OCSO INET - Seguridad Informática y Virus

ANEP

CONSEJO DE FORMACIÓN EN EDUCACIÓN

INET

ORGANIZACIÓN DEL COMPUTADOR

Y SISTEMAS OPERATIVOS

TRABAJO FINAL

2010

Seguridad Informática y Virus

Grupo: Nocturno

Docente: Juan Pablo Sales

Alumnas: María Hernández C.I.: 2.692.404-6

Lorena Pérez C.I.: 4.480.080-8

Lucía Favilla C.I.: 2.983.213-3

INET – Profesorado de Informática 2010 O.C.S.O.

Seguridad Informática y Virus Página 2 de 35

Índice General

Introducción ......................................................................... 3 Seguridad Informática ........................................................... 4 Definición y conceptos básicos de seguridad informática……… .............................. 4 Seguridad física .............................................................................................................. 6 Desastres naturales ................................................................................................. 6 Acciones hostiles ..................................................................................................... 8 Seguridad lógica ............................................................................................................. 9 Controles de acceso .............................................................................................. 9 Niveles de seguridad informática ...................................................................... 10 Delitos informáticos ..................................................................................................... 11 Métodos de protección y prevención ............................................................................ 12 Restricciones legales ..................................................................................................... 13 Políticas de seguridad .................................................................................................. 14 Las política en nuestro país ................................................................................. 15 Legislación ................................................................................................................... 15 A nivel internacional ............................................................................................. 15 A nivel nacional ..................................................................................................... 16 Ataques a la seguridad informática en el Uruguay ..................................................... 17

Virus Informático ................................................................ 19 Concepto y características ............................................................................................ 19 Cómo y por qué surgen.................................................................................................. 20 Funcionamiento ........................................................................................................... 20

Ciclo vital ............................................................................................................... 20 Módulos .................................................................................................................. 21 Mecanismos de infección .................................................................................. 21 Técnicas de ocultación ...................................................................................... 22 Historia ........................................................................................................................ 23 Su vinculación con los sistemas operativos .................................................................. 24 Clasificación ................................................................................................................. 24

Por su destino de infección ............................................................................... 25 Por la forma de acción o el modo de activación ......................................... 26 Síntomas y efectos ........................................................................................................ 30

No destructivos ..................................................................................................... 30 Destructivos ........................................................................................................... 30 Detección de infección.................................................................................................. 31 Estrategias de protección y prevención ........................................................................ 31

Métodos pasivos ................................................................................................... 31 Métodos activos ................................................................................................... 32 Otras consideraciones ................................................................................................... 34

Webgrafía ........................................................................... 35



Introducción

Los avances tecnológicos y el acceso masivo a la información hacen que la

seguridad en los sistemas informáticos sea un tema primordial. Por tal motivo consideramos

importante dar una visión general acerca de la vulnerabilidad de los actuales sistemas de

información y los modos de protección existentes. Asimismo, a lo largo de este trabajo

haremos énfasis en los virus informáticos, analizando sus características y las distintas formas

de combatirlos, ya que ellos constituyen una de las amenazas a la seguridad de la

información más generalizadas.



Seguridad Informática

Definición y conceptos básicos de seguridad informática

Según la definición de la Real Academia de la Lengua Española, seguridad es la

cualidad de seguro, y seguro es algo libre y exento de todo peligro, daño o riesgo.

Seguridad informática es un sistema informático exento de peligro, aunque no en un cien

por ciento (debido a fallas en la lógica de los programas u otras causas).

Se define como el conjunto de métodos y herramientas utilizadas para proteger la

información y en consecuencia los sistemas informáticos ante cualquier amenaza física o

lógica.

Las amenazas a las que se exponen los centros de cómputos pueden ser de muy

diversa índole; pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema

informático porque no le importa, no se da cuenta o a propósito.

Programas maliciosos: programas destinados a perjudicar o a hacer un uso

ilícito de los recursos del sistema. Es instalado por falta de atención o maldad

en el ordenador abriendo una puerta a intrusos o bien modificando los datos.

Estos programas pueden ser un virus informático, un gusano informático, un

troyano, una bomba lógica o un programa espía o Spyware.

Un intruso: persona que consigue acceder a los datos o programas de los

cuales no tiene acceso permitido (cracker, hacker, defacer, script kiddie o

Script boy, viruxer, etc.).

Un siniestro (robo, incendio, inundación): una mala manipulación o una

malintención derivan a la pérdida del material o de los archivos.

El personal interno de Sistemas: Las pujas de poder que llevan a disociaciones

entre los sectores y soluciones incompatibles para la seguridad informática.

Los elementos de un centro de cómputos que se ven amenazados son: hardware,

software, datos y líneas de comunicación.

La seguridad informática se dedica principalmente a proteger la confidencialidad, la

integridad y disponibilidad de la información.

Confidencialidad

Se refiere a que la información solo puede ser conocida por individuos autorizados.



Integridad

Asegura que una información no ha sido alterada, borrada, reordenada, copiada,

etc., durante el proceso de transmisión o en su propio equipo de origen.

Disponibilidad

Garantiza que la información pueda ser recuperada en el momento que se necesite,

es decir, evitar su pérdida o bloqueo, ya sea por ataque fraudulento, mala operación

involuntaria o situaciones ocasionales de fuerza mayor.

A continuación se detalla cómo pueden verse afectados los diferentes elementos de

un sistema informático bajo los aspectos expuestos anteriormente.

Elemento Confidencialidad Integridad Disponibilidad

Hardware Robo o sobrecarga

de equipos,

eliminando el servicio.

Software Realización de copias no

autorizadas del software

Alteración de un

programa en

funcionamiento

haciéndolo fallar durante

la ejecución o haciendo

que realice alguna tarea

no pretendida.

Eliminación de

programas

denegando el

acceso a los usuarios.

Datos Lecturas de datos no

autorizados.

Revelación de datos

ocultos de manera

indirecta por análisis de

datos estadísticos.

Modificación de archivos

existentes o invención de

nuevos.

Eliminación de

archivos denegando

el acceso a los

usuarios.

Líneas de

comunicación

Lectura de mensajes.

Observación de la

muestra del tráfico de

mensajes.

Mensajes modificados,

retardados, reordenados

o duplicados.

Invención de mensajes

falsos

Destrucción o

eliminación de

mensajes.

Las líneas de

comunicación o

redes se hacen no

disponibles.

Además de estos aspectos se consideran otros como es el control y la autenticidad

de la información.

Control

Permite asegurar que sólo los usuarios autorizados pueden permitir o no el acceso a

la información.

Autenticidad

Certifica que la información solicitada es válida y disponible en tiempo y forma. Ésta

permite asegurar además el origen de la información, evitando el reemplazo de

identidades.



Para implementar la seguridad informática existe una serie de estándares, protocolos,

métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la

infraestructura o a la información.

La seguridad informática abarca los conceptos de seguridad física y seguridad

lógica. Por lo que se debe tener en cuenta que un sistema informático puede verse

afectado por la falta de seguridad física o por la falta de seguridad lógica.

Seguridad física

La Seguridad Física refiere a la protección del hardware y de los soportes de datos,

así como a la de los edificios e instalaciones donde se encuentran.

Las principales amenazas que se prevén en la seguridad física son:

1. Desastres naturales: incendios accidentales, tormentas, inundaciones,

actividad volcánica, terremotos, etc.

2. Amenazas ocasionadas por el hombre.

3. Disturbios, sabotajes internos y externos deliberados.

Se analizan a continuación los peligros más importantes que se corren en un centro

de procesamiento, con el propósito de mantener una serie de acciones a seguir para la

prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.

DESASTRES NATURALES

Incendios

El fuego es una de las principales amenazas contra la seguridad, ya que puede

destruir fácilmente el centro de cómputos y por ende los equipos, archivos de información y

programas.

Los diversos factores a considerar para reducir los riesgos son:

el local donde se encuentran las computadoras, como sus alrededores, debe

ser impermeable y no contener materiales combustibles o inflamables;

las paredes deben hacerse de materiales incombustibles y extenderse desde

el suelo al techo;

no debe estar permitido fumar;

es necesario contar con detectores incendios adecuados.

Para protegerlos se debe tener en cuenta que:

la temperatura ambiente no debe sobrepasar los 18º C y el límite de

humedad no debe superar el 65% para evitar el deterioro;

deben instalarse extintores.



Inundaciones

Esta es otra de las causas de mayores desastres en centros de cómputos. Para evitar

este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable

para evitar el paso de agua desde un nivel superior y acondicionar las puertas para

contener el agua, entre otras.

Condiciones climatológicas

Es necesario tener en cuenta la frecuencia y severidad de estas, principalmente en

las zonas propensas a la ocurrencia de desastres como tornados, inundaciones, terremotos,

tormentas, etc. al momento de construir el edificio que contendrá el centro de cómputos.

Los informes climatológicos, permiten que se tomen precauciones, tales como la

retirada de objetos móviles, la provisión de calor, iluminación o combustible para la

emergencia.

