Informática
Virus informáticos
Índice
1.- El derecho a la tranquilidad.
2.- El panorama informático.
3.- La magnitud del problema.
4.- Los riesgos de la aldea global.
5.- Amenazas modernas.
6.- El segundo escalón.
7.- Doble personalidad.
8.- Agujeros de seguridad.
9.- Difícil pero posible.
10.- El comienzo de los virus.
11.- Términos.
12.- Vida de un virus.
13.- El primer virus para Pc.
14.- La revolución de las macros.
15.- El peligro viene de Internet.
16.- Los protagonistas del 2002.
17.- Estrenos en cartelera.
18.- Nuevas técnicas.
19.- Tendencias para el año 2003.
20.- Opinión personal.
Los peligros digitales.- La seguridad informática no es sólo responsabilidad de las empresas
A medida que emergen tecnologías innovadoras, hacen también su aparición nuevos desafíos para la seguridad informática personal con un grado creciente de complejidad y consecuencias cada vez más graves y costosas.
Se dice que la seguridad informática es el asunto de moda en nuestros días y, si hacemos caso a las estimaciones publicadas por diversos expertos, también es uno de los sectores más dinámicos, así como con mayor demanda potencial de crecimiento a lo largo de los próximos años. De hecho, en nuestros días, los usuarios residenciales (o finales) se ven afectados no sólo por novedosos virus y troyanos, sino también por el peligro potencial de cientos y cientos de hackers que rastrean Internet a la caza de presas vulnerables.
El derecho a la tranquilidad
En el mundo en que vivimos, sea cual sea el ámbito del que estamos hablando, se puede afirmar que no hay nada más inseguro que sentirse seguro. En efecto, como se suele decir familiarmente, en estas circunstancias se tiende a bajar la guardia, lo que de forma automática equivale a manifestar que somos más vulnerables. El extremo contrario es igualmente malo (desconfiar de todo y de todos) y es lo que por regla general se entiende como un comportamiento paranoico.
La seguridad es una necesidad básica tan antigua como la propia Humanidad. Ha ido evolucionando a lo largo del tiempo desde el concepto de nuestros más remotos antepasados (evitar amenazas contra la vida o las posesiones con los mismos métodos defensivos de los animales; es decir luchando o huyendo) hasta convertirse en nuestros días en un conjunto de estrategias y metodologías que, sí bien no brindan la solución total a los problemas, tratan de prevenir y paliar éstos en mayor o menor medida.
El panorama informático
Lo primero que hay que dejar claro es que mantener la disponibilidad, integridad, privacidad y autenticidad de los datos almacenados en un sistema informático es una de las tareas más complejas a las que han de enfrentarse tanto los administradores como los usuarios finales.
Contrariamente a lo que se pueda pensar, ésta no es una cuestión propia de nuestros días, sino que acompaña a los orígenes de la Informática, a los tiempos en que las computadoras eran grandes monstruos que ocupaban salas enteras y necesitaban de un buen montón de técnicos a su alrededor. Después, con la miniaturización de los componentes, la difusión del ordenador personal y la expansión de las redes de comunicación, los riesgos se multiplicaron rápidamente.
La transmisión de datos es aún muy desconocida.
Lo más grave es que existe un desconocimiento generalizado acerca de la magnitud del problema, por lo que no se suelen dedicar los recursos humanos y/o económicos necesarios para prevenir los riesgos y/o pérdidas de información. A modo de ejemplo, y como cifra realmente inquietante, cabe señalar que los expertos estiman que, a escala mundial, tan sólo uno de cada 3.000 ordenadores (es decir, tanto particulares como corporativos) tienen un nivel de seguridad aceptable, siendo los restantes vulnerables en mayor o menor grado. Esta carencia se hace especialmente palpable en el caso de los usuarios residenciales, para los que dicho concepto no deja de ser algo más o menos misterioso y, a su modesto entender, innecesario en sus equipos.
