alquilados a mafias y la información que obtenían la ponían en venta al mejor postor. 6.12.3 Últimos malware.

- Virus: CoreGuard2009 y AVAntispyware. - Gusanos: Boface.BJ, PckPatcher.C, IRCBot.CNE, EggDrop.AA,

SillyBat.A, Waledac.AX, y Rimecub.B. - Troyano: EvilHot.A, Kobck.A y SMSolck.A. - Agujero-Trampa: MS09-017.

7. Cómo conseguir niveles óptimos de seguridad. El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. En general, los medios que podemos utilizar para asegurar un sistema son los siguientes:

1. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.

2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).

3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.

4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.



5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.

6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.

7. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

Veremos a continuación una serie de aspectos, como el análisis de riesgos, las políticas de seguridad, las amenazas “no informáticas”, aspectos sobre el software y la red, además de ciertos aspectos a tener en cuenta para “no equivocarnos”, que unidas, contextualizadas y condensadas respecto a las organizaciones a proteger, nos llevarán a los que se denominan los Sistemas de Gestión de la Seguridad Informática o SGSI, materializados actualmente en profusa normativa y estandarización.

7.1. Análisis de riesgos.

Información que se obtiene en un análisis de riesgo: - Determinación precisa de los recursos sensibles de la organización. - Identificación de las amenazas del sistema. - Identificación de las vulnerabilidades específicas del sistema. - Identificación de posibles pérdidas. - Identificación de la probabilidad de ocurrencia de una pérdida. - Derivación de contramedidas efectivas. - Identificación de herramientas de seguridad. - Implementación de un sistema de seguridad eficiente en costes y

tiempo. El esquema básico seguido en un análisis de riesgos es el siguiente:



Y como anteriormente se mencionó, si la pregunta es cierta, habría que establecer la medida necesaria.

7.2. Puesta en marcha de una política de seguridad. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dieron. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:

- Elaborar reglas y procedimientos para cada servicio de la

organización. - Definir las acciones a emprender y elegir las personas a contactar en

caso de detectar una posible intrusión - Sensibilizar a los operadores con los problemas ligados con la

seguridad de los sistemas informáticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad.

7.3. Amenazas “no informáticas”. Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización (por ejemplo mediante estructura de redes, en el caso de las comunicaciones).



Técnicas de aseguramiento del sistema:

- Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.

- Vigilancia de red (forma remota de observar y/o tomar el control de las computadoras que administra) utilizando las herramientas oportunas, por ejemplo Network LookOut Administrator.

- Tecnologías protectoras: cortafuegos, sistema de detección de intrusos - anti-spyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las oportunas actualizaciones de seguridad.

7.4. Consideraciones sobre el software. Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software pirata o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia. Existe software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.

7.5. Consideraciones sobre la red. Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles. Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas. Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.



7.6. Algunas afirmaciones falsas sobre seguridad informática:

- Mi sistema no es importante para un cracker. Esta afirmación se basa en la idea de que no introducir contraseñas seguras no entraña riesgos pues ¿quién va a querer obtener información mía? Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los atacantes.

- Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio como vimos, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.

- Como tengo antivirus estoy protegido. En general estos programas no son capaces de detectar todas las posibles formas de contagio existentes, además son programas vulnerables a desbordamientos de búfer20 que hacen que la seguridad del sistema operativo se vea más afectada aún.

- Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing.

- Tengo un servidor web cuyo sistema operativo es un unix actualizado a la fecha: Puede que este protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una Shell, mediante su troyano oportuno, y por ende ejecutar comandos en el Unix.

7.7. Nivel óptimo de seguridad y protección de la información:

Las redes de trabajo de las distintas organizaciones, y en consecuencia, la información almacenada en ellas, se ven continuamente perturbada por amenazas de seguridad, ataques y fraudes informáticos, y así, sabotajes y malware de todo tipo, e incluso imprevistos y catástrofes,

20 Error del software que se produce cuando se copian más datos que los que “caben” en la parte de memoria asignada, produciéndose sobre escritura en otras zonas de memoria, con resultados imprevisibles y que un atacante puede aprovechar.



hacen menoscabo importante sobre las posibilidades de continuidad del negocio cuando no se tienen previstas medidas que permitan la recuperación o reparación de la información afectada, es decir, un buen Sistema de Gestión de Seguridad de la Información o SGSI.

Para conseguir un nivel óptimo de protección de la información en la empresa, no basta con instalar un firewall o la contratación de empresas especializadas en seguridad de la información, es necesaria la integración de los distintos factores respecto a las tecnologías de la información, la seguridad de las instalaciones, la formación e información del personal, el know how y los procesos de negocio y administrativos.

La integración de todos estos factores se consigue a través de un SGSI (Sistema de Gestión de Seguridad de la Información), que deberá incluir un método de evaluación, medidas de protección, proceso de documentación y de revisión.

Las fases de implantación de un completo SGSI son las siguientes:

- Planificación: etapa dedicada a la identificación y evaluación de los riesgos y selección de los objetivos de control, y que incluye:

a. Análisis del entorno de actividad. b. Dimensionado. c. Tipo de información que trata. d. Directivas corporativas. e. Requisitos legales.

Etapa que se configura como la de un análisis de riesgos, mencionado anteriormente en el punto 7.1.