Señales de radar

Éstas, cuando son muy fuertes, 5 Volts/Metro, pueden inferir en el procesamiento

electrónico de la información.

Instalaciones eléctricas

Como el uso de computadoras está ligado al uso de electricidad, es necesario

evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de

seguridad industrial vinculada a la electricidad.

Algunos de los problemas eléctricos a los que se puede enfrentar son:

Picos y Ruidos electromagnéticos: tanto las subidas y caídas de tensión como

el ruido interfieren en el normal funcionamiento de los componentes

electrónicos.

Cableado se puede ver afectado por diferentes motivos. Las interferencias

pueden provocar alteraciones en los cables metálicos por acción de campos

eléctricos, lo que no sucede con la utilización de cables de fibra óptica. Por

otro lado, los cortes del cable impiden la circulación de los datos,

interrumpiendo la conexión y los daños en el mismo deterioran la integridad

de los datos transmitidos o hacen que las comunicaciones dejen de ser

fiables. También las emisiones electromagnéticas que generan algunos

periféricos, que si bien son de muy baja frecuencia, se consideran dañinas

para el ser humano. Estas emisiones podrían reducirse mediante filtros

adecuados.

Estos problemas se pueden dar de forma natural y de hecho en general así suceden,

aunque cabe también la posibilidad que se den de forma intencional para atacar la red,

con el objetivo de interferir en su funcionamiento.



Por otra parte es recomendable la utilización de:

Cableado de Alto Nivel de Seguridad : refiere a cableados de redes que se

utilizan para instalaciones con alto grado de seguridad, con el objetivo de

impedir la posibilidad de infiltraciones y monitoreos de la información que

pasa por el cable. Consta de un sistema de tubos (herméticamente cerrados)

por cuyo interior circula aire a presión y el cable, cuenta con sensores

conectados a una computadora que si detecta algún tipo de variación de

presión dispara un sistema de alarma.

Sistema de Aire Acondicionado: el centro de cómputos debe estar provisto

de un sistema de aire acondicionado en forma exclusiva, para prevenir el

recalentamiento de equipos.

ACCIONES HOSTILES

Robo

Se puede considerar por la utilización indebida de las computados en otras tareas

(robo de tiempo de máquina), realización de copias de información confidencial o por la

sustracción de software o disco.

Fraude

Estos causan pérdidas millonarias a las empresas por la utilización de computadoras

con este fin.

Sabotaje

Se da principalmente por cortes en las líneas de comunicaciones y eléctricas.

Una consideración importante a tener en cuenta para evitar acciones de este tipo

consiste en el control de acceso al área del centro de cómputos. Este mecanismo requiere

la identificación del personal para permitir o negar el acceso. Teniendo en cuenta además

restricciones de tiempo, área o sector dentro de una empresa o institución.

Algunas de las medidas a tomar para implementar este control son:

utilización de Guardia;

utilización de Detectores de Metales;

utilización de Sistemas Biométricos (empleo de características únicas para la

identificación de personas);

Verificación Automática de Firmas (VAF) (secuencia sonora de emisión

acústica generada por el proceso de escribir constituye un patrón que es

único en cada individuo);

protección electrónica.



Tener controlado el ambiente y acceso físico permite:

disminuir la posibilidad de ocurrencia de siniestros;

trabajar mejor;

descartar falsas hipótesis si se produjeran incidentes;

tener los medios de precaución y acción frente a accidentes.

Seguridad lógica

Refiere a la seguridad del uso del software, a la protección de los datos, procesos y

programas, así como al ordenado y autorizado acceso de los usuarios a la información.

Los objetivos que busca son:

1. Limitar el acceso a los programas y archivos.

2. Garantizar que los operadores no puedan modificar los programas ni los

archivos que no correspondan.

3. Asegurar que se estén utilizado los datos, archivos y programas correctos en y

por el procedimiento correcto.

4. Que la información transmitida sea recibida sólo por el destinatario al cual ha

sido enviada y no a otro.

5. Que la información recibida sea la misma que se ha transmitido.

6. Prever sistemas alternativos secundarios de transmisión entre diferentes puntos.

7. Disponer de pasos alternativos de emergencia para la transmisión de

información.

Algunos de los mecanismos empleados para proveer seguridad lógica son el control

de acceso y los niveles de seguridad.

CONTROLES DE ACCESO

Los mismos se implementan en el Sistema Operativo, en aplicaciones, en base de

datos, en paquetes específicos de seguridad, en otros necesarios.

Según el National Institute for Standars and Technology (NIST), los mínimos estándares

de seguridad que debe seguir cualquier sistema son:

Identificación y Autentificación: previene el ingreso de personas no

autorizadas.

Roles: permite controlar el acceso a la información a través del rol del usuario

que requiere dicho acceso.

Transacciones: se solicita una clave al requerir el procesamiento de una

transacción.

Limitaciones a los Servicios: restricciones que dependen de parámetros

propios de la utilización de la aplicación o preestablecidos por el

administrador del sistema.



Modalidad de Acceso: modo de acceso del usuario a los recursos y a la

información (lectura, escritura, ejecución, borrado).

Ubicación y Horario: el acceso puede estar basado en la ubicación física o

lógica de los datos o personas. También permite limitar el acceso de los

usuarios a determinadas horas del día.

Control de Acceso Interno: palabras claves (passwords).

Control de Acceso Externo: dispositivos de control de puertos (Firewalls,

accesos al personal, acceso público).

Administración: implementación, seguimientos, pruebas y modificaciones

sobre los accesos de los usuarios de los sistemas.

NIVELES DE SEGURIDAD INFORMÁTICA

En 1983 se desarrolló el estándar de niveles de seguridad más utilizado

internacionalmente es el TCSEC Orange Book, acorde a las normas de seguridad en

computadoras del Departamento de Defensa de los Estados Unidos. Los niveles definidos

describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el

mínimo grado de seguridad al máximo. Cabe aclarar que cada nivel requiere todos los

niveles definidos anteriormente.

A continuación se describe cada uno de estos niveles.

Nivel D

Contiene sólo una división y está reservada para sistemas que han sido evaluados y

no cumplen con ninguna especificación de seguridad.

Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de

Macintosh.

Nivel C1: Protección Discrecional

Se requiere identificación de usuarios que permite el acceso diferencial a la

información. Cada usuario puede manejar su información privada y se hace la distinción

entre los usuarios y el administrador del sistema, quien tiene control total de acceso.

Nivel C2: Protección de Acceso Controlado

Tiene la capacidad de restringir aún más el que los usuarios tengan acceso a ciertos

archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos,

sino también en los niveles de autorización.

Exige que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas

las acciones relacionadas con la seguridad, como las actividades efectuadas por el

administrador del sistema y sus usuarios.



Nivel B1: Seguridad Etiquetada

Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el

dueño del archivo no puede modificar los permisos de un objeto que está bajo control de

acceso obligatorio.

A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel

de seguridad jerárquico (alto secreto, secreto, reservado, etc.), por lo que cada usuario

tiene sus objetos asociados.

Nivel B2: Protección Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto

inferior. Así, un disco duro será etiquetado por almacenar archivos que son accedidos por

distintos usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y

seguridad son modificadas; y el administrador es el encargado de fijar los canales de

almacenamiento y ancho de banda a utilizar por los demás usuarios.

Nivel B3: Dominios de Seguridad

Refuerza a los dominios con la instalación de hardware. Existe un monitor de

referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega

según las políticas de acceso que se hayan definido.

Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una

conexión segura.

Cada usuario tiene asignado los lugares y objetos a los que puede acceder.

Nivel A: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y verificación,

mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un

usuario sobre el sistema. El software y el hardware son protegidos para evitar infiltraciones

ante traslados o movimientos del equipamiento.

Delitos informáticos

Este concepto refiere a todas aquellas conductas ilícitas capaces de ser

sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático

(robo, hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc.).

Los tipos de delitos informáticos reconocidos por la Organización de Naciones Unidas

(ONU) son los siguientes:

1. Fraudes cometidos mediante manipulación de computadoras

2. Manipulación de los datos de entrada

3. Daños o modificaciones de programas o datos computarizados



En un delito informático se diferencian dos tipos de sujetos: activo y pasivo.

Sujeto Activo

Se llama así a las personas que cometen los delitos informáticos. Los sujetos activos

manejan los sistemas informáticos y generalmente trabajan en lugares donde se maneja

información confidencial.

Sujeto Pasivo

Es el ente sobre el cual recae la conducta de acción que realiza el sujeto activo. Las

víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc.

que usan sistemas automatizados de información, generalmente conectados a otros.

Debido a que generalmente los delitos informáticos en su mayoría son desconocidos

o no son denunciados, es imposible conocer su magnitud real.

Por otra parte, este tipo de delitos, generalmente, es objeto de medidas o sanciones

de carácter administrativo y no privativo de la libertad.