Hacer caso omiso de esta realidad, es tan irresponsable como arriesgado, tanto más cuanto mayor sea el valor que concedemos a nuestra información. Si dejamos de lado los virus (puesto que no suelen ir dirigidos contra una persona concreta), los ataques pueden tener distintas motivaciones, como el robo de datos, el fraude, la extorsión, la venganza o, simplemente, el desafío de ser capaces de entrar en un sistema. Y no es preciso emplear rebuscados ejemplos, sino casos que suceden cada día. Así, imaginemos que el proyecto de fin de curso en el que estuvimos trabajando duramente, y del que no hicimos copia de seguridad, desaparece por la acción de un virus, o que el informe de situación destinado a nuestro jefe ha sido modificado por un intruso.
De otra parte, lo que tampoco podemos perder de vista es que no existe el sistema seguro al 100%, dado que alcanzar cotas absolutas tendría un coste tendente a infinito y una operatividad prácticamente nula. La clave fundamental consiste en minimizar el riesgo, ya que, aunque podamos cerrar una puerta con llave, tarde o temprano los intrusos serán capaces de encontrar otra puerta abierta.
La magnitud del problema
Hasta el momento se conocen más de 60.000 agentes infecciosos y variantes, circulando en su mayor parte a través de Internet y en los que se suelen aplicar técnicas de ingeniería social con el fin de vencer las reticencias de las personas más precavidas. En cambio, poco menos de la mitad de los sistemas se encuentran protegidos mediante un antivirus con definiciones de virus actualizadas. La consecuencia inmediata es que alrededor del 70% de los ordenadores instalados en el planeta sufrieron en el año 2001 algún tipo de incidente por ataque vírico.
Internet en general y el correo electrónico en particular se han convertido en el medio por excelencia para la propagación de gérmenes. Así, según otro informe elaborado en 2002, uno de cada 24 mensajes de correo electrónico que circulan por la Red contiene un virus. Los patógenos (y los hackers) suelen aprovecharse de los fallos o vulnerabilidades existentes en ciertas aplicaciones informáticas. De hecho, todos podemos observar que continuamente aparecen parches y actualizaciones que corrigen fallos detectados en sistemas operativos, procesadores de texto u hojas de cálculo, entre otros. Las distintas versiones de Windows, el navegador Internet Explorer o incluso el popular Word son ejemplos patentes de dicha información.
Otro dato, en el 2001, más de la mitad de las empresas españolas se vieron afectadas. No se tienen cifras fiables acerca del sector residencial, pues en muchas ocasiones los usuarios no son conscientes de que han sido victimas de una agresión de este tipo.
Aun así, en nuestros días el gasto en sistemas de seguridad oscila tan sólo en torno al 5% de la inversión total en informática. De la misma manera, a pesar del aumento de las medidas adoptadas en Internet tras los atentados del 11 de septiembre, los delitos informáticos se han incrementado un 10% en los últimos seis meses. Pero, el panorama sigue siendo desolador. El 66% de las compañías de nuestro país no tiene instalado ningún programa para defenderse de los embates cibernéticos. En el resto de Europa, la situación no es muy diferente: el 45% de las empresas declaró haber sufrido entre dos y cinco sabotajes de hackers, porcentaje que se eleva al 56% en el caso de España.
Los riesgos de la aldea global
En sus inicios, allá por 1968, Internet surgió como un proyecto del Departamento de Defensa Norteamericano. Su objetivo era conectar entre sí tanto las universidades como los centros de investigación que colaboraban de una forma u otra con las Fuerzas Armadas y así, simplificar el intercambio de información entre investigadores que participaban en proyectos conjuntos. Con el fin de facilitar su implantación, los protocolos de comunicación utilizados en esta red de redes se diseñaron para que fuesen sencillos, lo que sin duda contribuyó eficazmente a su éxito. Sin embargo, la cruz de la moneda era que tanto las aplicaciones como los niveles de transporte carecían de mecanismos de seguridad.
En estos 35 años, han ido creciendo de forma paulatina el número de equipos y usuarios conectados a Internet, pero no ha sido hasta aproximadamente los últimos 10 años cuando la incorporación a la Red se ha producido a un ritmo vertiginoso, muy superior a la difusión de ninguna otra tecnología anteriormente ideada. Esto ha hecho posible que Internet se haya convertido en el medio más popular de interconexión de recursos informáticos y en el embrión de las denominadas autopistas de la información.