- Implementar: etapa dedicada al desarrollo e implementación de un plan efectivo a medio y largo plazo en evitación de los riesgos para la seguridad de la información. Es una etapa en la que la formación del personal es imprescindible.

- Revisión: Seguimiento y revisión de los controles y medidas implantadas previamente. Aquí se trata de llevar a cabo auditorías tanto internas como externas que evalúen la eficacia y la eficiencia del SGSI para identificar riesgos y vulnerabilidades del sistema.

- Actuación: implantar el SGSI pero no de manera estática, éste ha de estar en constante evolución, en la media que las revisiones de la etapa anterior hayan detectado problemas en el sistema han de llevarse a cabo medidas correctivas y preventivas adecuadas.



Como vemos se asemeja mucho a lo que es el Ciclo de Vida del Software: análisis, diseño, pruebas y mantenimiento. Existe profusa normativa respecto a la implantación de SGSI en las organizaciones.

- Normativas nacionales e internaciones sobre protección de datos. - ISO 27001 “Tecnologías de la Información. Técnicas de

Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos.”

- ISO 27002 o “Código de Práctica de Sistemas de Gestión de Seguridad de la Información”

- ISO 27004 de “Métricas y Medidas del Sistema de Gestión de Seguridad de la Información”.

8. Conclusión y síntesis.

Que las tecnologías en la era computacional no sean compatibles, en muchos casos entre sí, ha impedido de alguna manera la mayor propagación del malware. Es un hecho rotundo y triste que esto solo es un pequeño obstáculo para los hackers. La proliferación del software malicioso, su cantidad, su diversidad, y sobre todo, el aprovechamiento económico que de él puede realizar las mafias, lo ha convertido en una amenaza global que concierne no solo a las usuarios y organizaciones empresariales, también a los Estados. Como se ha dicho, cada vez hay más conciencia sobre el problema, por lo que las penas y multas sobre los productores y propagadores de software malicioso son cada vez mayores, pero esto no los ha frenado, y como estadísticas se muestra año a año, aumenta y aumenta. Las labores de espía en la red de redes, Internet, utilizando las técnicas de datamining, ofrecen ingentes cantidades de datos a las mafias en su provecho y en detrimento de los usuarios más o menos incautos. Los troyanos tipo banker son un verdadero boom, pues sus creadores logran pingues beneficios; todo indica que seguirán teniendo éxito en el futuro. Es un hecho notable también que los hackers son cada vez más eficientes. Hoy en día consiguen un malware específico sobre determinada vulnerabilidad en tiempo record, uno o dos días, cuando en el año 2001 era casi de un mes.



Por otra parte decir que la plataforma más atacada es Windows sobre procesadores de 32 bits. El paso a los 64 bits no ha sido gran problema para los hackers, aunque es cierto que han debido superar el código binario diferente para Intel y AMD. Pero tampoco se han librado MAC OS, Linux o BSD, y si no lo han sido más ha sido porque no han cobrado tanta relevancia pública como Windows. Pero sobre todo porque estas plataformas, a diferencia de Windows, no son utilizadas en redes sociales, impidiendo el desarrollo de la ingeniería social en éstas, método principal de propagación del malware actual. Un malware multiplataforma está seguramente desarrollándose hoy, y el límite solo está en la imaginación del hacker: PDAs, Wi-Fi, SMS, MMS, etcétera, en múltiples sistemas operativos. Las empresas dedicadas a la seguridad informática emplean cada vez más recursos e ingenio en busca de frenar esta “lacra”, y esto es bueno, pero son solo pequeños obstáculos en el camino para los hackers. Es preciso darse cuenta que el intercambio de información en la red es responsabilidad nuestra, además, sabiendo que nuestro dinero está guardado en el banco, el malware actual no tiene por objeto a los sistemas, no, su objetivo somos nosotros, los usuarios y su dinero, aprovechándose de la imposibilidad humana por lograr la perfección y mucho menos en sus obras de software. Por ello, sabiendo que no somos perfectos, y que nuestras obras tampoco, no debemos cejar en el empeño de mantener la seguridad de nuestros sistemas, aprendiendo que en general la seguridad es un camino que no tiene fin, además un camino en el que no cabe pararse.



Detalle síntesis:

- Sistemas de información activos.

- Vulnerabilidades a explotar (software y hardware imperfectos) riesgos que se convierten en amenaza.

- Ataques mediante software malicioso sobre los activos impactos

- Clasificación del software malicioso.

• Según se trate de software independiente o dependa de un

“activador” externo. • Según se pueda autorreplicar o no. • Según actúe sobre una red o sobre un sistema concreto. • Varían las vulnerabilidades que explota, las amenazas que

representa y las contramedidas contra su actividad.

- Históricamente van desde bromas y demostraciones de sabiduría de sus creadores y/o propagadores en el pasado, hasta los mafias organizadas de los últimos años, pasando por los simples saboteadores y ladronzuelos de poca monta.

- Implantación de SGSI´s.

FIN.

Documents

10 de mayo Malware 2009 - SABIA-Groupsabia.tic.udc.es/docencia/ssi/old/2008-2009/docs/trabajos/Trabajo... · 4.1.4 Bomba lógica o de tiempo …………………………………………