Para conseguir la prevención efectiva frente a éstos, es necesario tomar medidas

como:

la difusión de las posibles conductas ilícitas derivadas del uso de las

computadoras;

alertar a las potenciales víctimas, para que tomen las medidas pertinentes a

fin de prevenir la delincuencia informática;

creación de una adecuada legislación que proteja los intereses de las

víctimas;

una eficiente preparación por parte del personal encargado de la

procuración, administración y la impartición de justicia para atender e

investigar estas conductas ilícitas.

Métodos de protección y prevención

Algunas técnicas para asegurar el sistema son:

Codificar la información: Criptografía, Criptología y Criptociencia, todas involucran criterios

de contraseñas difíciles de averiguar a partir de datos personales del individuo.

Vigilancia de red.

Tecnologías repelentes o protectoras: cortafuegos, sistemas de detección de intrusos

(antispywares, antivirus, llaves de protección de software, etc.). Mantener los sistemas de

información con las actualizaciones que más impacten en la seguridad.

Técnicas de respaldo (backup): permiten la protección de datos contra pérdida por

borrado accidental o desastres fortuitos. Consisten en realizar copias de seguridad de la

información, que pueden realizarse de forma manual y periódica. La información



respaldada no es exactamente igual a la actual lo que brinda cierta protección contra los

errores humanos, como borrado accidental o uso negligente, ya que permite recuperar los

datos con cierto desfase de tiempo y solo será necesario actualizar ese desfase. Hay

multitud de sistemas de copia de seguridad. Las más recomendables son las que dejan dos

desfases (diarios y semanales, por ejemplo) ya que proporcionan una mejor seguridad (si se

copió el error en el primer período aún queda un segundo para recuperar). Esta técnica se

complementa con los sistemas redundantes en cuanto a la seguridad que ofrecen ya que

tanto los respaldos como la redundancia, por si solos, no cubren todas las necesidades.

Redundancia - Sistemas RAID: también permiten la protección de datos contra pérdida por

borrado accidental o desastres fortuitos. Un RAID es un conjunto de unidades de disco que

aparecen lógicamente como si fueran uno solo. Así los datos, se dividen entre dos o más

unidades. Esta técnica incrementa el rendimiento y proporciona una redundancia que

protege contra el fallo de uno de los discos. Existen varios niveles RAID a partir del nivel 0, en

el que los datos se dispersan en varias unidades pero no hay redundancia (gran rendimiento

pero nula seguridad). Luego el nivel 1 (mirroring o espejo) en el cual los datos se escriben

duplicados en distintas unidades, este método no incrementa el rendimiento pero si la

seguridad y es, de hecho uno de los más utilizados. Los demás niveles RAID son una

combinación de los conceptos anteriores y buscan aumentar la seguridad y el rendimiento

simultáneamente. Existen sistemas operativos, que ofrecen administración RAID incorporada,

como por ejemplo Windows NT que ofrece los niveles 0, 1 y 5. Como es obvio si se

implementa el nivel 1 (discos espejo, donde todo lo que se escribe en un disco es duplicado

automáticamente), la duplicación debe ser en un disco físico diferente.

Tolerancia a fallos: la tolerancia a fallos es la capacidad de un sistema a responder a un

suceso inesperado, como puede ser un fallo de suministro eléctrico o un fallo de hardware

de forma que no se pierdan datos. Cabe señalar que la redundancia no protege contra el

borrado accidental, la operación negligente, etc. ya que cualquier operación (aún las

erróneas) es automáticamente duplicada en todas las unidades. Así, la redundancia, junto

con los sistemas de alimentación ininterrumpida (UPS y grupos electrógenos) proporcionan

seguridad solamente en caso de cortes de suministro o fallos del hardware.

Restricciones legales

En algunos países existen muchas restricciones legales para el comercio electrónico,

y esto impide la evolución del desarrollo de las aplicaciones y la implementación de

software de seguridad para los negocios en línea.

Esto enmarca la importancia de contar con políticas internas específicas que

cuenten con el apoyo de los altos directivos, así como la existencia de un responsable en la



seguridad interna cuyas decisiones de protección se realicen en función de problemáticas

específicas y no sujetas a ajustes económicos.

Políticas de seguridad

Es un conjunto de reglas y procedimientos que regulan la forma en que una

organización previene, protege y maneja los riesgos de daño sobre:

Los equipos de sus sistemas y los elementos físicos asociados con éstos

(edificación, impresoras, discos, cables, dispositivos de interconexión, etc.).

El software y la información almacenada en tales sistemas.

Los usuarios del sistema.

Las políticas tienen como objetivos:

Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las

normas y mecanismos que deben cumplir y utilizar para proteger los

componentes de los sistemas de la organización.

Proporcionar los criterios para adquirir, configurar y auditar los sistemas de

computación y redes para que estén en concordancia con las políticas de

seguridad.

Son componentes de la seguridad de la información:

Una política de privacidad.

Una política de acceso.

Una política de autenticación.

Una política de contabilidad.

Son planes para satisfacer las expectativas de disponibilidad de los recursos del

Sistema:

Una política de mantenimiento para la red y los sistemas de la organización.

Directrices para adquirir tecnología con rasgos de seguridad requeridos y/o

deseables.

Una política de reporte de incidentes y de divulgación de información.

Algunas consideraciones para establecer una política de seguridad son:

Sanciones para quien la infrinja

Identificar los elementos a asegurar.

Identificar las amenazas.

Identificar quienes y de qué forma tienen acceso a la información.

Identificar los sitios de acceso.

Fiscalizar regularmente el sistema.



Establecer un plan de acción al detectar una violación de seguridad.

Divulgar la política, educando a los usuarios.

LAS POLÍTICAS EN NUESTRO PAÍS

En Uruguay, el 71% de las empresas no cuentan con políticas de seguridad definidas

formalmente.

Es política del Organismo AGESIC:

Establecer objetivos anuales con relación a la Seguridad de la información.

Desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad y,

de acuerdo a su resultado, implementar las acciones correctivas y

preventivas correspondientes, así como elaborar y actualizar el plan de

acción.

Clasificar y proteger la información de acuerdo a la normativa vigente y a los

criterios de valoración en relación a la importancia que posee para el

Organismo.

Cumplir con los requisitos del servicio, legales o reglamentarios y las

obligaciones contractuales de seguridad.

Brindar concientización y formación en materia de seguridad de la

información a todo el personal.

Contar con una política de gestión de incidentes de seguridad de la

información de acuerdo a los lineamientos establecidos por el CERTuy.

Establecer que todo el personal es responsable de registrar y reportar las

violaciones a la seguridad, confirmadas o sospechadas de acuerdo a los

procedimientos correspondientes.

Establecer los medios necesarios para garantizar la continuidad de las operaciones

del Organismo.

Legislación

Se entiende por legislación informática al conjunto de Leyes, normas, reglas,

procedimientos, asignación de funciones y demás elementos que rigen la implantación de

sistemas de información en empresas e instituciones.

A NIVEL INTERNACIONAL

Se cuenta con más legislación que en nuestro país y desde hace más tiempo, porque

en Uruguay es un tema relativamente nuevo.

Por ejemplo, en España en 1999 se creó la Ley Orgánica de Protección de Datos de

Carácter Personal (LOPDCP) que contempla la mayor cantidad de acciones lesivas sobre la

información.



En Inglaterra, en 1990 comenzó a regir la Computer Misuse Act, Ley de Abusos

Informáticos donde se establece que el acceso ilegal a una computadora contempla hasta

6 meses de prisión.

Por otro lado, en Estados Unidos en 1985 surge la Ley Federal de Protección de

Sistemas y en 1994 se adoptó el Acta Federal de Abuso Computacional (18. USC sec. 1030).

También en Estados Unidos funcionan la FCIC, organización más importante en lo referente

a delitos computacionales y la IACIS (Asociación Internacional de Especialistas en

Investigación Computacional) que investiga nuevas técnicas para dividir un sistema en sus

partes sin destruir las evidencias.

A NIVEL NACIONAL

En nuestro país en los últimos años se han establecido un conjunto de Leyes y

Decretos que regulan y pautan las normas de seguridad de la información, enmarcadas

dentro de lo que se denomina Gobierno en Red.

Algunas Leyes y Decretos uruguayos son:

Ley 18.172 (art. 118 a 121): establece como misión de AGESIC(Agencia para el Desarrollo del

Gobierno de Gestión Electrónica y la Sociedad de la Información y Conocimiento) impulsar

el avance de la sociedad de la información y del conocimiento. Crea el Consejo Asesor

Honorario de Seguridad Informática.

Ley 18.331/08: de Protección de Datos Personales y Acción de Habeas Data (LPDP).

Ley 18.362/08 (art.73): Crea el Centro Nacional de Respuestas a Incidentes de Seguridad

Informática (CERTuy) en la AGESIC.

Ley 18.381/08: Ley de Acceso a la Información Pública.

Ley 18.600/09: Se reconoce la admisibilidad, validez y eficacia jurídica del Documento

Electrónico y Firma Electrónica, creando como órgano de control la Unidad de Certificación

Electrónica.