Con todo, hemos de ser realistas y no ignorar el hecho de que frente a tantas y tantas cualidades positivas han aumentado también las vulnerabilidades conocidas y las acciones fraudulentas o dañinas contra la propiedad y la privacidad de la información.
Internet, hasta el punto de que la ausencia de una seguridad global está mermando el potencial de desarrollo de áreas tan prometedoras como el comercio electrónico o la relación con la Administración.
Para garantizar un grado relativo de confidencialidad, se recurre a distintos sistemas (como las modernas técnicas criptográficas o de encriptación), pero por desgracia, el peligro se esconde a la vuelta de cada esquina.
Ésta es la lección mejor aprendida por los administradores de redes corporativas. Para ellos, la seguridad no es un mero problema técnico, sino una ardua tarea que afecta a la capacidad de desempeñar actividades comerciales, retener clientes y mantener la confianza de los accionistas.
En el lado opuesto, el de los usuarios finales, el riesgo se dispara de forma exponencial debido al auge de la banda ancha. Las conexiones a través de ADSL, han traído consigo una dirección IP fija para cada equipo. La consecuencia inmediata es que, a diferencia de los accesos de banda estrecha (a través de módem) en los que dicha dirección variaba en cada comunicación, en la actualidad cada PC queda identificado por un código único, es decir, que sí el usuario no adopta ninguna medida de protección, en cualquier momento podría ser objeto de un ataque.
De la seguridad de nuestro equipo depende nuestro trabajo.
Amenazas modernas
Frente a los riesgos tradicionales, (amenazas víricas, fundamentalmente), en nuestros días nos enfrentamos a otros más severos.
Los intrusos tienden a utilizar combinaciones de métodos de ataque para producir mayores daños o tener más probabilidades de éxito en sus incursiones. Como primera categoría, podríamos hablar del eavesdropping, o interceptación pasiva del tráfico de datos (sin modificación de éste) mediante técnicas de packet sniffing o escucha de paquetes. De ello se encargan unas aplicaciones denominadas sniffers, cuya función no es otra que la monitorización y captura de paquetes con origen o destino de un ordenador determinado. Este tipo de ofensiva se usa generalmente para capturar nombres y contraseñas, que normalmente para capturar nombres y contraseñas, que normalmente circulan sin cifrar, al establecer la comunicación con los servidores de acceso remoto. También puede ser válido para obtener direcciones de correo electrónico o incluso números de tarjetas de crédito.
Una categoría muy similar a la anterior sería la que corresponde al snooping, mediante la que el atacante ya accede a la información contenida en los documentos o mensajes de correo sin modificar. Sí además realiza una descarga de los mismos en su propio equipo (el caso más habitual), entonces hablaríamos de downloading.
El segundo escalón
En el siguiente nivel de acometidas nos encontramos con el tampering y el data diddling, que engloban la modificación o borrado de datos o software. Aquí, ya podemos hablar de efectos serios si la persona que los realiza llega a lograr privilegios de administrador o supervisor, puesto que sería virtualmente factible que pudiese hacer cualquier cosa que se le pase por la cabeza, incluyendo la caída total del sistema, incluso en el caso de que dicha caída no llegue a producirse, lo normal es que el administrador necesite emplear un buen número de horas (e incluso días) en verificar y solucionar daños.
Por norma general, esta clase de ataques tienen un objetivo fraudulento (crear una cuanta bancaria a la que derivar pequeñas cantidades procedentes de otras cuentas o modificar calificaciones académicas, por ejemplo) o buscan dejar fuera de servicio a un rival o competidor (como ocurre con la modificación de las páginas web de una empresa). En esta categoría, también podríamos incluir el reemplazo de versiones de software por otras del mismo nombre que incluyan código malicioso (como troyanos) para averiguar información, causar pérdidas de datos o incluso tomar el control remoto de un ordenador.
En concreto, podríamos señalar que una casuística especial de ataques de tipo tampering es la que engloba los daños originados por la difusión de virus. Empero, a diferencia del tampering propiamente dicho, no requiere de la intervención directa del atacante (puesto que la característica número uno de todo virus es su capacidad de propagación por medio de su propia reproducción).