En octubre de 2009 el gobierno aprobó tres decretos que establecen el marco para

la uniformización de los sistemas informáticos del Estado y fijan pautas para la seguridad de

sus activos de información. Estos decretos son:

Decreto 450/09: dispone los Principios y Líneas Estratégicas para el Gobierno en Red.

Establece que Agesic será la encargada de promover el uso de las tecnologías de la

información y la comunicación y de la coordinación de los proyectos en el área del

gobierno electrónico.

Decreto 451/09: regula el funcionamiento y organización del CERTuy. Se le encomendó la

seguridad de los sistemas informáticos públicos, la prevención de incidentes y la

recuperación de eventuales daños en los sistemas estratégicos de información del Estado.



Decreto 452/09: regula la adopción de una política de seguridad en informática de los

organismos públicos. Agesic es la encargada del control del cumplimiento de normas en

tecnología de la información en los organismos de la administración central y la adopción

de políticas de seguridad informática.

Decreto 232/010: regula la aplicación de las normas y la ejecución de los procedimientos

establecidos por la Ley Nº 18.381

Ataques a la seguridad informática en el Uruguay

A continuación se mencionan algunos casos de ataques a la seguridad de centros

de cómputos ocurridos en Uruguay. Estos casos comprenden diferentes tipos de siniestros.

Caso 1: Incendio en el Palacio de la Luz (1993)

“En la madrugada del viernes 13 de agosto de 1993, el Palacio de la Luz sufrió un

terrible incendio en sus pisos superiores. Hoy luce como un sus orígenes, ya que fue

cuidadosamente restaurado. El incendio evidenció las debilidades del edificio, las carencias

en la protección contra incendios en los medios urbanos y la ausencia de una normativa

actualizada. En realidad, a las autoridades de UTE les pasó lo que a cualquiera que tiene

que encargarse de la seguridad ante incendios de un edificio: no hay normas precisas a la

que apegarse. A diferencia del resto del mundo, en Uruguay son los bomberos los que tienen

que diseñar la estrategia de protección, que queda librada al criterio personal de cada

inspector que se maneja con las mínimas normativas que hay legisladas en detección de

incendios: iluminación, señalización de seguridad, extintores, bombas, red hidráulica.” (EL

PAIS- Suplemento Que Pasa – 24 de noviembre de 2007).

Este incidente, de índole de los desastres naturales, afectó la seguridad física del

centro de cómputos que sufrió daños importantes. Debido a que se contaba con un sistema

de backup de información, con las cintas almacenadas en otra edificación, se pudieron

recuperar los datos. A partir de entonces, el centro de cómputos del Palacio de la Luz se

encuentra distribuido en diferentes locaciones físicas.

Caso 2: Temporal de viento y lluvia afectando a Torre de las Telecomunicaciones (2005)

“RUTURA DE VIDRIOS - Antel realizará un estudio acerca de los daños que sufrió la

Torre de las Telecomunicaciones, producidos por el temporal del pasado 23 de agosto así

como la acción de los vientos en esos edificios. Según dijo a El País el vicepresidente del

ente telefónico, Edgardo Carvalho, el temporal rompió un total de 312 vidrios ubicados en

los pisos inferiores del complejo. El monto de los daños aún no ha sido estimado. Los daños

más graves ocurrieron en el tercer piso, en unas estructuras de aluminio que sostenían unos

cinco cristales.” (EL PAIS, Ciudades, Antel estudia rotura de 312 vidrios a causal del temporal,

– 10 de setiembre de 2005.)



En esta otra oportunidad, otro desastre natural, perjudicó la seguridad física del

centro de cómputos de Antel que se vio inundado debido a la rotura de los cristales.

Caso 3: Intruso en Antel (2009)

“El intruso que ingresó a Antel con una falsa recomendación de Jorge Vázquez. - La

Policía maneja como hipótesis válida que el intruso que se infiltró en las oficinas de la

vicepresidencia del ente intentaba llevar adelante una gran maniobra de fraude. Los

investigadores presumen que, con el tiempo, el falso funcionario pretendía escalar

posiciones dentro de Antel, interiorizarse de los movimientos bancarios del ente y falsificar

firmas de las autoridades, como lo hizo con la del prosecretario de la Presidencia, Jorge

Vázquez, en una nota membretada en la que solicitaba tres laptops para trabajar desde su

domicilio…El objetivo final, intuye la Policía, era apoderarse de fuertes sumas de dinero de

las transacciones comerciales de la empresa, en las que se manejan cifras elevadas...Se lo

define como una persona "muy entradora"- era capaz de convencer a las jerarquías y lo

estaba logrando.” (Últimas Noticias, art. Antel: Policía cree que intruso intentaba maniobra

millonaria – 5 de setiembre de 2009.)

Este es un caso de ingeniería social que se define como la práctica de obtener

información confidencial a través de la manipulación de usuarios legítimos. Esta técnica es

empleada por investigadores privados, criminales, o delincuentes computacionales, para

obtener información, acceso o privilegios en sistemas de información que les permitan

realizar algún acto que perjudique o exponga la persona u organismo comprometido a

riesgo o abusos. Para ponerla en práctica se usa el teléfono, Internet o el cara a cara para

engañar a la gente, fingiendo ser otra persona.

Caso 4: Hackers (2008-2010)

" El pasado 25 de abril un habilidoso hacker logró violar la seguridad de la página

web del Ministerio del Interior. Poco antes, en marzo de este año, le tocó al portal del

Ministerio de Turismo, que ya había sido violentado en octubre de 2009. En ese entonces, las

eliminatorias para el Mundial de fútbol de Sudáfrica estaban en su fase final; el hacker dejó

un mensaje que decía: "Vamos - Argentina - Carajo" además de un video de YouTube con

imágenes ganadoras de la selección de fútbol del vecino país. En 2008 el hacker argentino

Iván Velázquez, quien se encontraba en Uruguay tramitando asilo político, interceptó mails

de unas 600 cuentas de correo de políticos y empresarios argentinos y obtuvo la contraseña

de 50 cuentas de políticos e instituciones uruguayas”. (EL PAÍS, art. Mejorarán la seguridad

informática del Estado Uruguayo – Viernes 25 de junio de 2010, por wmorales).

http://es.wikipedia.org/wiki/Informaci%C3%B3n

http://es.wikipedia.org/wiki/Usuarios

http://es.wikipedia.org/wiki/Criminales

http://es.wikipedia.org/wiki/Privilegios

http://es.wikipedia.org/wiki/Sistemas_de_informaci%C3%B3n

http://es.wikipedia.org/wiki/Persona

http://es.wikipedia.org/wiki/Organismo

http://es.wikipedia.org/wiki/Riesgo

http://www.nobosti.com/spip.php?auteur15



Virus Informáticos

Concepto y características

Los virus informáticos, si bien son simplemente programas, que debido a sus

características particulares son especiales, constituyen uno de los principales riesgos de

seguridad en los sistemas de información tanto empresariales como hogareños.

Forman parte de un tipo de software llamado “malware” (software malicioso) cuyo

objetivo es infiltrarse en una computadora, sin el permiso ni el conocimiento del usuario, para

alterar el normal funcionamiento de la misma. Se valen de cualquier técnica para lograr su

cometido.

Un virus informático es una secuencia de código ejecutable capaz de replicarse a

otros archivos (a los que se les llama host o anfitrión), quedando oculto en ellos. Se propaga

de un computador en otro, a gran velocidad, por lo que a veces resulta muy difícil de

erradicar. Puede dañar el software, el hardware y/o los archivos.

Tiene tres características principales:

Es dañino, aunque no siempre causa rupturas. En ocasiones simplemente

provoca mayor consumo de memoria principal o tiempo de procesador,

disminuyendo así la performance del equipo.

Es autorreproductor. Se replica a sí mismo, lo que constituye una característica

propia del virus.

Es subrepticio. Utiliza diversas técnicas para evitar ser descubierto por el

usuario.

Su gravedad varía; los hay muy simples e inofensivos, pero molestos, que sólo

muestran un mensaje en el monitor, hasta muy complejos y destructivos. Su peligrosidad no

radica en las instrucciones maléficas que lo componen, sino en lo crítico del sistema que

puede infectar. No es lo mismo infectar una computadora personal, que como mucho

habrá que reiniciarla y se podrán perder datos, que ataque una computadora que

almacena información crítica como la de los controladores aéreos. Si se modificaran estos

datos, se podría llegar a producir una catástrofe que involucraría muchas vidas humanas.

Otra cosa que hay que considerar es que no pueden causar daño al hardware de

forma directa, sino a través de la ejecución de operaciones que reducen la vida útil del

mismo.

En la actualidad el incremento de ataques víricos, más frecuentes y de

consecuencias más graves, es muy notorio. Esto se debe al aumento de redes internas y



conexiones de red entre empresas, vinculadas principalmente a Internet e Intranets. Cuantos

más archivos se envíen los usuarios, mayor es el riesgo de infección. A esto debe agregársele

el hecho del aumento de la cantidad de virus capaces de penetrar en una red empresarial.

Cómo y por qué surgen

Los virus informáticos están hechos por personas con conocimientos de

programación, especialmente de lenguaje ensamblador (aunque se pueden desarrollar en

lenguajes de alto nivel), y del funcionamiento general de la computadora. Aunque no se

requiere capacitación demasiado especializada.

En un principio sólo los diseñaban los hackers y crackers, quienes tenían la necesidad

de demostrar su creatividad y su dominio de las computadoras o como una forma de

diversión. En su inmensa mayoría los diseñadores de virus informáticos son personas que

buscan la superación personal y que ven esta actividad como un pasatiempo o un reto,

aunque hay quienes lo usan como medio de propaganda, difusión de quejas, sabotaje

corporativo, espionaje industrial y daños materiales a las empresas. En otras ocasiones es la

competitividad lo que los lleva a desarrollar virus cada vez más destructivos, complejos y

difíciles de controlar.

El término que se emplea para hacer referencia al estudio y desarrollo de virus

informáticos es: “virii”. Existen grupos de personas que se dedican a esto.

Funcionamiento

En la vida diaria, cuando un programa invade inadvertidamente un sistema y se

replica sin conocimiento del usuario, puede provocar daños como pérdida de información o

fallas del sistema, pero para el usuario se comporta como un programa más. Actúan de

forma enmascarada debajo del sistema operativo, en general, disponiendo de sus propias

rutinas para acceder al control de los periféricos, lo que le garantiza cierto grado de

inmunidad a los ojos del usuario, que no advierte su presencia. Aunque esto no siempre es

así, porque hay algunos, especialmente los que operan bajo Windows, que utilizan las rutinas

llamada API´s.

CICLO VITAL

El ciclo vital de un virus comienza con su creación y termina con su erradicación,

pero entre medio pasa por varias etapas. A continuación se describe cada una de ellas.

Etapa 1: Creación

Programación y desarrollo del programa de virus, generalmente en lenguaje

ensamblador, de bajo nivel y sin necesidad de software intermedio entre el hardware y el

usuario.



Etapa 2: Expansión

Un virus bien diseñado se copia a sí mismo en distintos archivos durante el tiempo

suficiente para llegar a muchísimos usuarios. Estos archivos son, en general, ejecutables

porque, como cualquier otro programa, el virus necesita ser ejecutado para surtir el efecto

para el que fue diseñado.

Etapa 3: Activación

Período en el cual el virus se activa, para lo cual, en ciertos casos, es necesario que

se cumplan determinadas condiciones (por ejemplo, una fecha o la ejecución de una

determinada acción por parte del usuario). Puede darse el caso de computadoras

portadoras del virus sin estar infectadas. Hasta que el programa del virus no se ejecuta, y por

consiguiente se carga a memoria, no se activa.

Etapa 4: Descubrimiento

Detección del mismo para luego poder ser enviado a los fabricantes de antivirus.

Etapa 5: Asimilación

Modificación de los programas antivirus existentes por parte de sus fabricantes, para

que sean capaces de detectar y erradicar el nuevo virus.

Etapa 6: Erradicación o Mutación

A través de las buenas prácticas y los antivirus generados se puede llegar a extinguir

el virus o hacer que no represente una amenaza importante para la comunidad. Pero, en

muchos casos, el virus muta y el ciclo se repite.

MÓDULOS

Según las características del virus, puede contener tres módulos principales: módulo

de reproducción, módulo de ataque y módulo de defensa.

El módulo de reproducción está encargado de manejar las rutinas para infectar

entidades ejecutables asegurando así la subsistencia del virus.

El módulo de ataque contiene las rutinas de daño adicional o implícito. Se puede

disparar por distintos eventos como ser una fecha específica, una hora, encontrar un

determinado archivo o un sector específico, etc.

El módulo de defensa está destinado a proteger el virus. Incluye rutinas para disminuir

los síntomas y evitar ser delatado.

MECANISMOS DE INFECCIÓN

Existen distintos mecanismos de infección utilizados por los virus.

Añadidura o Empalme

El código del virus se agrega al final del archivo ejecutable que infecta, haciendo

que el control del programa pase primero al virus, así éste puede realizar sus tareas



específicas y luego pasa el control al programa para su normal ejecución. La desventaja de

este método es que lo hace fácilmente detectable porque aumenta el tamaño del archivo

infectado, respecto del original.

Inserción

El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos

dentro de los archivos que infectan, así logran no modificar la longitud total del archivo. Este

mecanismo requiere, para su desarrollo, conocimientos más avanzados de programación.

Reorientación

Los códigos principales del virus se introducen en zonas físicas del disco duro

marcadas como defectuosas o en archivos ocultos del sistema, y son luego llamados por

pequeños trozos de código que se implantan en los archivos ejecutables que infectan. De

esta manera el tamaño del cuerpo del virus puede ser grande, aumentando así su

funcionalidad. La desventaja de este método es que la eliminación es muy fácil, se logra

reescribiendo las zonas defectuosas del disco o borrando los archivos ocultos sospechosos.

Polimorfismo

El virus compacta parte de su código y del código del programa anfitrión y se inserta

en el código de este último, de manera tal que no modifica el tamaño del archivo original.

Cuando se activa, se descompacta en memoria. Es el método de contagio más avanzado.

Sustitución

El código del virus sustituye completamente el código del archivo original. Cuando se

ejecuta cumple sus tareas y termina la ejecución del programa reportando algún tipo de

error. Es el método más primitivo.

TÉCNICAS DE OCULTACIÓN

Se emplean técnicas para ocultar los signos visibles de la infección que son

conocidas como mecanismos de Stealth o técnicas furtivas. En general buscan mantener la

fecha original del archivo, restaurar el tamaño original de los archivos infectados, modificar

directamente la FAT, modificar la tabla de vectores de interrupción, soportar la

reinicialización del sistema por teclado, evitar que se muestren mensajes de error cuando el

virus intenta escribir en discos protegidos, hacer invisible el virus frente a un antivirus, etc.

Auto encriptación o auto mutación

El virus se encripta de manera diferente cada vez que se infecta un archivo,

enmascarando su código viral y sus acciones sobre el sistema.

Anti debuggers

El virus evita ser desensamblado para impedir su análisis dificultando así la fabricación

del antivirus correspondiente.



Armouring

El virus impide que se examinen los archivos que ha infectado.

Evasión – técnica de tunneling

Este método se emplea para evitar las rutinas al servicio de una interrupción y así

tener un control directo sobre ésta. Requiere una programación compleja.

Residentes – TSR

El virus permanece residente en memoria manteniendo así el control sobre todas las

actividades del sistema y contaminar todos los archivos que encuentre.

Historia

El matemático John Von Neumann, creador del modelo de arquitectura Von

Neumann para computadoras, manejó en 1949 la posibilidad teórica de creación de

programas que se auto reprodujeran. Esto se llevó a la práctica, unos años después (década

del 60), en lo que se puede considerar como antecedente de los virus actuales, con la

creación del juego llamado “Core Wars” donde los jugadores creaban minúsculos

programas que atacaban y borraban el sistema del oponente y se reproducían cada vez

que se ejecutaba. Para ese entonces no se llamaban todavía “virus”. Este término lo acuñó

el Dr. Fred Cohen, conocido como “el padre de los virus”, recién en 1983, por la

característica de autoreproducción y mutación de estos programas, que los hace parecidos

a los virus biológicos. Los caballos de Troya aparecieron en 1985 y luego les siguió un gran

número de virus cada vez más complejos.

Cronológicamente se podría establecer:

1949 – publicación de “Teoría y organización de un autómata complicado” de John Von

Neumann, donde expone teóricamente la creación de programas que se reproducen a sí

mismos.

1959 – se crea, en secreto, el juego “Core Wars” (“Guerra Nuclear”), desarrollado por AT & T,

donde el cometido de cada jugador era desarrollar códigos que atacaran al adversario

acaparando la máxima memoria posible, mediante la autoreproducción.

1970 – surge el virus “Creeper”, difundido a través de la red ARPANET, que mostraba el

mensaje “Soy Creeper … atrápame si puedes”. También se crea su antídoto, el antivirus

“Reaper”.

1974 – aparece el virus “Rabbit” que se copiaba a sí mismo y bloqueaba el sistema ASP de

IBM.

1980 – un gusano ataca la red ARPANET dejándola 72 horas fuera de servicio.

1983 – se hace pública la existencia del juego “Core Wars” y se empieza a utilizar el término

“virus”.



1987 – se da el primer caso de contagio masivo de computadoras, Macintosh, a través del

virus “Peace Virus”. Surge la primera versión del virus “Viernes 13” en la Universidad Hebrea

de Jerusalén.

1988 – aparece en Estados Unidos el virus “Brain”, de origen pakistaní.