Doble personalidad
Otra de las armas de estos ciberdelincuentes es el denominado spoofing, sí bien se suele usar en combinación con otras ya indicadas (como tampering o snooping).
Básicamente, consiste en actuar en nombre de un usuario legitimo del sistema, tras acceder a éste mediante un nombre y una clave correctos. Para conseguir tales datos se pueden utilizar técnicas de fuerza bruta, aunque hoy en día también se suele optar por la ingeniería social.
El spoofing es más peligroso cuando el atacante utiliza el primer sistema invadido para obtener información que le permita acceder a otro, de éste a un tercero y así sucesivamente. Este procedimiento se conoce como looping y su finalidad consiste en “evaporar” el rastro del agresor, haciendo muy difícil o prácticamente imposible su identificación y generando implicaciones legales para los sistemas intermedios empleado para perpetrar el ataque.
Un caso particular de esta técnica es el denominado IP spoofing, gracias al cual el malhechor puede enviar, por ejemplo, falsos correos electrónicos que el receptor identificará como provenientes de una tercera persona de su confianza (acción característica de algunos virus de reciente celebridad, como las distintas variantes de Kler). En la misma línea, también es posible remitir paquetes de datos a través de Internet falsificando la dirección IP de la máquina origen.
Agujeros de seguridad
Tampoco debemos obviar, por la creciente incidencia que están adquiriendo, los ataques de explotación de vulnerabilidades, es decir, de aquellos que se llevan a cabo haciendo uso de fallos o agujeros de seguridad existentes en el propio software. Los sistemas operativos, los navegadores web (Internet Explorer es quizá el ejemplo más conocido en cuanto a este tipo de fallos), los clientes de correo electrónico y muchas otras aplicaciones tienen miles de puertas traseras que los atacantes son capaces de hallar.
A grandes rasgos, las vulnerabilidades se deben a errores de diseño en le propio software o a fases de prueba insuficientes antes del lanzamiento comercial, y se solucionan mediante la instalación de actualizaciones o parches que se pueden descargar de Internet o que los usuarios reciben en CD de los propios fabricantes.
La incidencia de problemas de dicha naturaleza es tal que existen sitios web especializados en facilitar información acerca de los agujeros de seguridad que se descubren cada día.
Difícil pero posible
La mayoría de los usuarios no es consciente de la cantidad de información privada que, de forma inadvertida e involuntaria, revelan a terceros cuando consultan el correo electrónico, navegan por la Web, intervienen en foros de conversación, participan en grupos de noticias o hacen uso de un servidor de FTP. Cada vez que se mueven por Internet, facilitan datos sensibles acerca de su personalidad, economía, gustos, hábitos sociales, preferencias, residencia, etc. que pueden ser maliciosamente recolectados y utilizados por marcas comerciales o por otros personajes sin escrúpulos para enviarles correo basura, mandar mensajes ofensivos a terceras personas o incluso efectuar campañas de marketing personalizadas.
Aunque los riesgos existentes son muchos y la complejidad que nos enfrentamos crece día a día, con una serie de herramientas básicas y un conjunto de precauciones mínimas es posible reducir el peligro hasta un nivel razonable. Y aunque la seguridad informática personal engloba numerosos matices (encriptación de la información, comunicaciones seguras, etc.), nos centraremos en los virus y antivirus, después veremos los firewalls, el mecanismo más utilizado para salvaguardar la entrada a nuestros equipos.
Comienzo de los virus
En 1939, el famoso científico matemático John Louis Von Neuman, de origen húngaro, escribió un articulo, publicado en una revista científica de New York, exponiendo su “Teoría de autómatas complejos”, donde presentaba la posibilidad de desarrollar pequeños programas que pudieran tomar el control de otros, de similar estructura.
J. L. Von Neuman
En 1949, en los laboratorios de Bell Computer, subsidiaria de la AT&T, 3jovenes programadores, Robert Thomas Morris, Douglas Mc Ilroy y Victor Vysottsky, a manera de entretenimiento crearon un juego al que denominaron Corewar, inspirados en la teoría de Von Neuman.