1989 – la cantidad de virus detectados en todo el mundo sobrepasa los 100, llegando a

darse situaciones graves de contagio.

En la actualidad la cantidad de virus en circulación, y sus mutaciones, es tan grande

que no se puede llegar a precisar con certeza.

Su vinculación con los sistemas operativos

Los virus informáticos afectan en mayor o menor medida a casi todas las plataformas

más utilizadas, pero un virus atacará sólo al sistema operativo para el que fue desarrollado.

Las mayores incidencias de infección se dan en MS-Windows debido principalmente

a: su gran popularidad; la falla de seguridad del sistema por ser éste muy permisivo, situación

que se está intentando revertir en la actualidad; la gran vulnerabilidad de software como

Internet Explorer y Outlook Express incluidos en la plataforma y su gran difusión; la escasa

capacitación requerida para sus usuarios.

Por otro lado, en los sistemas Unix y derivados (GNU/Linux, Solaris, Mac OS), los

ataques son prácticamente inexistentes. Esta realidad se debe a diversos factores, como: la

alta prioridad que se le ha dado a la seguridad en Unix; la jerarquía de permisos y accesos

para usuarios, especialmente a los directorios que contienen los archivos vitales del sistema

operativo; la imposibilidad de que un usuario común inicie sesión como administrador,

impidiéndole así la instalación o configuración de software; la utilización de este tipo de

plataforma para tareas más complejas, como ser servidores, generalmente fuertemente

protegidos; las aportaciones constantes de actualización por parte de los usuarios, que

resuelven posibles problemas de seguridad, particularmente en distribuciones GNU/Linux.

Clasificación

Existe una gran variedad de programas maliciosos, llamados “plagas digitales” pero

que no son exactamente virus. Aún teniendo esta distinción es muy común que dentro del

término virus se englobe software de diversa índole como los virus propiamente dichos, pero

también troyanos, gusanos o programas “broma” que simulan ser virus sin serlo.

La clasificación puede ser muy variada porque se los puede agrupar según la

entidad que parasitan, su grado de dispersión, su comportamiento, su agresividad, sus

técnicas de ataque o de ocultamiento, etc. En ocasiones un mismo virus puede ser incluido

en más de una categoría.



A continuación presentamos una de las posibles formas de clasificación en la cual se

distinguen dos categorías principales: por su destino de infección y por sus acciones o modo

de activación.

POR SU DESTINO DE INFECCIÓN

Infectores de archivos

Infectan archivos, tradicionalmente aquellos cuya extensión es .exe, .com, .bat, .sys,

.pif, .dll, .dry, .drv, .bin, .ovl, aunque este tipo de virus está en vías de extinción. Se replican en

la memoria toda vez que un archivo infectado es ejecutado e infectan a otros ejecutables.

Hay distintos subtipos de esta categoría. Normalmente insertan su código al principio

o final del archivo, manteniendo intacto el programa infectado. Pueden permanecer

residentes en memoria mientras se ejecutan y luego devolver el control al programa original

para que continúe normalmente. Un ejemplo sería el virus “Viernes 13”. Pero también

pueden ser virus de acción directa, en cuyo caso es imprescindible que el archivo infectado

esté en ejecución para que funcione. Estos virus corrompen el archivo donde se ubican y

son muy destructivos. Otra subcategoría corresponde a los virus de sobreescritura que

modifican el archivo host al sobrescribirlo.

Infectores del sector de arranque

Afectan el programa Boot Program encargado de buscar y ejecutar en el disco los

archivos del sistema operativo o la tabla de partición de un disco. Una infección de este tipo

ocurre cuando se intenta bootear la máquina desde un dispositivo de almacenamiento

infectado y luego infecta cada disquete, disco duro, CD, unidad ZIP, etc. que se utilice en

ella.

Se ocultan en el primer sector de un disco y se cargan en la memoria antes de que lo

hagan los archivos del sistema, así pueden tomar el control de las interrupciones del sistema

para diseminarse y causar daño.

Este tipo de virus está también en vías de extinción. En general, son fácilmente

erradicados.

Un ejemplo de este tipo de virus es “Brain”.

Virus multipartito

Infectan archivos ejecutables y del área de arranque. Su nombre se debe a que no

se limitan a infectar un tipo de archivo ni una zona en particular del disco duro, sino que

suelen ser una combinación de todos los tipos de virus existentes. Su poder de destrucción es

muy superior al de los demás y de alto riesgo para los datos.

Macrovirus

Se trasmiten a través de documentos que posean algún tipo de lenguaje de macros

(lenguaje script) que utilizan para generar su pequeño código. Estos documentos son



específicos de cada aplicación y no pueden afectar archivos de otro programa o

ejecutables. Como son independientes de la plataforma, se pueden diseminar a equipos

con diferentes sistemas operativos que usen las mismas aplicaciones. Por este motivo

representan una amenaza importante para una red porque se propagan con mucha

facilidad y a gran velocidad. Constituyen el 80% de todos los virus, según la International

Security Association. Cuando un documento infectado es abierto o cerrado, el virus toma el

control y se copia a la plantilla base de nuevos documentos, infectando todos los archivos

que se abran o creen en el futuro. Alteran de tal forma la información de los documentos

que hacen imposible su recuperación. Un ejemplo es el virus “Melissa” de MS-Word.

De Active Agents y Java Applets

Estos virus se alojan en los applets de Java y en los Active Controls, que son

programas que se graban en el disco duro cuando se conecta a Internet y se ejecutan

automáticamente cuando la página a la que se accede así lo requiere.

De HTML

Estos virus incluyen su código en archivos HTML. Con solo conectarse a Internet,

cualquier archivo HTML de una página Web puede contener y ejecutar un virus.

POR LA FORMA DE ACCIÓN O EL MODO DE ACTIVACIÓN

Bombas

Este tipo de virus ejecuta su acción dañina como si fuese una bomba. Es decir, se

activa cuando se cumple determinada condición. Esta condición en algunos casos es luego

de segundos de infectar el sistema. Pero también puede ser después de un cierto tiempo, en

cuyo caso estos virus se conocen como bombas de tiempo. Ejemplos de bombas de tiempo

son los virus que se activan en una determinada fecha u hora, como el virus “Michel Angelo”

que se activa el 6 de marzo. Otra condición puede ser de tipo lógico vinculada al equipo,

como por ejemplo cuando en el disco duro solo queda un 10% de espacio disponible; en

este caso estos virus suelen llamarse bombas lógicas. Si la condición no se cumple, el virus

permanece oculto al usuario.

Retro Virus

Atacan directamente al antivirus que está en la computadora, destruyendo sus

tablas de definición de virus o aprovechándose de los puntos débiles del mismo.

Virus lentos

Infectan solamente los archivos que el usuario hace ejecutar por el sistema operativo,

simplemente “siguiendo la corriente” y aprovechando cada una de las cosas que se

ejecutan. De los archivos que pretende infectar realiza una copia que infecta, dejando al

original intacto. Su eliminación resulta bastante complicada.

http://www.monografias.com/trabajos16/java/java.shtml

http://www.monografias.com/trabajos7/html/html.shtml



Virus voraces

Alteran el contenido de los archivos indiscriminadamente, sustituyendo el código del

programa anfitrión por el suyo propio. Tienen por objetivo destruir completamente los datos

que estén a su alcance.

Sigilosos o Stealth

Éstos trabajan en el sector de arranque de la computadora a la par con el sistema

operativo viendo como éste hace las cosas y tapando y ocultando todo lo que va editando

a su paso. Engaña al sistema haciéndole creer que los archivos infectados no han sufrido

ningún aumento en tamaño, utilizando alguna técnica stealth de ocultamiento de tamaño

(descritas anteriormente). Cuentan con un módulo de defensa sofisticado que hace difícil

que un antivirus se de cuenta de su presencia, por lo que será necesario que se encuentre

en ejecución en memoria en el momento justo en que el antivirus corre. Un ejemplo es

“Brain”.

Polimorfos o Mutantes

Encriptan todas sus instrucciones para que no puedan ser detectados fácilmente y

cambian de forma cada vez que contagia algo. Solamente dejan sin encriptar aquellas

instrucciones necesarias para ejecutar el virus. Para esto utilizan un generador de códigos,

conocido como motor de mutación, que les permiten desencriptarse de manera diferente

cada vez que se ejecutan. En ocasiones se necesitan las llamadas vacunas para

erradicarlos.

Virus de script

Están escritos en este tipo de lenguajes de programación, como VBScript y

JavaScript. Se activan haciendo doble clic sobre archivos con extensión *.vbs o *.js desde el

explorador de Windows e infectan otros ficheros mediante el Windows Scripting Host de

Microsoft, tanto en Windows 98 como Windows 2000.

Un script es un conjunto de instrucciones ordenadas secuencialmente para realizar

una determinada acción al iniciar un sistema operativo, al conectarse a un servidor de red o

al ejecutar una aplicación. Es interpretado y ejecutado por Windows, Novell, aplicación

Mirc, IRC, etc. Algunos tienen objetivos dañinos otros simplemente usan el script como medio

de propagación.