El juego CoreWar fue desarrollado en Assemblez Pnemónico, conocido como Red Code (código rojo) y hoy día es posible ejecutar dicho antiguo juego, por medio de un programa llamado MARS (Memory Array Redcode Similator).
Puesto en la práctica, los contenedores del CoreWar ejecutaban programas que iban paulatinamente disminuyendo la memoria del computador y el ganador era el que finalmente conseguía eliminarlo completamente. Este juego fue motivo de concursos en importantes centros de investigación como el de la Xerox en California y el Massachussets Technology Institute (MIT), entre otros.
Sin embargo, durante muchos años el CoreWar fue mantenido en el anonimato, debido a que por aquellos años la computación era manejada por una pequeña elite de intelectuales.
Robert Thomas Morris, Douglas McIlroy y Victor Vysottsky, fueron los precursores de los virus informáticos.
Términos
-
Gusano o worm: son programas que tratan de reproducirse a sí mismos, no produciendo efectos destructivos, sino que su fin es el de colapsar el sistema o ancho de banda, replicándose a sí mismo.
-
Caballo de Troya o camaleones: son programas que permanecen en el sistema, no ocasionando acciones destructivas sino todo lo contrario, suele capturar datos, generalmente password, enviándolos a otro sitio, o dejar indefenso el ordenador donde se ejecuta, abriendo agujeros en la seguridad del sistema, con la siguiente profanación de nuestros datos.*
-
Joke program: simplemente tienen un payload (imagen o sucesión de estas).
-
Bombas lógicas o de tiempo: programas que se activan al producirse un acontecimiento determinado, la condición suele ser una fecha (bombas de tiempo), una combinación de teclas..., sí no se produce la condición permanecen ocultos.
-
Retro virus: este programa busca cualquier antivirus, localiza un bug (fallo) dentro del antivirus y normalmente los destruye.
-
Virus: son una combinación de gusanos, Caballos de Troya, joke programs, retros y bombas lógicas. Suelen ser muy destructivos.
Vida de un virus
Los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son erradicados completamente.
Creación
Hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de programación assembler. Hoy en día, cualquiera con un poco de conocimiento de programación puede crear un virus. Generalmente, los creadores de virus, son personas maliciosas que desean causar daño a las computadoras creando un mal que se extiende en poco tiempo a miles de usuarios.
Gestación
Después de que el virus es creado, el programador hace copias asegurándose de que se diseminen. Generalmente esto se logra infectando un programa popular y luego enviándolo a un BBS o distribuyendo copias en oficinas, colegios u otras organizaciones.
Reproducción
Se reproducen naturalmente, un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual permite que se disemine por todos los lados.
Activación
Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por ejemplo en determinada fecha o cuando el usuario haga algo determinado, los virus sin rutina dañina no se activan, pero causan daño al robar espacio en el disco.
Descubrimiento
Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un virus, se envía al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento normalmente, ocurre por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.
Asimilación
En este punto, quienes desarrollan los productos antivirus, modifican sus programas para que estos puedan detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quien lo desarrolle y el tipo de virus.
Eliminación
Sí suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede eliminar cualquier virus. Hasta ahora ningún virus ha desaparecido completamente pero han dejado de ser una amenaza.
El primer virus para PC
En 1986 veía la luz Ashar, el que puede ser considerado propiamente como el primer virus para el entorno PC. Sus autores se llamaban Basit y Amjads, dos desarrolladores de la Universidad de Pakistán cuyo propósito inicial era poner en práctica los principios básicos de la teoría de virus.
Ashar no llegó jamás a convertirse en una amenaza pública, no obstante, sus creadores lo evolucionaron hasta dar lugar a Brain. Éste podía infectar a los disquetes de 5,25 pulgadas y 360 Kbytes de capacidad, reemplazando el sector de arranque con su propio código y moviendo el original a otra posición que quedaba marcada con la etiqueta de errónea. Sus efectos eran mínimos (pérdida de 7 Kbytes de memoria y una ligera ralentización en el acceso al disco), pro lo más destacable era su característica Stealth, esto es, mientras permanecía en memoria podía no levantar sospechas. De hecho, no fue detectado hasta octubre del año siguiente. La carrera vírica había comenzado.