Los dos medios de mayor difusión son: canales IRC (a través del comando send file

del chat) y por re-envío de mensajes de la libreta de direcciones de MS-Outlook.

Un ejemplo de este tipo de virus es “VBS/Loveletter”.

Código ActiveX malicioso

Utilizan el código de un control ActiveX, que es un objeto anidado que forma parte

de una página web, y se ejecutan automáticamente cuando se visita la página.



Troyanos

A diferencia de los virus y gusanos, los troyanos ni se auto replican ni se reproducen

infectando otros archivos, por lo que no llegan a ser virus realmente y no es necesario

limpiarlos. En general se encuentran en páginas web de baja confiabilidad. Este tipo de

programas varía según los distintos puntos de ataque en que se centran.

El caballo de Troya incluye el código maligno en el programa benigno y pasan

inadvertidos para muchos antivirus. Son programas que imitan programas útiles o ejecutan

algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario

ejecutan acciones inesperadas o no autorizadas, a menudo dañinas (como borrar archivos,

formatear discos o abrir agujeros en la seguridad del sistema llamadas puertas traseras o

backdoors). Otras veces, solo son acciones molestas (como mostrar mensajes en pantalla o

agregar iconos en el escritorio). En los casos más dañinos, su objetivo es robar contraseñas

de archivos o de acceso a redes y una vez que las obtiene las envía por correo a la

dirección de quien lo envió a realizar esa tarea. Si afecta una red, representa un gran riesgo

de seguridad ya que facilita el acceso a los intrusos. Permiten controlar remotamente la

computadora infectada.

Son ejemplos de este tipo de virus: “Poison Ivy”, “Nuclear Rat” y “Back Orif ice”.

Camaleones

Constituyen una variante de los troyanos pero actúan como programas comerciales

confiables (por ejemplo, demostración de producto) mientras que en realidad crean un

nuevo programa añadiéndole el código maligno. Pueden ejecutar todas las instrucciones

del programa legítimo mientras, almacenan las cuentas de usuario y contraseñas en un

archivo para luego utilizarlas ilegalmente.

Reproductores o conejos

Estos virus se reproducen en forma constante una vez que son ejecutados hasta

agotar totalmente, con su descendencia, los recursos del sistema, como ser el espacio de

disco o memoria. Su única función es crear clones y ejecutarlos para que ellos hagan lo

mismo. Llega un punto, especialmente en un entorno multiusuario interconectado, que el

sistema principal colapsa. Surgió en ambiente universitario donde el sistema funcionaba con

un algoritmo de prioridades para la atención de procesos y los procesos de los estudiantes

tenían baja prioridad.

Gusanos

Aunque su diseño es similar al de un virus, no se puede decir que es uno, sino que se

lo suele considerar como una subclase de virus. Es un programa o un conjunto de ellos que

utilizan copias completas de sí mismos para infectar otros equipos informáticos en los que

dejan esa reproducción o un segmente de ellos. No necesitan la intervención del usuario

para lograrlo. Se propagan muy rápidamente a través de las conexiones de red o ficheros



adjuntos en mensajes de correo. Tienen gran capacidad para replicarse. No producen

efectos destructivos sino que buscan colapsar el sistema o el ancho de banda. En algunos

casos su función principal es viajar a través de equipos anfitriones recopilando cierto tipo de

información, como claves de acceso. Algunos, como el Blaster Worm, generan un túnel en el

sistema permitiendo que usuarios malévolos controlen remotamente el equipo.

Hay dos tipos de gusanos: host computer worm y network worms. Los primeros son

contenidos totalmente en una computadora, se ejecutan y se propagan a través de una

conexión de red. Terminan cuando hicieron una copia en otro host, por lo que sólo hay una

copia del gusano corriendo en algún lugar de la red. Los hay también aquellos que infectan

otras redes. Por otro lado, los segundos, consisten en un conjunto de segmentos corriendo

cada uno en una máquina distinta y realizando una tarea distinta. Utilizan la red para

propósitos de comunicación.

Algunos ejemplos son: “Gusano Morris”, “Happy99” y “Bubbleboy Worm”, éste último

viene incluido en el cuerpo del e-mail, sin necesidad de abrir ningún archivo adjunto.

Bug-Ware

No son virus propiamente dichos sino que son programas pensados para realizar

funciones concretas dentro del sistema, pero debido a defectos de programación

(deficiente comprobación de errores por parte del programador o programación confusa),

provocan daños al hardware o al software del sistema. Por lo tanto son fragmentos de

código mal implementados, que debido a fallos lógicos, dañan el hardware o inutilizan los

datos del computador.

Virus de MIRC

Tampoco son considerados virus, pero infectan a las computadoras, aprovechando

las ventajas proporcionadas por Internet y los millones de usuarios conectados a cualquier

canal IRC a través del programa Mirc y otros programas de chat. Consisten en un script para

el cliente del programa de chateo. Cuando se accede a un canal de IRC, se recibe un

archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es

el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobre

escriba con el "script.ini" maligno. A través de este archivo se accede la información privada

de la computadora, como el archivo de claves, y es posible desconectar remotamente al

usuario del canal IRC.

Virus Falsos (Hoax)

Al igual que los anteriores, no son considerados virus. Son mensajes advirtiendo sobre

algún virus peligrosísimo, inexistente, que circulan como cadenas de e-mails que se reenvían

por temor a su certeza. Generan un tráfico de información innecesaria además de provocar

estados de pánico en la población. No contienen ningún código oculto ni instrucciones para

ejecución. Algunos ejemplos son: “Irina”, “Good Time” y “Penpal Greetings!”.

http://www.monografias.com/trabajos15/computadoras/computadoras.shtml

http://www.monografias.com/trabajos901/analisis-texto-electronico-conversacion-chat/analisis-texto-electronico-conversacion-chat.shtml

http://www.monografias.com/trabajos11/sercli/sercli.shtml



Síntomas y efectos

Así como los virus y sus comportamientos son muy variados, los síntomas que

producen también lo son. Dado que una característica de los virus es el consumo de

recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los

sistemas de información o daños a nivel de datos. Se pueden distinguir efectos de dos tipos:

no destructivos y destructivos.

NO DESTRUCTIVOS

Son indicios de infecciones molestas pero no destructivas:

actividad y comportamientos inusuales de la pantalla (aparición de gráficos

poco comunes, mensajes nunca antes vistos, letras que caen y rebotan en el

fondo de la pantalla, cierre de ventanas, movimientos del ratón inesperados)

leve distorsión de los objetos de la pantalla

DESTRUCTIVOS

Algunos de estos indicios son:

ralentización global del sistema

la carga de aplicaciones resulta aún más pesada, si ya lo eran

caídas, bloqueos o reinicios frecuentes del sistema

lectura injustificada de dispositivos de almacenamiento

imposibilidad de acceso al disco duro

aparición de sectores defectuosos en el disco duro

formateo automático del disco duro

reducción inexplicable del espacio libre del disco o de la memoria RAM

destrucción de información almacenada en el disco duro

leve incremento en el tamaño de archivos, programas u objetos

aparición o desaparición de archivos

modificación en el nombre, la fecha y/o hora de los archivos

fallos en ejecución de programas

aparición de procesos desconocidos en memoria sin autorización del usuario

aparición de mensajes de error no comunes

aparición de anomalías en el teclado

borrado del BIOS

quemado del procesador por falsa información del censor de temperatura

robo de información confidencial

http://www.monografias.com/trabajos5/sisope/sisope.shtml

http://www.monografias.com/trabajos/termodinamica/termodinamica.shtml



Detección de infección

La mejor forma de detectar un virus es con un antivirus, pero en ocasiones éstos

fallan. Muchas veces el funcionamiento inestable de un sistema se debe a fallas de

hardware, fallas en el sistema eléctrico, deterioro normal del equipamiento, conflictos de

software o errores de programación, entre otros. Es necesario descartar todas estas

posibilidades para concluir que el fallo del sistema se debe a la presencia de un virus no

detectado por el antivirus.

Estrategias de protección y prevención

Si bien existen numerosos mecanismos para combatir el problema, a medida que

nuevos programas y sistemas operativos se introducen en el mercado, más difícil es tener

controlados a todos.

Se distinguen dos tipos de métodos para reducir los riesgos asociados a los virus:

métodos pasivos y métodos activos.