A Brain le siguieron muchos otros desarrollos, de mayor o menor complejidad y capacidad de programación, en los que se utilizaron multitud de nuevas técnicas, como encriptación, polimorfismo, mutación, blindaje, etc. Además, los protagonistas son sólo eran virus de arranque (también conocidos como de boof), sino que tomó cada vez mayor peso el lado de los binarios (los que se dedicaban a contaminar ficheros). La evolución fue derivando en variantes cada vez más elaboradas, que hacían uso de distintas combinaciones de técnicas para dificultar su detección y eliminación.
Mención aparte merecen los troyanos (o caballos de Troya), cuyo comportamiento es similar a los virus aunque no están preparados para reproducirse por sí mismos. Normalmente, se ocultan bajo la apariencia de programas de otro tipo (utilidades, por ejemplo) de modo que el usuario los ejecute sin suponer el peligro que encierran. En la actualidad, suelen servir para establecer una puerta trasera en nuestras máquinas con el fin de favorecer el acceso o uso no autorizado de nuestra información o de nuestro ordenador. Una caso particular lo constituyen las denominadas bombas lógicas, también conocidas como bombas de tiempo, que se abandonan en el interior de un sistema informático, en estado latente, a la espera de que se produzcan determinadas condiciones para activarse.
La revolución de las macros
La aparición de los virus de macro a mediados de la década de los 90 supuso una auténtica revolución, hasta el punto de que, a los pocos meses, causaban más del 80% de las infecciones reportadas. La clave de su éxito radicaba en su facilidad de programación. En este sentido, por propia definición, los virus de macro son factibles en todas aquellas aplicaciones o plataformas que proporcionan algún tipo de lenguaje de órdenes.
Un ejemplo tristemente célebre de la facilidad de programación de este tipo de espécimen lo tenemos en Love Letter, cuya aparición en mayo de 2000 provocó en cuestión de horas un contagio a escala mundial. Se trataba de un fichero de VBS, de apenas 275 líneas de longitud, que llegaba a través del correo electrónico. Pocos meses después aparecía Melissa, de características muy similares al anterior y que igualó e incluso superó su capacidad de infección.
El peligro viene de Internet
La Red se ha convertido en el mayor medio de transferencia de información entre ordenadores y, en consecuencia, hoy es la mayor vía de entrada de virus. La vía proferida son los e-mails, los cuales provocan más del 80% de las infecciones detectadas. Su peligrosidad deriva de su extrema capacidad de replicación y propagación, así como de su gran sofisticación técnica. Gracias a este último aspecto, son capaces de reenviarse por sí solos a todos los contactos que el usuario afectado tenga en Libreta de direcciones, provocar infecciones con la simple lectura o apertura del mensaje, aprovecharse de posibles vulnerabilidades o agujeros de seguridad de los programas de correo, etc.
También ha cobrado una importancia creciente la navegación por páginas web, dado que algunas de las tecnologías incluidas en ellas (applets Java y controles Actives) son susceptibles de contagio y transmisión. Los grupos de noticias (newsgroups) y los sistemas de conversación en línea (chat de IRC, ICQ, Messenger, etc) representan otra fuente de riesgo. Cada usuario va dejando sus mensajes, que pueden ser infectados, para que los demás los lean. En otras ocasiones, los regalitos nos llegan mientras estamos conectados en línea.
Finalmente, no podemos dejar de mencionar la transferencia de ficheros FTP, pues al descargar uno, éste se copia directamente en nuestro ordenador con el consiguiente peligro en caso de que contengan algún infiltrado.
Mención aparte merecen los riesgos de ADSL y de las conexiones por cable, cuando utilizamos un módem, el procedimiento se basa en la asignación de una dirección IP dinámica que varía en cada conexión; con la banda ancha se nos asigna una dirección IP estática, es decir, que es la misma sea cual sea el momento en que nos conectemos. Ante esta dinámica el uso de un cortafuegos o firewall no es ya una recomendación sino incluso una obligación.
Aunque en el mercado podemos encontrar software específico de gran calidad y bajo coste, la tendencia actual consiste en que los propios fabricantes de antivirus doten a sus productos de esta capacidad, de modo que ofrezcan a los usuarios una solución de seguridad integral. Y es que, incluso aunque no tengamos una conexión de banda ancha, si permanecemos mucho tiempo conectados a Internet (sí utilizamos una tarifa plana, por ejemplo), somos igualmente vulnerables al ataque de intrusos.
Top Ten español durante 2002 1.- WORM_KLEZ.G 2.- SIRCAM 3.- FRETHEM 4.- KLEZ.F 5.- YAHA 6.- COOLSITE 7.- MAGISTR (A y B) 8.- BUGBEAR 9.- WINEVAR 10.- KLEZ.E |
Actualmente en España existe desde Julio del 2001 un centro para la prevención de virus y su posible erradicación. www.alerta-antivirus.es
Los protagonistas del 2002
Klez, cuya primera versión fue detectada en octubre de 2001 en Asía, apareció por nuestras latitudes a mediados de abril del año pasado, convirtiéndose en el protagonista indiscutible con alrededor del 51% de los casos registrados en nuestro país. Este gusano utilizaba su propio motor SMTP para efectuar su propagación a través del e-mail, afectando tanto a carpetas como a directorios compartidos. Asimismo, explotaba la vulnerabilidad iFrame del navegador Explorer (en las versiones inferiores a la 6.0 y no parcheadas), lo que le permitía ejecutarse tan sólo con abrir el mensaje que lo contenía y no el adjunto. Dicha vulnerabilidad ha sido también explotada por otros virus como Appix.B o Bride. Pero, lo reseñable es que, al destapar esta caja de Pandora, se deja libre una amenaza del tipo Payload y con algunas propiedades de polimorfismo. Este virus es W32/Elkern y sus primeras versiones también acompañaban al Klez hace seis meses.
El siguiente en popularidad, era SirCam, un viejo conocido que alcanzó su apoteosis en el 2001, pero que en el 2002 se alzó con un 30% de la cuota. A mitad de tabla, con un 2% de máquinas invadidas aunque con un especial brillo durante dos días del pasado verano, encontramos a Yaha, otro gusano que llegaba por el correo electrónico con un fichero adjunto de tipo .scr o .exe.
Estrenos en cartelera
Apenas transcurrido un mes del 2003 ya se han detectado dos ejemplares de crecimiento explosivo. El primero de ellos ha recibido el nombre de Lirva o Naith, y ya se considera como el más activo desde julio del año pasado, con casi la mitad de las infecciones registradas frente al 32% correspondiente a Klez.G. Nuevamente, estamos ante un gusano de envío masivo vía correo electrónico, que también puede propagarse mediante programas de chat y de intercambio de archivos (KaZaA), así como de recursos compartidos en red, en las configuraciones contaminadas provoca la parada de los antivirus y cortafuegos y, si el sistema operativo es Windows 95, 98 o Me, envía por mail a su autor las contraseñas de acceso. Gran parte de su éxito se debe a que, en el mensaje que llega, presenta características variable en el asunto, en el cuerpo del texto o en el nombre del adjunto, lo que dificulta sobremanera su filtrado.
La variante Lirva.C es más peligrosa, al presentar la capacidad de descargar y ejecutar un troyano que ofrece control remoto del sistema afectado.
El otro miembro glorioso en los servicios de alerta de todo el mundo es Sobig.A, otro gusano que se difunde rápidamente por correo en un mensaje cuyo remitente es big@boss.com. Una vez producida la inoculación, envía un mensaje a la dirección pagers.icq.com para tratar de conectarse a una página web localizada en www.geocities.com y descargar otro troyano.
Nuevas técnicas
Las últimas versiones de virus en circulación se han basado en aprovechar debilidades de Outlook e IE. En concreto, en lo que respecta al navegador, los ataque se han centrado en las versiones 5.01 y 5.5 (la edición 6.0 ha subsanado este problema), mediante la visualización de los mensajes a través de la Vista previa. En esta misma línea, y de cara al futuro inmediato, es de suponer la aparición de ejemplares capaces de difundirse a partir de la vulnerabilidad detectada en el reproductor Winamp, que posibilita que un fichero de sonido con extensión MP3 ejecute código vírico.