MÉTODOS PASIVOS

Son medidas de este tipo a tomar:

evitar introducir en el equipo medios de almacenamiento extraíbles poco

confiables

no instalar software no que no sea original

evitar descargar software de Internet; en caso de ser programas del tipo

freeware, shareware, trial, o de cualquier otro tipo de distribución deberán ser

escaneados por el antivirus antes de su ejecución

evitar tener instalado software innecesario

disponer de software de seguridad adecuado

no abrir mensajes provenientes de una dirección electrónica desconocida

desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX

y cookies sólo en páginas Web de confianza

realizar copias de seguridad de los datos y programas para garantizar la

recuperación de la información en caso de necesitarse

utilizar contraseñas y no revelar las mismas

manejar permisos de usuario manteniéndolos reducidos a lo mínimo necesario

para realizar el trabajo diario

formación del usuario

evitar compartir archivos, impresoras y medios de almacenamiento

activar la protección con macro virus, de ser posible

http://www.monografias.com/trabajos11/travent/travent.shtml

http://es.wikipedia.org/wiki/VBS

http://es.wikipedia.org/wiki/JS

http://es.wikipedia.org/wiki/ActiveX

http://es.wikipedia.org/wiki/Cookie

http://es.wikipedia.org/wiki/P%C3%A1ginas_web



analizar con el antivirus actualizado toda información recibida

evitar revelar datos personales a desconocidos

contar con un plan de contingencia en caso de emergencia por virus

reemplazar el software como el de correo, páginas Web, entrada de archivos

desde unidades externas y el uso de equipos portátiles, por otras alternativas

más seguras

centralizar los recursos del sistema y los datos

controlar y separar la información móvil que es más propensa a contingencias

de virus

emplear sistemas operativos más seguros y adecuados para cada caso,

pudiendo ser diferente para servidor de archivo y para servidor de

aplicaciones

mantener al máximo el número de recursos de la red en modo de sólo lectura

controlar el acceso a Internet

MÉTODOS ACTIVOS

Dentro de los métodos se tienen:

utilización de antivirus

utilización de filtros de archivos

contar con un firewall

Antivirus

Un antivirus es un programa creado para prevenir la activación de los virus así como

también para evitar su propagación y contagio. Cuenta con rutinas para la detección,

identificación y eliminación de trazas de software malicioso, así como para la reconstrucción

de objetos infectados. Su objetivo es detectar la mayor cantidad de amenazas informáticas

que pueden afectar a un computador. Los primeros antivirus surgieron en la década de 1980

y han evolucionado ampliamente. Algunos permanecen residentes en memoria (módulo

demonio de protección del antivirus) controlando el sistema mientras funciona, detectando

actividades sospechosas y parando las vías conocidas de infección y las incidencias de

seguridad detectadas. En estos casos el consumo de recursos se ve incrementa

notoriamente. Otros antivirus deben ser ejecutados periódicamente por el usuario.

Un antivirus consta de tres componentes principales: vacuna, detector y eliminador.

La vacuna es un programa que, instalado residente en la memoria, actúa como filtro de los

programas que son ejecutados o abiertos para ser leídos o copiados, en tiempo real. El

detector es la rutina encargada de examinar todos los archivos existentes en el equipo y

contiene instrucciones de control y reconocimiento de códigos virales. Posee una base de

datos con las características de los virus conocidos (firmas) y las formas de reconocerlos. En

base a esta lista, analizan los archivos manejados por el computador y el comportamiento



de los mismos así como el de las comunicaciones. El eliminador es el módulo encargado de

erradicar el virus y reparar los daños.

Existen distintos tipos de vacunas empleadas por los antivirus: sólo detección

(detectan pero no eliminan ni desinfectan), detección y desinfección (detectan y

desinfectan), detección y aborto de la acción (detectan y detienen las acciones que causa

el virus), comparación de firmas (comparan las firmas de archivos sospechosos para saber si

están infectados), comparación de signatura de archivo (comparan las signaturas de los

atributos guardados en el equipo), por métodos heurísticos (buscan líneas de código

dañinas), invocación por el usuario, invocación por la actividad del sistema.

La detección de un virus consiste en reconocer la presencia de uno sin llegar a

identificar de cuál se trata. En ocasiones es necesario colocar los archivos infectados en

cuarentena, esto es aislarlo, hasta tener una herramienta que permita identificarlo y

eventualmente erradicarlo. Para la identificación de un virus se utiliza la lista de firmas

mencionada anteriormente, para lo cual es imprescindible su permanente actualización. El

procedimiento de eliminación de un virus implica extraer el código del archivo infectado y

reparar de la mejor manera el daño causado. En muchos casos, esto puede resultar

peligroso para la integridad de los archivos infectados, ya que si el virus no está

debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipo

de virus.

Hay que mencionar que los antivirus no son herramientas cien por ciento efectivas,

siempre queda un margen posible para las infecciones.

Filtros de archivos

Los filtros de archivos se generan para evitar el acceso a determinados objetos

propensos a contener virus. Por ejemplo, se crean filtros para evitar la llegada al servidor de

correo electrónico de determinados tipos de mensajes.

Firewall

Un firewall, también conocido como pared de fuego o cortafuegos o barrera de

fuego, es un sistema que bloquea el acceso desautorizado al sistema a la vez que permite

comunicaciones autorizadas. Permite filtrar contenidos y puntos de acceso al sistema así

como también monitorear los accesos de los usuarios a la red. Consiste de software,

hardware o ambos que evitan el acceso de usuarios no autorizados de Internet a las redes

privadas conectadas a ella, principalmente intranets. Todos los mensajes que entran o salen

de la intranet pasan a través de esta barrera que los examina y bloquea aquellos que no

cumplan los criterios de seguridad establecidos. No elimina problemas de virus pero agrega

un mecanismo de protección. Los cortafuegos de hardware proporcionan protección

contra la mayoría de ataques externos, pero para ataques de virus son más eficaces los

firewall de software. Estos últimos protegen el equipo contra intentos de control o acceso

http://www.monografias.com/trabajos28/dano-derecho/dano-derecho.shtml



externo al sistema, además de brindar protección contra troyanos y gusanos de e-mail. Su

desventaja es que sirven solo para el equipo en el que están instalados y no para una red.

Los cortafuegos pueden utilizar distintas técnicas como filtro de paquetes, aplicaciones de

Gateway (servidores ftp y telnet), Gateway a nivel de circuitos (conexiones TCP o UDP) y

servidor Proxy.

Las ventajas de los cortafuegos son: protección contra intrusos, establecimiento de

perímetros confiables, protección de información privada (mediante definición de distintos

niveles de acceso a la misma) y optimización de acceso (mediante comunicación directa

entre elementos internos de la red).

También tiene limitaciones como: no protección contra ataques cuyo tráfico no pasa

a través de él, no protección de amenazas de ataques internos, no protección contra

ataques de ingeniería social (seguridad informática), no protección contra ataques de virus

informáticos que llegan a las máquinas a través de medios de almacenamiento y no

protección contra fallos de seguridad de servicios y protocolos cuyo tráfico esté permitido.

Otras consideraciones

Es pertinente mencionar que, si bien no son necesariamente virus, los términos

spyware, keylogger y hijacker representan peligro. Los spywares son programas que pueden

estar incluidos en software desconocido y que espían las actividades de los usuarios en la

Web o capturan información de ellos. Por otro lado, los keyloggers son pequeñas

aplicaciones que pueden venir incluidos en virus, spywares o software sospechoso y cuya

finalidad es capturar todo lo que sea ingresado a través del teclado para así obtener

contraseñas. Los hijackers son programas o scripts que “secuestran” navegadores de

Internet, alteran la página inicial del browser e impide al usuario poder cambiarla. Además

muestra propaganda en ventanas nuevas, instala barras de herramientas e impide el

acceso a determinados sitios. Los dos primeros pueden ser identificados por programas anti-

spywares, aunque también hay antivirus que lo hacen. En el caso de hijackers, muchas

veces es necesario usar una herramienta desarrollada especialmente para combatirlos,

porque pueden infiltrarse en el sistema operativo de una forma que ni los antivirus ni anti-

spywares los consiguen detectar.



Webgrafía http://www.segu-info.com.ar

http://www.delitosinformaticos.com/delitos/delitosinformaticos.shtml

https://egovflash.wordpress.com/2010/06/29/aumentara-la-seguridad-informatica-en-uruguay/

Fuente: El Pais (Uruguay)

Fuente: Últimas Noticias (Uruguay)

http://www.agesic.gub.uy

http://www.monografias.com

http://es.wikipedia.org

http://www.masadelante.com/faqs/virus

http://www.sitiosargentina.com.ar

http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Tipos-de-virus.php

http://www.muyinteresante.es/icuantos-tipos-de-virus-informaticos-existen

http://www.taringa.net

http://www.geocities.com

http://www.segu-info.com.ar/

http://www.delitosinformaticos.com/delitos/delitosinformaticos.shtml

https://egovflash.wordpress.com/2010/06/29/aumentara-la-seguridad-informatica-en-uruguay/

http://www.elpais.com.uy/100622/pciuda-497156/informe/mejoraran-la-seguridad-informatica-del-estado

http://www.agesic.gub.uy/

http://www.monografias.com/

http://es.wikipedia.org/

http://www.masadelante.com/faqs/virus

http://www.sitiosargentina.com.ar/

http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Tipos-de-virus.php

http://www.muyinteresante.es/icuantos-tipos-de-virus-informaticos-existen

Documents

OCSO INET - Seguridad Informática y Virus