Entre aquellos que han sobresalido recientemente por marcar un hito tecnológico, deberíamos citar a SWF/LMF-926, el primero diseñado para atacar ficheros con extensión SWF (Shockwave Flash); Donet, pionero en agredir a la plataforma .Net de Microsoft; Didinu, primer gusano de correo electrónico cuyo objetivo eran los archivos CLP; o Kazoa, ideado para propagarse a través, de KaZaa utilizando como reclamo los nombres de conocidos juegos de ordenador, películas o ficheros de música.
Otra llamativa muestra es Freedesktop, con la apariencia de una dirección web, se oculta en un fichero de nombre www.freedesktopthemes.com. De esta manera, intenta hacer creer al usuario que, si pincha en él, conseguirá fondos para el Escritorio de Windows. Tampoco podemos dejar de mencionar a otras creaciones que hacen uso de la ingeniería social. De ellos, señalamos WorldCup (Chick.F), el cual empleaba como señuelo el pasado Mundial de Fútbol de corea y Japón, haciéndose pasar por un archivo con los resultados del mismo; Gibe, que llegaba en un correo como si se tratara de una actualización proporcionada por Microsoft para resolver varias vulnerabilidades; o Petlil.A, el cual se enviaba en un mail atrayendo la atención del receptor con una fotografía de carácter erótico.
Top Ten mundial en el año 2002 1.- WORM_KLEZ.H 2.- FUNLOVE 3.- ELKERN.D 4.- NIMDA A-O 5.- NIMDA-E 6.- SIRCAM 7.- NIMDA.A 8.- BUGBEAR 9.- YAHA.G 10.- MAGISTR.B |
Tendencias para el año 2003
Si la tónica general se mantiene, durante el año que empieza los grandes protagonistas serán los gusanos. Por una parte, aquellos que se envían por correo electrónico, como las más de 10 variantes de Opaserv, un código malicioso que hizo su aparición el pasado septiembre. Por otra parte, estarán presentes los gusanos que se extienden a través de la red, sea local o IP. Además, algunas de las ponzoñas de correo electrónico aprovecharán vulnerabilidades del software de uso habitual para conseguir sus propósitos.
Los que también están experimentando un fuerte auge son los denominados troyanos, se trata de programas pensados para efectuar diversas acciones en los equipos afectados, aunque últimamente vemos con frecuencia troyanos capaces de robar datos confidenciales o permitir a un hacker el control remoto de un ordenador.
Tampoco hay que descartar la aparición de venenos más sofisticados, concretamente aquellos diseñados para los nuevos teléfonos móviles y smartphones.
Igualmente, debería prestarse atención a los virus diseñados para propagarse a través de herramientas de mensajería instantánea y de aplicaciones para compartir archivos o a aquellos capaces de invadir específicamente determinados tipos de máquinas, como servidores SQL o Apache. Estos ataques podrían resultar especialmente dañinos, ya que, pese a que no se trate de códigos maliciosos programados para infectar un gran número de ordenadores, los perjuicios ocasionados serían muy importantes.
Opinión personal
La gran cantidad de virus existentes y las múltiples posibilidades que nos ofrece Internet, hacen que en la vida diaria de un Pc sea inevitable la lucha por evitar el contagio. Esto unido a la malicia de algunos usuarios, hace que mantener nuestro ordenador impoluto sea una tarea poco menos que imposible.
El mercado del software hace su agosto gracias a la aparición de nuevos virus en un muy corto espacio de tiempo, por lo que es necesaria o bien actualizar el antivirus o comprar otro que nos ofrezca mayor seguridad, la pescadilla que se muerde la cola...
Conviene recordar la importancia de la actualización de nuestro antivirus ya que de lo contrario nuestro Pc estará igualmente desprotegido.
Bibliografía
- Diccionario de Informática e Internet. (Edición 2002).
- PC Actual.
- Personal Computer & Internet.
- Paginas web: www.elrincondelvago.com, www.alerta-antivirus.com
* Se amplia en el punto El primer virus para PC
Visual Basic Script: lenguaje de programación
7
Descargar
Enviado por: | José Luis Merino |
Idioma: | castellano |
País: | España |